1. Infrastruktur für das Deployment von Oracle Enterprise Performance Management einrichten
  2. Informationen zur Architektur

Informationen zur Architektur

Die für das Deployment von Oracle Enterprise Performance Management - (Hyperion-) Anwendungen auf Oracle Cloud Infrastructure erforderliche Infrastruktur umfasst Compute-Instanzen, Netzwerkkomponenten, Speicherressourcen und Datenbanken. Um die Cloud-Topologie effizient bereitzustellen und zu verwalten, definieren Sie die Infrastruktur als Code in Terraform-Konfigurationsdateien.

Verwenden Sie die in dieser Lösung enthaltene Terraform-Konfiguration, um die Infrastrukturressourcen einzurichten, die für das Deployment von Oracle Enterprise Performance Management-Anwendungen auf Microsoft Windows-Servern in der Cloud erforderlich sind.

Bevor Sie beginnen

Bevor Sie mit dem Erstellen der Infrastruktur beginnen, erfahren Sie mehr über die Architekturoptionen, und prüfen Sie die Aspekte des Entwurfs.

Eine detaillierte Beschreibung aller Architekturoptionen und der Überlegungen zum Design finden Sie unter Infrastruktur entwerfen, um Oracle Enterprise Performance Management in der Cloud bereitzustellen.

Dieses Dokument enthält einen kurzen Überblick über die unterstützten HA-Architekturen: eine einzige Availability-Domain und mehrere Availability-Domains.

HA-Architektur: Einzelne Availability-Domain

In dieser Architektur werden die Anwendungen und Datenbanken über zwei Faultdomains in einer einzigen Availability-Domain bereitgestellt.

Alle Anwendungsinstanzen in der Topologie sind aktiv. Redundante Instanzen der Anwendung werden in separaten Faultdomains gehostet. Daher werden die Instanzen nicht auf derselben physischen Hardware gehostet. Diese Architektur stellt eine hohe Verfügbarkeit innerhalb der Availability-Domain sicher. Ein Hardwarefehler oder Wartungsereignis, das sich auf eine Faultdomain auswirkt, wirkt sich nicht auf die Instanzen in den anderen Faultdomains aus.

Wenn eine Instanz ausfällt, wird der Datenverkehr zu den anderen Instanzen in der Availability-Domain umgeleitet, die die Anforderungen weiter verarbeiten. Nicht abgeschlossene Aufgaben, die von der nicht erfolgreichen Instanz verarbeitet wurden, müssen von den Benutzern erneut weitergeleitet werden.

Alle Komponenten in dieser Multi-Tier-Architektur befinden sich in einer einzigen Region. Die Ressourcen in jeder Tier werden auf Netzwerkebene in separaten Subnetzen isoliert.


Beschreibung von Hyperion-single-ad.png folgt
Beschreibung der Abbildung hyperion-single-ad.png

HA-Architektur: Mehrere Availability-Domains

In dieser Architektur werden die Web Tier, Application Tier und Database Tier in einer Availability-Domain bereitgestellt, die als primäre (aktive) Umgebung angegeben ist. Eine redundante Topologie wird als Standby-Umgebung (nicht aktiv) in einer anderen Availability-Domain in derselben Region bereitgestellt.

Die Primär- und Standby-Umgebung in dieser Architektur sind symmetrisch. Das heißt, beide Umgebungen bieten identische Rechen- und Speicherkapazität.

  • Wenn die primäre Umgebung aktiv ist, wird der Load Balancer so konfiguriert, dass nur Datenverkehr an die Availability-Domain geleitet wird, die die primäre Topologie hostet.
  • Wenn die Primärumgebung aus irgendeinem Grund nicht verfügbar ist, können Sie zu der Standbyumgebung wechseln und das Backend-Set des Load Balancers aktualisieren, um den Datenverkehr an die Availability-Domain weiterzuleiten, die die Standbytopologie hostet. Wenn die primäre Umgebung wieder verfügbar wird, können Sie zu ihr zurückwechseln und den Load Balancer entsprechend aktualisieren.

    Bei einem Switchover oder Switchover müssen alle nicht abgeschlossenen Aufgaben in der vorher ausgeführten Umgebung erneut von den Benutzern weitergeleitet werden.

