W tym poście wyjaśnię moje doświadczenia z konfiguracją DMZ dla EBS R12. Najpierw omówimy niektóre z ważnych terminów
DMZ
Strefa DMZ, co oznacza strefę zdemilitaryzowaną, składa się z części sieci korporacyjnej, które znajdują się między korporacyjnym intranetem a Internetem. Strefa DMZ może być prostą jednosegmentową siecią LAN lub może być podzielona na wiele regionów. Główna zaleta prawidłowo skonfigurowanego
Strefa DMZ to lepsze bezpieczeństwo:w przypadku naruszenia bezpieczeństwa tylko obszar znajdujący się w strefie DMZ jest narażony na potencjalne uszkodzenia, podczas gdy intranet korporacyjny pozostaje w pewnym stopniu chroniony
System równoważenia obciążenia
Systemy równoważenia obciążenia rozkładają obciążenie aplikacji na wiele identycznie skonfigurowanych serwerów. Ta dystrybucja zapewnia stałą dostępność aplikacji, nawet gdy jeden lub więcej serwerów ulegnie awarii.
Odwrotny serwer proxy
Odwrotny serwer proxy to serwer pośredniczący, który znajduje się między klientem a rzeczywistym serwerem WWW i wysyła żądania do serwera WWW w imieniu klienta. Więcej informacji na temat odwrotnych serwerów proxy można znaleźć
Aplikacje wewnętrzne — warstwa środkowa
Warstwa środkowa aplikacji wewnętrznych to serwer skonfigurowany dla użytkowników wewnętrznych w celu uzyskania dostępu do pakietu Oracle E-Business Suite. Obsługuje następujące główne usługi aplikacji:
Usługi internetowe i formularze
Usługi administracyjne i współbieżne usługi menedżera
Raporty i usługi Discoverer
Warstwa internetowa aplikacji zewnętrznych
Warstwa WWW aplikacji zewnętrznych to serwer skonfigurowany dla użytkowników zewnętrznych w celu uzyskania dostępu do pakietu Oracle EBusiness Suite. Uruchamia następującą usługę aplikacji:
Serwer WWW
Jak utworzyć strefę DMZ dla EBS R12
(1) Utwórz zewnętrzną warstwę internetową za pomocą zwrotnego serwera proxy
Przypadek A:nowy serwer ze zwrotnym serwerem proxy
Klonuj warstwę aplikacji na nowy serwer
- Uruchom adpreclone i wykonaj kopię zapasową wewnętrznego poziomu internetowego
- Przywróć w zewnętrznej warstwie internetowej
- Uruchom adcfgclone appsTier i skonfiguruj zewnętrzny węzeł
Po zakończeniu zmień następujące w pliku kontekstowym
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Zmień następujące ustawienia dla Zwrotnego serwera proxy
Przypadek B:używanie serwera wewnętrznego jako warstwy zewnętrznej (serwer wewnętrzny ma dodatkową kartę sieciową) z odwrotnym serwerem proxy
Ta konfiguracja wymaga, aby serwer warstwy środkowej aplikacji miał co najmniej dwa interfejsy sieciowe. Jeden interfejs sieciowy jest wymagany dla zewnętrznego punktu wejścia, a drugi dla wewnętrznego punktu wejścia. Te interfejsy sieciowe muszą być skonfigurowane do rozpoznawania dwóch różnych nazw hostów w DNS.
