Comments
Description
Transcript
システム管理 1 SWG. WebSphere
03.
システム管理
システム管理
SWG. WebSphere Technical Sales
浅田 かおり
基盤構築
2007/07 WebSphere DataPower SOA
1
03.
システム管理
本書に含まれている情報は、正式なIBMのテストを受けていません。また、明記にしろ、暗黙的にしろ、なんらの保証もなしに配布されるものです。
この情報の使用またはこれらの技術の実施は、いずれも、使用先の責任において行われるべきものであり、それらを評価し、実際に使用する環境に統合する
使用先の判断に依存しています。それぞれの項目は、ある特定の状態において正確であることがIBMによって調べられていますが、他のところで同じまたは同
様の結果が得られる保証はありません。これらの技術を自身の環境に適用することを試みる使用先は、自己の責任において行う必要があります。
© Copyright IBM Japan Systems Engineering Co., Ltd. 2007
基盤構築
2007/07 WebSphere DataPower SOA
2
03.
システム管理
Agenda
初期設定~サービス稼動
Firmware更新
ドメイン、ユーザーの作成
ログ設定
構成のインポート・エクスポート
DataPowerの運用
ログ管理
トラブルシューティング
Probe
モニタリング
メッセージ・モニター
SLM(サービスレベル管理)
基盤構築
2007/07 WebSphere DataPower SOA
システム管理のセッションでは、システム管理者が設定する項目を中心にご紹介します。
DataPowerの初期設定からサービスとして稼動するまでをステップごとにお話しします。
さらに、DataPowerの運用管理として様々なツールが提供されています。各ツールに関
してご紹介します。
最後に、DataPowerの監視機能であるモニタリングについてご紹介します。
3
03.
システム管理
初期設定~サービス稼動
基盤構築
2007/07 WebSphere DataPower SOA
4
03.
システム管理
DataPowerをサービスとして稼動させるまで
①DataPower設置、初期設定
②アプリケーション・ドメインの作成
③ユーザー・グループの作成
④サービスの作成、アクション定義
他のセッションを参照
⑤ログ出力先、ログレベルの設定
⑥SNMPなどデバイス監視設定(オプション)
⑦構成情報のエクスポート、インポート
基盤構築
2007/07 WebSphere DataPower SOA
をサービスとして稼動するまでの設定項目は大きく分けて7つあります。
①DataPowerの設置・初期設定
DataPowerはラックマウント型のハードウェアなので、まずはラックに設置します。その後、WebGUIを使
用するためのネットワーク初期設定および管理ユーザーの設定をここで行います。
②アプリケーション・ドメインの作成
ドメインを複数作成することにより他のドメインに依存しない異なる環境を作成することが可能です。管理
ドメインのみの場合は作成する必要はありません。
③ユーザー・グループの作成
管理者権限、開発者権限など各種権限を付与したユーザーを作成し、ドメインに紐付けます。
④サービスの作成、アクション定義
サービスやアクション定義は概要、ESB、セキュリティセッションを参照してください。
⑤ログ出力先、ログレベルの設定
デフォルトでの出力先はDataPower内になっていますが、デバイスでは容量に限界があるため、外部
サーバーへの出力設定を行います。
⑥SNMPなどデバイスの監視設定
DataPowerの監視を行う場合SNMPの設定を行います。デバイス、ネットワークアップダウンだけでなく、
DataPowerのCPUやメモリの使用状況もSNMPにより監視が可能です。
⑦構成情報のエクスポート/インポート
設定前、設定後にバックアップとして構成情報をエクスポートします。さらに、冗長構成の場合、2台目の
デバイスにインポートすることで、設定作業を軽減することが可能です。
DataPower
5
03.
システム管理
導入・初期設定
用意するもの
1.
ラックに設置
初期ネットワーク設定
2.
シリアル・ケーブル経由で接続
IPアドレスの設定
GUI管理コンソールの使用可能化
(オプション)初期状態の構成情報の保存
構成のエクスポートを参照
3.
シリアル接続用PC
イーサネット
ケーブル
初期設定の5コマンド
最新Firmwareにアップデート
4.
シリアルケーブル
(製品に同梱)
FirmwareはDataPowerサポートサ
イトからダウンロード
イーサネットケーブルでWebGUIか
ら更新
時刻合わせ
基盤構築
2007/07 WebSphere DataPower SOA
導入、初期設定は4つ作業項目があります。
①ラックに設置
ラックマウント型のデバイスのため、ラックに設置します。設置方法の詳細はCommonInstallGuide.9003を参照してください。
②初期ネットワーク設定
初期接続はシリアルケーブルを使用します。シリアル接続が可能なPCを用意する必
要があります。ここで、管理用IPアドレス、ポート、管理ユーザーのパスワード設定、
WebGUIを使用可能に設定します。サービスで使用するIPアドレスはWebGUIから設定
が可能です。
③出荷時のFirmwareのバージョンは古い可能性があります。必ずIBMサポートサイトと
比較し、最新のFirmwareを適用してください。
マニュアルおよびFirmwareダウンロードサイト
http://www-306.ibm.com/software/integration/datapower/support/
「Firmware updates and product documentation for DataPower SOA Appliance」を
クリック
④時刻合わせはWebGUIのSystem Control-Set Time and Dateから変更が可能です。
6
03.
システム管理
【参考】ハードウェアデバイス
搭載
メモリー
2CPU
3GB
44.45cm
正面
4.45cm
シリアル
フラッシュ アラーム
パワー
イーサネット(管理用含む計4つ)
フラッシュ
パワー
アップデート時にON
筐体への異常進入、バッテリー故障でbootできない場合
Firmware
電源接続時ON
アラーム
電源orファン異常の場合ON
背面
電源スイッチ
電源×2
ファン×2
62.05cm
側面
シリアルNo.
基盤構築
2007/07 WebSphere DataPower SOA
デバイスの正面、背面、側面です。
正面には、シリアル用のポートが一つ、イーサネット用のポートが4つあります。このうち
一つは管理用ポートとしてWebGUIなど使用するときに使います。
また、ハードウェア異常時に点灯するフラッシュ、パワー、アラームの3種類が用意され
ています。
背面には電源が2つ、さらにファンも2つあります。
片側の側面で、シリアルNoを確認することができます。
2007年7月現在出荷されているハードウェア・モデルは9003というモデルです。
参考までに、9003モデルのリソースは2CPU,3GBメモリーが搭載されています。
7
03.
システム管理
Firmwareの更新
ダウンロードサイト
Firmwareとは
DataPower専用の独自OS
Firmwareの種類
2007年7月現在のバージョン 3.6.0.x
XA35,XS40,XI50ごとに提供
有償オプションがある場合Firmwareが異なる
オプション
TAM(Tivoli Acccess Manager)のバージョン単位でもFirmwareが異なる
※XI50はデフォルトでMQオプションが付加
入手先
DataPowerサポートサイトからダウンロード
更新作業はGUIから可能
ダウンロードイメージをDataPowerデバイスにアップロード後リブート
前バージョンへのロールバックも可能
基盤構築
2007/07 WebSphere DataPower SOA
DataPowerの様々なサービスは独自OSであるFirmwareの上で動きます。最新のバー
ジョンは3.6.0.Xというバージョンです。ハードウェアモデルごと、オプションごとに
Firmwareが提供されています。TAMオプションがある場合は、TAMのバージョンによっ
て適用するFirmwareが異なりますので注意してください。
FirmwareのバージョンはWebGUIコントロールパネルの左下より確認できます。
ライセンスの確認はWebGUIのStatus-Licensing Informationから行うことが可能です。
Firmwareの更新作業もWebGUIから行うことが可能です。管理ドメインにログインし、
「SystemControl」の「Boot Image」よりFirmwareイメージをアップロードします。ライセ
ンスやハードウェアモデルを間違ってダウンロードした場合はここで適用することができ
ません。Firmwareのアップロード後はリブートが必要です。
Firmwareのダウンロードは以下の手順で行います。
•DataPowerサポートページの「Firmware updates and product documentation for
DataPower SOA Appliance 」をクリック
•Download packageのFirmware Downloads 「HTTPS 」をクリック
(ダウンロードにあたり、事前にIBM IDの登録が必要です。)
•Hardware generationは「9003」 を選択(IBMロゴモデルは9003です)
•Firmware generationは「Generation2」を選択 (Firmware3.5.x.x以上は
Generation2)
Firmwareの更新はdefaultドメインのみです。
8
03.
システム管理
Web管理画面
DataPowerGUIコンソール
https://<management ip>:<management port>/login.xml
管理用IPアドレス、ポートは初期設定で設定したものを使用
管理用IPアドレスの変更はシリアル経由のみ可能
defaultドメインのユーザー・パスワードも初期設定で設定したものを使
用
パスワードのみGUIより変更可能
defaultドメインへの管理ユーザーの追加は可能
ログイン画面
基盤構築
2007/07 WebSphere DataPower SOA
初期設定後は全ての構成はWebGUIから行うことができます。
但し管理ユーザーの変更、管理IPアドレス、管理ポートの変更はシリアルケーブル接続
のみ可能です。
WebGUIへのログインは、初期設定で設定した管理IPアドレス、ポートを使用します。初
期設定後にあるドメインはdefaultドメインのみです。defaultドメインは初期設定で設定し
たユーザー、パスワードを使用してログインします。
9
03.
