7 Oracle Cloud Infrastructureデプロイメント用のリソースの調達
Oracle Cloud Infrastructure (OCI)にOracle Identity and Access Managementをデプロイする前に、自由に使用できるOCIリソースが十分にあることを確認する必要があります。
リソースの詳細は、「エンタープライズ・デプロイメント用のOracle Cloud Infrastructureの準備」を参照してください。
この章の内容は次のとおりです。
- OCI用のリソースの調達
Oracle Cloud Infrastructureデプロイメントのリソース要件を理解することが重要です。これらのリソースには、ロード・バランサ、コンピュート・インスタンス、ネットワーク、ゲートウェイ、OKEおよびデータベースが含まれます。 - サイジング
サイジング・ガイドラインでは、Oracle Identity and Access Managementリリース12.2.1.4.0のパフォーマンス推奨事項およびサイジング要件が提供されます。
親トピック: エンタープライズ・デプロイメントの準備
OCI用のリソースの調達
Oracle Cloud Infrastructureデプロイメントのリソース要件を理解することが重要です。これらのリソースには、ロード・バランサ、コンピュート・インスタンス、ネットワーク、ゲートウェイ、OKEおよびデータベースが含まれます。
これらのリソースの使用を示すOCIレイアウトの図は、図10-1を参照してください。
- ロード・バランサの要件
2つのロード・バランサが必要です。1つは内部トラフィック用で、もう1つは外部トラフィック用です。ロード・バランサのシェイプは、想定されるトラフィック・ボリュームに対して十分である必要があります。 - コンピュート・インスタンス
少なくとも3つのコンピュート・インスタンスが必要です。1つの要塞ノードと2つのWeb層。 - ネットワーク
1つの仮想クラウド・ネットワーク(VCN)が必要です。このネットワークは、セキュリティを強化するために複数のサブネットに分割されます。各サブネットには、セキュリティ・リストおよびルート表があります。 - ゲートウェイ
1つのパブリック・ゲートウェイと1つのサービス・ゲートウェイが必要です。 - Container Engine for Kubernetes (OKE)
OKEは、Oracleによって管理されるKubernetesコントロール・プレーンと、Kubernetesポッドをホストするために使用される多くのKubernetesワーカー・ノードで構成されます。 - データベース
必要なデータベースの数は、使用するディザスタ・リカバリ計画によって異なります。従来のアクティブ/パッシブ・ソリューションの場合、2つのプラガブル・データベース(PDB)を含む単一のコンテナ・データベース(CDB)を使用できます。
ロード・バランサの要件
2つのロード・バランサが必要です。1つは内部トラフィック用で、もう1つは外部トラフィック用です。ロード・バランサのシェイプは、想定されるトラフィック・ボリュームに対して十分である必要があります。
親トピック: OCI用のリソースの調達
コンピュート・インスタンス
少なくとも3つのコンピュート・インスタンスが必要です。1つの要塞ノードと2つのWeb層。
- 要塞ノード: 要塞ノードを使用して環境を設定し、Kubernetesクラスタ内の内部リソースにアクセスできるようにします。これらに直接アクセスすることはできません。要塞ノードは、日常作業を実行しないため、使用可能な最小のシェイプにすることができます。要塞ノードは、Oracle Identity Role Intelligenceの管理ノードとしても使用できます。
- Web層ノード: 少なくとも2つのWeb層コンピュート・インスタンスが必要です。これらのインスタンスには、想定されるトラフィック・フローを処理するための十分なリソースが必要です。オンプレミスと同様にこれらのサイズを設定できます。
親トピック: OCI用のリソースの調達
ネットワーク
1つの仮想クラウド・ネットワーク(VCN)が必要です。このネットワークは、セキュリティを強化するために複数のサブネットに分割されます。各サブネットには、セキュリティ・リストおよびルート表があります。