Na przykład:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Utwórz plik nowego kontekstu za pomocą poniższego polecenia
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Ważny parametr do podania
Nazwa hosta systemu docelowego (wirtualna lub normalna) [int]: | wewn |
Czy chcesz, aby dane wejściowe były sprawdzane (t/n) [n] ?: | T |
Czy chcesz zachować wartości portów z systemu źródłowego w systemie docelowym (t/n) [y]? | T |
Zmiany wymagane po utworzeniu pliku kontekstowego
Zmienna automatycznej konfiguracji | Wymagana wartość |
s_isWeb | TAK |
s_isWebDev | TAK |
s_http_listen_parameter | Nowy port dla odbiornika http |
s_https_listen_parameter | Nowy port dla odbiornika https |
s_webentryurlprotocol | Ustaw wartość protokołu wejścia internetowego |
s_webentryhost | Ustaw wartość na hosta webentry |
s_webentrydomain | Ustaw wartość domeny wpisu internetowego |
s_active_webport | Ustaw wartość na aktywny port |
s_login_page | Ustaw wartość wskazującą na nową konfigurację wpisu internetowego |
s_server_ip_address | Ustaw wartość tej zmiennej na adres IP zewnętrznego interfejsu sieciowego |
(2)Zatrzymaj menedżera współbieżnego i wszystkie węzły aplikacji
(3) Utwórz wystąpienie nowych plików konfiguracyjnych i opcji profilu na podstawie nowego pliku kontekstowego
Konfiguracja DMZ wymaga użycia nowej hierarchii opcji profilu ServResp dla opcji profilu oracle. Jeśli jeszcze tego nie zrobiłeś, zmień typ hierarchii opcji profilu na ServResp, wykonując skrypt SQL txkChangeProfH.sql, jak pokazano poniżej:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Uruchom autokonfigurację wszystkich węzłów, w tym węzłów zewnętrznych
(5) Uruchom Autokonfigurację na głównych węzłach wewnętrznych
(6) Uruchom system wewnętrzny
(7) Zaktualizuj poziom zaufania węzła
Ustaw wartość opcji profilu NODE_TRUST_LEVEL w zewnętrznej warstwie WWW w środowisku Oracle E-business Suite Release 12 na External..
Aby zmienić wartość opcji profilu Poziom zaufania węzła na Zewnętrzny dla konkretnego węzła, wykonaj następujące czynności:
- Zaloguj się do Oracle E-Business Suite jako użytkownik sysadmin przy użyciu wewnętrznego adresu URL
- Wybierz odpowiedzialność administratora systemu
- Wybierz profil/system
- W oknie „Znajdź wartości opcji profilu systemu” wybierz serwer, który chcesz wyznaczyć jako zewnętrzną warstwę internetową
- Zapytanie o %NODE%TRUST%. Zobaczysz opcję profilu o nazwie „Poziom zaufania węzła „. Wartość tej opcji profilu w witrynie poziom będzie Normalny . Pozostaw to ustawienie bez zmian.
Ustaw wartość tej opcji profilu na Zewnętrzny na serwerze poziom. Wartość poziomu witryny powinna pozostać ustawiona na Normalny
(8) Aktualizuj listę obowiązków
Po zaktualizowaniu wartości profilu na poziomie serwera dla poziomu zaufania węzła dla zewnętrznych warstw internetowych na Zewnętrzny , użytkownicy nie widzą już żadnych obowiązków, gdy logują się za pośrednictwem zewnętrznej warstwy internetowej. Aby odpowiedzialność była dostępna z zewnętrznej warstwy internetowej pakietu E-Business Suite, ustaw wartość opcji profilu Poziom zaufania odpowiedzialności dla tej odpowiedzialności na Zewnętrzny na poziomie odpowiedzialności.
Zaloguj się do Oracle E-Business Suite jako użytkownik sysadmin przy użyciu wewnętrznego adresu URL
- Wybierz odpowiedzialność administratora systemu
- Wybierz profil/system
- W oknie „Znajdź wartości opcji profilu systemu” wybierz odpowiedzialność, którą chcesz udostępnić użytkownikom logującym się za pośrednictwem zewnętrznego poziomu internetowego
- Zapytanie o %RESP%TRUST%. Zobaczysz opcję profilu o nazwie „Poziom zaufania do odpowiedzialności „. Wartość tej opcji profilu w witrynie poziom będzie Normalny . Pozostaw to ustawienie bez zmian.
- Ustaw wartość tej opcji profilu dla wybranej odpowiedzialności na Zewnętrzny na odpowiedzialności poziom. Wartość na poziomie witryny powinna pozostać Normalna .
Powtórz dla wszystkich obowiązków, które chcesz udostępnić z zewnętrznej warstwy internetowej.
(9) Uruchom warstwę zewnętrzną i zweryfikuj aplikację
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start