Logische Hostnamen werden den Datenbanken und Anwendungsinstanzen zugewiesen. Um den Aufwand für die Neukonfiguration von Instanzen während eines Switchovers oder Switchbacks zu reduzieren, werden dieselben logischen Hostnamen in der Primär- und Standby-Umgebung verwendet.

Alle Komponenten in dieser Multi-Tier-Architektur befinden sich in einem einzigen Bereich. Die Ressourcen in jeder Tier werden auf Netzwerkebene in separaten Subnetzen isoliert. Jedes Subnetz ist regional. Daher wirken sich Ausfälle in einer Availability-Domain nicht auf die Subnetze aus.

Beschreibung von hyperion-multi-ad.png folgt
Beschreibung der Abbildung hyperion-multi-ad.png

Komponenten der Architektur

Wenn Sie den Terraform-Code aus dieser Lösung für das Deployment der Architektur verwenden, werden die folgenden Compute-, Datenbank-, Netzwerk- und Speicherressourcen erstellt.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Sie geben den CIDR-Block und das DNS-Label für VCN an.

    Der Terraform-Code berechnet die CIDR-Blöcke für die regionalen Subnetze, die für den Bastion-Host, Load Balancer, die Web Tier, Application Tier und Datenbankressourcen erforderlich sind.

    Der Code stellt auch die erforderlichen Netzwerk-Gateways, Routentabellen und Sicherheitsregeln bereit. Die spezifischen Sicherheitsregeln werden später in diesem Dokument aufgeführt.

  • Bastion-Host

    Der Basishost ist eine Oracle Linux-Berechnungsinstanz, die als sicherer, kontrollierter Einstiegspunkt für die Topologie außerhalb der Cloud dient.

    Der Basishost in dieser Architektur ist an ein öffentliches Subnetz angeschlossen und hat eine öffentliche IP-Adresse. Verbindungen zum Bastion-Host von Administratoren außerhalb des Cloud-Ablaufs über das mit VCN verknüpfte Internetgateway. Eine Ingress-Sicherheitsregel ist so konfiguriert, dass SSH-Verbindungen zum Bastion-Host über das öffentliche Internet zulässig sind. Um eine zusätzliche Sicherheitsebene bereitzustellen, können Sie den SSH-Zugriff auf den Bastion-Host nur aus einem bestimmten IP-Adressblock begrenzen.

    Sie können auf Compute-Instanzen in privaten Subnetzen über den Basishost zugreifen. Aktivieren Sie die ssh-agent-Weiterleitung, mit der Sie eine Verbindung zum Bastion-Host herstellen und dann auf den nächsten Server zugreifen können, indem Sie die Zugangsdaten von Ihrem lokalen Rechner weiterleiten.

    Sie können auch mit dynamischem SSH-Tunneling auf die Instanzen in den privaten Subnetzen zugreifen. Der dynamische Tunnel stellt einen SOCKS-Proxy auf dem lokalen Port bereit, die Verbindungen stammen jedoch vom Remote-Host.

  • Load Balancer

    Die Primär- und Standby-Knoten des Load Balancers werden in separaten Faultdomains oder Availability-Domains bereitgestellt. High Availability wird also für die Load Balancer-Tier sichergestellt.

    Sie können einen öffentlichen oder privaten Load Balancer bereitstellen.

    • Wenn Sie einen öffentlichen Load Balancer bereitstellen, fließen HTTPS-Anforderungen von externen Benutzern, wie z. B. Benutzern von Hyperion Financial Reporting Web Studio, das Internetgateway an den öffentlichen Load Balancer. Mit dem Oracle Cloud Infrastructure Web Application Firewall-Service können Sie die Anwendungen vor böswilligem und unerwünschtem Internettraffic schützen.

      Sie können den Load Balancer so konfigurieren, dass SSL/TLS beendet und HTTP-Anforderungen an die private Web Tier verteilt werden.

    • Wenn Sie einen privaten Load Balancer bereitstellen, läuft der Traffic von Ihren internen und On-Premise-Benutzern durch IPSec-VPN-Tunnel oder FastConnect Virtual Circuits zum dynamischen Routinggateway (DRG), das an VCN angehängt ist. Ein privater Load Balancer fängt die Anforderungen ab und verteilt sie an die private Web Tier.

