如何在DMZ中创建能通可用的概要文件
一、DMZ的概念
在WAS文档的词汇表提到,DMZ——非保护区 (demilitarized zone, DMZ),一种配置,包括多个防火墙,以便在企业内部网和诸如因特网之类的公用网络之间添加保护层。[1]
更详细的解释,可以参考百度百科:DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。[2]
简而言之,DMZ旨在内外网之间构造一个安全地带。
二、如何在DMZ创建集群通信无阻可用的概要文件
实际生产中,存在在DMZ安装WAS的需求,WAS或作为一个web服务器,或在其上部署web service简单应用通过开放的端口转发web service请求,如何在限制较大的DMZ中创建的概要文件保证管控节点和受控之间通信无碍,这是和在纯企业内网中创建概要文件是有很大差异的。
我们知道集群中主控节点dmgr和受控节点nodeagent之间需建立信任关系、确保之间通信无碍的。如果没有注意到DMZ网络受限的特点,即便概要文件创建成功,但是管控节点和受控节点无法通信,那也是无济于事的。在多次屡败屡战后,简单总结如下:
1、DMZ主机的hosts要使用DMZ私网的IP地址,不能使用该主机被映射的企业内部网络的IP地址,如下所示,192.168.32.5-6均为DMZ私网的IP地址:
[was@localhost ~]$ cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
192.168.32.5 agent01
192.168.32.6 agent02
127.0.0.1 agent01 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
2、使用manageprofiles.sh创建集群管理节点和受控节点概要文件时,受控节点请勿先行指定cellName:
export WAS_HOME=/opt/IBM/WebSphere/AppServer
export PRO_HOME=$WAS_HOME/profiles
#创建管理节点dmgr概要文件
$WAS_HOME/bin/manageprofiles.sh -create -templatePath $WAS_HOME/profileTemplates/dmgr -profilePath $PRO_HOME/dmgr01 -nodeName agent01ManagerNode -cellName agentCell -profileName dmgr01 -hostName `hostname`
#创建管理节点dmgr概要文件简化版
$WAS_HOME/bin/manageprofiles.sh -create -templatePath $WAS_HOME/profileTemplates/dmgr -profilePath $PRO_HOME/dmgr01 -profileName dmgr01 -hostName `hostname`
export WAS_HOME=/opt/IBM/WebSphere/AppServer
export PRO_HOME=/opt/IBM/WebSphere/AppServer/profiles
#创建受控节点概要文件
$WAS_HOME/bin/manageprofiles.sh -create -templatePath $WAS_HOME/profileTemplates/managed -profilePath $PRO_HOME/app01 -profileName app01 -hostName `hostname`
3、节点加入集群时,addNode.sh只能使用管理节点dmgr的DMZ私网IP地址,不能使用hostname
#代理节点(nodeagent)加入管理节点(dmgr),注意使用DMZ的私网IP地址,dmgr不能使用hostname,否则DMZ私网网络无法辨识出来
export WAS_HOME=/opt/IBM/WebSphere/AppServer
export PRO_HOME=$WAS_HOME/profiles
$PRO_HOME/app01/bin/addNode.sh 192.168.32.5 8879
上面只提到使用manageprofiles.sh命令创建概要文件的注意事项,如果使用GUI图形界面创建“单元(DeploymentManager和受管节点)”概要文件,那么只要在创建过程中将需要指定主机名的环节中注意替换为DMZ的私网IP地址,也一样可以做到。
[1] 非保护区 (demilitarized zone, DMZ), WebSphere Application Server Network Deployment 8.5.5>Network Deployment(分布式操作系统)V8.5>词汇表>D. http://www-01.ibm.com/support/knowledgecenter/SSAW57_8.5.5/com.ibm.websphere.help.glossary.doc/glossary.html%23gloss_D?cp=SSAW57_8.5.5%2F1-21-3&lang=zh
[2] DMZ. http://baike.baidu.com/view/33936.htm?fr=aladdin
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞1Ctrl+Enter 发表
作者其他文章
评论 0 · 赞 3
评论 2 · 赞 1
评论 0 · 赞 0
评论 0 · 赞 0
评论 1 · 赞 2
添加新评论1 条评论
2015-02-10 13:51
如果你两个hostname对应一个ip直接用hostname可能有问题
但你单独添加的一个hostname对应的就是192.168.32.5应该可以吧
只是个人看法,不对望指正