層プロキシ アーキテ ク チャ

次の図に示すよ う な 2 層プ ロ キシ アーキテ ク チ ャは、 静的な HTTP サーバのホ ス ト が Web サーバのバン ク に配置さ れる と い う 点以外は、6-4 ページの 「推奨基 本アーキテ ク チャ」 と ほぼ同じ です。

図6-4 2 層プロキシアーキテク チャ

DMZ

デー タ ベース クラ

イア ント

JDBC JSP EJB

サー ブ レ ッ ト /オ ブ ジ ェ ク ト ク ラ ス タ

Web サーバ

HTTP サーバ ファ

イア

HTTP サーバ HTTP サーバ

プ ロキシ

JDBC JSP EJB

JDBC JSP EJB (Web 層)

( プ レゼ ン テ ーシ ョ ン層、

オ ブ ジ ェ ク ト 層)

プ ラ グ イ ン

プ ラ グ イ ンプ ロキシ

プ ラ グ イ ンプ ロキシ ウォ

ール

サーブレ ッ ト

サーブレ ッ ト

サーブレ ッ ト

推奨プ ロ キ シ アーキ テ ク チャ

ハー ド ウ ェ ア と ソ フ ト ウ ェ アの物理レ イヤ

2 層プロ キシ アーキテ ク チャには、ハー ド ウ ェ ア と ソ フ ト ウ ェ アの物理レ イ ヤが 2

つあ ります。

Web レ イヤ

プ ロ キシ アーキテ ク チャ では、 アプ リ ケーシ ョ ンの Web 層を提供する タ ス ク に 特化し たハー ド ウ ェ ア と ソ フ ト ウ ェ アのレ イ ヤが利用 さ れます。 こ の物理的な

Web

レ イ ヤは、 以下のアプ リ ケーシ ョ ンの組み合わせのいずれか 1 つのホ ス ト にな る、 1 つま たは複数の同じ よ う にコ ン フ ィ グ レーシ ョ ン さ れたマシ ンで構成 さ れます。

WebLogic Server

と HttpClusterServlet

Apache

と WebLogic Server Apache (プ ロ キシ ) プ ラ グ イ ン

Netscape Enterprise Server

と WebLogic Server NSAPI (プロ キシ ) プ ラ グ イ ン

Microsoft Internet Information Server

と WebLogic Server Microsoft-IIS (プロ キシ ) プ ラ グ イ ン

選択する Web サーバ ソ フ ト ウ ェ アに関係な く 、 Web サーバの物理層では静的な

Web ページのみが提供 さ れる よ う にする必要があ ります。 動的な コ ンテン ツ (

サーブレ ッ ト や JSP) は、 プ ロ キシ プ ラ グ イ ン ま たは HttpClusterServletを経 由し て、 プレゼンテーシ ョ ン層のサーブレ ッ ト や JSP のホ ス ト にな る WebLogic

Server

ク ラ ス タにプロ キシ さ れます。

サーブレ ッ ト / オブジ ェ ク ト レ イヤ

推奨 2 層プ ロ キシ アーキテ ク チャ では、 プレゼンテーシ ョ ン層およびオブジ ェ ク ト 層のホ ス ト は WebLogic Server イ ン ス タ ン スの ク ラ ス タに配置 さ れます。 こ の ク ラ ス タは、 単一のマシ ン ま たは複数の異な る マシ ンにデプロ イ でき ます。

サーブレ ッ ト / オブジ ェ ク ト レ イ ヤは、 組み合わせ層 ク ラ ス タ ( 「推奨基本アー キテ ク チャ」 参照 ) と は、 アプ リ ケーシ ョ ンの ク ラ イ アン ト に静的な HTTP コ ン テン ツ を提供し ない と い う 点で異な ります。

多層プロキシ アーキテ ク チ ャ

ま た、 Web サーバのバン ク を、 プレゼンテーシ ョ ン層およびオブジ ェ ク ト 層の ホ ス ト にな る 1 対の WebLogic Server ク ラ ス タに対する フ ロ ン ト エン ド と し て使 用する こ と も でき ます。 こ のアーキテ ク チャ を次の図に示し ます。

図6-5 多層プロキシアーキテ クチャ

こ のアーキテ ク チャ には、 「推奨多層アーキテ ク チャ」 と 同じ利点 ( および同じ 制限 ) があ ります。 異な る点は、 WebLogic プ ロ キシ プ ラ グ イ ンを利用する Web

クラ イア ント

JSP サー ブ レ ッ ト

ク ラ ス タ オブ ジ ェ ク ト ク ラ ス タ

JSP

JSP

EJB

EJB EJB

ファ イア

DMZ

デー タ ベース HTTP サーバ

Web サーバ

HTTP サーバ

HTTP サーバ (Web 層)