    Hinweis:

    Um die Auflösung der Domain der Anwendungs-Endpunkte sicherzustellen, müssen Sie die IP-Adresse des öffentlichen oder privaten Load Balancers in Ihrer öffentlichen oder On-Premise-DNS registrieren.
  • Web Tier

    Die Web Tier wird auf Microsoft Windows Server-Compute-Instanzen gehostet, die mit einem privaten Subnetz verknüpft sind. Die Instanzen werden in separaten Faultdomains oder Availability-Domains verteilt und stellen eine hohe Verfügbarkeit der Web Tier sicher.

    Sie geben die Anzahl der für die Web Tier zu erstellenden Compute-Instanzen, die zu verwendende Rechenleistungseinheit, die Listening-Portnummer und die Größen- und Performanceattribute der Block-Volumes an.

  • Application Tier
    Die Application Tier umfasst Microsoft Windows Server-Compute-Instanzen, auf denen Sie die folgenden Oracle Enterprise Performance Management-Anwendungen bereitstellen können.

    Hinweis:

    Für jede Anwendung geben Sie die Anzahl der zu erstellenden Compute-Instanzen, die zu verwendende Rechenleistungseinheit, die Listening-Portnummer und die Größen- und Performanceattribute der Block-Volumes an.
    • Oracle Hyperion Foundation Services

      Gemeinsame Infrastrukturkomponenten, mit denen Sie alle Module des Enterprise Performance Management-Systems installieren und konfigurieren sowie Benutzer, Sicherheit, Metadaten und den Lebenszyklus der Anwendungen verwalten können.

      Foundation Services ist erforderlich, unabhängig davon, ob Sie Hyperion Financial Management oder Hyperion Planning bereitstellen möchten.

    • (Optional) Oracle Hyperion Financial Management (HFM)

      Ein multidimensionaler Analyseverarbeitungsserver in RDBMS, der eine Umgebung für webbasierte Konsolidierung, Steuerrückstellung, QMR, JSK-Anwendungen bereitstellt.

      Die Anwendung ermöglicht die globale Finanzkonsolidierung, Berichterstellung und -analyse in einer einzelnen, hochskalierbaren Softwarelösung.

    • (Optional) Oracle Hyperion Tax Provision (HTP)

      Eine umfassende globale Steuerrückstellungslösung für multinationale Unternehmen, die ihre Abschlüsse nach US GAAP oder IFRS erstellen.

      Die Anwendung umfasst alle Stufen des Steuerrückstellungsprozesses des Unternehmens, einschließlich Steuerautomatisierung, Datenerfassung, Steuerrückstellungsberechnung, Automatisierung der Abgrenzung von Rücksendungen sowie Steuerberichte und Analysen. Die Anwendung wird mit Oracle Hyperion Financial Management erstellt und nutzt alle Funktionen von Financial Management.

    • (Optional) Oracle Hyperion Planning

      Eine zentrale, Excel- und webbasierte Planungs-, Budgetierungs- und Prognoselösung, die Finanz- und Betriebsplanungsprozesse integriert und die Unternehmensprognose verbessert.

    • (Optional) Oracle Essbase

      Ein OLAP-(Online Analytical Processing-) Server, der eine Umgebung für das Deployment von vordefinierten Anwendungen oder das Entwickeln von benutzerdefinierten Anwendungen bereitstellt.

    • (Optional) Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)

      Eine in ein Package integrierte Lösung, mit der Finanzbenutzer standardisierte Prozesse zur Verwaltung von Finanzdaten unter Verwendung eines webbasierten integrierten Workflows entwickeln können.

    • (Optional) Oracle Hyperion Strategic Finance

      Eine Finanzprognose und Modellierungslösung mit aktuellen Szenarioanalysen und Modellierungsfunktionen, mit denen Sie Finanzszenarios schnell modellieren und auswerten können und die BoxTreasury-Funktionen für hochentwickelte Schulden und Kapitalstrukturmanagement bereitstellen können.

    • (Optional) Oracle Hyperion Profitability and Cost Management

      Eine Anwendung, die verwertbare Erkenntnisse bietet, indem Treiber von Kosten- und Rentabilität ermittelt, Benutzer mit Transparenz und Flexibilität zugänglich gemacht und die Ressourcenausrichtung verbessert wird.

    Die Compute-Instanzen für jede Anwendung sind verteilte Faultdomains oder Availability-Domains. Somit ist jede Komponente in der Application Tier hoch verfügbar.

