Bài đăng này tôi sẽ giải thích kinh nghiệm của tôi với việc thiết lập DMZ cho EBS R12. Đầu tiên chúng ta sẽ đi qua một số điều khoản quan trọng
DMZ
DMZ, viết tắt của Khu phi quân sự bao gồm các phần của mạng công ty nằm giữa mạng nội bộ của công ty và Internet. DMZ có thể là một mạng LAN một đoạn đơn giản hoặc nó có thể được chia thành nhiều vùng. Lợi ích chính của việc định cấu hình đúng
DMZ bảo mật tốt hơn:trong trường hợp vi phạm bảo mật, chỉ khu vực nằm trong DMZ có khả năng bị thiệt hại, trong khi mạng nội bộ của công ty vẫn được bảo vệ phần nào
Bộ cân bằng tải
Bộ cân bằng tải phân phối tải của ứng dụng qua nhiều máy chủ được định cấu hình giống hệt nhau. Bản phân phối này đảm bảo tính khả dụng của ứng dụng nhất quán ngay cả khi một hoặc nhiều máy chủ bị lỗi.
Reverse Proxy
Máy chủ proxy ngược là một máy chủ trung gian nằm giữa máy khách và máy chủ web thực và thay mặt máy khách thực hiện các yêu cầu đến máy chủ web. Bạn có thể tìm thêm thông tin về máy chủ proxy ngược
Cấp giữa của ứng dụng nội bộ
Tầng giữa của các ứng dụng nội bộ là máy chủ được cấu hình để người dùng nội bộ truy cập Oracle E-Business Suite. Nó chạy các dịch vụ ứng dụng chính sau:
Dịch vụ Web và Biểu mẫu
Dịch vụ Quản trị và Người quản lý Đồng thời
Dịch vụ Báo cáo và Người khám phá
Cấp web ứng dụng bên ngoài
Tầng web ứng dụng bên ngoài là máy chủ được định cấu hình cho người dùng bên ngoài để truy cập Oracle EBusiness Suite. Nó chạy dịch vụ ứng dụng sau:
Máy chủ web
Cách tạo DMZ cho EBS R12
(1) Tạo tầng Web bên ngoài với Reverse Proxy
Trường hợp A:Máy chủ mới có Reverse Proxy
Nhân bản Cấp ứng dụng vào máy chủ mới
- Chạy adpreclone và sao lưu Tầng Web nội bộ
- Khôi phục trên Cấp Web Bên ngoài
- Chạy adcfgclone appsTier và định cấu hình Node bên ngoài
Sau khi hoàn tất việc này, hãy thay đổi phần tiếp theo trong tệp ngữ cảnh
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Thay đổi điều sau cho Reverse proxy
Trường hợp B:Sử dụng máy chủ nội bộ làm cấp bên ngoài (Máy chủ nội bộ có thêm thẻ NIC) với proxy ngược
Cấu hình này yêu cầu máy chủ cấp giữa ứng dụng nội bộ của bạn phải có ít nhất hai giao diện mạng. Cần có một giao diện mạng cho điểm vào bên ngoài và một giao diện khác cho điểm vào bên trong. Các giao diện mạng này phải được định cấu hình để phân giải thành hai tên máy chủ khác nhau trong DNS.
