1. Informationen zum Deployment von Oracle E-Business Suite in Oracle Cloud Infrastructure
  2. Oracle E-Business Suite Topologie verstehen

Oracle E-Business Suite Topologie verstehen

Erfahren Sie mehr über die verschiedenen Ebenen in einem Oracle E-Business Suite-Deployment.

Bevor Sie beginnen

Bevor Sie mit der Bereitstellung oder Migration Ihrer Oracle E-Business Suite-Anwendung beginnen, geben Sie an, ob Oracle Cloud Infrastructure die Version der Oracle E-Business Suite-Anwendung unterstützt, die Sie bereitstellen möchten. Oracle Cloud Infrastructure unterstützt Oracle E-Business Suite Release 12.2 und 12.1.3.

Info zu logischen Hostnamen

Oracle empfiehlt, logische Hostnamen und keine physischen Hostnamen zu verwenden, wenn Sie die Oracle E-Business Suite-Datenbankebene und die Anwendungsebene einrichten. Die Vorteile der Verwendung logischer Hostnamen sind:

  • Stellen Sie die Möglichkeit bereit, die Datenbank- und Anwendungsebenen auf andere Rechner oder Rechenzentren zu verschieben, ohne einen Klon und eine Neukonfiguration auszuführen.

  • Reduzieren Sie die bei Failover erforderliche Neukonfiguration für hohe Verfügbarkeit, indem Sie denselben Hostnamen auf der aktiven und Standby-Site verwenden.

  • Vermeiden Sie es, die Datenbanken und Anwendungsebenen aufgrund von Änderungen der Netzwerkkonfiguration, wie z. B. einer Änderung des Hostnamens, neu zu codieren.

Über den Bastion Host

Ein Bastionshost ist eine optionale Komponente, die Sie mit Firewall-Policys verwenden können, um die Verwaltungsschnittstellen von Datenbank- und Anwendungsservern vor externem Zugriff zu schützen. Ein Bastionshost ist eine Oracle Cloud Infrastructure Compute-Instanz, die Linux oder Windows als Betriebssystem verwendet.

Platzieren Sie den Bastionshost in ein öffentliches Subnetz, und weisen Sie ihm eine öffentliche IP-Adresse zu, um über das Internet darauf zuzugreifen.

Um ein zusätzliches Sicherheitsniveau zu bieten, können Sie Sicherheitslisten einrichten, um nur über die öffentliche IP-Adresse Ihres On-Premise-Netzwerks auf den Bastionshost zuzugreifen. Sie können über den Bastionshost auf Oracle Cloud Infrastructure-Instanzen im privaten Subnetz zugreifen. Aktivieren Sie dazu das Weiterleiten von ssh-agent, mit dem Sie eine Verbindung zum Bastionshost herstellen können, und greifen Sie dann auf den nächsten Server zu, indem Sie die Zugangsdaten von Ihrem Computer weiterleiten. Sie können auch über dynamisches SSH-Tunneling auf die Instanzen im privaten Subnetz zugreifen. SSH-Tunneling ist eine Möglichkeit, auf eine Webanwendung oder einen anderen Listening-Service zuzugreifen. Der dynamische Tunnel stellt einen SOCKS-Proxy auf dem lokalen Port bereit, die Verbindungen stammen jedoch vom Remote-Host.

Load Balancer Tier

Verwenden Sie Oracle Cloud Infrastructure Load Balancing, um Traffic auf Ihre Anwendungsinstanzen über Availability-Domains innerhalb eines VCN zu verteilen. Dieser Service stellt eine primäre und Standby-Instanz des Load Balancers bereit, um sicherzustellen, dass der Standby-Load Balancer die Anforderungen weiterleitet, wenn der primäre Load Balancer heruntergefahren ist. Der Load Balancer stellt sicher, dass Anforderungen an die gesunden Anwendungsinstanzen weitergeleitet werden. Wenn ein Problem mit einer Anwendungsinstanz auftritt, entfernt der Load Balancer diese Instanz und leitet Anforderungen an die verbleibenden gesunden Anwendungsinstanzen weiter.

Je nach Ihren Anforderungen können Sie Load Balancer in einem öffentlichen oder privaten Subnetz platzieren.

