Dette indlæg vil jeg forklare min erfaring med at opsætte DMZ til EBS R12. Vi vil først gennemgå nogle af de vigtige udtryk
DMZ
DMZ, som står for Demilitarized Zone, består af de dele af et virksomhedsnetværk, der er mellem virksomhedens intranet og internettet. DMZ kan være et enkelt segment LAN, eller det kan opdeles i flere områder. Den største fordel ved en korrekt konfigureret
DMZ er bedre sikkerhed:I tilfælde af et sikkerhedsbrud er det kun det område, der er indeholdt i DMZ, der er udsat for potentiel skade, mens virksomhedens intranet forbliver en smule beskyttet
Load Balancer
Load balancers fordeler en applikations belastning over mange identisk konfigurerede servere. Denne distribution sikrer ensartet applikationstilgængelighed, selv når en eller flere servere fejler.
Omvendt proxy
En omvendt proxyserver er en mellemserver, der sidder mellem en klient og den faktiske webserver og laver anmodninger til webserveren på vegne af klienten. Du kan finde flere oplysninger om omvendte proxyservere
Interne applikationer mellemtrin
Det interne applikationsmellemlag er serveren, der er konfigureret til, at interne brugere kan få adgang til Oracle E-Business Suite. Det kører følgende store applikationstjenester:
Web- og formulartjenester
Administration og Concurrent Manager Services
Rapporter og Discoverer-tjenester
Eksternt applikationswebniveau
Det eksterne applikationswebniveau er serveren, der er konfigureret til eksterne brugere for at få adgang til Oracle EBusiness Suite. Den kører følgende applikationstjeneste:
Webserver
Sådan opretter du DMZ til EBS R12
(1) Opret det eksterne webniveau med omvendt proxy
Case A:En ny server med omvendt proxy
Klon applikationsniveau til den nye server
- Kør adpreclone og tag backup af det interne webniveau
- Gendan på eksternt webniveau
- Kør adcfgclone appsTier og konfigurer den eksterne node
Når dette er fuldført, skal du ændre følgende i kontekstfilen
<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>
Skift følgende for omvendt proxy
Case B:Brug af den interne server som det eksterne niveau (den interne server har ekstra NIC-kort) med omvendt proxy
Denne konfiguration kræver, at din interne applikationsmellemlagsserver har mindst to netværksgrænseflader. Et netværksinterface er påkrævet til det eksterne indgangspunkt og et andet til det interne indgangspunkt. Disse netværksgrænseflader skal konfigureres til at løses til to forskellige værtsnavne i DNS.
For eksempel:
/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext
Opret den nye kontekstfil ved hjælp af nedenstående kommando
$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>
Vigtig parameter, der skal indlæses
Målsystemværtsnavn (virtuelt eller normalt) [int]: | ekst. |
Vil du have, at inputs skal valideres (y/n) [n] ?: | Y |
Vil du bevare portværdierne fra kildesystemet på målsystemet (y/n) [y] ? | Y |
Ændringer påkrævet, når kontekstfilen er oprettet
AutoConfig-variabel | Påkrævet værdi |
s_isWeb | JA |
s_isWebDev | JA |
s_http_listen_parameter | Ny port til http-lytteren |
s_https_listen_parameter | Ny port til https-lytteren |
s_webentryurlprotocol | Indstil værdien til webadgangsprotokollen |
s_webentryhost | Indstil værdien til webentry-værten |
s_webentrydomain | Indstil værdien til webentry-domænet |
s_active_webport | Indstil værdien til den aktive port |
s_login_page | Indstil værdien til at pege på den nye webentry-konfiguration |
s_server_ip_address | Indstil værdien af denne variabel til IP-adressen på den eksternt vendte netværksgrænseflade |
(2) Stop Concurrent Manager og alle applikationsknuderne
(3) Instantiér de nye konfigurationsfiler og profilindstillinger baseret på den nye kontekstfil
DMZ-konfigurationen kræver brug af det nye ServResp-profiloptionshierarki til oracle-profilindstillingerne. Hvis du ikke allerede har gjort det, skal du ændre hierarkitypen for profilindstillinger til ServResp ved at udføre txkChangeProfH.sql SQL-scriptet som vist nedenfor:
$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle. All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options
(4) Kør Autoconfig alle noderne inklusive eksterne noder
(5) Kør Autoconfig på de primære interne noder
(6) Start det interne system
(7) Opdater nodetillidsniveau
Indstil indstillingsværdien for NODE_TRUST_LEVEL-profilen på det eksterne webniveau i dit Oracle E-business Suite Release 12-miljø til Ekstern.
For at ændre værdien af indstillingsværdien for Node Trust Level-profilen til Ekstern for en bestemt node skal du udføre følgende trin:
- Log ind på Oracle E-Business Suite som sysadmin-bruger ved hjælp af den interne URL
- Vælg systemadministratoransvar
- Vælg Profil/System
- Vælg den server, du vil udpege som den eksterne web-tier, i vinduet 'Find systemprofilindstillingsværdier'.
- Forespørgsel efter%NODE%TRUST%. Du vil se en profilindstilling ved navn 'Node Trust Level ’. Værdien for denne profilindstilling på webstedet niveau vil være Normal . Lad denne indstilling være uændret.
Indstil værdien af denne profilindstilling til Ekstern på serveren niveau. Værdien på webstedsniveau bør forblive indstillet til Normal
(8) Opdater ansvarsliste
Efter opdatering af profilværdien på serverniveau for Node Trust Level for de(n) eksterne webtier(er) til Ekstern , kan brugere ikke længere se noget ansvar, når de logger på via den eksterne web-tier. For at et ansvar skal være tilgængeligt fra det eksterne E-Business Suite-webniveau, skal du indstille indstillingsværdien for Responsibility Trust Level-profilen for dette ansvar til Ekstern på ansvarsniveau.
Log ind på Oracle E-Business Suite som sysadmin-bruger ved hjælp af den interne URL
- Vælg Systemadministratoransvar
- Vælg Profil/System
- Vælg det ansvar, du vil gøre tilgængeligt for brugere, der logger ind via det eksterne webniveau, i vinduet 'Find systemprofilindstillingsværdier'.
- Forespørgsel efter%RESP%TRUST%. Du vil se en profilindstilling med navnet 'Tiltro til ansvar ’. Værdien for denne profilindstilling på websted niveau vil være Normal . Lad denne indstilling være uændret.
- Indstil værdien af denne profilindstilling for det valgte ansvar til Ekstern på ansvar niveau. Værdien på webstedsniveau skal forblive Normal .
Gentag for alle ansvarsområder, som du ønsker at gøre tilgængelige fra den eksterne web-tier.
(9) Start det eksterne niveau og valider applikationen
adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start