    Alle Compute-Instanzen in der Application Tier werden mit einem privaten Subnetz verknüpft. Die Anwendungen werden also von allen anderen Ressourcen in der Topologie auf Netzwerkebene isoliert, und sie werden durch einen nicht autorisierten Netzwerkzugriff geschützt.
    • Mit dem NAT-Gateway können die privaten Compute-Instanzen in der Application Tier auf Hosts außerhalb der Cloud zugreifen (z. B. um Anwendungspatches oder für externe Integrationen herunterzuladen). Über das NAT-Gateway können die Compute-Instanzen im privaten Subnetz Verbindungen zum Internet initiieren und Antworten empfangen, jedoch keine eingehenden Verbindungen empfangen, die von Hosts im Internet initiiert wurden.
    • Mit dem Servicegateway können die privaten Oracle Linux-Compute-Instanzen in der Application Tier auf einen Yum-Server innerhalb der Region zugreifen, um Betriebssystem-Updates und zusätzliche Packages zu erhalten.
    • Mit dem Servicegateway können Sie die Anwendungen in Oracle Cloud Infrastructure Object Storage innerhalb der Region sichern, ohne das öffentliche Internet zu durchlaufen.
  • Database Tier

    Die Datenbank-Tier enthält Oracle Cloud Infrastructure Database-Instanzen. Für hohe Verfügbarkeit verwenden Sie VM-(2-node Virtual Machine-) DB-Systeme oder Exadata DB-Systeme.

    Sie können separate Datenbanken für Oracle Hyperion Foundation Services und für die Anwendungen bereitstellen.

    Für jede Datenbank geben Sie die Edition, die Version, das Lizenzmodell, die Anzahl der Knoten, die CDB- und PDB-Namen, die Form, die Größe und den Zeichensatz an.

    • Wenn Sie die Single AD-Architektur wählen, werden die Datenbankknoten in separaten Faultdomains verteilt. Dadurch wird sichergestellt, dass jedes Datenbankcluster auf Faultdomain-Ebene toleriert.
    • Wenn Sie die Multiple-AD-Architektur wählen, werden die Primär- und Standby-Datenbanken in separaten Availability-Domains bereitgestellt. Dadurch wird sichergestellt, dass die Datenbanken tolerant zu Ausfällen auf der Availability-domain-Ebene sind. Oracle Data Guard im synchronen Modus stellt sicher, dass die Standby-Datenbank eine transaktionskonsistente Kopie der Primärdatenbank ist.

    Alle Datenbankknoten werden einem privaten Subnetz zugeordnet. Die Datenbanken werden also von allen anderen Ressourcen in der Topologie auf Netzwerkebene isoliert, und sie werden durch einen nicht autorisierten Netzwerkzugriff geschützt.

    Mit dem Servicegateway können Sie die Datenbanken in Oracle Cloud Infrastructure Object Storage innerhalb der Region sichern, ohne das öffentliche Internet zu durchlaufen.

  • Dateispeicher

    Die Komponenten in der Application Tier haben Zugriff auf Shared Oracle Cloud Infrastructure File Storage, um gemeinsam verwendete Binärdateien und Daten zu speichern, die von den Anwendungen generiert werden. Sie geben den Mount-Pfad und den Grenzwert für die Größe des Dateisystems an.

Sicherheitsregeln

Der Terraform-Code erstellt eine separate Sicherheitsliste für jedes Subnetz.

Jede Sicherheitsliste enthält eine oder mehrere zustandsbehaftete Sicherheitsregeln, die auf den Verkehrswertanforderungen der Ressourcen im Subnetz basieren.

