sql >> Base de Datos >  >> RDS >> Oracle

Cómo crear DMZ para EBS R12

En esta publicación, explicaré mi experiencia con la configuración de DMZ para EBS R12. Primero repasaremos algunos de los términos importantes

DMZ

La DMZ, que significa Zona Desmilitarizada, consta de las partes de una red corporativa que se encuentran entre la intranet corporativa e Internet. La DMZ puede ser una LAN simple de un segmento o puede dividirse en varias regiones. El principal beneficio de un configurado correctamente

DMZ es mejor seguridad:en caso de una violación de seguridad, solo el área contenida dentro de DMZ está expuesta a daños potenciales, mientras que la intranet corporativa permanece algo protegida

Equilibrador de carga

Los balanceadores de carga distribuyen la carga de una aplicación entre muchos servidores configurados de manera idéntica. Esta distribución garantiza una disponibilidad uniforme de las aplicaciones incluso cuando uno o más servidores fallan.

Proxy inverso

Un servidor proxy inverso es un servidor intermedio que se encuentra entre un cliente y el servidor web real y realiza solicitudes al servidor web en nombre del cliente. Puede encontrar más información sobre los servidores proxy inversos

Aplicaciones internas de nivel medio

El nivel medio de las aplicaciones internas es el servidor configurado para que los usuarios internos accedan a Oracle E-Business Suite. Ejecuta los siguientes servicios de aplicaciones principales:

Servicios web y de formularios

Servicios de administración y administrador concurrente

Informes y servicios de descubrimiento

Nivel web de aplicaciones externas

El nivel web de aplicaciones externas es el servidor configurado para que los usuarios externos accedan a Oracle EBusiness Suite. Ejecuta el siguiente servicio de aplicación:

servidor web

Cómo crear DMZ para EBS  R12

(1) Crear el nivel web externo con proxy inverso

Caso A:un servidor nuevo con proxy inverso

Clonar nivel de aplicación en el nuevo servidor

  1. Ejecute adpreclone y realice una copia de seguridad del nivel web interno
  2. Restaurar en nivel web externo
  3. Ejecute adcfgclone appsTier y configure el nodo externo

Una vez que esto se complete, cambie lo siguiente en el archivo de contexto

<TIER_DB oa_var="s_isDB">NO</TIER_DB>
<TIER_ADMIN oa_var="s_isAdmin">NO</TIER_ADMIN>
<TIER_WEB oa_var="s_isWeb">YES</TIER_WEB>
<TIER_FORMS oa_var="s_isForms">NO</TIER_FORMS>
<TIER_NODE oa_var="s_isConc">NO</TIER_NODE>
<TIER_FORMSDEV oa_var="s_isFormsDev">NO</TIER_FORMSDEV>
<TIER_NODEDEV oa_var="s_isConcDev">NO</TIER_NODEDEV>
<TIER_WEBDEV oa_var="s_isWebDev">YES</TIER_WEBDEV>

Cambie lo siguiente para proxy inverso

Caso B:uso del servidor interno como nivel externo (el servidor interno tiene una tarjeta NIC adicional) con proxy inverso

Esta configuración requiere que su servidor de nivel medio de aplicaciones internas tenga al menos dos interfaces de red. Se requiere una interfaz de red para el punto de entrada externo y otra para el punto de entrada interno. Estas interfaces de red deben configurarse para resolverse en dos nombres de host diferentes en el DNS.

Por ejemplo:

/etc/hosts of Internal Server
192.30.21.1 int.tech.com int
192.30.21.2 ext.tech.com ext

Cree el nuevo archivo de contexto usando el siguiente comando

$ perl $COMMON_TOP/clone/bin/adclonectx.pl \
contextfile=$CONTEXT_FILE \
outfile= <name of the output file including location>

Parámetro importante a alimentar

Nombre de host del sistema de destino (virtual o normal) [int]: exterior
¿Quiere que se validen las entradas (s/n) [n] ?: Y
¿Desea conservar los valores de puerto del sistema de origen en el sistema de destino (y/n) [y]? Y

Cambios necesarios una vez que se crea el archivo de contexto

Variable de configuración automática Valor requerido
s_isWeb SI
s_isWebDev SI
s_http_listen_parámetro Nuevo puerto para el oyente http
s_https_listen_parámetro Nuevo puerto para el oyente https
s_webentryurlprotocol Establecer el valor del protocolo de entrada web
s_webentryhost Establezca el valor para el host de entrada web
s_webentrydominio Establezca el valor para el dominio webentry
s_puerto_web_activo Establezca el valor en el puerto activo
s_login_page Establezca el valor para que apunte a la nueva configuración de entrada web
s_server_ip_address Establezca el valor de esta variable en la dirección IP de la interfaz de red externa