  • Für interne Endpunkte, die nicht über das Internet zugänglich sind, verwenden Sie einen privaten Load Balancer. Ein privater Load Balancer verfügt über eine private IP-Adresse und ist nicht über das Internet zugänglich. Sowohl die primären als auch die Standbyinstanzen eines Load Balancers befinden sich im selben privaten Subnetz. Sie können über ein DRG auf private Load Balancer in VCN oder in Ihrem Rechenzentrum über das IPSec-VPN zugreifen. Der private Load Balancer akzeptiert Traffic aus Ihrem Rechenzentrum und verteilt den Traffic an zugrunde liegende Anwendungsinstanzen.

  • Verwenden Sie für internetorientierte Endpunkte einen öffentlichen Load Balancer. Ein öffentlicher Load Balancer verfügt über eine öffentliche IP-Adresse und ist über das Internet zugänglich. Über das Internetgateway können Sie über das Internet auf die öffentlichen Load Balancer zugreifen.

  • Um auf interne Endpunkte und internetorientierte Endpunkte zuzugreifen, richten Sie private Load Balancer und öffentliche Load Balancer ein. Richten Sie private Load Balancer ein, um den internen Traffic zu bedienen, und richten Sie öffentliche Load Balancer ein, um den Traffic aus dem Internet zu bedienen.

Registrieren Sie die öffentliche oder private IP-Adresse von Oracle Cloud Infrastructure Load Balancing-Instanzen in Ihrem On-Premise- oder Public Domain Nameserver (DNS) für die Domainauflösung Ihres Anwendungsendpunkts.

Info zur Application Tier

Die Application Tier befindet sich in einem Subnetz, das von den Subnetzen für Load Balancer und Datenbankinstanzen getrennt ist. Sie müssen mindestens zwei Application Instances in einer Availability-Domain bereitstellen, um sicherzustellen, dass die Application Instances in der Availability-Domain hoch verfügbar sind.

Sie können Oracle E-Business Suite mit mehreren Application Tier Nodes bereitstellen, die mit einer Oracle E-Business Suite-Datenbank arbeiten. Oracle empfiehlt, dass Sie Oracle E-Business Suite Multi-Tier-Setup mit Shared Application Binärdateien bereitstellen. Wenn Sie ein Shared Application Tier-Dateisystem verwenden, wird das Oracle E-Business Suite Application Tier-Dateisystem mit jedem Knoten in der Multi-Node-Umgebung geteilt.Erstellen Sie mit Oracle Cloud Infrastructure File Storage ein Shared File System, um Oracle E-Business Suite-Anwendungsbbinärdateien zwischen mehreren Application Hosts zu teilen und zu synchronisieren. Wenn Sie ein Shared File System für mehrere Application Hosts verwenden, reduziert es den Plattenspeicherbedarf und eliminiert die Notwendigkeit, Patches auf jeden Application Host in der Umgebung anzuwenden.

Trafficflüsse vom Load Balancer zu den Application Instances über bestimmte Ports, die Sie in den Sicherheitsregeln definieren. Richten Sie Sicherheitsregeln ein, um Traffic nur vom Load Balancer über Port 8000 und vom Bastionshost über Port 22 zuzulassen.

Mit dem Policy-basierten Backup-Feature von Oracle Cloud Infrastructure Block Volumes können Sie Oracle E-Business Suite-Anwendungsinstanzen sichern.

Informationen zur Datenbankebene

Oracle Cloud Infrastructure bietet mehrere Optionen zum Einrichten eines Oracle Database-Systems (DB-System). Stellen Sie DB-Systeme in ein separates Subnetz. Oracle empfiehlt, dass der Datenbankservice auf Oracle Cloud Infrastructure in einem privaten Subnetz erstellt wird. Verwenden Sie Sicherheitslisten, um den Zugriff auf die Datenbankserver nur über den Bastionshost, Anwendungsserver und On-Premise-Server einzuschränken.

Sie können die Datenbank mit einer virtuellen Oracle Compute-Maschine mit einem einzigen Code, einem DB-System für virtuelle Maschinen mit einem einzigen Code, einem Oracle Real Application Clusters -(RAC-)virtuellen Machine-DB-System mit zwei Knoten oder einem Oracle Exadata DB-System bereitstellen. Um eine hohe Verfügbarkeit innerhalb einer Availability-Domain bereitzustellen, empfiehlt Oracle die Verwendung eines virtuellen 2-Knoten-DB-Systems oder eines Oracle Exadata DB-Systems. Entweder das 2-Knoten-Virtual-Machine-DB-System oder das Oracle Exadata DB-System nutzt Oracle RAC und stellt ein 2-Knoten-Cluster für hohe Verfügbarkeit bereit. In beiden Fällen sind beide Instanzen der Datenbank in einer Availability-Domain aktiv. Von der Anwendungsebene empfangene Anforderungen werden über die Datenbankinstanzen hinweg ausgeglichen. Selbst wenn eine Datenbankinstanz heruntergefahren ist, fordert die andere Datenbankinstanz Serviceanfragen an.