システム管理
GUIコントロールパネル
主要なサービス、機能はアイコン化
サービスオブジェクトの新規作成ウィザードの提供
証明書/鍵管理、ログ管理、デバッグ機能、サービスステータス確認
Firmwareの更新、管理用IPアドレス変更以外は動的に構成の変更が可能(GUI以
外の管理ツールも同様)
コンソール内は英語表示のみ
サービスの作成・変更
ログ、デバイスリソース、ネットワー
ク、XML処理などのステータス確認
プライマリー・サービス、その他
サービス、SLM設定など
ネットワーク設定、Load balancer
Group、MQ Queue Managerなど
ドメイン、ユーザー、グループ定義、
デバイス設定、デバッグツールなど
オブジェクト単位の管理
モニタリング
トラブルシューティング
管理ツール
のバージョン
Firmware
基盤構築
2007/07 WebSphere DataPower SOA
WebGUIにログイン後の画面がコントロールパネルです。コントロールパネル上には、使
用頻度の高い機能がアイコン化されています。主にプライマリー・サービスの作成、編集、
トラブルシューティング、管理系ツールがアイコン化されています。
WebGUIからの設定変更は、Firmwareの更新以外はサービスを停止することなく動的
に行うことが可能です。
その他の機能は左側のナビゲータメニューより選択可能です。
ステータス管理、ネットワーク管理などのメニューに分かれています。
ナビゲーターメニューの下には導入済Firmwareのバージョンを確認できます。
10
03.
システム管理
構成変更、ドメインへの保存
プライマリー・サービス定義
キャンセル・削除
設定変更を有効化
サービス構成をエクスポート
zipファイルをダウンロード可能
ログ表示
テスト時に使用(後述)
設定内容が同じサービスを作成
サービス内のオブジェ
クトステータスを確認
ドメインへ保存
Save Config
保存先ドメインを選択
基盤構築
2007/07 WebSphere DataPower SOA
WebGUIよりプライマリー・サービス定義およびアクション定義を行った後は、設定変更
を有効にするため「Apply」ボタンをクリックします。各プライマリー・サービス定義画面で
は、Applyの他にサービス単位での構成情報のエクスポートを行うボタンやログを表示
するボタン、サービス定義内の各種オブジェクトのステータス状況を確認するボタンが用
意されています。
「Clone」ボタンをクリックすると、設定が全く同じプライマリー・サービスを作成することが
可能です。「Probe」については後述します。
各設定を行った後は構成情報を保存するために、コントロール・パネルの右上にある
「Save Config」をクリックして、使用しているドメインを選択して保存します。
11
03.
システム管理
構成変更後の設定比較
構成変更し、Applyボタン押下後かつドメインに保存前の比較
バックアップした構成ファイルとの比較も可能
コントロール・パネル上の以下のメッセージをクリック、あるいは
ADMINISTRATION-Compare Configuration
保持されている構成
現在の構成
変更した値を確認可能
基盤構築
2007/07 WebSphere DataPower SOA
設定変更を行った後、Applyボタンをクリック後かつドメイン保存前であれば変更前と後
のオブジェクトの比較を行うことが可能です。
Applyボタンクリック後にコントロール・パネルに上図のようなメッセージが出力されます。
このメッセージをクリックすると、変更前と後の定義を比較することが可能です。
また、ADMINISTRATION-Compare Configurationをクリックすると上図の画面になり
ます。ここでは、設定変更前後の比較だけでなく、バックアップ時の構成と現在の構成
情報の比較も行うことができます。
但し、ここでできるのは比較のみでロールバック作業は設定したオブジェクト定義画面に
戻って設定を戻す必要があります。
12
03.
システム管理
その他管理インターフェース
コマンドインターフェース(CLI)
DataPowerで定義されているコマンドのみ使用可能
シリアル、SSH 、Telnetをサポート
Unixコマンドとは異なる
Ciscoとほぼ同様のコマンド
コマンド詳細はリファレンスガイドを参照GUIインターフェース
Global Configuration Mode
configure terminalコマンドで切替
ネットワーク、管理ユーザーなど初期設定で使用
XML管理インターフェース
Webサービス・インターフェースを利用した管理
別製品と管理を統一させたい場合に利用
SOAP/HTTPSで通信
Eclipseプラグイン
Eclipseに管理インターフェースを統合可能
基盤構築
2007/07 WebSphere DataPower SOA
WebGUI以外の管理インターフェースとして、コマンドインターフェース、XML管理イン
ターフェース、Eclipseプラグインが用意されています。
コマンドインターフェースはSSHとTelnetおよびシリアル接続をサポートしています。コ
マンドはUnixコマンドとは異なり、Ciscoとほぼ同様のコマンドです。コマンドの詳細は
ReferenceGuideを参照してください。SSHおよびTelnetは使用する前に使用可能化に
する必要があります。
SSH Web GUIのNetwork-SSH Serviceより定義
Telnet Web GUIのNetwork-Tenlet Serviceより定義
XML管理インターフェースとは、SOAP/HTTPSベースのWebサービス・インターフェー
スを使用します。Webサービス関連製品が他にもあり、管理を一元化させたい場合に利
用します。
EclipseプラグインもベースはXML管理インターフェース技術を使用しています。
Eclipse内にDataPowerの管理インターフェースを統合することが可能です。
13
03.
システム管理
アプリケーション・ドメイン
ドメインはデバイスの仮想化単位
サービス環境の単位
ドメインごとに各種サービスを使用可能
ドメイン単位で構成情報を保持
default
Security
Test
MQ Test
ESB Test
DataPowerの管理はドメイン内で完結
defaultドメイン
初期設定時に構成され、全アクセス権のあるドメイン
管理ユーザーのみアクセス可能
Firmware更新などはdefaultドメインの管理ユーザーの
み変更・参照可能
他のドメインも参照可能
ドメイン
ユーザー・グループ
defaultドメイン以外は別ドメインで作成された
オブジェクトを参照不可
ドメイン
設定により参照可能にすることも可能
一部ファイルはドメイン間で共有可能
ポートは異なるドメインでも競合するためデバ
イスでユニークな値を設定
ユーザー
基盤構築
2007/07 WebSphere DataPower SOA
アプリケーション・ドメインとは、DataPowerデバイス内の仮想化単位であり、各ドメイン
間は依存しないためテスト環境を複数構築することが可能です。管理、サービスの定義、
構成情報など全てドメイン内で完結しています。
defaultドメインは、初期設定時に作成されているドメインでスーパードメインです。他の
ドメインへの全アクセス権のあるドメインであり、管理者権限を持ったユーザーのみアク
セスが可能です。Firmwareの更新などdefaultドメインのみ変更参照可能なオブジェクト
があります。defaultドメイン以外に作成したドメインは他のドメインのオブジェクトを参照
することはせきませんが、ドメイン作成時の設定により他のドメインを参照可能に設定す
ることも可能です。
ドメインは基本は他のドメインと依存しませんが、ポートのみ競合するため、ドメイン間で
重複しないように定義する必要があります。
ドメインはこの後説明するユーザー・グループとユーザーに紐付いています。
14
03.
システム管理
アプリケーション・ドメイン続き
ドメイン単位でインポート/エクスポートが可能
開発機のドメインを本番機に移行可能
ドメイン単位でのリスタートも可能
ドメインのリスタート
ドメイン名を選択す
るとドメイン切替
ドメインは設
定変更不可
default
参照可能なドメイン
の追加
ドメインごとにパー
ミッションの設定が
可能
基盤構築
2007/07 WebSphere DataPower SOA
構成のバックアップを取得する場合は、ドメイン全体のバックアップを取得することが可
能です。これにより、開発機でテストしていた環境をそのまま本番機に移行することもで
きます。
defaultドメインは設定変更を行うことができません。
その他のドメインはドメインごとに細かくパーミッション設定が可能です。
ドメインを切り替えるには、コントロール・パネルの右上のDomainのプルダウンからドメイ
ン名を選択します。
15
03.
システム管理
ユーザー・アカウント
ユーザー・アカウントはユーザー・グループに属する
New User Accountウィザードではユーザー・グループを同時に作成可能
ユーザー作成時にドメインを制限することが可能
制限しない場合は全ドメインにアクセス可能
ユーザー単位でアクセスレベルを設定
ユーザー作成時にグループを指定しない場合、<AccountType_UserName>名の
グループが作成される
ドメインに紐付けない
ドメインに紐付け
アカウントタイプの指定
管理ユーザー
ネットワーク管理ユーザー
ユーザーアカウント管理ユーザー
アクセス管理ユーザー
開発ユーザー
バックアップユーザー
参照ユーザー
基盤構築
2007/07 WebSphere DataPower SOA
ユーザー・アカウントから新規ユーザーの登録を行います。
New User Accountを選択すると、ウィザード形式でユーザーおよびユーザー・グルー
プの作成が可能です。このとき特定ドメインに制限したユーザーを作成することも複数ド
メインへのアクセス権のあるユーザーを作成することも可能です。ドメインに制限しない
場合は、ユーザーのアカウント・タイプを指定します。
16
03.