(2) Detener Concurrent Manager y todos los nodos de la aplicación

(3) Crear instancias de los nuevos archivos de configuración y opciones de perfil según el nuevo archivo de contexto

La configuración de DMZ requiere el uso de la nueva jerarquía de opciones de perfil de ServResp para las opciones de perfil de Oracle. Si aún no lo ha hecho, cambie el tipo de jerarquía de opciones de perfil a ServResp ejecutando el script SQL txkChangeProfH.sql como se muestra a continuación:

$ sqlplus apps/apps @$FND_TOP/patch/115/sql/txkChangeProfH.sql SERVRESP
SQL*Plus: Release 10.1.0.5.0 - Production on Thu Sep 5 01:46:59 2016
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
Connected to:
Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining and Real Application Testing options
Changing the hierarchy type for the  Profile APPS_WEB_AGENT
Profile APPS_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_SERVLET_AGENT
Profile APPS_SERVLET_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_JSP_AGENT
Profile APPS_JSP_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_FRAMEWORK_AGENT
Profile APPS_FRAMEWORK_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_FORMS_LAUNCHER
Profile ICX_FORMS_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_LAUNCHER
Profile ICX_DISCOVERER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile ICX_DISCOVERER_VIEWER_LAUNCHER
Profile ICX_DISCOVERER_VIEWER_LAUNCHER hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile HELP_WEB_AGENT
Profile HELP_WEB_AGENT hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile APPS_PORTAL
Profile APPS_PORTAL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile CZ_UIMGR_URL
Profile CZ_UIMGR_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile QP_PRICING_ENGINE_URL
Profile QP_PRICING_ENGINE_URL hierarchy type has been successfully changed to SERVRESP
Changing the hierarchy type for the  Profile TCF:HOST
Profile TCF:HOST hierarchy type has been successfully changed to SERVRESP
Disconnected from Oracle Database 11g Enterprise Edition Release 11.2.0.3.0 - 64bit Production
With the Partitioning, Automatic Storage Management, OLAP, Data Mining
and Real Application Testing options

(4) Ejecute la configuración automática de todos los nodos, incluidos los nodos externos

(5) Ejecute la configuración automática en los nodos internos principales

(6) Poner en marcha el sistema interno

(7) Actualizar el nivel de confianza del nodo

Establezca el valor de la opción de perfil NODE_TRUST_LEVEL en el nivel web externo en su entorno Oracle E-business Suite Release 12 en Externo..

Para cambiar el valor de la opción de perfil Nivel de confianza del nodo a Externo para un nodo en particular, realice los siguientes pasos:

  1. Inicie sesión en Oracle E-Business Suite como usuario administrador del sistema utilizando la URL interna
  2. Seleccione la responsabilidad del administrador del sistema
  3. Seleccione Perfil/Sistema
  4. Desde la ventana "Buscar valores de opción de perfil del sistema", seleccione el servidor que desea designar como nivel web externo
  5. Consulta de%NODE%TRUST%. Verá una opción de perfil llamada 'Nivel de confianza del nodo '. El valor de esta opción de perfil en el sitio el nivel será Normal . Deje esta configuración sin cambios.

Establezca el valor de esta opción de perfil en Externo en el servidor nivel. El valor del nivel del sitio debe permanecer establecido en Normal

(8) Actualizar lista de responsabilidades

Después de actualizar el valor del perfil de nivel de servidor para el nivel de confianza del nodo para los niveles web externos a Externo , los usuarios ya no pueden ver ninguna responsabilidad cuando inician sesión a través del nivel web externo. Para que una responsabilidad esté disponible desde el nivel web externo de E-Business Suite, establezca el valor de la opción de perfil Nivel de confianza de la responsabilidad para esa responsabilidad en Externo. en el nivel de responsabilidad.

Inicie sesión en Oracle E-Business Suite como usuario administrador del sistema utilizando la URL interna

  1. Seleccione la responsabilidad del administrador del sistema
  2. Seleccione Perfil/Sistema
  3. Desde la ventana "Buscar valores de la opción de perfil del sistema", seleccione la responsabilidad que desea poner a disposición de los usuarios que inician sesión a través del nivel web externo
  4. Consulta de%RESP%TRUST%. Verá una opción de perfil llamada 'Nivel de confianza de responsabilidad '. El valor de esta opción de perfil en sitio el nivel será Normal . Deje esta configuración sin cambios.
  5. Establezca el valor de esta opción de perfil para la responsabilidad elegida en Externo a la responsabilidad nivel. El valor a nivel del sitio debe permanecer Normal .

Repita para todas las responsabilidades que desee que estén disponibles desde el nivel web externo.

(9) Inicie el Nivel Externo y valide la aplicación

adopmnctl.sh start
adoafmctl.sh start
adformsctl.sh start
adoacorectl.sh start
adapcctl.sh start