1. Landing Zone für Oracle E-Business Suite und Cloud Manager bereitstellen
  2. Informationen zum Deployment von Terraform-Stacks für E-Business Suite und Cloud Manager

Informationen zum Deployment von Terraform-Stacks für E-Business Suite und Cloud Manager

Stellen Sie diese Stacks in der angegebenen Reihenfolge bereit. Sie sind jedoch so modular, dass Sie die Stacks auswählen und auswählen können, die Sie verwenden möchten, solange Sie bereits Ressourcen erstellt haben, die den E-Business Suite-Anforderungen entsprechen.

Diese Stacks sind in Oracle Cloud Marketplace verfügbar. Sie werden zu Oracle Cloud Infrastructure Resource Manager umgeleitet, um diese Stacks bereitzustellen. OCI Resource Manager ist eine native Terraform-Engine in OCI, die eine grafische Oberfläche zum Erstellen, Ausführen und Verwalten von Terraform bereitstellt.

IAM-Stack bereitstellen

Dieser Terraform-Stack erstellt die erforderlichen Identitätsressourcen für EBS. Damit werden Compartments für Sicherheit, Netzwerk, EBS-Workload, Cloud Manager und jede EBS-Umgebungskategorie erstellt. Jedes Compartment enthält mindestens eine Gruppe und Policy, um die einfache rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) zu erleichtern. Sie müssen diese Gruppen manuell Benutzer hinzufügen oder sie einem föderierten Identitätsprovider zuordnen.

Führen Sie diesen Stack aus, wenn Sie EBS für einen neuen Mandanten bereitstellen möchten. Wenn Sie in einem vorhandenen Mandanten mit einer ausreichenden IAM-Struktur bereitstellen, müssen Sie diesen Stack nicht bereitstellen.

Geben Sie beim Ausführen des IAM-Stacks die folgenden Variablen ein:

  • IAM- und Zugangsdatenadministratorgruppen: Standardwerte verwenden. Erstellt zwei mandantenweite Gruppen. Einer verfügt über Berechtigungen zum Verwalten der Zugangsdaten anderer Benutzer, während der andere über Berechtigungen für die meisten anderen Identity-Aktionen verfügt.
  • Allgemeine Policy erstellen: Standardwerte verwenden. Erstellt Berechtigungen für jeden Benutzer zum Prüfen und Lesen bestimmter Ressourcen im gesamten Mandanten. Erforderlich, um den EBS Cloud Manager-Stack ohne Administratorberechtigungen auszuführen.
  • Landing-Zone-Präfix: Gleich für jeden EBS-Stack und alle anderen Anwendungen, die in dieser Landing Zone bereitgestellt werden.
  • Übergeordnetes Compartment: Dies kann Ihr Root Compartment oder ein anderes vorhandenes Compartment in Ihrem Mandanten sein.
  • EBS-Workload-Präfix: Bleibt für jeden EBS-Stack gleich.
  • EBS-Workload-Umgebungskategorien: Listet alle Kategorien (oder Sets) von EBS-Umgebungen auf, die Sie erstellen möchten. Sie können Ihre Kategorienamen direkt in das Prompt-Feld eingeben und dann im Dropdown-Menü die Option Hinzufügen auswählen, um sie der Liste hinzuzufügen.
  • Erweiterte Optionen: Sie können außerdem Netzwerk- und Sicherheits-Compartment-Namen anpassen oder ein vorhandenes Compartment verwenden, anstatt ein neues zu erstellen. Sie können auch Vault, Schlüssel und Secrets anpassen.

Hinweis:

Wenn Sie einen vorhandenen Vault oder Schlüssel verwenden möchten, müssen Sie das Compartment, in dem er sich befindet, als vorhandenes Sicherheits-Compartment angeben.

Informationen zur manuellen Konfiguration der Identität

Einige Identitätsaktionen sind in Terraform nicht möglich, und Oracle empfiehlt die Verwaltung bestimmter anderer Aktionen aus Sicherheitsgründen nicht über Terraform.

Diese Ressourcen können von einem Mandantenadministrator oder IAM-Administrator manuell in der Konsole konfiguriert werden. Führen Sie folgende Schritte aus:

  1. Erstellen Sie die erforderlichen Benutzeraccounts.
  2. Ordnen Sie die Benutzeraccounts den entsprechenden IAM-Gruppen zu.

Benutzeraccounts erstellen

Sie können verschiedene Kontotypen in OCI erstellen. Wenn Sie bereits über einen SAML 2.0-konformen Identitätsprovider verfügen, können Sie diesen Provider mit Ihrem OCI-Mandanten föderieren. Von dort aus können Sie externe föderierte Gruppen direkt OCI-IAM-Gruppen zuordnen. Wenn Sie noch keinen externen Identitätsprovider haben, können Sie Benutzer direkt in der OCI-Standardidentitätsdomain oder in einer neuen Identitätsdomain erstellen. Sie benötigen jedoch direkte IAM-Benutzer für Benutzer in der Standardidentitätsdomain, um sicherzustellen, dass die EBS Cloud Manager-Benutzerberechtigungen ordnungsgemäß in der EBS Cloud Manager-Anwendung funktionieren.