システム管理
ユーザー・グループ
アプリケーション・ドメインと紐付け
ユーザー・グループを作成することにより、より細かい制御が可能
ユーザー・グループ定義ではオブジェクト単位で制限をかけることが可能
オブジェクト単位で制御、read/write/executeなどユーザー単位で制御する場
合はユーザー・グループを定義
アプリケーション・ドメインを指定
オブジェクト単位で指定可能
パーミッションの設定
基盤構築
2007/07 WebSphere DataPower SOA
ユーザー・グループはドメインに紐付くオブジェクトです。
ユーザー定義のアカウント・タイプより詳細な権限を分けたい場合は個別にユーザー・
グループ定義を行います。権限は、各オブジェクト単位でwrite,read権などを付与しま
す。
Configure User Group のMainタブ内のAccess Profileの「Build」ボタンをクリックする
と上図の画面が表示されます。ここで、アプリケーション・ドメイン、WebGUI機能のオブ
ジェクトを選択、さらに権限の付与を行います。
17
03.
システム管理
ロールベース管理(RBM)
WebGUIユーザーのユーザー認証、アクセス・ポリシー・マッピング、ユーザー認可
をデバイス上orデバイス外で行う
誰が、いつ何を行ったか管理
外部認証サーバーやXMLを指定することが可能
Web GUIからのみ設定可能
コマンド管理インターフェースからは設定不可
認証メソッド
LDAP,RADIUS,SPNEGO,Local Userなど
Local User(デフォルト)はDataPowerで定義したユーザーアカウントによる認証
注意点
RBM設定をdisableにすると、WebGUIにアクセス不可となる
外部認証を行う場合は管理ユーザーを必ず入れること
基盤構築
2007/07 WebSphere DataPower SOA
ロールベース管理(RBM)とは、WebGUIユーザーのユーザー認証、アクセス・ポリ
シー・マッピング、ユーザー認可を行う機能です。認証、認可はデバイス内で行うことも
外部サーバーを利用することも可能です。外部サーバーとしてはLDAP、RADIUS、
SPNEGOをサポートしています。
外部サーバーで認証を行う場合は管理ユーザーを含めないと管理ユーザーしかアクセ
スできないオブジェクトを管理できなくなるので注意してください。またRBM設定を
disableにしてしまうとWebGUIにアクセスできなくなります。
18
03.
システム管理
パスワード・ポリシー
RBMがLocal Userの場合のみパスワード・ポリシータブで設定
ファーストログイン時はどのユーザーもパスワードの変更は必須
パスワード最小文字数
大文字、小文字を混在
英数字以外の文字(=など)を含める
英数字を混在
User名と同じ文字列は不可
指定日数内で変更が必要
指定回数内で同一パスワードは不可
2007/07 WebSphere DataPower SOA基盤構築
RBMがLocal Userの場合は、パスワードポリシーをWebGUIより設定することが可能で
す。
パスワード最小文字数、大文字小文字を混在させる、英数字を含めるなど細かいポリ
シーの設定が可能です。
ユーザー定義後、初期ログイン時はどのユーザーもパスワードの変更は必須です。
19
03.
システム管理
ログ設定
デバイス内、外部サーバーに各種イベントログ出力可能
各ドメインにdefault-logが定義済
編集は不可
出力するイベントのみ変更可能
ログサイズ500KB
3回までローテート
デバイス内はサイズに限度があり、またドメインを再起動すると消去されるため、
外部サーバーへの出力を推奨
の
は変更不可
タブ
Default-log main
の
default-log Event Subscriptions
タブ
デフォルトのログイベント
全エラーのログ
管理系イベントの表示
EventSOA
Subscriptions
2007/07 WebSphere DataPower
基盤構築タブのみ変更可能
デバイス内、外部サーバーにログ出力が可能です。デフォルトで、各ドメインにdefaultlogが定義されていますが、サイズに限度があり、またドメインを再起動すると消去される
ため本番機では外部サーバーへログを出力してください。
default-logは基本は設定変更不可ですが、ログに出力するイベントは選択可能です。
デフォルトでは全エラーログと管理系イベントを表示させるよう定義されています。
20
03.
システム管理
ログ設定続き
新規ログ設定
ADMINISTRATION
Manage Log TargetsよりAddボタン
以下を指定は必須
ターゲット・タイプ:ログ出力先
ログフォーマット:ログ出力フォーマット
イベント・カテゴリー:ログ出力イベント
イベント・カテゴリー
ターゲット・タイプ
ログ・ターゲットの
追加
外部サーバー
に出力
フォーマット
ログ出力したいイベント
を選択可能
Allは全てロギングされる
snmp,syslog,sys
log-ng
以外フォー
マットを選択
ターゲット・タイプ
syslog
syslog-ng(next generation)
フォーマット
cbe(Common Base Event)
デーモンを起動することによりログを取得 514/UDPポート指定
に比べ、ログの出力先を細かく指定、ログ受信時のアクセス制御、root以外のユーザーで動作、任意のTCPポート指定可能
syslog
syslog
が提唱したXML形式の標準ログフォーマット
IBM/Cisco
によってログ・フォーマットの標準となる
OASIS
基盤構築
2007/07 WebSphere DataPower SOA
default-log以外に新規ログを作成するには、ADMINISTRATION-Manage Log
Targetから設定します。
ログはログ・ターゲットとイベント・カテゴリーから成ります。
ログ・ターゲットは出力先の設定です。Cache,File以外は外部サーバーへの出力です。
Cacheはデバイスメモリー上、Fileはデバイスフラッシュ上に出力します。Cacheはログ
表示画面で、「Refresh Log」をクリックするとクリアーされます。Fileはローテート回数や
最大ファイルサイズの定義が可能です。
サーバーに出力する際のフォーマットもここで設定します。
イベント・カテゴリーでは各オブジェクトを選択可能です。Allを選択すると全オブジェクト
が対象になります。またそのプライオリティーを選択します。
emergency,alert.critical,error,warning,notice,info,debugより選択します。
21
03.
システム管理
ログ設定例
外部サーバーとして
syslogを指定
DataPowerからsyslogの
ログに表示されるID
SyslogサーバーIPアドレス
Syslogサーバーポート
イベントカテゴリーとプライ
オリティーの設定
ファシリティー
Syslog
基盤構築
2007/07 WebSphere DataPower SOA
これはSyslogの定義例です。Syslogデーモンが稼動しているIPアドレス、ポート、
Syslogファシリティーを選択します。
Local IdentifierはDataPowerからのログを識別するためのIDです。
さらに、Event Subscriptionsタブよりイベント・カテゴリーとプライオリティーの設定を行
います。この例では全オブジェクトのエラーを出力します。
22
03.
システム管理
【参考】ログカテゴリー一覧
Object-Log
Category
ログターゲット設定内のイベント・カテゴリー
クリックすることにより各
カテゴリーのログを表示
基盤構築
2007/07 WebSphere DataPower SOA
こちらはイベント・カテゴリーで選択できるオブジェクト一覧です。
23
03.
システム管理
デバイスの監視
SNMP(Simple Network Management Protocol)による監視
ルーターなどと同様にSNMPによりデバイスを監視
デバイス、ネットワークインターフェースを監視
CPU、メモリ使用率、スループット、各オブジェクトのステータスなど
DataPower固有情報も監視可能
SNMPをログ・ターゲット先としても指定可能
を有効化し、ポー
トを指定することで、
SNMPサーバーにト
ラップ可能
State
詳細は
ネットワーク
セッションで・・
基盤構築
2007/07 WebSphere DataPower SOA
デバイスの監視は他のネットワーク製品と同様SNMPによる監視をとります。デバイスの
ネットワークインターフェースのOn/Offを監視します。基本的な監視以外にデバイスのCPU使用
率、メモリー使用率、スループットなどの監視を行うことも可能です。
SNMP監視対象
アクティブ・ユーザー
ステータス時間
稼働率
メモリー・ステータス
受信コネクション
CPU使用率
スタンバイ・デバイス・ステータス
受信スループット
送信スループット
ハードウェア環境センサー
ファイルシステム・ステータス
システム使用率ステータス
HTTPトランザクション
オブジェクト・ステータス
MQステータス
MQQM ステータス
WSオペレーション・ステータス
SLM サマリー・ステータス
SNMPの詳細はネットワークセッションをご参照ください。
DataPower
On/Off,
24
03.
