1. Mehrere Oracle E-Business Suite-Kunden mandantenübergreifend verwalten
  2. Mehrere Oracle E-Business Suite-Kunden mandantenübergreifend verwalten

Mehrere Oracle E-Business Suite-Kunden mandantenübergreifend verwalten

In dieser Referenzarchitektur wird beschrieben, wie zwei verschiedene Oracle E-Business Suite-(EBS-)Workloads mandantenübergreifend verwaltet werden können. Dieser Anwendungsfall ist bei Managed Service Providern (MSPs) verbreitet, die EBS-Workloads für mehrere Kunden mandantenübergreifend implementieren. Die MSPs bieten Hosting- und Anwendungsmanagementservices für ihre EBS-Kunden in Oracle Cloud und bieten gleichzeitig einen Mehrwert für die Kosten und eine langfristige betriebliche Effizienz.

Dieses Szenario ist auch ein nützlicher Ausgangspunkt für alle Kunden, die Mandanten oder MSPs im Allgemeinen für die Verwaltung ihrer Cloud-Kunden benötigen.

Tausende Unternehmen auf der ganzen Welt verlassen sich beim Ausführen ihrer wichtigsten Geschäftsabläufe auf Oracle EBS. Aufbauend auf einer 30-jährigen Innovationsgeschichte liefert Oracle EBS weiterhin und investiert in die Suite mit Schwerpunkt auf funktionalen Fortschritten, Mobilität, UI-Modernisierung und Betriebseffizienz und hilft Kunden dabei, alle Vorteile von Oracle Cloud zu nutzen. Oracle EBS unterstützt die sich entwickelnden Geschäftsmodelle von heute, steigert die Produktivität und erfüllt die Anforderungen des modernen mobilen Benutzers.

Die EBS-Kunden von Oracle im Hinblick auf die Zukunft und die Vorteile von Cloud-Lösungen suchen oft nach Partnern mit den speziellen Fähigkeiten und Erfahrungen, die sie für den Erfolg benötigen. Das Partnernetzwerk von Oracle ist für den Erfolg unserer Kunden von entscheidender Bedeutung. Unsere Partner sind vertrauenswürdige Berater, ausgestattet mit der demonstrierten Expertise und Tools, um Ihren Erfolg zu steigern. Die differenzierten Services, kombiniert mit der Technologie von Oracle, ermöglichen den Kunden von Oracle, ihre Geschäftsziele zu erreichen. Das Unternehmen unterstützt die Bereitstellung von End-to-End-Strategien, Beratung und Implementierungsservices mit Oracle Cloud-Lösungen und -Services.

Hinweis:

Wenn Sie gerade mit der Customer Journey für Oracle Cloud Infrastructure (OCI) beginnen, finden Sie weitere Details zum Verschieben der Workload der E-Business Suite in OCI im My Oracle Support-(MOS-)Referenz: Erste Schritte mit Oracle E-Business Suite auf Oracle Cloud Infrastructure, Doc ID 2517025.1, im Thema "Weitere Informationen".

Architektur

Diese Referenzarchitektur umfasst zwei Mandanten: Mandant-A und Mandant-B. Mandant-A enthält ein VCN für die EBS-Workload des Kunden-A und ein zweites VCN für den MSP. Mandant-B verfügt über ein einzelnes VCN mit der EBS-Workload von Customer-B.

Die Workload des Kunden-A besteht aus einer Application Tier, die mehrere Instanzen der Anwendung enthält, die High Availability bietet. Als Datenbank wird ein Oracle Base Database Service (Einzelknoten-Datenbanksysteme) auf einer virtuellen Maschine (VM) verwendet.

Für Kunde-A sind sowohl die interne Zone (privates Subnetz) als auch die externe Zone (öffentliches Subnetz) konfiguriert. Interne Benutzer können über das dynamische Routinggateway (DRG) auf die private Zone im VCN zugreifen. Ein privater Load Balancer leitet den Datenverkehr an die Anwendungsknoten in der internen Zone weiter. Ein öffentlicher Load Balancer ermöglicht, dass externe Benutzeranforderungen über das Internetgateway (IGW) an die DMZ übergeben werden. Die Datenbank wird in einem privaten Subnetz bereitgestellt.

Die Workload von Customer-B besteht aus einer einzelnen Application Tier mit Oracle Base Database Service (Einzelknoten-Datenbanksysteme) auf einer virtuellen Maschine (VM), auf der die Application Tier und die Datenbankebene in einem privaten Subnetz bereitgestellt werden.