Benutzer IAM-Gruppen zuordnen

Sie müssen bestimmen, welche Benutzer für welche OCI-Ressourcentypen verantwortlich sind. Es kann einen Benutzer geben, der für mehrere Ressourcentypen verantwortlich ist, oder mehrere Benutzer, die für einen einzelnen Ressourcentyp verantwortlich sind. Ein Mandantenadministrator muss zuerst die IAM-Administratoren zu seinen Gruppen hinzufügen. IAM-Administratoren können dann die restlichen Benutzer zu den entsprechenden Gruppen hinzufügen. Sie müssen Accounts für alle Benutzer erstellen, die keinen Account haben, und die Benutzer zu den relevanten Gruppen hinzufügen.

Die folgende Liste ordnet die Benutzer ihren jeweiligen Gruppen zu:

  • Ordnen Sie den Gruppen "Netzwerkbenutzer", "Sicherheitsbenutzer" und "Anwendungsadministrator/IDCS-Administrator" IAM-Benutzer zu.
  • Ordnen Sie Sicherheitsbenutzer den Gruppen "Sicherheitsadministratoren" und "Netzwerkbenutzer" zu.
  • Ordnen Sie den Gruppen "Netzwerkadministratoren" und "Sicherheitsbenutzer" Netzwerkbenutzer zu.
  • Ordnen Sie jede EBS-Umgebungskategorie (einschließlich Cloud Manager-Benutzer) den Gruppen "Netzwerkbenutzer" und "Sicherheitsbenutzer" sowie den von ihnen verwalteten Admin-Gruppen der EBS-Umgebung und der EBS CM-Admin-Gruppe zu.

    Hinweis:

    Ein Benutzer muss ein direkter OCI-IAM-Benutzer und kein föderierter Benutzer sein.

Informationen zum Bereitstellen des Netzwerkstacks

Dieser Terraform-Stack erstellt ein VCN sowie die öffentlichen und privaten Subnetze, die für EBS Cloud Manager erforderlich sind. Sie müssen eine Kopie dieses Stacks pro EBS-Umgebungskategorie ausführen, die Sie im IAM-Stack definiert haben.

Geben Sie die folgenden Variablen ein, wenn Sie den Netzwerkstack ausführen:

  • Sicherheits-Compartment: Suchen Sie das im IAM-Stack erstellte/verwendete Sicherheits-Compartment in der vorab aufgefüllten Liste, oder geben Sie OCID an. Mit dieser Variablen kann der Stack automatisch alle erforderlichen Informationen aus vorherigen Stacks finden, die als Secrets gespeichert wurden.
  • Workload Identity Secret: Wählen Sie das Secret aus, das der allgemeinen EBS-Workload im Namensformat entspricht: identity-"lz prefix"-"workload prefix".
  • EBS-Workload-Präfix: Bleibt für jeden EBS-Stack gleich.
  • Erweiterte Optionen: Mit dieser Option können Sie zusätzlich die verwendeten und erstellten Secrets anpassen.
  • VCN erstellen: Sie können ein neues VCN erstellen oder ein vorhandenes VCN verwenden. Für nachfolgende Deployments von EBS-Netzwerkumgebungskategorien müssen Sie das vorhandene VCN auswählen, das im ersten Deployment erstellt oder verwendet wird.
    • Wahr
      • VCN-CIDR: Geben Sie den für das VCN zu verwendenden CIDR-Blockbereich an.
    • False
      • Netzwerk-Compartment: Geben Sie das Compartment an, in dem sich das VCN befindet.
      • Vorhandenes VCN: Suchen Sie das vorhandene VCN in der vorab aufgefüllten Liste, oder geben Sie OCID an.
  • Identitäts-Secret für Umgebungskategorie: Wählen Sie das Secret aus, das der spezifischen Kategorie der EBS-Workload-Umgebung im Namensformat entspricht: Identität-"lz prefix"-"workload prefix"-"environment name".

    Hinweis:

    Wenn Sie ein Netzwerk für zusätzliche Umgebungskategorien benötigen, müssen Sie eine weitere Kopie des Netzwerkstacks bereitstellen.

