6 エンタープライズ・デプロイメントのロード・バランサとファイアウォールの準備

ハードウェア・ロード・バランサの構成方法およびファイアウォールでエンタープライズ・デプロイメントに対して開く必要があるポートの構成方法を理解することは重要です。

ハードウェア・ロード・バランサでの仮想ホストの構成

ハードウェア・ロード・バランサを構成すると、様々な種類のネットワーク・トラフィックや監視において、円滑にリクエストを認識して複数の仮想サーバーと関連ポートにルーティングできるようになります。

次の各トピックでは、ハードウェア・ロード・バランサの構成方法について説明し、必要な仮想サーバーのサマリーを提供し、それらの仮想サーバーに関する追加の手順を示します。

ハードウェア・ロード・バランサ構成の概要

トポロジのダイアグラムに示すように、リクエストを認識し、様々な種類のネットワーク・トラフィックや監視に対応する複数の仮想サーバーと関連ポートにリクエストをルーティングできるように、ハードウェア・ロード・バランサを構成する必要があります。

ロード・バランシング・デバイスにおける仮想サーバーとは、ロード・バランシングのために複数の物理サーバーを1つのサーバーのように見せかけることができる構成です。仮想サーバーは通常、IPアドレスとサービスによって表され、受信したクライアント・リクエストをサーバー・プール内の各サーバーに配信するために使用されます。

仮想サーバーは、エンタープライズ・デプロイメントで使用可能な各種サービス用の適切なホスト・コンピュータおよびポートに、トラフィックをルーティングするように構成しておく必要があります。

さらに、サービスが停止したときに特定のサーバーへのトラフィックをできるだけ早く停止できるように、ホスト・コンピュータとポートの可用性を監視するようにロード・バランサを構成する必要があります。これによって、特定の仮想ホストの着信トラフィックが他の層の使用不可のサービスに送信されることがなくなります。

ロード・バランサを構成した後で、同じ名前を持つ一連の仮想ホストをロード・バランサに定義した仮想サーバーとして認識するように、Web層のWebサーバー・インスタンスを構成することも可能です。Webサーバーは、ハードウェア・ロード・バランサから受信した各リクエストを、リクエストのヘッダーに記述されているサーバー名に基づいて適切にルーティングできます。「管理およびOracle Web Services Manager用のOracle HTTP Serverの構成」を参照してください。

ハードウェア・ロード・バランサの構成の一般的な手順

次の手順では、エンタープライズ・デプロイメントのハードウェア・ロード・バランサを構成する標準的なステップの概要を示します。

特定のロード・バランサの実際の構成手順は、ロード・バランサの特定のタイプによって異なります。また、ロード・バランシングされるプロトコルのタイプによっても違いが生じる場合があります。たとえば、TCP仮想サーバーとHTTP仮想サーバーはプールで異なる種類のモニターを使用します。実際のステップは、ベンダーが提供するドキュメントを参照してください。

1. サーバーのプールを作成します。このプールには、ロード・バランシングの定義に含まれているサーバーとポートのリストが格納されます。

   Webホスト間のロード・バランシングの場合、ホストWEBHOST1およびWEBHOST2に対するリクエストを、OHSで使用される各ポートに送信するサーバーのプールを作成します。たとえば、WebCenter PortalなどのアプリケーションへのアクセスのためのWEBHOST1およびWEBHOST2のポート4443に対するプール、内部アクセスのためのWEBHOST1およびWEBHOST2のポート4444に対する別のプール、管理コンソールにアクセスするためのWEBHOST1およびWEBHOST2のポート4445に対する別のプールです。

2. 特定のホストとサービスが使用可能かどうかを決定するルールを作成し、ステップ1で説明したサーバーのプールに割り当てます。

3. アプリケーションに対するリクエストを受信するアドレスおよびポートのロード・バランサで必要な仮想サーバーを作成します。

   エンタープライズ・デプロイメントに必要な仮想サーバーの完全なリストは、「エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー」を参照してください。

   ロード・バランサで各仮想サーバーを定義するときは、次のことを考慮します。

   1. ロード・バランサでサポートされている場合は、仮想サーバーが内部から、外部から、またはその両方から利用できるのかどうかを指定します。内部アドレスはネットワーク内からのみ解決可能であることを確認します。

   2. ステップ1で作成したサーバーのプールを、仮想サーバーに割り当てます。

   3. 仮想サーバーに対するSSLを構成します。

   4. サーバーのプールとの通信用にSSLを構成します。

一部のロード・バランサには、適切なSSL通信を確立するために、状況によってはバックエンドの証明書(バックエンド・プールのOHSリスナーによって使用されるSSL証明書)を提供する必要があります。その場合、信頼できる証明書としてロード・バランサにOHSのCA証明書を追加する必要がある場合があります。このガイドでは、WebLogicのドメインごとのCAに基づくサンプル証明書を使用するため、ドメインの作成後にこれを追加できます。

エンタープライズ・デプロイメントに必要な仮想サーバーのサマリー

この項では、エンタープライズ・デプロイメントに必要な仮想サーバーの詳細を示します。

次の表は、Oracle WebCenter Portalエンタープライズ・トポロジのハードウェア・ロード・バランサで定義する必要がある仮想サーバーの一覧です。

仮想ホスト	サーバー・プール	プロトコル	SSL終端	外部
admin.example.com:445	WEBHOST1.example.com:4445 WEBHOST2.example.com 4445	HTTPS	いいえ	いいえ
wcp.example.com:443	WEBHOST1.example.com:4443 WEBHOST2.example.com 4443	HTTPS	あり	あり
wcpinternal.example.com:444	WEBHOST1.example.com:4444 WEBHOST2.example.com 4444	HTTPS	いいえ	いいえ

admin.example.comに関する追加手順

この項では、仮想サーバーadmin.example.comに必要な追加手順を示します。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

