V tomto příspěvku vysvětlím své zkušenosti s nastavením DMZ pro EBS R12. Nejprve si projdeme některé důležité pojmy
DMZ
DMZ, což je zkratka pro demilitarizovanou zónu, se skládá z částí podnikové sítě, které jsou mezi podnikovým intranetem a internetem. DMZ může být jednoduchá jednosegmentová LAN nebo může být rozdělena do více oblastí. Hlavní výhoda správně nakonfigurovaného
DMZ je lepší zabezpečení:v případě narušení bezpečnosti je potenciálnímu poškození vystavena pouze oblast obsažená v DMZ, zatímco firemní intranet zůstává do jisté míry chráněn
Load Balancer
Nástroj pro vyrovnávání zatížení rozděluje zatížení aplikace na mnoho identicky nakonfigurovaných serverů. Tato distribuce zajišťuje konzistentní dostupnost aplikací, i když jeden nebo více serverů selže.
Reverzní proxy
Reverzní proxy server je zprostředkující server, který je umístěn mezi klientem a skutečným webovým serverem a odesílá požadavky na webový server jménem klienta. Více informací o reverzních proxy serverech naleznete
Střední úroveň interních aplikací
Střední vrstva interních aplikací je server nakonfigurovaný pro interní uživatele pro přístup k Oracle E-Business Suite. Spouští následující hlavní aplikační služby:
Webové a formulářové služby
Služby správy a souběžného správce
Zprávy a služby Discoverer
Webová vrstva externích aplikací
Webová vrstva externích aplikací je server nakonfigurovaný pro externí uživatele pro přístup k Oracle EBusiness Suite. Spouští následující aplikační službu:
Webový server
Jak vytvořit DMZ pro EBS R12
(1) Vytvořte externí webovou vrstvu s reverzním proxy
Případ A:Nový server s reverzním proxy
Klonovat aplikační vrstvu na nový server
- Spusťte adpreclone a vytvořte zálohu interní webové vrstvy
- Obnovení na externí webové úrovni
- Spusťte adcfgclone appsTier a nakonfigurujte externí uzel
Jakmile je toto dokončeno, změňte následující v kontextovém souboru
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Změňte následující pro Reverse proxy
Případ B:Použití interního serveru jako externí vrstvy (interní server má extra NIC kartu) s reverzním proxy
Tato konfigurace vyžaduje, aby váš interní server střední vrstvy měl alespoň dvě síťová rozhraní. Jedno síťové rozhraní je vyžadováno pro externí vstupní bod a druhé pro interní vstupní bod. Tato síťová rozhraní musí být nakonfigurována tak, aby se v DNS překládala na dva různé názvy hostitelů.
Například:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Vytvořte soubor nového kontextu pomocí níže uvedeného příkazu
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Důležitý parametr k podávání
Název hostitele cílového systému (virtuální nebo normální) [int]: | ext |
Chcete, aby byly vstupy ověřeny (y/n) [n] ?: | Y |
Chcete zachovat hodnoty portů ze zdrojového systému na cílovém systému (y/n) [y] ? | Y |
Po vytvoření kontextového souboru jsou vyžadovány změny
Proměnná automatické konfigurace | Požadovaná hodnota |
s_isWeb | ANO |
s_isWebDev | ANO |
s_http_listen_parameter | Nový port pro http posluchač |
s_https_listen_parameter | Nový port pro https listener |
s_webentryurlprotocol | Nastavte hodnotu na webový vstupní protokol |
s_webentryhost | Nastavte hodnotu na hostitele webentry |
doména s_webentry | Nastavte hodnotu na doménu webentry |
s_active_webport | Nastavte hodnotu na aktivní port |
s_login_page | Nastavte hodnotu tak, aby ukazovala na novou konfiguraci webentry |
IP_adresa_s_serveru | Nastavte hodnotu této proměnné na IP adresu externího síťového rozhraní |
(2)Zastavte Concurrent Manager a všechny aplikační uzly
(3) Vytvořte nové konfigurační soubory a možnosti profilu na základě nového kontextového souboru
Konfigurace DMZ vyžaduje použití nové hierarchie možností profilu ServResp pro možnosti profilu Oracle. Pokud jste tak ještě neučinili, změňte typ hierarchie možností profilu na ServResp spuštěním skriptu SQL txkChangeProfH.sql, jak je uvedeno níže:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Spusťte automatickou konfiguraci všech uzlů včetně externích uzlů
(5) Spusťte Autoconfig na primárních interních uzlech
(6) Spusťte interní systém
(7) Aktualizovat úroveň důvěryhodnosti uzlu
Nastavte hodnotu možnosti profilu NODE_TRUST_LEVEL na externí webové vrstvě ve vašem prostředí Oracle E-business Suite Release 12 na External..
Chcete-li změnit hodnotu hodnoty možnosti profilu Úroveň důvěryhodnosti uzlu na Externí pro konkrétní uzel, proveďte následující kroky:
- Přihlaste se do sady Oracle E-Business Suite jako uživatel správce systému pomocí interní adresy URL
- Vyberte odpovědnost správce systému
- Vyberte Profil / Systém
- V okně Najít hodnoty systémového profilu možnosti vyberte server, který chcete označit jako externí webovou vrstvu
- Dotaz na %NODE%TRUST%. Zobrazí se možnost profilu s názvem „Úroveň důvěryhodnosti uzlu ‘. Hodnota pro tuto možnost profilu na webu úroveň bude Normální . Ponechte toto nastavení beze změny.
Nastavte hodnotu této možnosti profilu na Externí na serveru úroveň. Hodnota úrovně webu by měla zůstat nastavena na Normální
(8) Aktualizace seznamu odpovědností
Po aktualizaci hodnoty profilu na úrovni serveru pro Úroveň důvěryhodnosti uzlu pro externí webové vrstvy na Externí , uživatelé již neuvidí žádné povinnosti, když se přihlásí přes externí webovou vrstvu. Aby byla odpovědnost k dispozici z externí webové vrstvy E-Business Suite, nastavte hodnotu možnosti profilu Úroveň důvěryhodnosti odpovědnosti pro tuto odpovědnost na Externí na úrovni odpovědnosti.
Přihlaste se do sady Oracle E-Business Suite jako správce systému pomocí interní adresy URL
- Vyberte odpovědnost správce systému
- Vyberte Profil / Systém
- V okně „Hodnoty možnosti Najít systémový profil“ vyberte odpovědnost, kterou chcete zpřístupnit uživatelům, kteří se přihlašují prostřednictvím externí webové vrstvy.
- Dotaz na %RESP%TRUST%. Zobrazí se možnost profilu s názvem „Úroveň důvěryhodnosti odpovědnosti ‘. Hodnota pro tuto možnost profilu na webu úroveň bude Normální . Ponechte toto nastavení beze změny.
- Nastavte hodnotu této možnosti profilu pro vybranou odpovědnost na Externí na odpovědnost úroveň. Hodnota na úrovni webu by měla zůstat Normální .
Opakujte pro všechny povinnosti, které chcete zpřístupnit z externí webové vrstvy.
(9) Spusťte externí vrstvu a ověřte aplikaci
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start