In der folgenden Tabelle sind die Subnetzerstellungsvariablen, das Zugriffsgateway der Subnetzkonfiguration, CIDR-Variablen und deren Verwendung aufgeführt:

Subnetzerstellungsvariable Wann verwendet? Subnetzkonfiguration und Gatewayzugriff CIDR-Variablen*
Create Cloud Manager subnets or Select existing Cloud Manager subnet Erstellen Sie Subnetze einmal im ersten erstellten Netzwerkumgebungs-Stack. Wählen Sie in nachfolgenden Umgebungen das vorhandene Cloud Manager-Subnetz aus, das vom ersten Stack erstellt wurde. Private Subnetze mit NAT-Gatewayzugriff.

Hinweis:

Sie können das Load-Balancer-Subnetz optional öffentlich machen. Dabei wird das öffentliche Subnetz mit einem Internetgatewayzugriff verwendet. Dies ist nicht der empfohlene Prozess.
  • Cloud Manager Load Balancer subnet CIDR
  • Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database) Subnetzkonfiguration und Gatewayzugriff für jede EBS-Umgebungskategorie Private Subnetze mit NAT-Gatewayzugriff
  • Application tier subnet CIDR
  • Database tier subnet CIDR
Create default Load balancer tier subnet Standardmäßig für den Zugriff auf EBS über private Netzwerke verwenden Private Subnetze mit NAT-Gatewayzugriff Load balancer subnet CIDR
Create external load balancer and application tier subnets Nur in EBS-Umgebungskategorien, die Benutzerzugriff über das Internet bereitstellen müssen

Öffentliches LB-Subnetz mit Internetzugriff.

Privates App-Subnetz mit NAT-Gatewayzugriff.
  • External Load Balancer subnet CIDR
  • External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet Wird nur verwendet, wenn Ihre EBS-Implementierung Shared File Storage verwendet. Erstellen Sie sie einmal im ersten Netzwerkumgebungs-Stack. Wählen Sie in nachfolgenden Stacks das vorhandene Subnetz aus, das Sie im ersten Stack erstellt haben. Private Subnetze mit NAT-Gatewayzugriff File Storage subnet CIDR
Create Bastion subnet Einmal im ersten erstellten Netzwerkumgebungs-Stack Wenn die Variable Use Bastion Service true lautet, ist das Subnetz privat. Andernfalls ist es öffentlich mit Internetzugriff. Bastion Subnet CIDR
Additional ebs subnets Geben Sie beim Erstellen neuer Cloud Manager- oder File Storage-Subnetze zusätzliche EBS-Subnetze im aktuellen VCN an, das Sie bereits haben, oder die Sie in verschiedenen Stacks erstellen möchten. Fügt Cloud Manager- und File Storage-Subnetzen zusätzliche Routingregeln hinzu
  • Additional application tier subnet CIDRs
  • Additional database tier subnet CIDRs

Hinweis:

Die private oder Standard-LB ist ihre eigene Option.

Fußnoten

* Geben Sie einen eindeutigen CIDR-Blockbereich für jedes Subnetz an, das in Ihren VCN-CIDR-Bereich fällt und keinen Konflikt mit dem CIDR-Bereich eines anderen Subnetzes verursacht.

Bastion-Service verwenden

Optional können Sie den Bastion-Service verwenden.

  • True: Stellt das Subnetz zusammen mit dem Bastion-Service als "Privat" bereit.
    • Bastion-Ausnahmeliste: Liste der externen IP-Bereiche in CIDR-Notation, die eingehende SSH-Verbindungen herstellen können.
    • TTL-Grenzwert für Bastion: Maximal zulässige Zeit, bis eine SSH-Verbindung aktiv bleibt, gemessen in Sekunden. Zulässige Werte liegen zwischen 30 Minuten (1800 Sekunden) und 3 Stunden (10800 Sekunden).
  • False: Stellt das Subnetz als öffentlich bereit, stellt jedoch keine herkömmliche virtuelle Bastion-Maschine bereit.

Cloud Manager-Stack bereitstellen

Dieser Terraform-Stack erstellt die Cloud Manager-(CM-)VM und den Load Balancer sowie das CM-App-Bootstrapping.

Globale Designentscheidungen

Sie müssen Entscheidungen treffen und mehrere Variablen eingeben, wenn Sie den IAM-Stack ausführen.

  • Environment category identity secret: Wählen Sie das Secret aus, das der spezifischen Umgebungskategorie der EBS-Workload im Namensformat entspricht: identity-"lz prefix"-"workload prefix"-"environment name". Die ausgewählte Umgebung wird zum Erstellen des Standardnetzwerkprofils verwendet.
  • Security compartment: Suchen Sie das im IAM-Stack erstellte oder verwendete Sicherheits-Compartment in der vorab aufgefüllten Liste, oder geben Sie OCID an. Mit dieser Variablen kann der Stack automatisch alle erforderlichen Informationen aus vorherigen Stacks finden, die als Secrets gespeichert wurden.
  • Advanced options: Ermöglicht die zusätzliche Anpassung der verbrauchten und erstellten Secrets.