Für die Datenbankebene wird empfohlen, Sicherheitslisten einzurichten, um sicherzustellen, dass die Kommunikation nur über Port 22, über den Bastionshost und über Port 1521 über den Anwendungsserver erfolgt. Mit Oracle Cloud Infrastructure Object Storage können Sie die Oracle E-Business Suite-Datenbank mit Oracle Recovery Manager (RMAN) sichern.

Wenn Sie Oracle E-Business Suite in mehreren Availability-Domains für hohe Verfügbarkeit bereitstellen, müssen Sie Oracle Data Guard oder Oracle Active Data Guard im synchronen Modus einrichten, um Datenbankänderungen in den beiden Availability-Domains in der Datenbank zu replizieren.

Informationen zu den Sicherheitslisten

Firewallregeln werden in Oracle Cloud Infrastructure über Sicherheitslisten konfiguriert. Für jedes Subnetz wird eine separate Sicherheitsliste erstellt.

Oracle empfiehlt, separate Subnetze für die Datenbank-, Anwendungs-, Load Balancer- und Bastionshosts zu erstellen, um sicherzustellen, dass die entsprechende Sicherheitsliste den Instanzen in jedem Subnetz zugewiesen ist. Verwenden Sie Sicherheitslisten, um den Datenverkehr zwischen verschiedenen Ebenen und zwischen dem Bastionshost und externen Hosts zu ermöglichen. Sicherheitslisten enthalten Ingress- und Egress-Regeln, um Traffic auf Subnetzebene zu filtern. Sie enthalten auch Informationen über Kommunikationsports, über die eine Datenübertragung zulässig ist. Diese Ports (oder in einigen Fällen die Protokolle, die offene Ports in den Sicherheitsregeln benötigen) werden in jeder Sicherheitsregelzeile in den Architekturdiagrammen angezeigt.

Jede Sicherheitsliste wird auf Instanzebene erzwungen. Wenn Sie Ihre Sicherheitslisten jedoch auf Subnetzebene konfigurieren, unterliegen alle Instanzen in einem bestimmten Subnetz denselben Regeln. Jedes Subnetz kann mehrere Sicherheitslisten zugeordnet haben, und jede Liste kann mehrere Regeln haben. Die Übertragung eines Datenpakets ist zulässig, wenn eine Regel in einer der Listen Datenverkehr zulässt (oder wenn der Datenverkehr Teil einer vorhandenen Verbindung ist, die verfolgt wird). Verwenden Sie neben Sicherheitslisten iptables, um eine weitere Sicherheitsebene auf Instanzebene zu implementieren.

Bei Deployments in einem öffentlichen Subnetz können Sie ein zusätzliches Sicherheitsniveau bereitstellen, indem Sie den Zugriff auf die Anwendungs- und Datenbankinstanzen aus dem Internet verhindern. Verwenden Sie eine benutzerdefinierte Sicherheitsliste, um den Zugriff auf die Anwendungs- und Datenbankinstanzen aus dem Internet zu verhindern und den Zugriff auf die Datenbank- und Anwendungshosts über Port 22 aus dem Bastionshost zu Administrationszwecken zu ermöglichen. SSH-Zugriff auf die Anwendungs- und Datenbankinstanzen aus dem Internet nicht aktivieren, Sie können SSH-Zugriff auf diese Instanzen jedoch über das Subnetz mit dem Bastionshost zulassen.

Sie können über den Bastionsserver auf Ihre Instanzen im privaten Subnetz zugreifen.

Sicherheitsliste für Bastionshost

Mit der Bastionssicherheitsliste kann der Bastionshost über Port 22 über das öffentliche Internet zugänglich sein.

  • So ermöglichen Sie SSH-Verkehr vom On-Premise-Netzwerk zum Bastionshost über das Internet:

    Stateful ingress: TCP-Traffic von der Quelle C0.0.0.0IDR/0 und allen Quell-Ports zum Zielport 22 (SSH) zulassen.

