Het beheer van Oracle Fusion Middleware Infrastructuren

Transcriptie

1 Het beheer van Oracle Fusion Middleware Infrastructuren Speaker : Date : Edwin van der Veen en Nicolay Moot 28 september 2016 eveen@transfer-solutions.com & nicolay.moot@transfer-solutions.com

2 Wie zijn wij Nicolay Moot IdM & IAM BI, ODI, Forms, SOA Edwin van der Veen ADF, IdM, Forms, BI 2

3 Consultancy Projecten Software ontwikkeling Transfer Solutions Managed Services Remote FMW ondersteuning Remote DBA ondersteuning 24/7 Monitoring Applicatiebeheer Education Opleidingen op Oracle gebied 3

4 Inleiding 24/7 beschikbaarheid wordt steeds belangrijker Security komt steeds vaker in beeld Data en sessie verlies is niet meer acceptabel Performance moet beter Beheer is controle over de inrichting van de infra 4

5 5

6 6

7 7

8 Agenda HA Infrastructuren Security Performance Patching Monitoring 8

9 Fusion MiddleWare 12c 12c met repository(rac) RCU zit in infrastructure, infrastructure is de basis voor een FMW installatie. Geen opmn meer. Configuraties gaan via mbeans Oude opmn instances nu in WL_domain en worden componenten genoemd. 9

10 10

11 Voorbeeld componenten HA Om te beginnen. 11

12 Welke componenten heb je nodig voor een full HA omgeving Loadbalancer geconnected aan minimaal 2 OHS servers. OHS met mod_wl_ohs cluster configuratie Cluster met meerdere Managed servers Configureer Session Replication op clusterniveau De applicatie moet cluster aware zijn. JDBC (Gridlink datasource RAC) 12

13 Infrastructuren Voordeel van een cluster, high available en schaalbaar. Berekening aantal servers. Aantal concurrent users per applicatie. Meten hoeveel 1 actieve user aan memory verbruikt. Session replication mod_wl_ohs Enable weblogic plugin Gridlink datasource Multicast 13

14 Replication channel op managed server niveau Applicatie moet verwijzen naar de Replication group naam 14

15 <IfModule weblogic_module> # DebugConfigInfo ON # Debug ALL # Defines the amount of time the plug-in waits for a response to a request from WebLogic Server WLIOTimeoutSecs 1500 </IfModule> ##Voor debugging van Headers die de http server ontvangt en vi aweblogic module doorstuurd naar de weblogic servers. ##Vanaf een loadbalancer worden er headers doorgestuurd naar de http server (X-Forwarded for) om client ip adres mee te geven aan de applicatie ##Debug HFC,HTW,HFW,HTC ##WLLogFile /u01/app/oracle/mwruntime/instances_tls/instance1/diagnostics/logs/ohs/ohs1/weblogic_cluster.log # Require all granted Require ip /24 #Order Deny,Allow (Wordt in 12c niet meer gebruikt) <VirtualHost :443> <IfModule ossl_module> # SSL Engine Switch: # # Enable/Disable SSL for this virtual host. SSLEngine on # Client Authentication (Type): # Client certificate verification type and depth. Types are # none, optional and require. (VOOR TWO WAY SSL) SSLVerifyClient None # SSL Protocol Support: # Configure usable SSL/TLS protocol versions. SSLProtocol +TLSv1.1 +TLSv1.2 # List the ciphers that the client is permitted to negotiate. SSLCipherSuite TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TL S_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, etcetera <Location /application_name> ProxyPass! SetHandler weblogic-handler WebLogicCluster as20.domain.nl:9011,as21.domain.nl:9011,as22.domain.nl:9011 </Location> 15

16 Weblogic 16

17 Members online Configuratie van multicast gaat via cluster messaging. Doel MS servers geven signalen over hun beschikbaarheid.(jndi) Type unicast alle members zenden info naar 1 punt. Op alfabetische volgorde zal de leader worden gekozen. Ms1, Ms 2 (Ms1 zal group leader zijn) Unicast gaat over tcp/ip, multicast over broadcast De default is unicast messaging. 17