Zur Bereitstellung eines verwalteten Cloud-Service für Customer-A und Customer-B ist eine VCN-übergreifende Kommunikation erforderlich. Diese Referenzarchitektur verwendet eine Remote-Peering-Verbindung (RPC), um die Kommunikation zwischen dem VCN zu aktivieren. Beim Peering können die VCNs mit privaten IP-Adressen kommunizieren, ohne den Datenverkehr über das Internet oder über ein On-Premise-Netzwerk zu leiten. Eine RPC ist eine Komponente, die Sie in dem an Ihr VCN angeschlossenen DRG erstellen. Die Aufgabe besteht darin, als Verbindungspunkt für ein per Peering angebundenes VCN zu fungieren. Bei der VCN-Konfiguration muss jeder Administrator eine RPC für das DRG auf dem VCN erstellen. Ein DRG muss jeweils eine separate RPC für jedes Remote-Peering enthalten, das es für das VCN einrichtet (mit maximal 10 RPCs pro Mandanten).
  • Das DRG des MSP verfügt über zwei RPC-Verbindungen, eine für jeden Kunden (RPC-1 für Customer-A bzw. RPC-2 für Customer-B).
  • Kunde-A hat eine RPC-Verbindung: RPC-3 und Customer-B hat eine RPC-Verbindung: RPC-4.
  • RPC-1 ist mit RPC-3 für Customer-A und RPC-2 mit RPC-4 für Customer-B verbunden.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung von Deploy-ebs-multi-tenances.png folgt
Beschreibung der Abbildung Deploy-ebs-multi-tenances.png

Deploy-ebs-multi-tenancy-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

  • Mandant

    Wenn Sie sich für OCI registrieren, erstellt Oracle einen Mandanten für Ihr Unternehmen. Das ist eine sichere und isolierte Partition innerhalb von OCI, in der Sie Ihre Cloud-Ressourcen erstellen, organisieren und verwalten können.

  • Region

    Eine OCI-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center enthält, die als Availability-Domains bezeichnet werden. Regionen sind nicht von anderen Regionen abhängig, und große Distanzen können sie trennen (über Länder oder sogar Kontinente).

  • Compartment

    Compartments sind regionsübergreifende logische Partitionen in einem OCI-Mandanten. Mit Compartments können Sie Ihre Ressourcen in Oracle Cloud organisieren, den Zugriff auf die Ressourcen kontrollieren und Nutzungs-Quotas festlegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.

  • Availability-Domains (AD)

    Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Es ist also unwahrscheinlich, dass der Fehler in einer Availability-Domain die anderen Availability-Domains in der Region beeinflusst.

  • Faultdomains

    Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen über mehrere Faultdomains verteilen, können Ihre Anwendungen Fehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Ein VCN ist ein anpassbares, Softwaredefiniertes Netzwerk, das Sie in einer OCI-Region einrichten können. Wie bei traditionellen Data Center-Netzwerken haben VCNs die vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain skalieren lassen. Jedes Subnetz besteht aus einem nachfolgenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  • Load Balancer (LB)

    Der OCI Load Balancing-Service stellt eine automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt zu mehreren Servern im Backend bereit.

  • Sicherheitsliste (SL)

    Sicherheitslisten fungieren als virtuelle Firewalls für Ihre Compute-Instanzen. Eine Sicherheitsliste besteht aus einem Set von Ingress- (Verbindungen, die über das Internet initiiert wurden) und Egress-Sicherheitsregeln (Verbindungen, die über das VCN initiiert wurden), die für alle VNICs in einem Subnetz gelten, mit dem die Sicherheitsliste verknüpft ist.

  • Weiterleitungstabelle (RT)

    Virtuelle Routentabellen enthalten Regeln, mit denen Traffic von Subnetzen an Ziele außerhalb eines VCN weitergeleitet wird, in der Regel über Gateways außerhalb eines VCN (z.B. zum Internet, zu Ihrem On-Premise-Netzwerk oder zu einem Peer-VCN).

  • Servicegateway (SG)

    Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zu Oracle Services durchläuft die Oracle-Netzwerk-Fabric und nie das Internet.

  • Internetgateway (IGW)

    Ein Internetgateway ist ein optionaler virtueller Router, den Sie Ihrem VCN hinzufügen können, um Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet zuzulassen.