Oracle仮想クラウド・ネットワーク(VCN)は、Oracle Cloud Infrastructure (OCI)のカスタマイズ可能なプライベート・クラウド・ネットワークを提供します。従来のデータ・センター・ネットワークと同様に、VCNでは、クラウド・ネットワーキング環境を完全に制御できます。プライベートIPアドレス空間の割当て、サブネットとルート表の作成、およびステートフル・ファイアウォールの構成を行うことができます。
親トピック: OCI用のリソースの調達
ゲートウェイ
1つのパブリック・ゲートウェイと1つのサービス・ゲートウェイが必要です。
パブリック・ゲートウェイ: パブリック・ゲートウェイは、インターネットへの直接接続を可能にするためにVCNに追加できるオプションの仮想ルーターです。ゲートウェイでは、VCN内から開始された接続(エグレス)およびインターネットから開始された接続(イングレス)がサポートされます。
サービス・ゲートウェイ: サービス・ゲートウェイによって、パブリックIPアドレスを持たないクラウド・リソースがOracleサービスにプライベート・アクセスできます。
親トピック: OCI用のリソースの調達
Container Engine for Kubernetes (OKE)
OKEは、Oracleによって管理されるKubernetesコントロール・プレーンと、Kubernetesポッドをホストするために使用される多くのKubernetesワーカー・ノードで構成されます。
各デプロイメントによって、多数のポッドが作成されます。デプロイメントをホストするために十分な大きさのシェイプのワーカー・ノードが必要です。
OKEクラスタ
エンタープライズ・デプロイメントに必要なOKEクラスタは1つのみです。
OKEワーカー・ノード
Identity and Access Managementデプロイメントをホストするために十分なOKEノードが必要です。これらのノードのシェイプは、容量要件および使用するワーカー・ノードの数によって異なります。参照用として、完全なエンタープライズ・デプロイメントで次のKubernetesポッドを実行することを想定できます:
表7-1 エンタープライズ・デプロイメントで必要なKubernetesポッド
ポッド | 数量 |
---|---|
OUDサーバー |
2 |
WebLogic Operator |
1 |
OAMヘルパー |
1 |
OAM管理サーバー |
1 |
OAMサーバー |
2 |
OAMポリシー・サーバー |
2 |
OIGヘルパー |
1 |
OIG管理サーバー |
1 |
OIGサーバー |
2 |
OIRIサーバー |
2 |
OIRI UIサーバー |
2 |
Sparkサーバー |
2 |
OAAキャッシュ |
6 |
OAAサーバー |
2 |
OAA管理サーバー |
2 |
OAAポリシー・サーバー |
2 |
OAA SPUIサーバー |
2 |
OAA認証ファクタ |
2/ファクタ |
OAAリスク分析 |
2 |
OAAリスク・コンソール |
2 |
ノート:
この表は、トポロジにデプロイされるOracleコンポーネントの推奨最小値を示しています。親トピック: OCI用のリソースの調達
データベース
必要なデータベースの数は、使用するディザスタ・リカバリ計画によって異なります。従来のアクティブ/パッシブ・ソリューションの場合、2つのプラガブル・データベース(PDB)を含む単一のコンテナ・データベース(CDB)を使用できます。
OIRIを使用している場合は、分析情報を保持するために別のデータベースが必要です。処理ワークロードはコアのアイデンティティ管理コンポーネントと異なるため、これは別のデータベースである必要があります。
ディザスタ・リカバリ計画でOracle Access Managerアクティブ/アクティブおよびOracle Identity Governanceアクティブ/パッシブを使用する場合は、2つの別個のデータベースが必要です。
作成するデータベースは、可用性の高いReal Application Clusterデータベースである必要があります。データベース要件の詳細は、「エンタープライズ・デプロイメント用の既存のデータベースの準備」を参照してください。
親トピック: OCI用のリソースの調達
サイジング
サイジング・ガイドラインでは、Oracle Identity and Access Managementリリース12.2.1.4.0のパフォーマンス推奨事項およびサイジング要件が提供されます。
サイジング・ガイドラインは、Oracle Access Management 12.2.1.4.0のパフォーマンスの詳細を参照してください。