システム管理
構成のエクスポート
構成情報のエクスポートにより、構成のバックアップ取得、別ドメイン/別
デバイスへの移行に利用
オブジェクト単位でもエクスポート可能
但し、certディレクトリー内のファイルはエクスポート不可
デバイス全体
1or複数ドメイン全体
現ドメイン
ドメイン間でコピー、移動
オブジェクトを選択可能
ブラウザから保存
ディレクトリーに
保存
(ファイル管理参照)
Export
基盤構築
2007/07 WebSphere DataPower SOA
構成情報のエクスポートを行うことによりバックアップ、別ドメイン、別デバイスへの移行
時に利用することが可能です。
ハードウェア障害時に備えて構成変更後はエクスポートを行うことをお奨めします。
エクスポートの対象は、デバイス全体、ドメイン、各オブジェクトを選択します。エクス
ポートの形式はXMLファイルかZIPを選択可能です。
Configuration 現ドメインの構成情報か最後に保存した構成情報を選択します。
Referenced Objects 参照しているオブジェクトを子オブジェクトまでエクスポートする
か、基本オブジェクトのみエクスポートするかを選択します。
Export Files ファイルをエクスポートしない、全てする、参照しているファイルのみエク
スポートを選択します。
certディレクトリー内にある秘密鍵、公開鍵はエクスポートすることができません。
「Download」をクリックすると、WebGUIに接続しているマシンに保存することが可能で
す。「Done」を選択するとデバイス内に保存されます。
25
03.
システム管理
構成のインポート
構成情報のインポートにより、バックアップからリストア、別ドメイン/別デ
バイスからの移行に利用
オブジェクト単位でもインポート可能
現バージョン(3.6.0.x)ではXMLファイルあるいはXMLを圧縮したZIPファイルの
みインポートが可能
基盤構築
2007/07 WebSphere DataPower SOA
構成のインポートでは、エクスポートした構成情報に戻す作業を行います。
エクスポートしたZIPファイルあるいはXMLファイル形式を選択し、「参照」をクリックし、
構成ファイルをデバイスにアップロードします。アップロードされると、エクスポート時の
Firmwareバージョン、時間を確認することが可能です。
26
03.
システム管理
DataPowerの運用
基盤構築
2007/07 WebSphere DataPower SOA
続いて、運用時に使用する各種ツールをご紹介します。
27
03.
システム管理
ログ管理
システム・ログ
デバイス内のログの表示
以外のロ
グはターゲットで切替
Default-log
ドメインでフィルター
(defaultドメインから
のみ選択可能)
オブジェクト
でフィルター
ログレベルで
フィルター
エラーは赤字
で表示
基盤構築
2007/07 WebSphere DataPower SOA
デバイス内に出力されるdefault-logは「View Logs」アイコンより見ることができます。ま
た、ログ設定でターゲット・タイプとしてfileあるいはcacheを選択した場合もここからログ
を参照します。
defaultドメインのdefault-logには全ドメインのログが表示されるため、ドメインでフィル
ターをかけることが可能です。defaultドメイン以外はオブジェクト、ログレベルでフィル
ターをかけることができます。
informationのようなログは黒字で表示されますが、errorは赤字で表示されます。
「Refresh Log」で最新のログを表示することが可能ですが、ログターゲット・タイプが
cacheの場合はログがクリアーされます。
28
03.
システム管理
ログ管理続き
特定エラー、特定オブジェクトのみを出力可能
Manage Log Targetより新規ログを作成
オブジェクトでのフィルターも可能
特定イベントのみ表示
イベント一覧から選択
DataPower独自のエラーコード
特定イベントは表示しない
基盤構築
2007/07 WebSphere DataPower SOA
前ページでのログのフィルターは表示上のフィルターでしたが、ログ出力時にフィルター
をかけ、特定イベント、特定オブジェクトのみを出力させることも可能です。ログ作成画
面より定義します。Event Filtersタブでは、出力させたいイベントあるいは出力させたく
ないイベントを選択します。イベントは一覧から選択します。このイベントはDataPower
内の独自エラーコートが振られています。同様にObject Filtersタブからも特定オブジェ
クトの選択が可能です。
29
03.
システム管理
デバイス監査ログ
デバイスの構成変更、ユーザー作成、ファイル作成時など記録される
defaultドメインのみ表示可能
Fri Jun 29 2007 20:22:27 [ogawa][audit][alert] key(tmpkey_7): Deleted key "tmpkey_7"
Fri Jun 29 2007 20:26:55 [audit][alert] : Multistep Probe enabled on xslproxy Kyodo in Asada: Data traffic is recorded
Sun Jul 01 2007 15:28:47 [audit][alert] : (admin:default:web-gui:9.189.223.101): Created user "aaa"
Sun Jul 01 2007 15:30:18 [audit][alert] : (admin:default:web-gui:9.189.223.101): Deleted user "aaa"
Sun Jul 01 2007 15:30:55 [audit][alert] : Changed boot config to "config:///autoconfig.cfg"
Sun Jul 01 2007 21:14:40 [audit][alert] : (admin:default:web-gui:9.189.223.101): Created user "admin_test"
Sun Jul 01 2007 21:14:54 [audit][alert] : Changed boot config to "config:///autoconfig.cfg"
Sun Jul 01 2007 21:15:06 [audit][alert] : (admin:default:web-gui:9.189.223.101): Deleted user "admin_test"
Sun Jul 01 2007 21:15:13 [audit][alert] : Changed boot config to "config:///autoconfig.cfg"
Mon Jul 02 2007 13:55:17 [audit][alert] : Multistep Probe enabled on xslproxy Kyodo in Asada: Data traffic is recorded
Mon Jul 02 2007 16:59:56 [audit][alert] : Multistep Probe enabled on wsgw RERFSS in FSSPoC: Data traffic is
recorded
基盤構築
2007/07 WebSphere DataPower SOA
Audit Logには、デバイスの構成変更、デバイス上ファイルの変更履歴が表示されます。
また、リブート履歴もここから確認できます。
defaultドメインからのみ表示可能です。
30
03.
システム管理
ログイン・ユーザー管理
ログ・ターゲット設定のイベント・カテゴリーをauth、プライオリティーをinfo
以上にすることでWebGUI/CLIのユーザーのログイン履歴を管理可能
ログイン失敗の履歴はdefaultドメインのみ可能
基盤構築
2007/07 WebSphere DataPower SOA
ログ設定より、イベント・カテゴリーから「auth」、プライオリティーを「info」以上にすること
でドメインへのログイン履歴を管理することができます。また、コマンドラインインター
フェースからのログイン・ログアウトも管理が可能です。
パスワードミス、ユーザー名ミスなどのログイン失敗履歴はdefaultドメインにのみ表示さ
れます。
31
03.
システム管理
デバイス・ステータス管理
デバイスのリソース状況を確認可能
トランザクションのスループット、処理時間
HTTP
メッセージカウント、持続時間
スタイルシートごとのXML変換処理時間
CPU
使用率
ファイルシステム情報
メモリー使用率
基盤構築
2007/07 WebSphere DataPower SOA
View Statusアイコンより、オブジェクトステータス、HTTPトランザクション、メッセージ・モ
ニター、スタイルシート実行、システムリソースの状況を確認することができます。
System-Filesystem Informationよりファイルシステムを確認することができます。
これらデバイスのリソース状況やモニタリング情報は表示するタイミングのスナップショッ
トしか取れないため、継続した監視が必要な場合はSNMPあるいはITCAM for SOAな
ど外部監視ツールを使用してください。
32
03.
システム管理
トラブルシューティングツール
ログレベルの変更
default-logのログレベルを変更
トラブルシューティングを行う場合はdebugに設定
ログイベント生成
特定オブジェクトのエラー発生時ログに指定した文字列を出力
ログメッセージ監視ツールを使用している場合有効
指定した文字がログに出力
ログレベルの変更
エラーレポート生成
temporaryディレクトリにerror-report.txtが作成される
Firmwareバージョン、構成情報、ログが全て出力
保守サポートへのレポーティングツールとして利用
エラーレポート送信
エラーレポートをe-mailに送信
基盤構築
2007/07 WebSphere DataPower SOA
トラブルシューティング時に使用するツールが用意されています。
•ログレベルの変更
default-logのイベント・カテゴリー:allのログ・レベルを変更します。デフォルトのプライ
オリティーはerrorに設定されています。トラブルシューティング時はdebugに変更すると
詳細までロギングされます。本番運用時はパフォーマンスに影響を与えるためなるべく
debugモードに設定する時間帯はリクエストの少ない時間を選択することをお奨めしま
す。
•ログイベント生成
特定オブジェクトで変更された場合やエラー発生時にLog Messageに指定した文字
列をログに出力する機能です。ログ監視ツールを使用している場合、この文字列により
Hitさせることが可能です。
•エラーレポート生成
保守サポート部門に問い合わせ、ログを送付する際に使用するツールです。
「Generate Error Report」をクリックすると、デバイス内のtemporaryディレクトリーに
error-report.txtが生成されます。ここにはFirmwareバージョン、構成情報、ログ全て出
力されます。
•エラーレポート送信
SMTPサーバーを別途用意し、サーバーアドレス、Emailアドレスを指定します。
Locationには送付するエラーレポートの場所を指定します。
(ex. temporary:///error-report.txt)
33
03.