  • Sicherheitsliste für den Bastion-Host
    Sicherheitsregeltyp Quelle oder Ziel Port
    Egress VCN 3389
    Egress VCN 22
    Ingress 0.0.0.0/0 22
  • Sicherheitsliste für den Load Balancer
    Sicherheitsregeltyp Quelle oder Ziel Port/s
    Egress 0.0.0.0/0 Alle
    Ingress 0.0.0.0/0 Die Listening-Ports, die Sie für den Load Balancer angeben
  • Sicherheitsliste für die Webserver
    Sicherheitsregeltyp Quelle oder Ziel Port/s
    Egress 0.0.0.0/0 Alle
    Ingress VCN Die Listening-Ports, die Sie für die Web Tier angeben.
  • Sicherheitsliste für die Datenbanken
    Sicherheitsregeltyp Quelle oder Ziel Port/s
    Egress 0.0.0.0/0 TCP: Alle
    Ingress VCN TCP: 22
    Ingress VCN TCP: 1521
  • Sicherheitsliste für die Application Server

    Diese Sicherheitsliste enthält die folgenden Sicherheitsregeln:

    • Eine Egress-Regel, mit der der gesamte TCP-Verkehr für jeden Host außerhalb des Subnetzes gebunden werden kann.
    • Eine Ingress-Regel, mit der TCP-Datenverkehr von jedem Host im VCN an RDP-Port 3389 zugelassen wird.
    • Ingress-Regeln, um TCP-Traffic von jedem Host in VCN an die folgenden Ports zu ermöglichen:
      Anwendung Port/s
      Oracle Hyperion Foundation Services: WebLogic-Server 7001,9000
      Oracle Hyperion Foundation Services: Dimensionsserver 5251,5255
      Oracle Hyperion Foundation Services: Reporting and Analysis Framework-Agent 6860,6861
      Oracle Hyperion Planning -Server: WebLogic-Server 7001
      Oracle Hyperion Planning -Server: Java-Webanwendung 8300
      Oracle Hyperion Planning -Server: RMI 11333
      Oracle Essbase -Server: Agent 1423
      Oracle Essbase -Server: Anwendungen 32768-33768
      Oracle Essbase -Server: OPMN-Ports 6711,6712
      Oracle Hyperion Financial Management: WebLogic-Server 7001,7363
      Oracle Hyperion Financial Management: Server 9091
      Oracle Hyperion Tax Provision -Server 22200
      Oracle Hyperion Profitability and Cost Management -Server 6756
      Oracle Hyperion Strategic Finance -Server 8900
      Oracle Hyperion Financial Data Quality Management, Enterprise Edition -Server 6550
  • Sicherheitsregeln für Oracle Cloud Infrastructure File Storage
    • Eine Ingress-Regel, die TCP-Traffic von jedem Host in VCN an die Ports 111 und 2048-2050 zulässt
    • Eine Ingress-Regel, die den UDP-Datenverkehr von jedem Host in VCN an die Ports 111 und 2048 zulässt
    • Eine Egress-Regel, mit der TCP-Datenverkehr von den Ports 111 und 2048-2050 auf einen Host in der VCN übertragen werden kann
    • Eine Egress-Regel, mit der UDP-Datenverkehr von Port 111 an einen beliebigen Host in der VCN übertragen werden kann

Erforderliche Services und Berechtigungen

Für diese Lösung benötigen Sie die folgenden Services:
  • Oracle Cloud Infrastructure Compute
  • Oracle Cloud Infrastructure Database
  • Oracle Cloud Infrastructure Networking
  • Oracle Cloud Infrastructure Load Balancing
  • (Optional) Oracle Cloud Infrastructure FastConnect
  • Oracle Cloud Infrastructure Identity and Access Management
  • Oracle Cloud Infrastructure Object Storage
  • Oracle Cloud Infrastructure -Dateispeicher
  • Oracle Cloud Infrastructure Block Volumes
Bitten Sie den Mandantenadministrator, eine Oracle Cloud Infrastructure Identity and Access Management-Policy mit den folgenden Berechtigungen zu erstellen:
Allow group your.group to manage instance-family in compartment your.compartment
Allow group your.group to manage virtual-network-family in compartment your.compartment
Allow group your.group to manage database-family in compartment your.compartment
Allow group your.group to manage object-family in compartment your.compartment
Allow group your.group to manage volume-family in compartment your.compartment
Allow group your.group to manage load-balancers in compartment your.compartment
Allow group your.group to read compartments in compartment your.compartment
Allow group your.group to manage file-family in compartment your.compartment
Allow group your.group to read all-resources in tenancy
  • Ersetzen Sie your.group durch den Namen der Gruppe, zu der der Benutzer die Infrastrukturressourcen durch Provisioning bereitstellt.
  • Ersetzen Sie your.compartment durch die OCID des Compartments, in dem Sie die Infrastruktur bereitstellen möchten.