本任务描述在防火墙内侧的单元与防火墙外侧的DMZ Secure Proxy Server for IBM® WebSphere® Application Server之间建立通信时必须执行的步骤。
开始之前
- 如果在防火墙外侧的机器上还不存在DMZ Secure Proxy Server for IBM WebSphere Application Server,请创建一个。
- 如果在位于防火墙内侧但驻留在不同单元中的核心组之间还不存在核心组网桥,请配置这些网桥。
- 阅读高级核心组网桥配置主题,该主题描述了如何使用隧道访问点组在防火墙内侧的单元与DMZ Secure Proxy Server for IBM WebSphere Application Server之间设置核心组网桥隧道。
关于此任务
避免故障: 配置核心组网桥时,请记住下列要求:
- 每当在核心组网桥配置中进行更改时(包括添加新网桥或删除现有网桥),都必须完全关闭然后重新启动受影响访问点组中的所有核心组网桥。
- 在每个核心组中,都必须至少有一个运行中的核心组网桥。如果您在每个核心组中配置两个网桥,那么单个服务器故障不会中断网桥功能。此外,配置两个网桥可让您定期关闭其中一个网桥。如果核心组中的所有核心组网桥都关闭,那么来自所有外部核心组的核心组状态都将丢失。
gotcha
最佳实践: 另外,还有如下建议:
- 在核心组网桥自己的专用服务器进程中配置核心组网桥,并且这些进程有自己的监视策略集以便自动重新启动。
- 对于每个核心组,将 IBM_CS_WIRE_FORMAT_VERSION 核心组定制属性设置为环境支持的最高值。
- 为了节约资源,请不要在定义核心组访问点时创建两个以上的核心组网桥接口。可以将一个接口用于工作负载,而将另一个接口用于高可用性。确保这些接口位于不同的节点上以实现高可用性。有关更多信息,请参阅关于核心组网桥的常见问题信息。
- 通常只应该为每个核心组指定两个网桥接口。要实现高可用性,要求至少具要两个网桥接口。如果网桥接口超过两个,那么会增加不必要的内存和 CPU 开销。
bprac
完成下列操作,以便创建包含DMZ Secure Proxy Server for IBM WebSphere Application Server的核心组访问点的隧道访问点组,并创建一个代表防火墙内侧的单元的隧道对等访问点。
过程
- 在管理控制台中,单击以便创建新的隧道模板,该隧道模板将代表可以导出到DMZ Secure Proxy Server for IBM WebSphere Application Server的核心组网桥隧道设置。
- 选择要包括在此组中的核心组访问点。
指定隧道访问点组的核心组访问点时,请使用箭头按正确顺序来安排核心组访问点。指定的顺序确定DMZ Secure Proxy Server for IBM WebSphere Application Server定义隧道对等访问点的对等核心组的顺序。在启动期间,代理服务器将尝试根据对等核心组的列示顺序来连接到这些核心组。
- 单击确定。
- 单击隧道模板,选择刚刚创建的模板的名称,然后单击导出。
此文件将被导出到 WAS_DMGR_PROFILE_ROOT/TUNNEL_TEMPLATE_NAME.props 文件。
- 在DMZ Secure Proxy Server for IBM WebSphere Application Server上,将隧道模板设置导入到DMZ Secure Proxy Server for IBM WebSphere Application Server配置文件中。
要导入隧道模板,请发出下列其中一个命令:
$AdminTask importTunnelTemplate -interactive
或
$AdminTask importTunnelTemplate {-inputFileName tunnel_template_name
-bridgeInterfaceNodeName DMZ_PROXY_NODE_NAME
-bridgeInterfaceServerName secure_proxy_name}
然后,发出 $AdminConfig save 命令。
其中,tunnel_template_name 是您对刚刚创建的隧道模板指定的名称,而 secure_proxy_name 是DMZ Secure Proxy Server for IBM WebSphere Application Server的名称。
- 可选: 配置高可用性管理器协议以建立透明网桥故障转移支持。
在核心组网桥状态重建期间,可以在运行中的网桥之间移动跨核心组状态。这种情况可能会导致数据在网桥完成重建过程之前暂时不可用。
如果您正在运行 V7.0.0.1 或更高版本,请对所有核心组将 IBM_CS_HAM_PROTOCOL_VERSION
核心组定制属性设置为 6.0.2.31,以避免在核心组网桥故障转移期间可能发生的高可用性状态中断。将此定制属性设置为 6.0.2.31 时,剩余的网桥会恢复失败网桥的高可用性状态,而不会造成在本地核心组中数据不可用。
请完成下列操作,以便对所有核心组将 IBM_CS_HAM_PROTOCOL_VERSION 核心组定制属性设置为
6.0.2.31。
- 关闭所有核心组中的所有核心组网桥。
- 对于每个单元中的每个核心组,重复下列操作:
- 在管理控制台中,请单击core_group_name > 定制属性。
- 在名称字段中指定 IBM_CS_HAM_PROTOCOL_VERSION,并在值字段中指定 6.0.2.31。
- 保存所做的更改。
- 在拓扑中同步更改。
- 重新启动拓扑中的所有网桥。
此拓扑中的所有核心组都将使用 6.0.2.31 高可用性管理器协议。
结果
这将创建一个包含
DMZ Secure Proxy Server for IBM WebSphere Application Server的核心组访问点的隧道访问点组,并且将创建一个代表防火墙内侧的单元的隧道对等访问点。