システム管理
トラブルシューティングツール続き
パケットキャプチャー
イーサネットインターフェースごとのIPトレースを取得
Temporaryディレクトリーにcapture.pcapファイルが生成される
ネットワークに問題がある場合利用
XMLファイルキャプチャー
プライマリー・サービスに対するインプット、アウトプットのXMLを出力
FileCapture.zip(tar)に圧縮
Max 5000ファイル or 200MBまでキャプチャー可能
<サービスアドレス>_<サービスポート>名のフォルダが作成される
パフォーマンスに多大に影響を与えるため、テスト時のみ使用
ディレクトリー内にInとOutの
XMLが含まれる
基盤構築
2007/07 WebSphere DataPower SOA
パケットキャプチャーとXMLファイルキャプチャーはdefaultドメインのみ使用可能です。
•パケットキャプチャー
イーサネット・インターフェース単位でデバイスのネットワークトレースを取得します。取
得後はtemporaryディレクトリーにcapture.pcapファイルが生成されます。
Interface 取得したいイーサネット・インターフェースを選択します。インターフェー
スのIPアドレスはInterfaceを選択して「…」ボタンより確認できます。
Mode
timedは設定した時間内のキャプチャーを取得します。continuousはキャ
プチャーを停止するまで取得し続けます。
Maximum Duration
パケット取得時間を設定します。
Maximum Size
パケット取得最大値を設定します。
•XMLファイルキャプチャー
Modeをerrorあるいはalwaysを指定し、「XML File Capture」をクリックすることにより、
デバイスを通過するリクエストのXMLキャプチャーを取得します。「View File Capture」
をクリックすることで、Zip形式かTar形式に圧縮されたファイルをダウンロードできます。
キャプチャー取得時はインプット、アウトプットの全メッセージを取得するためパフォーマ
ンスに影響を与えます。テスト時にのみ使用することをお奨めします。
この他にデバイスからPingコマンドを発行するPing Remote、サーバーアドレス、ポート
を指定しTCPコネクションを確認するTCP Connection Testツールがあります。
34
03.
システム管理
Probe(調査)
処理ルール内で実行されたメッセージのスナップショットを取得
処理ルールのデバッグ時に使用
アクション前後のメッセージなどをキャプチャー
各アクションの実行結果のメッセージの中身を確認可能
アクションのどこで失敗しているかを調査できる
パフォーマンスに影響を与えるためテスト時のみ使用
サービス単位で有効・無効を設定
各メッセージ、ヘッダーなどをキャ
プチャー
基盤構築
2007/07 WebSphere DataPower SOA
Probe機能はテスト時、デバッグ時に使用する非常に便利なツールです。XMLキャプ
チャーではインプットファイルとアウトプットファイルしか確認できないため、複数のアク
ションを定義した場合、どのアクションでエラーになっているかを判別することが困難で
す。
Probeを使用することで、アクションごとにメッセージやヘッダーをキャプチャーするので、
どのアクションでエラーとなっているかの判別が可能になります。
Probe機能は各プライマリー・サービス画面の「Probe」から「Enable Probe」にすること
で使用できます。TroubleshootingツールのProbeタブからも有効にすることができます。
こちらのツールでは、ドメイン内のどのサービスがProbeが有効になっているかを確認す
ることができます。
35
03.
システム管理
Probe(調査)続き
プライマリー・サービス定義画面
Show Probe-Enable Probeでキャプチャー開始
表示
履歴クリア
虫眼鏡アイコンでメッセージの中身を確認可能
メッセージ到達時の状況確認
アクション(Encrypt)実行後の状態
基盤構築
2007/07 WebSphere DataPower SOA
Probeボタンをクリックすると別画面が表示されます。ここで「Enable」に設定し画面は閉
じずにデバイスへメッセージを送信します。Probe画面の「Refresh」ボタンを押すことで、
デバイスに届いたメッセージが更新されます。このとき、inbound-urlやoutbound-urlが
赤字で表示されている場合はエラーが発生しています。requestあるいはresponseの
左の虫眼鏡アイコンをクリックするとさらに別画面が開き、メッセージの中身およびヘッ
ダー情報の詳細をみることができます。
アクションごとのメッセージの確認はアクション・アイコン間の虫眼鏡ボタンをクリックする
ことにより切り替わります。
「Flush」をクリックすることで履歴をクリアーすることが可能です。
Probeを終了する際は必ず「Disable Probe」をクリックしてください。
36
03.
システム管理
デバイスのリブート、シャットダウン
リブート、シャットダウン前にログインユーザーを確認
System Controlよりリブート、シャットダウンが可能
Halt System
HWをシャットダウン その後電源をOff
Reboot System
HWをリブート
テンポラリーファイルと保存されていない構成変更は消える
Reload Firmware
HWのリブートをせずデバイスをリスタート
テンポラリーファイル、Apply後保存前の構成変更は残る
CLIからリブート、シャットダウン
shutdown { reboot | reload | halt
} [
pause
シャットダウン、リブートまでの時間
]
基盤構築
2007/07 WebSphere DataPower SOA
テスト時など、複数ユーザーがログインしている場合、デバイスのリブートやシャットダウ
ンを行う前にログイン・ユーザーがいるか確認することができます。Status-Active
Usersから確認可能です。
デバイスのリブート・シャットダウンはdefaultドメインからのみ可能です。
System ControlアイコンのShutdownよりリブート、シャットダウンが可能です。リブート、
シャットダウン、Firmwareのリロードを行うことができます。Delayにはシャットダウンある
いはリブートするまでの時間(秒)を入力します。
コマンドラインインターフェースでのリブート、シャットダウンはshutdownコマンドを使用
します。
37
03.
システム管理
ファイル管理
デバイス内で保持されるファイル
defaultドメインでは全ファイルの参照が可能
certディレクトリーはダウンロード不可
exportディレクトリーはtemporaryディレクトリーなどにコピーしてからダウンロー
ド
残ス ース
ペ
デバイス
共通
基盤構築
2007/07 WebSphere DataPower SOA
デバイス内に保存されているファイルはFile Managementアイコンから確認することが
できます。ここでは、ファイルが作成された時間、ファイルサイズを確認できます。default
ドメインは全ドメインのファイルを参照することが可能です。但し、defaultドメインでも他
のドメインのcertディレクトリーは参照することができません。
ほとんどのディレクトリー内のファイルはファイル名を右クリックすることで、ここからダウン
ロードすることが可能ですが、cert,exportディレクトリーのファイルはダウンロードすること
ができません。certディレクトリーは暗号化されているため、編集、削除、コピーが不可で
す。exportディレクトリーはコピーが可能なので、ファイルをダウンロードする場合は
temporaryディレクトリーなどにコピーするとダウンロードが可能になります。
Available Spaceはデバイス共通の容量が表示されます。
38
03.
システム管理
ファイル管理 ディレクトリー名称
config
各ドメインの構成ファイル
defaultドメイン config
autoconfig.cfgリブート後に まれるファイル
その他ドメイン config
domain_name.cfg
構成のエクスポート時に生成されたファイルを保持
サービス定義時にアップロードしたファイル(.xsl .wsdl .xsdなど)
参照可能なドメイン内で 有可能
ataPowerが使用しているスタイルシートのサンプルファイル
デバイス内
テンポラリー用ディレクトリー
、
を保管
ディレクトリー内のファイルを自 で
化
ファイルのコ ー、
は不可、削除は可能
他サーバーとの 有
を保管
ディレクトリー内のファイルを自 で
化
デバイス内
CA
など保存
ディレクトリー内のファイルを自 で
化
ファイルの
は不可、コ ーは可能
デバイス内
ログ出力ディレクトリー
ファイルサイ は MBで 定
:///
export
local
store
temporary
cert
sharedcert
pubcert
,
での表
DataPower
記
<Dir_Name>:///<File_Name>
,
共
D
共通
秘密鍵
証明書
ピ
共
動
暗号
動
暗号
動
暗号
編集
証明書
共通
証明書
編集
logtemp
読
:///
ピ
共通
ズ
13
固
基盤構築
2007/07 WebSphere DataPower SOA
DataPowerでのディレクトリー表記は<Dir_Name>:///<File_Name>です。
•config
各ドメインの構成ファイルが保存されます。defaultドメインは
autoconfig.cfgファイルを使用しています。別構成ファイルに切り替える場合は、default
ドメインのSystem Control-Select Configuration からロードする構成ファイルを選択
することができます。
•export
構成をエクスポートした際、 「done」をクリックするとこのディレクトリーにエ
クスポートしたファイルが保存されます。
•local
プライマリー・サービス定義やアクション定義時にデバイスにアップロード
したファイルが保存されます。
•store
DataPowerで事前定義されているスタイルシートのサンプルファイルが
保存されています。
•cert
秘密鍵、証明書が保存されています。
•sharedcert 別サーバー、別部署、別会社などと証明書を共有する場合に保存する
ディレクトリーです。
•pubcert
す。
CA証明書などDataPowerで事前に用意しているものが保存されていま
39
03.