18 Security SSL offloading (Waar wordt het certificaat geplaatst) SSL certificaat sha2(56) minimaal 2048 bits (sinds2010) TLS protocollen (OHS of 12C) Transport Layer Security Cypher suites -- Om connectie te maken en onderhandelen met client om via het TLS protocol te communiceren. Ldaps Wallet in de database 18

19 SSL sha256 en 2048bits Sha2=sha256 secure hash algoritme en wordt gebruikt door de CA om een SSL certificaat mee te signen 2048 bits is de lengte van de server key hier wordt een csr mee aangemaakt. Clients zijn voorzien van de root certificaten van de CA s Een certificaat is klaar voor gebruik als de chain compleet is. 19

20 Wat is One-way SSL: Dit is de traditionele ssl en bestaat uit een volledige chain van certificaten en is voor iedereen toegangelijk. 20

21 Wat is Two-Way SSL: Two way SSL betekend dat er geauthoriseerd moet worden d.m.v. een client certificaat waarmee de chain complete wordt gemaakt en je op deze manier toegang krijgt. Bij deze methode wordt de chain gesplitst op meerdere niveau s en wordt er ook gekeken of je client certificaat nog geldig is door middel van een CRL (Certification Revocation List) van de CA (Certificate Authority) die de certificaten heeft uitgeleverd. 21

22 Truststore identity store De identity store bevat het server certificaat dat bijvoorbeeld voor een webservice wordt gebruikt, deze wordt omgezet naar een oracle wallet en op de Oracle http server geplaatst. De Trust store bevat alle root certificaten van de Certificate Authorities die de client certificaten aan klanten hebben uitgegeven voor de authenticatie. 22

23 Ldaps, connectie naar de loadbalancer Op het niveau van de managed servers kan dit worden ingesteld, java keystore kan makkelijk worden gemaakt met de tool keystore explorer. 23

24 24

25 25

26 Security Deel 2 26

27 Nodemanager security 27

28 Het wachtwoord 28

29 Secure Listener 29

30 Performance 30

31 Performance JVM tuning Managed servers Open files, current open files JDBC connecties, current open database connecties vanaf de managed servers Disk i/o 31

32 JVM tuning JVM tuning Probeer verschillende GC s uit. -verbosegc voor GC output om te lezen met GCViewer. Zorg voor een stabiel JVM beeld in jvisualvm. Veel GC s veroorzaakt hoge CPU load. Tooling NetBeans GCViewer jvisualvm 32

33 JVM tuning G1GC More than 50% of the Java heap is occupied with live data. The rate of object allocation rate or promotion varies significantly. Undesired long garbage collection or compaction pauses (longer than 0.5 to 1 second) html 33

34 JVM tuning GC problemen 34

35 Open files/current open files Open files monitoring met lsof in linux # lsof # lsof -u oracle # lsof -u ^oracle # lsof -i # lsof -i TCP:443 /etc/security/limits.conf ulimit a ulimit n # (file handles) 35

36 Connection pooling Open sessions Open cursors Cursor cache JDBC connections 36

37 JDBC pooling Connection tuning Initial is waar de server mee start en kan kleiner zijn dat minimum. Nadat er genoeg resources over zijn wordt de waarde van minimum capacity gebruikt. Maxiumum connections kan niet hoger zijn dan het aantal processes in de database. 37

38 JDBC connections Open sessions Count from v$session where state is ACTIVE 38

39 Open cursors JDBC open cursors 39

40 Cursor session cache JDBC caching 40

41 DISK I/O Wait times top Iostat en iotop lsof p [proc] 41

42 DISK I/O met IOTOP 42

43 Patching Waarom patchen? Wanneer patchen? 43

44 Patching CPU SPU PSU Bundles Kwartaal Kwartaal security patches Security leaks Kwartaal 44

45 Monitoring Wat monitoren? OS CPU/Memory/Diskspace JVM processen JVM Threads JVM Memory usage Endpoints Webpage check Transport van berichten Restful data service in FMW 12c 45

46 Monitoring 46

47 Monitoring 47

48 Questions A n s w e r s CONSULTING MANAGED SERVICES EDUCATION 48