1. Infrastruktur für das Deployment von Oracle Enterprise Performance Management in der Cloud entwerfen
  2. DR-Architektur: Mehrere Regionen

DR-Architektur: Mehrere Regionen

In dieser Architektur werden die Web Tier, Application Tier und Database Tier in einem Bereich bereitgestellt, der als primäre (aktive) Site angegeben ist. Eine redundante Topologie wird als Standby-(nicht-aktive) Site in einer Remote-Region bereitgestellt.

Die Primär- und Standbytopologien in dieser Architektur sind symmetrisch. Das heißt, beide Topologien bieten identische Rechen- und Speicherkapazität. Wenn die primäre Topologie aus einem beliebigen Grund nicht verfügbar ist, können Sie die Anwendung in der Remote-Region wiederherstellen. Ein globaler DNS-Resolver leitet HTTPS-Anforderungen von externen Benutzern, wie z. B. Benutzern von Hyperion Financial Reporting Web Studio, an das Internetgateway, das VCN in der Region zugeordnet ist, die aktuell aktiv ist.

Bei einem Failover oder Switchback müssen unvollständige Aufgaben in der vorher ausgeführten Umgebung erneut von den Benutzern weitergeleitet werden.

Verwenden Sie logische Hostnamen für die Datenbanken und Anwendungsinstanzen. Um den Aufwand für die Neukonfiguration von Instanzen während eines Failovers oder Switchbacks zu reduzieren, verwenden Sie dieselben logischen Hostnamen in der Primär- und Standby-Umgebung.

Beschreibung von hyperion-multi-region.png folgt
Beschreibung der Abbildung hyperion-multi-region.png

Die Komponenten in dieser Multi-Tier-Architektur werden symmetrisch über zwei Regionen verteilt. Innerhalb jeder Region werden die Ressourcen in einer einzelnen Availability-Domain bereitgestellt. Die Ressourcen in jeder Tier werden auf Netzwerkebene in separaten Subnetzen isoliert.

Die VCNs in den beiden Regionen sind mit Peering verbunden, sodass Datenverkehr zwischen den Remote-Regionen einen privaten Netzwerk-Backbone verwenden und das öffentliche Internet umgehen kann.

Die Topologie im primären Bereich enthält die folgenden Ressourcen. Die Topologie in der Standby-Region ist eine nicht-aktive Replikation der Primärtopologie.

  • Bastion-Host

    Der Bastion-Host ist eine Compute-Instanz, die als sicherer, kontrollierter Einstiegspunkt für die Topologie außerhalb der Cloud dient.

    Der Bastion-Host wird normalerweise in einer DMZ bereitgestellt. Damit können Sie vertrauliche Ressourcen schützen, indem Sie sie in private Netzwerke platzieren, auf die nicht direkt aus der Cloud zugegriffen werden kann. Die Topologie hat einen einzelnen, bekannten Einstiegspunkt, den Sie regelmäßig überwachen und auditieren können. Dadurch vermeiden Sie die Darstellung der sensibleren Komponenten der Topologie, ohne dass der Zugriff darauf beeinträchtigt wird.

    Der Basishost in dieser Architektur ist an ein öffentliches Subnetz angeschlossen und hat eine öffentliche IP-Adresse. Verbindungen zum Bastion-Host von Administratoren außerhalb des Cloud-Ablaufs über das mit VCN verknüpfte Internetgateway. Sie können eine Ingress-Sicherheitsregel konfigurieren, um SSH-Verbindungen zum Bastion-Host über das öffentliche Internet zuzulassen. Um eine zusätzliche Sicherheitsebene bereitzustellen, können Sie den SSH-Zugriff auf den Bastion-Host nur aus einem bestimmten IP-Adressblock begrenzen.

    Sie können auf Compute-Instanzen in privaten Subnetzen über den Basishost zugreifen. Aktivieren Sie die ssh-agent-Weiterleitung, mit der Sie eine Verbindung zum Bastion-Host herstellen und dann auf den nächsten Server zugreifen können, indem Sie die Zugangsdaten von Ihrem lokalen Rechner weiterleiten.