• アドレスとポートの変換を有効にします。

• サービスまたはホストが停止した場合に接続のリセットを有効にします。

wcp.example.comに関する追加手順

この項では、仮想サーバー(wcp.example.com)を構成するための追加手順を示します。

ハードウェア・ロード・バランサでこの仮想サーバーを構成する場合:

• ポート443を使用します。顧客の使いやすさのためにポート80を使用する場合は、それに対するリクエスト(非SSLプロトコル)をポート443 (SSLプロトコル)にリダイレクトすることをお薦めします。このリダイレクトを実装するには、ロード・バランサに固有のドキュメントを参照してください。

• ANYをプロトコルとして指定します。

• アドレスとポートの変換を有効にします。

• サービスやノードが停止した場合に接続のリセットを有効にします。

• この仮想サーバーの/managementと/emへのアクセスを除外するルールを作成します。

  これらのコンテキスト文字列は、リクエストをOracle WebLogicリモート・コンソールとOracle Enterprise Manager Fusion Middleware Controlにルーティングするため、admin.example.comからシステムへのアクセス時にのみ使用する必要があります。

エンタープライズ・デプロイメントのファイアウォールとポートの構成

管理者は、Oracle Fusion Middlewareの様々な製品およびサービスで使用されるポート番号を理解することが重要です。そうすることで、同じポート番号が1つのホスト上の2つのサービスによって使用されないようにし、エンタープライズ・トポロジのファイアウォールで正しいポートを開くことができます。

次の表は、トポロジのファイアウォールで開く必要があるポートの一覧です。

ノート:

次の表で、ファイアウォールFW1に対してアプリケーションへのアクセス用に指定されたポートとポートの範囲は、静的クラスタを使用する場合に適用されます。動的クラスタの場合は、スケーラビリティ要件に基づいてポートとポートの範囲が異なります。

ファイアウォールの表記法:

• FW0は、最も外側のファイアウォールを表します。

• FW1は、Web層とアプリケーション層の間のファイアウォールを表します。

• FW2は、アプリケーション層とデータ層との間におけるファイアウォールを示します。

表6-1 すべてのFusion Middlewareエンタープライズ・デプロイメントに共通のファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド /アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
ブラウザによるリクエスト	FW0	80 ノート: このオプションは、ポート80からポート443へのリダイレクトが使用される場合にのみ必要です。	HTTP/ロード・バランサ	インバウンド	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW0	44x	HTTPS/ロード・バランサ	インバウンド	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	80	HTTP/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
ブラウザによるリクエスト	FW1	44x	HTTPS/ロード・バランサ	アウトバウンド(イントラネット・クライアント)	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	80	HTTP/ロード・バランサ	アウトバウンド	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
コールバックおよびアウトバウンド呼出し	FW1	44x	HTTPS/ロード・バランサ	アウトバウンド	タイムアウトは、HTMLコンテンツのサイズとタイプによって異なります。
ロード・バランサからOracle HTTP Serverへ	該当なし	444x	HTTPS	該当なし	該当なし
WebLogic Serverクラスタ内におけるセッション・レプリケーション	該当なし	該当なし	該当なし	該当なし	デフォルトでは、サーバーのリスニング・アドレスのポートと同じポートがこの通信で使用されます。
WebLogicリモート・コンソールとEnterprise Managerコンソール	FW1	9002	HTTPS/リモート・コンソールとEnterprise Manager t3s	両方	管理コンソールへのアクセスのタイプ(アプリケーション層のクライアントからOracle WebLogicリモート・コンソールを使用する予定があるか、またはアプリケーション層の外部のクライアントから使用する予定があるか)に基づいてこのタイムアウト時間をチューニングする必要があります。
データベース・アクセス	FW2	1521	SQL*Net	両方	タイムアウトは、WebCenter Portalによって使用されるプロセス・モデルのタイプとデータベース・コンテンツによって異なります。
デプロイメントの一貫性	該当なし	9991 Coherenceでは、マルチキャスト構成とユニキャスト構成の両方について、UDPとTCPの両方に対するポート9991のメンバー間の接続が必要です。 TCPのポート7。 UDPとTCPの両方に対するエフェメラル・ポート32768-60999。	該当なし	該当なし	該当なし
Oracle Unified Directoryアクセス	FW2	389 636 (SSL)	LDAPまたはLDAP/ssl	インバウンド	ロード・バランサに基づいてディレクトリ・サーバーのパラメータをチューニングする必要があります。それ以外の方法ではチューニングしないでください。
Oracle Notification Server (ONS)	FW2	6200	ONS	両方	Gridlinkに必要。ONSサーバーは各データベース・サーバー上で稼働します。

表6-2 Oracle Fusion Middlewareエンタープライズ・デプロイメントの製品固有コンポーネントのファイアウォール・ポート

タイプ	ファイアウォール	ポートとポートの範囲	プロトコル/アプリケーション	インバウンド /アウトバウンド	その他の考慮事項とタイムアウトのガイドライン
WSM-PMのアクセス	FW1	7010 範囲: 7010から7999	HTTPS/WLS_WSM-PMn	インバウンド	タイムアウトを60秒に設定します。
ポータル・サーバーへのアクセス	FW1	9001	HTTP / WLS_Portaln	インバウンド	タイムアウトを短い時間(5から10秒)に設定します。
RIDC APIリクエスト	FW1	6300	TCP/WLS_WCCn	インバウンド	該当なし
SOAサーバーのアクセス	FW1*	8001 範囲: 8000から8010	HTTP/WLS_SOAn	インバウンド	タイムアウトは、SOAによって使用されるプロセス・モデルのタイプによって異なります。