Oracle
 sql >> Datenbank >  >> RDS >> Oracle

So erstellen Sie eine DMZ für EBS R12

In diesem Beitrag werde ich meine Erfahrungen mit der Einrichtung von DMZ für EBS R12 erläutern. Wir werden zuerst einige der wichtigen Begriffe durchgehen

DMZ

Die DMZ, die für Demilitarized Zone steht, besteht aus den Teilen eines Unternehmensnetzwerks, die sich zwischen dem Intranet des Unternehmens und dem Internet befinden. Die DMZ kann ein einfaches LAN mit einem Segment oder in mehrere Regionen unterteilt sein. Der Hauptvorteil einer richtig konfigurierten

DMZ bietet mehr Sicherheit:Im Falle einer Sicherheitsverletzung ist nur der innerhalb der DMZ enthaltene Bereich potenziellen Schäden ausgesetzt, während das Unternehmensintranet einigermaßen geschützt bleibt

Load-Balancer

Load Balancer verteilen die Last einer Anwendung auf viele identisch konfigurierte Server. Diese Verteilung stellt eine konsistente Anwendungsverfügbarkeit sicher, selbst wenn ein oder mehrere Server ausfallen.

  Reverse-Proxy

Ein Reverse-Proxy-Server ist ein zwischengeschalteter Server, der zwischen einem Client und dem eigentlichen Webserver sitzt und im Namen des Clients Anfragen an den Webserver stellt. Weitere Informationen zu Reverse-Proxy-Servern finden Sie

Interne Anwendungen Middle Tier

Die mittlere Ebene der internen Anwendungen ist der Server, der für interne Benutzer für den Zugriff auf Oracle E-Business Suite konfiguriert ist. Es führt die folgenden wichtigen Anwendungsdienste aus:

Web- und Formulardienste

Verwaltungs- und Concurrent Manager-Dienste

Berichte und Discoverer-Dienste

  Webebene für externe Anwendungen

Die Webschicht für externe Anwendungen ist der Server, der für externe Benutzer für den Zugriff auf Oracle EBusiness Suite konfiguriert ist. Es führt den folgenden Anwendungsdienst aus:

Webserver

So erstellen Sie eine DMZ für EBS R12

(1) Erstellen Sie die externe Webschicht mit Reverse Proxy

Fall A:Ein neuer Server mit Reverse Proxy

Anwendungsebene auf den neuen Server klonen

  1. Führen Sie adpreclone aus und erstellen Sie eine Sicherung der internen Webebene
  2. Auf externer Webebene wiederherstellen
  3. Führen Sie adcfgclone appsTier aus und konfigurieren Sie den externen Knoten

Sobald dies abgeschlossen ist, ändern Sie Folgendes in der Kontextdatei

<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>

Ändern Sie Folgendes für den Reverse-Proxy

Fall B:Verwendung des internen Servers als externe Schicht (der interne Server hat eine zusätzliche NIC-Karte) mit Reverse-Proxy

Diese Konfiguration erfordert, dass Ihr interner Anwendungs-Middle-Tier-Server über mindestens zwei Netzwerkschnittstellen verfügt. Eine Netzwerkschnittstelle ist für den externen Einstiegspunkt und eine weitere für den internen Einstiegspunkt erforderlich. Diese Netzwerkschnittstellen müssen so konfiguriert werden, dass sie im DNS in zwei verschiedene Hostnamen aufgelöst werden.

Zum Beispiel:

/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext

Erstellen Sie die neue Kontextdatei mit dem folgenden Befehl

$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>

Wichtiger zu fütternder Parameter

Hostname des Zielsystems (virtuell oder normal) [int]: ext
Möchten Sie, dass die Eingaben validiert werden (j/n) [n] ?: J
Möchten Sie die Portwerte vom Quellsystem auf dem Zielsystem beibehalten (j/n) [j] ? J