    Sie können auch mit dynamischem SSH-Tunneling auf die Instanzen im privaten Subnetz zugreifen. Der dynamische Tunnel stellt einen SOCKS-Proxy auf dem lokalen Port bereit, die Verbindungen stammen jedoch vom Remote-Host.

  • Öffentlicher Load Balancer
    HTTPS-Anforderungen von externen Benutzern, wie z. B. Benutzern von Hyperion Financial Reporting Web Studio, leiten das Internetgateway ein, das dem VCN in der aktuell aktiven Region zugeordnet ist. Die Anforderungen durchlaufen dann den globalen Oracle Cloud Infrastructure Web Application Firewall - (WAF-) Service, der die Anwendungen vor böswilligem und unerwünschtem Internettraffic schützt. Datenverkehr, der die WAF-Regeln übergibt, wird an den öffentlichen Load Balancer weitergeleitet. Der Load Balancer beendet SSL/TSL und verteilt HTTP-Anforderungen an die private Web Tier.

    Hinweis:

    Um die Auflösung der Domain der Anwendungs-Endpunkte sicherzustellen, müssen Sie die IP-Adresse des öffentlichen Load Balancers in der öffentlichen DNS registrieren.
  • Privater Load Balancer
    Der Datenverkehr von internen und On-Premise-Benutzern verläuft über IPSec-VPN-Tunnel oder FastConnect Virtual Circuits zu dem dynamischen Routinggateway (DRG), das mit VCN verknüpft ist. Ein privater Load Balancer fängt die Anforderungen ab und verteilt sie an die private Web Tier.

    Hinweis:

    Um die Auflösung der Domain der Anwendungs-Endpunkte sicherzustellen, müssen Sie die IP-Adresse des privaten Load Balancers in der On-Premise-DNS registrieren.
  • Web Tier

    Die Web Tier wird auf einer Compute-Instanz gehostet, die mit einem privaten Subnetz verknüpft ist.

  • Application Tier

    Die Application Tier enthält Compute-Instanzen für die folgenden Hyperion-Komponenten. (Die Abkürzungen in Klammern entsprechen den Labels, die für diese Komponenten im Architekturdiagramm verwendet werden.)

    • Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)

      Eine in ein Package integrierte Lösung, mit der Finanzbenutzer standardisierte Prozesse zur Verwaltung von Finanzdaten unter Verwendung eines webbasierten integrierten Workflows entwickeln können.

    • Oracle Hyperion Financial Management (HFM)

      Ein multidimensionaler Analyseverarbeitungsserver in RDBMS, der eine Umgebung für webbasierte Konsolidierung, Steuerrückstellung, QMR, JSK-Anwendungen bereitstellt.

      Die Anwendung bietet eine globale finanzielle Konsolidierung, Berichterstellung und Analyse in einer einzelnen, hochskalierbaren Softwarelösung.

    • Oracle Hyperion Planning

      Eine zentrale, Excel- und webbasierte Planungs-, Budgetierungs- und Prognoselösung, die Finanz- und Betriebsplanungsprozesse integriert und die Unternehmensprognose verbessert.

    • Oracle Essbase

      Ein OLAP-(Online Analytical Processing-) Server, der eine Umgebung für das Deployment von vordefinierten Anwendungen oder das Entwickeln von benutzerdefinierten Anwendungen bereitstellt.

    • Oracle Hyperion Tax Provision (HTP)

      Eine umfassende globale Steuerrückstellungslösung für multinationale Unternehmen, die ihre Abschlüsse nach US GAAP oder IFRS erstellen.

      Die Anwendung umfasst alle Stufen des Steuerrückstellungsprozesses des Unternehmens, einschließlich Steuerautomatisierung, Datenerfassung, Steuerrückstellungsberechnung, Automatisierung der Abgrenzung von Rücksendungen sowie Steuerberichte und Analysen. Die Anwendung wird mit Oracle Hyperion Financial Management erstellt und nutzt alle Funktionen von Financial Management.