( プ レゼ ン テーシ ョ ン層)(オブ ジ ェ ク ト 層)

プ ラ グ イ ン

プ ラ グ イ ンプ ロキシ

プ ラ グ イ ンプ ロキシ プ ロ キシ

ウォ ール

サーブレ ッ ト

サーブレ ッ ト

サーブレ ッ ト

推奨プ ロ キ シ アーキ テ ク チ ャ

プロキシ アーキテ ク チ ャの利点

ス タ ン ド ア ロ ン Web サーバ と プ ロ キシ プ ラ グ イ ンの使用には、 以下の よ う な利 点があ ります。

既存のハー ド ウ ェ アの利用

静的な HTTP コ ンテ ンツ を ク ラ イ アン ト に提供する Web アプ リ ケーシ ョ ン アーキテ ク チャ が既に存在する場合は、 1 つまたは複数の WebLogic Server ク ラ ス タ を持つ既存の Web サーバを簡単に統合し て、 動的な HTTP および ク ラ ス タ化 さ れたオブジ ェ ク ト を提供でき ます。

一般的な フ ァ イ ア ウ ォール ポ リ シー

Web

アプ リ ケーシ ョ ンのフ ロ ン ト エン ド で Web サーバ プ ロ キシ を使用する こ と で、 一般的な フ ァ イ ア ウ ォール ポ リ シーを使用し て DMZ を定義でき ま す。 通常は、 アーキテ ク チャの残 りの WebLogic Server ク ラ ス タへの直接接 続を禁止し てい る間は、 DMZ 内に引き続き Web サーバを配置する こ と がで き ます。 上記の図には、 こ の DMZ ポ リ シーが示 さ れています。

プロキシ アーキテ ク チ ャの制限

ス タ ン ド ア ロ ン Web サーバ と プ ロ キシ プ ラ グ イ ンの使用には、 以下の よ う な、

Web

アプ リ ケーシ ョ ンに関する制限があ ります。

管理の追加

プ ロ キシ アーキテ ク チャ内の Web サーバは、 サー ド パーテ ィ ユーテ ィ リ テ ィ を使用し て コ ン フ ィ グ レーシ ョ ンする必要があ り 、 WebLogic Server 管 理 ド メ イ ンには表示 さ れません。 ま た、 ク ラ ス タ化さ れたサーブレ ッ ト への ア ク セ スおよびフ ェ イ ルオーバの恩恵を受け る ためには、 Web サーバに

WebLogic プロ キシ プ ラ グ イ ン を イ ン ス ト ールおよびコ ン フ ィ グ レーシ ョ ン

する必要があ ります。

ロー ド バ ラ ンシング オプシ ョ ンの制限

プ ロ キシ プ ラ グ イ ン ま たは HttpClusterServletを使用し て、 ク ラ ス タ化 さ れたサーブレ ッ ト にア ク セ スする場合、 ロー ド バ ラ ンシング アルゴ リ ズ ムは単純な ラ ウ ン ド ロ ビ ン方式に制限 さ れます。

プロキシ プ ラグイ ン と ロー ド バラ ンサ

WebLogic Server ク ラ ス タ で ロー ド バ ラ ンサを直接使用する と 、 サーブレ ッ ト リ

ク エス ト のプ ロ キシに関する利点が も た ら さ れます。 まず、 ロー ド バラ ンサを 持つ WebLogic Server を使用する こ と に よ り、 ク ラ イ アン ト の設定におけ る追加 管理が不要にな ります。 HTTP サーバのレ イ ヤを別に設定し保持する必要 も な

く 、 1 つま たは複数のプ ロ キシ プ ラ グ イ ンを イ ン ス ト ールおよびコ ン フ ィ グ レー シ ョ ンする必要も あ りません。 ま た、 Web プ ロ キシ レ イ ヤの削除に よ り 、 ク ラ ス タへのア ク セ スに必要なネ ッ ト ワーク 接続数も削減さ れます。

ロー ド バ ラ ンシン グ ハー ド ウ ェ ア を使用する こ と で、 シ ス テ ムの能力に適合し た ロー ド バ ラ ンシング アルゴ リ ズ ムを よ り 柔軟に定義で き る よ う にな り ます。

使用する ロー ド バ ラ ンシ ング ハー ド ウ ェ アでサポー ト さ れてい る、 任意の ロー ド バラ ンシング方式 ( ロー ド ベースのポ リ シーな ど ) を使用でき ます。プロ キシ プ ラ グ イ ン ま たは HttpClusterServletを使用する場合、 ク ラ ス タ化 さ れた サーブレ ッ ト への リ ク エス ト については、 単純な ラ ウ ン ド ロ ビ ン アルゴ リ ズム に制限 さ れます。