システム管理
ITCAMによる監視・運用
ITCAM(IBM
Tivoli Composite Application Manager)製品との
管理統合
ITCAM for SOA V6.1
Webサービス・トラフィックの監視
Webサービスの応答時間、メッセージなどを計測
SOAPインターフェースを使用し、パフォーマンスデータを取得
複数ドメイン、複数デバイスの監視が可能
平均
レスポンスタイム
ITCAM SE for DataPower V6.1
複数デバイス、Firmwareを集中管理
Firmware、デバイス定義、ドメイン定
義の自動同期
クラスター内での変更の監視および
伝播
Firmwareダウンロードページより
Windows/Linux版のダウンロードが可
能(ライセンスフリー)
ITCAM for SOA
基盤構築
2007/07 WebSphere DataPower SOA
ITCAM for SOA V6.1と連携することにより、DataPowerのWebサービス・トラフィックの
監視、レスポンスタイムなどのパフォーマンスデータを計測することが可能です。IBM
SOA関連製品が複数ある場合、ITCAM for SOAにより一括監視、管理が可能になりま
す。
参照URL
http://www-306.ibm.com/software/tivoli/products/composite-application-mgr-soa/
ITCAM System Edition for WebSphere DataPower V6.1はDataPowerライセンスに
含まれており、無償で使用することができます。DataPowerのFirmware,マニュアルダウ
ンロードサイトよりWindows版かLinux版のITCAM SE for WebSphere DataPowerを
ダウンロードすることができます。
•デバイス集中リストの作成
•Firmware集中リポジトリーの作成
•デバイスクラスターの定義
•Firmware、デバイス定義、サービスドメイン定義の自動同期
•クラスター内の変更を監視および伝播
•Firmwareのバージョン、デバイス定義、サービスドメイン定義の管理 ロールバックも可
能
•デバイスの同期、オペレーション状態をトラッキング
参照URL
http://www-306.ibm.com/software/integration/datapower/itcamse.html
40
03.
システム管理
モニタリング
基盤構築
2007/07 WebSphere DataPower SOA
41
03.
システム管理
モニタリング概要
高負荷時にDataPowerでリクエスト制御が可能
閾値を超えるとアクションを実行
ロギング、リクエストの拒否、キューイング
バックエンドサーバーのサイトダウン、スローダウンを未然防止
Dos攻撃の防御対策としても利用可能
メッセージ・モニター
カウント
リクエスト数をカウント
持続時間
CPU
処理時間、遅延時間を計測
Webサービス・モニター
Webサービスに対しカウント、持続時間モニターの組み合わせを定義
特定Webサービスエンドポイントに対しモニター
Webサービス・モ
フロントのエラー数、トランザクションレートをモニター
ニターはウィザー
ドを提供
アクションはロギング、リクエスト拒否のみ
サービスレベル管理(SLM)
Webサービスに対し、様々なリソースからモニタリング
WSDLの階層ごとに指定が可能
スケジュール設定などWebサービス・モニターより細かい設定が可能
このセッションでは
メッセージ・モニター
とSLMの詳細をお
話します
基盤構築
2007/07 WebSphere DataPower SOA
モニタリングとは、DataPowerを通過するメッセージ数やDataPower内、バックエンド
サーバーの処理時間などをモニタリングする機能です。
モニタリング対象に対して閾値をセットし、閾値を超えるとアクションを実行します。アク
ションはログ出力、リクエスト拒否、キューイングのいづれかになります。DataPowerでリ
クエスト制御ができるので、バックエンドサーバーのサイトダウン、スローダウンを未然に
防止したり、特定クライアントや特定URLへの大量リクエストを監視することで不正Dos
攻撃対策としても使用することができます。
モニタリングは大きく分けて3つあります。
•メッセージ・モニター
メッセージ・リクエスト数をモニタリングするカウント、処理および遅延時間を計測する持
続時間があります。
•Webサービス・モニター
WSDLオペレーションに対しメッセージ・モニターを定義します。Web Service
Monitorアイコンからウィザード形式で簡単に設定が可能ですが、他の二つのモニター
と異なり細かいモニター設定ができません。WSDLの階層は選択することができません。
また、アクションはログ出力とリクエスト拒否の二つです。
•サービスレベル管理(SLM)
Webサービスに対するモニターで、Webサービス・モニターよりモニタリング対象を細
かく定義することが可能です。WSDL階層も選択することができます。
42
03.
システム管理
メッセージ・モニター
DataPowerを経由するメッセージ・フロー処理の定期的モニタリング
不正Dos攻撃対策としても利用可能
バックエンドサーバーダウンやスローダウンを未然防止
リクエスト数、時間ベースで閾値を設定
メッセージセットが閾値を越えるとアクションが実行される
メッセージの方向(リクエスト、レスポンスなど)を選択可能
モニタリングの種類
カウントモニター
特定タイプのメッセージをカウント
リクエストURL
HTTPメソッド
HTTPヘッダー値
IPアドレス
持続時間モニター
メッセージ処理の時間計をカウント
DataPowerの処理時間、バックエンドサーバーの処理時間を計測
基盤構築
2007/07 WebSphere DataPower SOA
メッセージ・モニターはリクエスト数あるいは時間ベースで閾値を設定します。リクエスト
時、レスポンス時などメッセージの方向も選択可能です。
•カウントモニター
カウントモニターでは以下のメッセージ・リクエストをカウントします。
リクエストURL
HTTPメソッド
HTTPヘッダー値
IPアドレス
•持続時間モニター
メッセージ処理にかかる時間を計測します。DataPower内の処理時間、バックエンド
サーバーの処理時間、DataPower-バックエンドサーバー両方の時間計を計測します。
持続時間モニターのみWebアプリケーション・ファイアーウォールでは設定することがで
きません。
43
03.
システム管理
メッセージ・モニター構成ステップ
1.
2.
3.
4.
5.
メッセージ・マッチングの定義
メッセージ・タイプの定義
メッセージ・フィルター・アクションの定義
メッセージモニター関連オブジェクト
メッセージ・モニターの定義
プライマリー・サービス
サービスとモニターを関連付け
閾値を定義
メッセージ・モニター
メッセージ・タイプ
モニタリング対象のト
ラフィックを指定
メッセージ・
マッチング
メッセージ・フィルター
アクション
システムやネットワー
ク過負荷時のアクショ
ンを指定
基盤構築
2007/07 WebSphere DataPower SOA
メッセージ・モニターを構成するには、階層構造になっているメッセージ関連オブジェク
トを全て定義し、最後にプライマリー・サービス定義画面でモニター設定との紐付け
を行います。
①メッセージ・マッチングの定義
メッセージ・マッチングはポリシー定義のマッチングルールと似ています。モニタリン
グを行いたいトラフィックをここで指定します。
②メッセージ・タイプの定義
メッセージ・タイプはメッセージ・マッチングとメッセージ・モニターを紐付けます。
③メッセージ・フィルター・アクションの定義
メッセージ・フィルター・アクションではモニター対象が閾値を超えた場合のアクショ
ンを定義します。
④メッセージ・モニターの定義
メッセージ・モニターでは閾値の値を設定し、定義したメッセージ・タイプ、メッセー
ジ・フィルター・アクションを選択します。
⑤サービスとモニターを関連付け
モニター対象のプライマリー・サービス定義画面で、定義したメッセージ・モニターを
選択します。プライマリー・サービスがactiveの場合、構成を保存することによりモニ
タリングが開始されます。
44
03.
システム管理
メッセージ・モニター定義
メッセージカウントモニター
メッセージ・タイプ
メッセージ・マッチング
リクエスト、レスポンス、Xpath、エ
ラーが指定可能
アドレス、URL、HTTPヘッダーな
どモニタリング対象を指定
IP
基盤構築
2007/07 WebSphere DataPower SOA
ここではメッセージ・モニターを設定する上で必要最低限の設定項目を解説します。
メッセージ・モニターはOBJECTS-Monitoringより設定します。
カウント・モニターは「Message Count Monitor」をクリックします。「Message Type」の
+ボタンをクリックして新規作成します。メッセージ・タイプ画面の「Message
Matchings」の+ボタンをクリックし、モニター対象のリソースを設定します。Main画面で
は、IPアドレス、URL、HTTP HeadersタブではHTTPヘッダーを入力することができま
す。入力終了後、Message Matchingsの「Apply」ボタンをクリックし、Message Type画
面で「Add」ボタンをクリックし、作成したメッセージ・マッチングが選択されていることを確
認し、Message Typeの「Add」ボタンをクリックします。
メッセージ・カウント・モニター画面ではMeasureよりメッセージの方向、エラー、XPath
を指定します。
45
03.