DNS- und Zertifikatskonfiguration

DNS und Zertifikate werden empfohlen, sind jedoch optional.

  • Cloud Manager CA cert (optional): Geben Sie die signierte Certificate Authority-Kette an, mit der Ihr Cloud Manager-Zertifikat als Datei generiert wird.
  • Cloud Manager key cert: Geben Sie die Private-Key-Zertifikatsdatei an, die Sie für EBS Cloud Manager generiert haben.
  • Cloud Manager Public cert: Geben Sie die öffentliche Zertifikatskette an, mit der Ihr privates Zertifikat als Datei validiert wird.

    Hinweis:

    Wenn Sie das Private-Key-Zertifikat nicht angeben, wird ein Zertifikat mit openSSL und dem angegebenen hostname generiert.
  • Server host for EBS Cloud Manager login URL: Geben Sie eine hostname für das EBS Cloud Manager-Webportal ein. Das Eingabeformat muss myebscm.example.com lauten und mit Ihrem DNS-Eintrag, dem signierten Zertifikat und der vertraulichen Anwendung übereinstimmen. Die Anmelde-URL für EBS Cloud Manager lautet https://myebscm.example.com:443.
    • CM-CA-Zertifikat
    • CM-Schlüsselzertifikat
    • Öffentliches CM-Zertifikat

Vertrauliche Anwendung erstellen

Ein Anwendungsadministrator muss EBS CM zunächst mit der OCI-Konsole als vertrauliche Anwendung registrieren, um E-Business Suite mit Cloud Manager zu verwalten. So können Benutzer den Zugriff auf Cloud Manager mit ihrem OCI-Account authentifizieren und autorisieren.

Bevor Sie die vertrauliche Anwendung erstellen, müssen Sie die URL kennen, die Sie für EBS Cloud Manager verwenden möchten. Diese URL muss mit der hostname in Ihrem DNS-Datensatz und dem signierten Zertifikat übereinstimmen.

Sie müssen die client ID und secret verwenden, die beim Ausführen des Cloud Manager-Stacks angegeben wurden.

IDCS- oder Identitätsdomainkonfiguration

  • IDCS-Client-ID: ID der vertraulichen Anwendung für EBS Cloud Manager, die bei der Konfiguration der Identität registriert wurde.
  • IDCS-Client Secret: Secret der vertraulichen Anwendung für EBS Cloud Manager, die Sie beim Konfigurieren der Identität registriert haben.
  • IDCS-Clientmandant: ID des IDCS- oder Identitätsdomainmandanten. Dies wird als Teil der URL in der Adressleiste Ihres Browsers nach // und vor identity.oraclecloud.com angezeigt. Er beginnt mit den Zeichen idcs-, gefolgt von einer Zeichenfolge aus Zahlen und Buchstaben im Format idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

EBS CM-Admin

  • Cloud Manager-Admin-Benutzer-OCID: Standardmäßig verwendet dieser Stack den Account des Benutzers, der diesen Stack ausführt, als anfänglicher Cloud Manager-Admin. Optional können Sie einen anderen Benutzer zum ersten Admin machen, indem Sie hier OCID angeben. Dieser Admin-Account muss ein lokaler, nicht föderierter IAM-Benutzer sein.
  • Privater API-Schlüssel des Cloud Manager-Admin-Benutzers: Standardmäßig wird ein neuer API-Schlüssel erstellt und mit dem ausgewählten Cloud Manager-Admin-Account verknüpft. Optional können Sie einen bereits verknüpften privaten API-Schlüssel eingeben.

Cloud Manager-VM

  • EBS Cloud Manager-Ausprägung: Wählen Sie eine Ausprägung aus der Liste für die EBS Cloud Manager-VM aus. Oracle empfiehlt die Ausprägungen Standard2.x und Standard.E2.x.
  • SSH-Schlüssel: Öffentlicher SSH-Schlüssel für den Zugriff auf Cloud Manager mit CLI.
  • EBS Cloud Manager-Availability-Domain: Wählen Sie Ihre Availability-Domain in der Liste aus.
  • CM-Kennwort: Das Kennwort für den EBS CM-Admin.

Hinweis:

Das Kennwort muss mindestens 8 Zeichen, einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen (#?!@$%^&*-) enthalten. Das Kennwort wird vom EBS Cloud Manager-Administrator verwendet, um eine Verbindung zur Cloud Manager-Instanz herzustellen, und dann nachfolgende Skripte auszuführen. Das erste Standardkennwort lautet WElcome##12345. Oracle empfiehlt, dass Sie das Kennwort mit einem Wert ändern, der die in diesem Hinweis aufgeführten Kennwortanforderungen erfüllt.