ただ し、 イ ン メ モ リ セ ッ シ ョ ン ス テー ト レ プ リ ケーシ ョ ン を使用し てい る場 合、 サー ド パーテ ィ 製の ロー ド バ ラ ンサを使用するには、 さ ら に コ ン フ ィ グ レーシ ョ ン を行 う 必要があ ります。 こ の場合は、 ク ラ イ アン ト がプ ラ イ マ リ セ ッ シ ョ ン ス テー ト 情報にア ク セ スで き る よ う にする ため、 ク ラ イ ア ン ト と 接 続先のサーバ間でセ ッ シ ョ ン維持型の接続を保持する よ う に、 ロー ド バ ラ ンサ を コ ン フ ィ グ レーシ ョ ン し なければな りません。 プ ロ キシは自動的にセ ッ シ ョ ン 維持型の接続を保持する ため、 プロ キシ プ ラ グ イ ン を使用する場合は特別な コ ン フ ィ グ レーシ ョ ンは不要です。

ク ラ ス タ アーキテ ク チ ャ のセキ ュ リ テ ィ オ プ シ ョ ン

ク ラ ス タ アーキテ ク チ ャのセキュ リ テ ィ オ プシ ョ ン

推奨コ ン フ ィ グ レーシ ョ ンにあ るハー ド ウ ェ ア と ソ フ ト ウ ェ アの物理レ イ ヤの間 の境界には、 Web アプ リ ケーシ ョ ンの非武装地帯 (DMZ) を定義でき る ポ イ ン ト があ ります。 ただ し、 すべての境界で物理的な フ ァ イ ア ウ ォールがサポー ト さ れ てい るわけではあ りません。 特定の境界で典型的なフ ァ イ ア ウ ォール ポ リ シー のサブセ ッ ト がサポー ト さ れてい るだけです。

以降の節では、 DMZ を定義し て、 さ ま ざ ま な レベルのアプ リ ケーシ ョ ン セキ ュ リ テ ィ を作成する方法について説明し ます。

プロキシ アーキテ ク チ ャの基本フ ァ イアウォール

基本フ ァ イ ア ウ ォール コ ン フ ィ グ レーシ ョ ンでは、 信頼性のない ク ラ イ アン ト と Web サーバ レ イ ヤの間に 1 つのフ ァ イ ア ウ ォールを使用し ます。 こ のフ ァ イ ア ウ ォール コ ン フ ィ グ レーシ ョ ンは、推奨基本アーキテ ク チャま たは推奨多層 アーキテ ク チャで使用でき ます。

図6-6 フ ァ イアウォールを使用する基本プロキシ アーキテク チャ

上記の コ ン フ ィ グ レーシ ョ ンでは、 1 つのフ ァ イ ア ウ ォールで任意のポ リ シー ( アプ リ ケーシ ョ ン レベルの制限、 NAT、 IP マ ス カ レー ド ) の組み合わせを使用し て、 3 つの HTTP サーバへのア ク セ ス を フ ィ ルタ処理し ています。 フ ァ イ ア ウ ォールの最 も重要な役割は、 シ ス テム内のその他のサーバへのア ク セ ス を拒否 する こ と です。 つま り、 信頼性のない ク ラ イ アン ト か ら は、 サーブレ ッ ト レ イ ヤ、 オブジ ェ ク ト レ イ ヤ、 およびデータベースにはア ク セス でき ない よ う にす る必要があ ります。

物理的な フ ァ イ ア ウ ォールは、 DMZ 内の Web サーバの前に も後ろに も配置で き ます。 Web サーバの前にフ ァ イ ア ウ ォールを配置する と 、 Web サーバへのア ク セス を許可し、 その他のシ ス テムへのア ク セ ス を拒否する だけで済むので、 フ ァ イ ア ウ ォール ポ リ シーを簡素化で き ます。

デー タ ベース

信頼 性の ない クラ イア

ント JDBC

JSP EJB

JDBC JSP EJB

JDBC JSP EJB サーブ レ ッ ト /

ク ラ ス タ HTTP サーバ

Web レ イヤ

HTTP サーバ

HTTP サーバ ファ

イア

DMZ

サーブレ ッ ト

サーブレ ッ ト

サーブレ ッ ト プ ラ グ イ ンプ ロ キシ

プ ラ グ イ ンプ ロ キシ

プ ラ グ イ ンプ ロ キシ ウォ

ール

オブ ジ ェ ク ト

ドキュメント内 cluster.book (ページ 119-139)