ビュー:
Deep SecurityはOracle RACをサポートしています。サポートされているOracle RACのバージョンの一覧については、データベースソフトウェアの要件を参照してください。
デフォルトのLinux Server Deep Securityポリシーは、Oracle RAC環境と互換性がありますが、ファイアウォール設定は除外されます。RACノード間には複雑な通信チャネルがあるため、ファイアウォールの干渉により、RACノードは仮想NICの作成やNICのスキャンに失敗します。その結果、一部のノードでOracle Clusterwareが起動しなくなります。ファイアウォールを無効にするか、ファイアウォール設定をカスタマイズすることができます。

ノード間の接続を許可するルールを追加する

  1. Deep Security Managerで、[ポリシー] タブに進みます。
  2. [Linuxサーバ]ポリシーを右クリックし、[複製]をクリックします。
  3. 新しい[Linuxサーバー_2]ポリシーをクリックし、[詳細]をクリックします。
  4. このポリシーに新しい名前 (「Oracle RAC」など) を付け、[保存] をクリックします。
  5. [ファイアウォール]をクリックします。
  6. [割り当て/割り当て解除]をクリックします。
  7. [新規]→[新規ファイアウォールルール]をクリックします。
  8. [一般情報]の下で、[名前]を「Oracleノードとの通信を許可する」のような説明的なものに設定します。[処理]を「強制許可」に設定し、[プロトコル]を「任意」に設定します。
  9. [パケット送信元]の下で、[MAC]を「MACリスト」に設定します。表示される[MACリストの選択]で「新規」を選択します。「新規MACリストプロパティ」ダイアログボックスが表示されます。
  10. MACリストに「Oracle RAC MACリスト」のような名前を付けます。[MAC:(1行あたり1つのMAC)]の下に、すべてのOracleノードで使用されるすべてのMACアドレス (プライベートおよびパブリックNICのMACを含む) を追加します。完了したら[OK]をクリックします。
  11. [パケット送信先]の下で、[MAC]を「MACリスト」に設定します。表示される[MACリストの選択]で、手順10で作成したMACリストを選択し、[OK]をクリックします。
  12. ポリシーの [ファイアウォールルール] リストで、新しいルールが選択されていることを確認して [OK] をクリックし、[保存] をクリックします。

UDPポート42424を許可するルールを追加する

上記の手順に従って、UDPポート42424を許可する新しいルールを追加します。このポート番号は、Cluster Synchronization Serviceデーモン (CSSD)、Oracle Grid Interprocess Communicationデーモン (GIPCD)、およびOracle HA Servicesデーモン (OHASD) で使用されます。
注意
注意
上記の手順で作成したMACリストでは、このルールに対応できない可能性があります。このルールはOracle RACにとって不可欠です。
2016-07-06_000089_DS10=1a9c18bd-f4f6-4d7c-8cce-0dee26df9121.png

その他のRAC関連パケットを許可する

Oracle RACは、フレームの種類がC08Aおよび0ACBのパケットを大量に送信します。それらをブロックすると、予測不可能な動作が発生する可能性があります。
  • [TCPポート6200を許可する::RACノードのパブリックIPアドレスを[IP]フィールドの[パケット送信元]および[パケット送信先]の下に追加し、宛先ポートを6200に設定します。このポート番号はOracle Notification Services (ONS) によって使用されます。このポートは設定可能なので、システム上の値を確認し、6200以外の場合は正しいポート番号を設定してください。
    2016-07-06_000091_DS10=072560af-4a47-414e-a8a0-610d64e57265.png
  • フレームの種類C0A8を許可する:: にルールを追加し、[フレームの種類] を「Other」に設定し、[フレーム番号] を「C0A8」に設定します。
    2016-07-06_000093_DS10=79bc0cc8-8a94-48a3-aaf0-d0e55352e02c.png
  • フレームの種類0ACBを許可する::にルールを追加し、[フレームの種類]を「Other」に、[フレーム番号]を「0ACB」に設定します。
  • フレームの種類0AC9を許可する::に「その他」と設定された[フレームの種類]および「0AC9」と設定された[フレーム番号]を持つルールを追加します。
  • IGMPプロトコルを許可する::に「IGMP」を設定して[プロトコル]を追加します。
    2016-07-06_000097_DS10=156c76d3-f007-4e02-90cf-edc4aa8a72a7.png
特定のポートを許可するファイアウォールルールを追加する必要があるRAC関連コンポーネントがシステムに含まれているかどうかは、次のリンクで確認してください。
https://docs.oracle.com/database/121/RILIN/ports.htm#RILIN1178

Oracle SQL Serverルールが割り当てられていることを確認する

「Oracle SQL Server」ファイアウォールルールがLinuxサーバポリシーに割り当てられていることを確認してください。これはポート1521を許可する事前定義されたDeep Securityファイアウォールルールです。

回避技術対策の設定が「標準」に設定されていることを確認する

Linuxサーバポリシーのプロパティでは、[設定]→[ネットワークエンジン]→[回避技術対策設定]はデフォルトで「Normal」に設定されています。この設定が「Strict」に設定されている場合、RACデータベースの応答が非常に遅くなります。
2016-07-06_000090_DS10=8166c199-fbe6-4554-a97d-4d2d1c47b793.png