Тази публикация ще обясня моя опит с настройката на DMZ за EBS R12. Първо ще преминем през някои от важните термини
DMZ
DMZ, което означава Демилитаризирана зона, се състои от части от корпоративна мрежа, които са между корпоративния интранет и Интернет. DMZ може да бъде обикновена едносегментна LAN или може да бъде разбита на множество региони. Основното предимство на правилно конфигуриран
DMZ е по-добра сигурност:в случай на пробив в сигурността, само областта, съдържаща се в DMZ, е изложена на потенциални щети, докато корпоративният интранет остава донякъде защитен
Балансиране на натоварване
Балансьорите на натоварване разпределят натоварването на приложението върху много идентично конфигурирани сървъри. Това разпределение гарантира постоянна наличност на приложението дори когато един или повече сървъри се повредят.
Обратно прокси
Обратният прокси сървър е междинен сървър, който се намира между клиент и действителния уеб сървър и прави заявки към уеб сървъра от името на клиента. Можете да намерите повече информация за обратните прокси сървъри
Средно ниво на вътрешни приложения
Средното ниво на вътрешните приложения е сървърът, конфигуриран за достъп на вътрешни потребители до Oracle E-Business Suite. Той изпълнява следните основни приложни услуги:
Услуги за уеб и формуляри
Администриране и Concurrent Manager Services
Доклади и услуги за откриване
Уеб ниво на външни приложения
Уеб ниво на външни приложения е сървърът, конфигуриран за външни потребители за достъп до Oracle EBusiness Suite. Той изпълнява следната приложна услуга:
Уеб сървър
Как да създадете DMZ за EBS R12
(1) Създайте външно уеб ниво с обратно прокси
Случай A:Нов сървър с обратен прокси
Клонирайте ниво на приложение към новия сървър
- Изпълнете adpreclone и направете резервно копие на вътрешния уеб ниво
- Възстановяване на външно уеб ниво
- Изпълнете adcfgclone appsTier и конфигурирайте външния възел
След като това приключи, променете следното в контекстния файл
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Променете следното за обратен прокси
Случай Б:Използване на вътрешния сървър като външно ниво (вътрешният сървър има допълнителна NIC карта) с обратен прокси
Тази конфигурация изисква вашият вътрешен сървър на средно ниво на приложения да има поне два мрежови интерфейса. Един мрежов интерфейс е необходим за външната входна точка и друг за вътрешната входна точка. Тези мрежови интерфейси трябва да бъдат конфигурирани за разрешаване на две различни имена на хост в DNS.
Например:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Създайте новия контекстен файл, като използвате командата по-долу
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Важен параметър за подаване
Име на хост на целевата система (виртуално или нормално) [int]: | ext |
Искате ли входовете да бъдат валидирани (y/n) [n]?: | Y |
Искате ли да запазите стойностите на портовете от изходната система на целевата система (y/n) [y]? | Y |
Необходими са промени, след като контекстният файл е създаден
Променлива за автоматично конфигуриране | Задължителна стойност |
s_isWeb | ДА |
s_isWebDev | ДА |
s_http_listen_parameter | Нов порт за http слушателя |
s_https_listen_parameter | Нов порт за https слушателя |
s_webentryurlprotocol | Задайте стойността на протокола за уеб въвеждане |
s_webentryhost | Задайте стойността на хоста webentry |
s_webentrydomain | Задайте стойността на домейна webentry |
s_active_webport | Задайте стойността на активния порт |
s_login_page | Задайте стойността да сочи към новата конфигурация на webentry |
s_server_ip_address | Задайте стойността на тази променлива на IP адреса на външния мрежов интерфейс |
(2) Спрете Concurrent Manager и всички възли на приложението
(3) Инстанцирайте новите конфигурационни файлове и опциите на профила въз основа на новия контекстен файл
Конфигурацията на DMZ изисква използването на новата йерархия на опциите на профила ServResp за опциите на профила на Oracle. Ако все още не сте го направили, променете типа йерархия на опциите на профила на ServResp, като изпълните SQL скрипта txkChangeProfH.sql, както е показано по-долу:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Стартирайте Autoconfig на всички възли, включително външни възли
(5) Стартирайте Autoconfig на Основните вътрешни възли
(6) Стартирайте вътрешната система
(7) Актуализиране на нивото на доверие на възел
Задайте стойността на опцията за профил NODE_TRUST_LEVEL на външното уеб ниво във вашата среда на Oracle E-business Suite Release 12 на External..
За да промените стойността на опцията за профил на ниво доверие на възел на Външен за конкретен възел, изпълнете следните стъпки:
- Влезте в Oracle E-Business Suite като потребител на системен администратор, като използвате вътрешния URL адрес
- Изберете Отговорност на системния администратор
- Изберете Профил/Система
- От прозореца „Намиране на стойности на опцията за системен профил“ изберете сървъра, който искате да посочите като външно уеб ниво
- Запитване за%NODE%TRUST%. Ще видите опция за профил, наречена „Ниво на доверие на възел ‘. Стойността за тази опция за профил в сайта нивото ще бъде Нормално . Оставете тази настройка непроменена.
Задайте стойността на тази опция за профил на Външен на сървъра ниво. Стойността на ниво сайт трябва да остане настроена на Нормално
(8) Актуализиране на списъка с отговорности
След актуализиране на стойността на профила на ниво сървър за ниво на доверие на възел за външните уеб нива на Външно , потребителите вече не могат да виждат никакви отговорности, когато влязат през външното уеб ниво. За да бъде налична отговорност от външното уеб ниво на E-Business Suite, задайте стойността на опцията за профил за ниво на доверие на отговорността за тази отговорност на Външна на ниво отговорност.
Влезте в Oracle E-Business Suite като потребител на системен администратор, като използвате вътрешния URL
- Изберете Отговорност на системния администратор
- Изберете Профил/Система
- От прозореца „Намиране на стойности на опцията за системен профил“ изберете отговорността, която искате да предоставите на потребителите, влизащи през външното уеб ниво.
- Запитване за%RESP%TRUST%. Ще видите опция за профил, наречена „Ниво на доверие на отговорност ‘. Стойността за тази опция за профил в сайт нивото ще бъде Нормално . Оставете тази настройка непроменена.
- Задайте стойността на тази опция за подпрофила за избраната отговорност на Външен на отговорност ниво. Стойността на ниво сайт трябва да остане Нормална .
Повторете за всички отговорности, които искате да направите достъпни от външното уеб ниво.
(9) Стартирайте външното ниво и потвърдете приложението
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start