システム管理
メッセージ・モニター定義続き
例:閾値
メッセージカウント・モニター
メッセージ・フィルター・アクション
リクエスト/秒
50
アクションは3つから選択
Notify ログに通知
Reject リクエスト拒否
Shape リクエストをバッファー
バッファーがオーバーフローする
と破棄
カウントのインターバル(ミリ秒)
閾値
プライマリー・サービス定義画面
定義済のモニター
をプライマリー・
サービスに紐付け
基盤構築
2007/07 WebSphere DataPower SOA
続いて、メッセージ・カウント・モニターの「Threshold/Filters」タブをクリックします。ここ
で閾値を設定します。Intervalにはカウントのインターバル(ミリ秒)を設定します。イン
ターバルが短いとモニターのためにデバイスのリソースを占有するため、1000ミリ秒(1
秒)以上が推奨されています。Rate Limitには閾値を入力します。上図の例では、50
メッセージ/秒が閾値となります。Burst Limitは最大値を設定します。Rate Limitの倍の
数が推奨されています。
閾値を超えた場合のアクションは、メッセージ・フィルター・アクションにより定義します。
Typeよりアクションを選択します。
Notifyはログに出力、Rejectはリクエスト拒否、Shapeはデバイス内でリクエストをバッ
ファーします。バッファーがオーバーフローするとその後のリクエストは破棄されます。
最後にモニタリング対象のプライマリー・サービス定義画面の「Monitor」タブよりメッセー
ジ・カウント・モニターを選択して紐付けます。
46
03.
システム管理
持続時間モニター
メッセージ持続時間モニター
閾値
(ミリ秒)
メッセージ・タイプ
メッセージ・マッチング
メッセージ・フィルター・アクション
プライマリー・サービスとの紐付け
はカウントモニターと同様の設定
•
•
•
•
モニター対象
メッセージ
リクエスト
サーバー
レスポンス
(次ページ参照)
基盤構築
2007/07 WebSphere DataPower SOA
持続時間モニターの設定はカウント・モニターとほぼ同様です。
OBJECTS-Message Duration Monitorを選択します。
「Main」タブではモニター対象のMeasureとしてメッセージ、リクエスト、サーバー、レス
ポンスから選択します。こちらは次ページで解説します。
「Threshold/Filters」タブでは、閾値の時間(ミリ秒)を設定します。
その他、メッセージ・タイプ、メッセージ・マッチング、メッセージ・フィルター・アクション、
プライマリー・サービスとの紐付けはカウント・モニターと同様の設定です。
47
03.
システム管理
持続時間モニターの対象時間
リクエスト
クライアントリクエスト受信からサー
バーへ転送するまでの時間
クライアントからのリクエスト/レスポンス時間
クライアント
DataPower内の処理時間
リクエスト
レスポンス
サーバーリプライ受信からクライアント
へ転送するまでの時間
サーバー
DataPower内の処理時間
サーバー
バックエンドサーバーの処理時間
メッセージ
DataPowerでリクエストメッセージ受信、
処理、サーバー処理、リプライメッセー
ジ受信、処理までの時間
サーバーリクエスト
サーバーレスポンス
レスポンス
バックエンドサーバーに転送~レスポ
ンス受信までの処理時間
サーバー
DataPower
メッセージ
メッセージリクエスト
メッセージレスポンス
DataPower内+バックエンドサーバーの処理時
間
基盤構築
2007/07 WebSphere DataPower SOA
持続時間モニターの対象として4つの対象時間から選択します。
上図のクライアントとは、DataPower前段でDataPowerへリクエストを転送、DataPower
からレスポンスを受信するサーバー(あるいはクライアント)です。上図のサーバーとは、
DataPowerの後段でDataPowerからリクエストを受信、サーバー内でリクエスト処理後、
DataPowerへレスポンスを転送するサーバーです。
•リクエスト
リクエストとは、DataPowerがクライアントからリクエストを受信後、バックエンドサー
バーへ転送するまでの時間です。これによりリクエストのDataPower処理時間の計測が
可能です。
•レスポンス
レスポンスとは、DataPowerがバックエンドサーバーからサーバー処理後のレスポンス
を受信し、クライアントに転送するまでの時間です。これによりレスポンスのDataPower
処理時間の計測が可能です。
•サーバー
サーバーとは、DataPowerがバックエンドサーバーにリクエストを転送してからレスポ
ンスを受信するまでの時間です。これにより、バックエンドサーバーの処理時間の計測
が可能です。この場合、DataPowerとサーバーのネットワーク通過時間も含まれます。
•メッセージ
メッセージとは、DataPowerがクライアントからリクエストを受信後、DataPowerでリクエ
スト処理、サーバー処理、DataPowerでのレスポンス処理をし、クライアントにレスポンス
を転送するまでの時間です。これにより、DataPower処理時間とバックエンドサーバー
処理時間を合わせた計測が可能です。
48
03.
システム管理
SLMとは
SLM(サービスレベル管理)
Webサービスのパフォーマンスと可用性を保証
DataPowerへのトラフィックを閾値に基づいてフィルター
閾値に達するとアクションを実行
ロギング、リクエストの拒否、キューイング(最初の2500トランザクションまでキューイング)
モニタリング対象はクレデンシャル、リソースの様々な項目
モニタリングのスケジュール設定が可能
複数デバイスにまたがったSLMも実行可能
SLM構成方法
1. 処理ポリシー内で設定
処理ポリシー内のSLMアクションとして定義
Webサービス・プロキシーではSLMアクションアイコンが用意
マルチプロトコルゲートウェイではAdvancedアイコンからSLMを選択
2. Webサービス・プロキシーのみSLMタブから設定
によるリク
エスト拒否結果
SLM
基盤構築
2007/07 WebSphere DataPower SOA
続いてサービスレベル管理について解説します。
サービスレベル管理(SLM)とは、Webサービスのメッセージをモニタリングする機能で、
クレデンシャル情報やリソースから様々な情報をモニター可能です。メッセージ・モニ
ターと同様に閾値に達するとアクションを実行します。アクションはログ出力、リクエスト
拒否、キューイングです。メッセージ・モニターと異なりキューイングはトランザクション数
に制限があり、最初の2500トランザクションまではデバイス内でキューイングし、それ以
降はリクエストを拒否します。
SLMではモニターをスケジュール化することにで、リクエスト数の多い曜日や時間を事
前に定義し、その時間帯のみSLMを実行することができます。また、DataPowerを2,3
台の冗長構成を組んでいる場合、デバイスをまたがったSLM実行が可能です。
SLMの構成方法は2つあります。
•処理ポリシー内で設定
処理ポリシー内のSLMアクションとして定義します。Webサービス・プロキシーでは
SLMアクションのアイコンが用意されています。マルチプロトコル・ゲートウェイにはSLM
アクションのアイコンが用意されていないため、Advancedアイコンより設定します。その
他のプライマリー・サービスではSLMはサポートされていません。
•Webサービス・プロキシーのSLMタブから設定
この設定方法が一番簡単な設定です。SLM用のタブが用意されています。
上図のプロンプトの画面はSLMポリシーで閾値を越えてリクエスト拒否した場合のクライ
アントに対するレスポンスです。Rejected by SLM Monitorというエラーメッセージよりリ
クエストが拒否されていることが確認できます。
49
03.
システム管理
WebサービスプロキシーSLMタブでの定義
を簡単に設定可能
•SLM
タブからは簡単に設定が可能
SLM
の階層ごとに
設定が可能
リクエスト数、エラー
数で閾値を設定
リクエスト数orエラー
数でモニタリング
グラフによるリアルタイム表示が可能
WSDL
アクション
ログ出力
リクエスト拒否
キューイング 2500トランザクション
までキューイングそれ以降は拒否
ピアーグループの設定
複数デバイスをまたがった
SLMの実行が可能
クレデンシャル、リソースマッピング、
スケジュールなど設定(後述)
基盤構築
2007/07 WebSphere DataPower SOA
Webサービス・プロキシーの場合はSLMタブが提供されているため、簡単にSLMの設
定を行うことができます。
ここでは、WSDLの階層ごとにリクエスト数あるいはエラー数に対してインターバルと閾
値を設定し、アクションはnotify:ログ出力、reject:リクエスト拒否、shape:キューイングの
いずれかを選択します。
エラー数をカウントすることで、不正な攻撃に対応し、DataPowerやバックエンドサー
バーのリソースの保護が可能です。
設定した右のGraphをクリックすると、リクエスト数、エラー数、リクエスト拒否数、遅延時
間、メッセージカウント数をリアルタイムでグラフィカル表示が可能です。
Peersでは、デバイスが複数あり、SLM設定を共有させたい場合に定義します。この
フィールドには別デバイスのIPアドレス:ポートを入力します。ポートはXML
Management Interfaceのポートを使用します。NETWORK-XML Management
Interfaceより確認できます。デフォルトは5050です。2台以上デバイスがある場合も全て
ここで定義します。
その他、スケジュール設定やより詳細にモニター対象を定義する場合はStatements
フィールドより設定します。
50
03.