Änderungen erforderlich, sobald die Kontextdatei erstellt wurde

AutoConfig-Variable Erforderlicher Wert
s_isWeb JA
s_isWebDev JA
s_http_listen_parameter Neuer Port für den http-Listener
s_https_listen_parameter Neuer Port für den https-Listener
s_webentryurlprotocol Setzen Sie den Wert auf das Webeingabeprotokoll
s_webentryhost Setzen Sie den Wert auf den Webentry-Host
s_webentrydomain Setzen Sie den Wert auf die Webentry-Domain
s_active_webport Setzen Sie den Wert auf den aktiven Port
s_login_page Stellen Sie den Wert so ein, dass er auf die neue Webentry-Konfiguration zeigt
s_server_ip_address Setzen Sie den Wert dieser Variablen auf die IP-Adresse der nach außen gerichteten Netzwerkschnittstelle

(2)Beenden Sie Concurrent Manager und alle Anwendungsknoten

(3) Instanziiere die neuen Konfigurationsdateien und Profiloptionen basierend auf der neuen Kontextdatei

Die DMZ-Konfiguration erfordert die Verwendung der neuen ServResp-Profiloptionshierarchie für die Oracle-Profiloptionen. Falls noch nicht geschehen, ändern Sie den Hierarchietyp der Profiloptionen in ServResp, indem Sie das SQL-Skript txkChangeProfH.sql wie unten gezeigt ausführen:

$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the  Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options

(4) Führen Sie Autoconfig für alle Knoten aus, einschließlich externer Knoten

(5) Führen Sie Autoconfig auf den primären internen Knoten aus

(6) Starten Sie das interne System

(7) Knoten-Vertrauensstufe aktualisieren

Setzen Sie den Wert der Profiloption NODE_TRUST_LEVEL auf der externen Webschicht in Ihrer Oracle E-Business Suite Release 12-Umgebung auf Extern..

Führen Sie die folgenden Schritte aus, um den Wert der Profiloption Knoten-Vertrauensstufe für einen bestimmten Knoten in Extern zu ändern:

  1. Melden Sie sich über die interne URL als sysadmin-Benutzer bei Oracle E-Business Suite an
  2. Wählen Sie die Zuständigkeit des Systemadministrators aus
  3. Profil / System auswählen
  4. Wählen Sie im Fenster „Optionswerte für Systemprofil suchen“ den Server aus, den Sie als externe Webebene festlegen möchten
  5. Suche nach %NODE%TRUST%. Sie sehen eine Profiloption mit dem Namen "Knoten-Vertrauensstufe". ‘. Der Wert für diese Profiloption auf der Site Stufe ist Normal . Lassen Sie diese Einstellung unverändert.

Setzen Sie den Wert dieser Profiloption auf Extern auf dem Server Stufe. Der Wert auf Site-Ebene sollte auf Normal bleiben

(8) Verantwortlichkeitsliste aktualisieren

Nach dem Aktualisieren des Profilwerts auf Serverebene für die Knotenvertrauensstufe für die externe(n) Webschicht(en) auf Extern können Benutzer keine Verantwortlichkeiten mehr sehen, wenn sie sich über die externe Webebene anmelden. Damit eine Verantwortung auf der externen E-Business Suite-Webschicht verfügbar ist, setzen Sie den Profiloptionswert für die Verantwortungs-Vertrauensstufe für diese Verantwortung auf Extern auf der Verantwortungsebene.

Melden Sie sich über die interne URL

als sysadmin-Benutzer bei Oracle E-Business Suite an
  1. Wählen Sie Systemadministratorverantwortung aus
  2. Profil / System auswählen
  3. Wählen Sie im Fenster „Optionswerte des Systemprofils suchen“ die Zuständigkeit aus, die Sie Benutzern zur Verfügung stellen möchten, die sich über die externe Webschicht anmelden
  4. Suche nach %RESP%TRUST%. Sie sehen eine Profiloption mit dem Namen "Vertrauensstufe der Verantwortung". ‘. Der Wert für diese Profiloption auf site Stufe ist Normal . Lassen Sie diese Einstellung unverändert.
  5. Setzen Sie den Wert dieser Profiloption für die gewählte Zuständigkeit auf Extern in der Verantwortung Stufe. Der Wert auf Websiteebene sollte Normal bleiben .

Wiederholen Sie dies für alle Verantwortlichkeiten, die Sie von der externen Webschicht verfügbar machen möchten.

(9) Starten Sie die externe Ebene und validieren Sie die Anwendung

adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start