    Quelltyp = CIDR, Quell-CIDR = 0.0.0.0/0, IP-Protokoll = TCP, Quell-Portbereich = Alle, Ziel-Portbereich = 22

    Sie können Bastionshost auch einschränken, auf den über das Internet auf Port 22 nur über Ihr Rechenzentrum und nicht über das öffentliche Internet (0.0.0.0/0) zugegriffen werden kann. Verwenden Sie dazu die Edge-Router-IP anstelle der Quell-CIDR als 0.0.0.0/0 in der zustandsbehafteten Ingress-Regel.

  • So erlauben Sie SSH-Traffic vom Bastionshost zu Oracle Cloud Infrastructure Compute-Instanzen:

    Stateful egress: TCP-Traffic für das Ziel C0.0.0.0IDR/0 von allen Quell-Ports zum Zielport 22 (SSH) zulassen.

    Zieltyp = CIDR, Ziel-CIDR = <CIDR-Block von VCN>, IP-Protokoll = TCP, Quell-Portbereich = Alle, Ziel-Portbereich = 22

Sicherheitsliste für Load Balancer Tier

Die Architekturdiagramme zeigen private Load Balancer, die in private Subnetze platziert sind. Wenn Sie die Load Balancer-Instanzen in ein öffentliches Subnetz platzieren, können Sie Traffic aus dem Internet (0.0.0.0/0) in Load Balancer-Instanzen zulassen.

  • So ermöglichen Sie dem Load Balancer den Datenverkehr aus dem Internet:

    Stateful ingress: TCP-Traffic von Quell-CIDR (Internet) 0.0.0.0/0 und allen Quell-Ports zum Zielport 8888 (HTTP) oder 443 (HTTPS) zulassen.

    Quelltyp = CIDR, Quell-CIDR = 0.0.0.0/0, IP-Protokoll = TCP, Quell-Portbereich = Alle, Ziel-Portbereich = 8888 oder 443

  • So ermöglichen Sie dem Load Balancer den Datenverkehr vom On-Premise-Netzwerk:

    Stateful Ingress: TCP-Traffic aus dem On-Premise-Netzwerk-CIDR-Block und allen Quell-Ports zum Zielport 8888 (HTTP) oder 443 (HTTPS) zulassen

    Quelltyp = CIDR, Quell-CIDR = <CIDR-Block für On-Premise-Netzwerk>, IP-Protokoll = TCP, Quell-Portbereich = Alle, Ziel-Portbereich = 8888 oder 443

  • So erlauben Sie Traffic von den Load Balancer-Ebenen zu den Anwendungsebenen:

    Stateful egress: TCP-Traffic für Ziel C0.0.0.0IDR/0 von allen Quell-Ports zum Zielport 8000 (HTTP) zulassen

    Zieltyp = CIDR, Ziel-CIDR = <CIDR-Block für Anwendungssubnetz>, IP-Protokoll = TCP, Quell-Portbereich = Alle, Ziel-Portbereich = 8000

Sicherheitsliste für die Anwendungsebene

Die Sicherheitsliste für die Anwendungsebene ermöglicht den Datenverkehr von der Load Balancer-Ebene zur Anwendungsebene.

  • So ermöglichen Sie Traffic vom Bastionshost zur Anwendungsebene:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • So erlauben Sie Traffic von der Load Balancer-Ebene zur Anwendungsebene:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • So ermöglichen Sie Traffic über Anwendungsinstanzen in der Anwendungsebene hinweg:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • So erlauben Sie Traffic von der Anwendungsebene zur Datenbankebene und über Anwendungsinstanzen hinweg in der Anwendungsebene:

    Stateful egress: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Für die Kommunikation zwischen Anwendungsebenen in einer Konfiguration auf mehreren Anwendungsebenen (dies ist nur für Oracle E-Business Suite EBS 12.2 erforderlich):

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

Sicherheitsliste für die Datenbankebene

  • So ermöglichen Sie Traffic vom Bastionshost zur Datenbankebene:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • So erlauben Sie Traffic von den Anwendungsebenen zur Datenbankebene:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • So erlauben Sie Traffic von der Datenbankebene zur Anwendungsebene:

    Stateful egress: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • So ermöglichen Sie Traffic für das Backup der Datenbank in Oracle Cloud Infrastructure Object Storage:

    Stateful egress:   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Für mehrere Availability-Domain-Architektur, um den Datenverkehr zwischen den Datenbankebenen über Availability-Domains für Oracle Active Data Guard hinweg zu ermöglichen:

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Für das Oracle Database Exadata Cloud Service-System-Provisioning sind die folgenden zusätzlichen Regeln erforderlich:

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Stateful egress: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Stateful egress: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All