EBSR12用のDMZを作成する方法

この投稿では、EBSR12用にDMZを設定した経験について説明します。まず、いくつかの重要な用語について説明します

DMZ

非武装地帯の略であるDMZは、企業イントラネットとインターネットの間にある企業ネットワークの部分で構成されています。 DMZは、単純な1セグメントLANにすることも、複数のリージョンに分割することもできます。適切に構成された主な利点

DMZの方がセキュリティが優れています。セキュリティ違反が発生した場合、DMZ内に含まれる領域のみが潜在的な損傷にさらされ、企業イントラネットはある程度保護されたままになります

ロードバランサー

ロードバランサーは、同じように構成された多くのサーバーにアプリケーションの負荷を分散します。この配布により、1つ以上のサーバーに障害が発生した場合でも、一貫したアプリケーションの可用性が保証されます。

リバースプロキシ

リバースプロキシサーバーは、クライアントと実際のWebサーバーの間に位置し、クライアントに代わってWebサーバーに要求を行う中間サーバーです。リバースプロキシサーバーの詳細については、こちらをご覧ください

内部アプリケーションの中間層

内部アプリケーションの中間層は、内部ユーザーがOracleE-BusinessSuiteにアクセスするために構成されたサーバーです。次の主要なアプリケーションサービスを実行します。

Webおよびフォームサービス

管理およびコンカレントマネージャーサービス

レポートとDiscovererサービス

外部アプリケーションWeb層

外部アプリケーションのWeb層は、外部ユーザーがOracleE-BusinessSuiteにアクセスするために構成されたサーバーです。次のアプリケーションサービスを実行します：

Webサーバー

EBSR12用のDMZを作成する方法

（1）リバースプロキシを使用して外部Web層を作成する

ケースA：リバースプロキシを備えた新しいサーバー

アプリケーション層を新しいサーバーにクローンする

1. adprecloneを実行し、内部Web層のバックアップを取ります
2. 外部Web層で復元
3. adcfgclone appsTierを実行し、外部ノードを構成します

これが完了したら、コンテキストファイルで以下を変更します

<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>

リバースプロキシの場合は以下を変更します

ケースB：リバースプロキシを使用して内部サーバーを外部層として使用する（内部サーバーには追加のNICカードがあります）

この構成では、内部アプリケーションの中間層サーバーに少なくとも2つのネットワークインターフェイスが必要です。 1つのネットワークインターフェイスが外部エントリポイントに必要であり、もう1つが内部エントリポイントに必要です。これらのネットワークインターフェイスは、DNS内の2つの異なるホスト名に解決されるように構成する必要があります。

例：

/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext

以下のコマンドを使用して、新しいコンテキストファイルを作成します

$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>

フィードする重要なパラメータ

コンテキストファイルの作成後に必要な変更

（2）ConcurrentManagerとすべてのアプリケーションノードを停止します

（3）新しいコンテキストファイルに基づいて新しい構成ファイルとプロファイルオプションをインスタンス化する

DMZ構成では、Oracleプロファイルオプションに新しいServRespプロファイルオプション階層を使用する必要があります。まだ行っていない場合は、以下に示すようにtxkChangeProfH.sql SQLスクリプトを実行して、プロファイルオプションの階層タイプをServRespに変更します。

$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the  Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options

（4）外部ノードを含むすべてのノードの自動構成を実行します

（5）プライマリ内部ノードでAutoconfigを実行します

（6）内部システムの起動

（7）ノードの信頼レベルを更新する

OracleE-businessSuiteリリース12環境の外部Web層のNODE_TRUST_LEVELプロファイルオプションの値を外部に設定します。

特定のノードのノード信頼レベルプロファイルオプション値の値を外部に変更するには、次の手順を実行します。

1. 内部URLを使用してsysadminユーザーとしてOracleE-BusinessSuiteにログインします
2. システム管理者の責任を選択してください
3. プロファイル/システムを選択
4. [システムプロファイルオプションの値の検索]ウィンドウから、外部Web層として指定するサーバーを選択します
5. ％NODE％TRUST％をクエリします。 「ノードの信頼レベル」という名前のプロファイルオプションが表示されます ‘。 サイトでのこのプロファイルオプションの値 レベルは通常になります 。この設定は変更しないでください。

このプロファイルオプションの値を外部に設定します サーバーで レベル。サイトレベルの値は通常に設定したままにする必要があります

（8）責任リストの更新

外部Web層のノード信頼レベルのサーバーレベルのプロファイル値を外部に更新した後 、ユーザーは、外部Web層を介してログインするときに、責任を確認できなくなります。外部のE-BusinessSuiteWeb層から責任を利用できるようにするには、その責任の責任信頼レベルプロファイルオプションの値を外部に設定します。 責任レベルで。

内部URLを使用してsysadminユーザーとしてOracleE-BusinessSuiteにログインします

1. システム管理者の責任を選択
2. プロファイル/システムを選択
3. [システムプロファイルオプションの値の検索]ウィンドウから、外部Web層を介してログインするユーザーが利用できるようにする責任を選択します
4. ％RESP％TRUST％をクエリします。 「責任の信頼レベル」という名前のプロファイルオプションが表示されます ‘。 サイトでのこのプロファイルオプションの値 レベルは通常になります 。この設定は変更しないでください。
5. 選択した責任のこのプロファイルオプションの値を外部に設定します 責任で レベル。サイトレベルの値は通常のままにする必要があります 。

外部のWeb層から利用できるようにするすべての責任について繰り返します。

（9）外部層を開始し、アプリケーションを検証します

adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start