Ví dụ:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Tạo tệp ngữ cảnh mới bằng lệnh dưới đây
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Tham số quan trọng sẽ được cung cấp
Tên máy chủ của hệ thống đích (ảo hoặc bình thường) [int]: | máy lẻ |
Bạn có muốn các đầu vào được xác thực (y / n) [n] không ?: | Y |
Bạn có muốn bảo toàn các giá trị cổng từ hệ thống nguồn trên hệ thống đích (y / n) [y] không? | Y |
Cần có những thay đổi sau khi tệp ngữ cảnh được tạo
Biến AutoConfig | Giá trị bắt buộc |
s_isWeb | CÓ |
s_isWebDev | CÓ |
s_http_listen_parameter | Cổng mới cho trình nghe http |
s_https_listen_parameter | Cổng mới cho trình nghe https |
s_webentryurlprotocol | Đặt giá trị cho giao thức nhập web |
s_webentryhost | Đặt giá trị cho máy chủ webentry |
s_webentrydomain | Đặt giá trị cho miền webentry |
s_active_webport | Đặt giá trị cho cổng hoạt động |
s_login_page | Đặt giá trị để trỏ đến cấu hình webentry mới |
s_server_ip_address | Đặt giá trị của biến này thành địa chỉ IP của giao diện mạng bên ngoài |
(2) Dừng trình quản lý đồng thời và tất cả các nút ứng dụng
(3) Khởi tạo tệp cấu hình mới và tùy chọn cấu hình dựa trên tệp ngữ cảnh mới
Cấu hình DMZ yêu cầu sử dụng phân cấp tùy chọn hồ sơ ServResp mới cho các tùy chọn hồ sơ oracle. Nếu bạn chưa làm như vậy, hãy thay đổi loại phân cấp tùy chọn cấu hình thành ServResp bằng cách thực thi tập lệnh SQL txkChangeProfH.sql như được hiển thị bên dưới:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Chạy Autoconfig tất cả các nút bao gồm cả các nút Bên ngoài
(5) Chạy Autoconfig trên các nút nội bộ chính
(6) Khởi động hệ thống nội bộ
(7) Cập nhật mức độ tin cậy của nút
Đặt giá trị tùy chọn cấu hình NODE_TRUST_LEVEL trên tầng web bên ngoài trong môi trường Oracle E-business Suite Release 12 của bạn thành Bên ngoài ..
Để thay đổi giá trị của tùy chọn cấu hình Mức độ tin cậy nút thành Bên ngoài cho một nút cụ thể, hãy thực hiện các bước sau:
- Đăng nhập vào Oracle E-Business Suite với tư cách là người dùng sysadmin bằng URL nội bộ
- Chọn Trách nhiệm của Quản trị viên Hệ thống
- Chọn Cấu hình / Hệ thống
- Từ cửa sổ 'Tìm giá trị tùy chọn cấu hình hệ thống', hãy chọn máy chủ mà bạn muốn chỉ định làm cấp web bên ngoài
- Truy vấn cho% NODE% TRUST%. Bạn sẽ thấy một tùy chọn hồ sơ có tên là ‘ Node Trust Level ‘. Giá trị cho tùy chọn hồ sơ này tại trang web mức sẽ là Bình thường . Giữ nguyên cài đặt này.
Đặt giá trị của tùy chọn cấu hình này thành Bên ngoài tại máy chủ cấp độ. Giá trị cấp độ trang web nên vẫn được đặt thành Bình thường
(8) Cập nhật Danh sách Trách nhiệm
Sau khi cập nhật giá trị cấu hình cấp máy chủ cho Node Trust Level cho (các) tầng web bên ngoài thành Bên ngoài , người dùng không còn có thể thấy bất kỳ trách nhiệm nào khi họ đăng nhập qua tầng web bên ngoài. Để có trách nhiệm từ cấp web bên ngoài E-Business Suite, hãy đặt giá trị tùy chọn hồ sơ Mức độ tin cậy trách nhiệm cho trách nhiệm đó thành Bên ngoài ở cấp độ trách nhiệm.
Đăng nhập vào Oracle E-Business Suite với tư cách là người dùng sysadmin bằng URL nội bộ
- Chọn Trách nhiệm của Quản trị viên Hệ thống
- Chọn Cấu hình / Hệ thống
- Từ cửa sổ 'Tìm giá trị tùy chọn cấu hình hệ thống', hãy chọn trách nhiệm mà bạn muốn cung cấp cho người dùng đăng nhập qua tầng web bên ngoài
- Truy vấn cho% RESP% TRUST%. Bạn sẽ thấy một tùy chọn tiểu sử có tên là ‘ Mức độ tin cậy trách nhiệm ‘. Giá trị cho tùy chọn hồ sơ này tại site mức sẽ là Bình thường . Giữ nguyên cài đặt này.
- Đặt giá trị của tùy chọn cấu hình này cho trách nhiệm đã chọn thành Bên ngoài ở trách nhiệm cấp độ. Giá trị cấp trang web phải vẫn là Bình thường .
Lặp lại tất cả các trách nhiệm mà bạn muốn cung cấp từ cấp web bên ngoài.
(9) Khởi động Bậc bên ngoài và xác thực ứng dụng
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start