システム管理
SLMポリシーの構成
処理ポリシー内のSLMアクションはSLMポリシーを参照
SLMクレデンシャルクラス
SLMリソースクラス
SLM
SLMスケジュール
関連オブジェクト
アクション
SLM
閾値
SLMアクション
ポリシー
SLM
ステートメント
SLM
クレデンシャル
クラス
リソース
クラス
スケジュール
モニタリング対象の設定
閾値
アクション
基盤構築
2007/07 WebSphere DataPower SOA
Webサービス・プロキシーでより詳細にSLM設定を行う場合とマルチプロトコルゲート
ウェイでSLM設定を行う場合は、階層構造となっているSLM関連オブジェクトを定義す
る必要があります。
処理ポリシー定義内のSLMアクションからはSLM設定を全て完了することができません。
SLMアクションはSLMポリシー名が定義されているのみなので、SLMポリシー以下のオ
ブジェクトを定義する必要があります。実際には、OBJECTS-SLM Policyより設定しま
す。
SLMポリシー定義内にSLMステートメントオブジェクトがあり、ここで様々なモニタリング
の設定を行います。
•クレデンシャルクラス、リソースクラス モニター対象のオブジェクトを定義します。
•スケジュール モニター実行時間や曜日を設定します。
クレデンシャルクラス、リソースクラスはモニター対象を定義するためどちらかの設定す
ればよいです。
スケジュールは必須ではありません。
51
03.
システム管理
SLMクレデンシャル/リソースクラス
クレデンシャル・タイプ
以下からクレデンシャルを取得
•AAAクレデンシャルマッピング
•AAAユーザー名
•クライアントIP
•カスタムスタイルシート
•IPアドレス
•MQアプリケーション
•リクエストヘッダー
リソース・タイプ
以下からリソースを取得
•AAAリソースマッピング
•継続コネクション
•継続トランザクション
•カスタムスタイルシート
•宛先URL
•フロントURL
•エラーコード
•リプライMQキュー名
•リクエストMQキュー名
•リクエストメッセージ
•レスポンスメッセージ
•SOAPフォルト
•WSDL各階層
•Xpath
・・・など
マッチングの値を指定
、
アクション前に
は
アクションがある場合のみ指定可能
aaa-mapped-xxx aaa-username
SLM
AAA
はセキュリティ
セッションで・・
AAA
基盤構築
2007/07 WebSphere DataPower SOA
SLMクレデンシャルクラス、SLMリソースクラスはメッセージ・マッチングと同様でどのリク
エストをモニター対象とするかの設定を行います。
•SLMクレデンシャルクラス
クライアントIPアドレス、リクエストヘッダー、ユーザー名などのクレデンシャル情報が設
定可能です。マッチングの値はCredential Valueに指定します。
•SLMリソースクラス
宛先URL、エラーコード、MQのキュー名、WSDLの各階層、リクエスト/レスポンスメッ
セージなど様々なリソースから設定が可能です。マッチングの値はResource Valueに
指定します。
aaa-mapped-XXXとはAAAアクションにてマッピングされたクレデンシャル情報、ユー
ザー名、リソースをモニター対象とします。これにより、 aaa-mapped-XXXを指定する場
合は、SLMアクションの前にAAAアクションを置く必要があります。AAAアクションの詳
細はセキュリティセッションをご参照ください。
52
03.
システム管理
SLMスケジュール/アクション
スケジュール機能により、リクエ
ストピーク時間のみSLM機能を
使用可能
SLM
を実行する曜日・時間の指定が可能
実行アクション
ログ出力
リクエスト拒否
キューイング(最初の2500トランザクションまで保
管、以後拒否)
基盤構築
2007/07 WebSphere DataPower SOA
SLMをスケジューリングして実行する場合はSLMスケジュールより設定します。ここでは、
曜日、開始時間、実行時間(分)を定義します。
閾値を超えた場合のアクションはSLMアクションのTypeより選択します。
53
03.
システム管理
SLMポリシー/SLMステートメント
定義済オブジェクトを紐付
け
SLMポリシー内の複数ステートメン
ト実行の制御
全ステートメントを実行
閾値に達し最初のアクション実行
以降はステートメント実行中止
閾値に達し最初のreject実行以降
はステートメント実行中止
アクション実行の閾値
に関する設定
SLM
全てカウント
エラーをカウント
サーバー遅延を計測
デバイス処理時間を計測
サーバー遅延、デバイス処理時間計
基盤構築
2007/07 WebSphere DataPower SOA
SLMポリシーの「Main」タブでは、ステートメントを複数指定した場合の実行制御を選択
することができます。インターバル以内でのアクション実行を制御します。複数指定しな
い場合はデフォルト値(terminate-at-first-reject )を受け入れてください。
•execute-all-statements
全ステートメントを実行
•terminate-at-first-action
閾値に達した場合、最初のSLMアクションを実行後は他
のステートメントの実行を中止します。これにより最初のアクション実行後はインターバル
時間以内はSLMを実行しません。インターバル時間が経過すると再びSLMを実行しま
す。
•terminate-at-first-reject
閾値に達した場合、最初にリクエスト拒否実行後は他のス
テートメントの実行を中止します。これにより最初のリクエスト拒否実行後はインターバル
時間以内はSLMを実行しません。インターバル時間が経過すると再びSLMを実行しま
す。
さらに、複数デバイスでSLMを共有する場合は、Peer Groupに別デバイスのIPアドレ
ス:ポートを入力します。(WebサービスプロキシーSLMタブでの定義参照)
「Statement」タブでは、クレデンシャルクラス、リソースクラス、スケジュール、アクション
など定義済オブジェクトとの紐付けを行います。また、Threshold levelに閾値を設定し
ます。Threshold Typeでは、メッセージカウントの方向、エラーなどが選択可能です。
54
03.
システム管理
複数デバイスでのSLM実行
DMZ
定義
タ
を定義
SLM Policy
orSLM
Peer Group
ブから
ピアーグループ
SLM
負荷分散装置
データを共有
で定期的にテーブルを更新
どのデバイスでリクエストを受信してもカウ
ントされる
サービス・プロバイダー
Web
SLM
HTTP/SOAP
基盤構築
2007/07 WebSphere DataPower SOA
DataPowerの一般的な構成は負荷分散装置をDataPowerの前段に配置し、2台以上
のDataPowerをactive-activeで稼動する構成です。この場合でも、複数DataPowerを
SLMピアーグループとして定義することにより、SLM実行をデバイスをまたがって実行
することが可能です。
SLMピアーグループの設定を行うと、SLMデータが共有され、またそれぞれのデバイス
でレプリケーションテーブルを保持し、レプリカをとります。そのため、どのデバイスがリク
エストを受信してもレプリケーションテーブルが更新されるため、ピアーグループ全体と
してリクエスト数をカウントすることができます。
一般的なIPベースのファイアーウォールではWebサービスのリクエストの監視まで行うこ
とができません。DataPowerおよびバックエンドサーバーのリソースを保護するためには
非常に便利な機能です。
55
03.
システム管理
モニタリングまとめ
サービスタイプ
メッセージモニター
SLM
Webサービス
Webサービス
モニター
XSLプロキシー
XSLプロキシー
XMLファイアウォール
XMLファイアウォール
Webサービス
Webサービス
プロキシー
マルチプロトコル
ゲートウェイ
Webアプリケーション
Webアプリケーション
ファイアウォール
エラーポリシー内でカウ
ントモニター設定が可能
基盤構築
2007/07 WebSphere DataPower SOA
様々なモニタリングをご紹介しましたが、モニター機能とプライマリー・サービスの一覧が
こちらの表になります。
メッセージ・モニターは全てのプライマリー・サービスで使用することが可能です。但し、
Webアプリケーション・ファイアーウォールではカウント・モニターのみ使用可能で、持続
時間モニターは使用することができません。
SLMはWebサービス・プロキシーとマルチプロトコル・ゲートウェイのみで使用可能です。
Webサービス・モニターはXMLファイアーウォールとマルチプロトコル・ゲートウェイのみ
使用可能です。プライマリー・サービスとの定義は「Monitor」タブの「Service Level
Monitors」からWebサービス・モニターを選択します。
56
03.
システム管理
システム管理まとめ
DataPowerはサービス稼動まで7ステップで構築可能
初期セットアップ以外はWebGUIから管理が可能
ドメインを分けることにより、テスト環境を複数構築可能
管理者が必要とする様々なツールが用意されている
Probe
トラブルシューティング機能
ステータス管理
モニタリング
不正な攻撃から防御し、バックエンドサーバーも保護することが可能
バックエンドサーバーのサイトダウン、スローダウンを未然に防止する
ことが可能
モニタリング対象は様々なリソースを設定可能
SLMは複数デバイス間でもデータの共有が可能
基盤構築
2007/07 WebSphere DataPower SOA
57