    • Oracle Hyperion Strategic Finance

      Eine Finanzprognose und Modellierungslösung mit aktuellen Szenarioanalysen und Modellierungsfunktionen, mit denen Sie Finanzszenarios schnell modellieren und auswerten können und die BoxTreasury-Funktionen für hochentwickelte Schulden und Kapitalstrukturmanagement bereitstellen können.

    • Oracle Hyperion Profitability and Cost Management

      Eine Anwendung, die verwertbare Erkenntnisse bietet, indem Treiber von Kosten- und Rentabilität ermittelt, Benutzer mit Transparenz und Flexibilität zugänglich gemacht und die Ressourcenausrichtung verbessert wird.

    • Oracle Hyperion Foundation Services

      Gemeinsame Infrastrukturkomponenten, mit denen Sie alle Module des Enterprise Performance Management-Systems installieren und konfigurieren sowie Benutzer, Sicherheit, Metadaten und den Lebenszyklus der Anwendungen verwalten können.

      Foundation Services ist erforderlich, unabhängig davon, ob Sie Hyperion Financial Management oder Hyperion Planning bereitstellen möchten.

    Alle Compute-Instanzen in der Application Tier werden mit einem privaten Subnetz verknüpft. Die Anwendungen werden also von allen anderen Ressourcen in der Topologie auf Netzwerkebene isoliert, und sie werden durch einen nicht autorisierten Netzwerkzugriff geschützt.
    • Mit dem NAT-Gateway können die privaten Compute-Instanzen in der Application Tier auf Hosts außerhalb der Cloud zugreifen (z. B. um Anwendungspatches oder für externe Integrationen herunterzuladen). Über das NAT-Gateway können die Compute-Instanzen im privaten Subnetz Verbindungen zum Internet initiieren und Antworten empfangen, jedoch keine eingehenden Verbindungen empfangen, die von Hosts im Internet initiiert wurden.
    • Mit dem Servicegateway können die privaten Oracle Linux-Compute-Instanzen in der Application Tier auf einen Yum-Server innerhalb der Region zugreifen, um Betriebssystem-Updates und zusätzliche Packages zu erhalten.
    • Mit dem Servicegateway können Sie die Anwendungen in Oracle Cloud Infrastructure Object Storage innerhalb der Region sichern, ohne das öffentliche Internet zu durchlaufen.

    Um die Daten zu replizieren, die in den mit den Anwendungsinstanzen verknüpften Block-Volumes gespeichert sind, können Sie Backups der Datenträger erstellen, die Backups in die Remoteregion kopieren und dann diese Backups verwenden, um die Datenträger in der Remoteregion wiederherzustellen.

    Die Komponenten in der Application Tier haben Zugriff auf Shared Oracle Cloud Infrastructure File Storage, um gemeinsam verwendete Binärdateien und Daten zu speichern, die von Hyperion-Anwendungen generiert werden.

    Mit rsync können Sie die Daten aus dem Dateisystem in der Primärverfügbarkeitsdomain mit dem Dateisystem in der Standbyverfügbarkeitsdomain synchronisieren.

  • Database Tier

    Die Datenbank-Tier in jedem Bereich enthält zwei Datenbanken: eine für Hyperion Foundation Services und die andere für die Enterprise Performance Management-Anwendungen.

    • Für jede Datenbank wird eine Standby-Datenbank in der Remote-Region durch Provisioning bereitgestellt. Sie können Oracle Data Guard im asynchronen Modus verwenden, um die beiden Datenbanken zu synchronisieren und ein Failover oder einen Wechsel zwischen den beiden Datenbanken vorzunehmen.
    • Die Datenbanken werden einem separaten privaten Subnetz zugeordnet. Die Datenbanken werden also von allen anderen Ressourcen in der Topologie auf Netzwerkebene isoliert, und sie werden durch einen nicht autorisierten Netzwerkzugriff geschützt.
    • Mit dem Servicegateway können Sie ein Backup der Datenbanken in Oracle Cloud Infrastructure Object Storage innerhalb der Region durchführen, ohne das öffentliche Internet zu durchlaufen.