  • Dynamic Routing Gateway (DRG)
    Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerkverkehr zwischen einem VCN und einem Netzwerk außerhalb der Region bereitstellt, wie ein VCN in einer anderen OCI-Region, ein On-Premise-Netzwerk oder ein Netzwerk in einem anderen Cloud-Provider. Mit den neuen Verbesserungsfeatures von DRG können Sie jetzt die folgenden Ressourcen anhängen:
    • VCNs
    • RPCs
    • Site-to-Site-VPN-IPSec-Tunnel
    • OCI FastConnect-Virtual Circuits
    Jeder Anhang enthält eine eindeutige Routentabelle, mit der Sie Policys definieren können, die Traffic zwischen Anhängen weiterleiten. Diese Verbesserung vereinfacht die Konnektivität und ermöglicht komplexere Netzwerktopologien und das Routing. Diese Referenzarchitektur verwendet eine Hub- und Spoke-Netzwerktopologie, mit der Sie Palo Alto, eine virtuelle Netzwerk-Appliance, in einem Hub-VCN verwenden können, um Traffic zwischen dem On-Premise-Netzwerk eines Kunden und dem Spoke-VCN der Anwendungs-Workload zu filtern oder zu prüfen.
  • Objektspeicher

    Mit Object Storage können Sie schnell auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps zugreifen, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher nahtlos skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird. Verwenden Sie Standardspeicher für "Hot Storage", auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "Cold Storage", den Sie über lange Zeiträume beibehalten haben, und greifen Sie nur selten auf den Speicher zu.

  • FastConnect (FC)

    Oracle Cloud Infrastructure FastConnect bietet eine einfache Möglichkeit, eine dedizierte, private Verbindung zwischen Ihrem Data Center und OCI zu erstellen. FastConnect bietet im Vergleich zu internetbasierten Verbindungen höhere Bandbreitenoptionen und ein zuverlässigeres Netzwerk.

  • Virtual Circuit (VC)

    Ein Virtual Circuit ist ein layer-2- oder layer-3-Ethernet-VLAN, das über mindestens eine physische Netzwerkverbindung läuft und eine einzelne, logische Verbindung zwischen dem Router auf der Netzwerk-Edge und dem Oracle-Router bereitstellt. Jeder Virtual Circuit besteht aus Informationen, die vom Kunden und Oracle sowie einem Oracle FastConnect-Partner (wenn Sie eine Verbindung über einen Oracle FastConnect-Partner herstellen) geteilt werden. Private VMs unterstützen Private Peering, während öffentliche Virtual Circuits Public Peering unterstützen.

  • E-Business Suite-Anwendungsebene

    Eine Oracle E-Business Suite-Anwendung besteht aus Servern und Dateisystemen. In dieser Referenzarchitektur wird sie für Kunde A mit mehreren Knoten der Anwendungsebene bereitgestellt und an die Anwendung angepasst. Wenn Sie eine Oracle E-Business Suite-Anwendungsebene mit mehreren Knoten bereitstellen, können Sie entweder ein freigegebenes oder ein nicht gemeinsam verwendetes Dateisystem der Anwendungsebene verwenden. Diese Architektur nimmt ein Shared Application-Tier-Dateisystem an, das den Speicherplatzbedarf reduziert und das Einspielen von Patches für jeden Knoten in der Umgebung überflüssig macht.

  • Oracle E-Business Suite-Datenbankebene

    In dieser Referenzarchitektur verwenden beide Kunden OCI Base Database Service. Mit diesem Service können Sie absolute Kontrolle über Ihre Daten behalten und gleichzeitig die kombinierten Funktionen von Oracle Database und OCI nutzen, die von Oracle verwaltet werden.

Empfehlungen

Bei der Arbeit mit E-Business Suite auf OCI können die folgenden Empfehlungen nützlich sein, auch wenn sie je nach Implementierung variieren können.
  • VCN

    Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich im privaten Standardadressbereich befinden.

    Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in OCI, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, für das Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen. Berücksichtigen Sie bei der Entwicklung der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

    Oracle empfiehlt die Verwendung regionaler Subnetze, da sie flexibler sind. Sie erleichtern die effiziente Aufteilung des VCN in Subnetze, während sie auch für Ausfall von Availability-Domains konzipiert sind.

  • Sicherheit

    Um die Sicherheit Ihres OCI-Mandanten zu stärken, empfiehlt Oracle die Verwendung von Cloud Guard- und Sicherheitszonen. Sie müssen Cloud Guard aktivieren, bevor Sie Sicherheitszonen erstellen. Mit Cloud Guard können Sie Policy-Verstöße in vorhandenen Ressourcen erkennen, die vor der Sicherheitszone erstellt wurden.

    Cloud Guard

    Cloud Guard ist ein cloudnativer Service, mit dem Kunden ihren Sicherheitsstatus in Oracle Cloud überwachen, identifizieren, erreichen und aufrechterhalten können. Prüfen Sie mit dem Service Ihre OCI-Ressourcen auf Sicherheitsschwächen im Zusammenhang mit der Konfiguration sowie Ihre OCI-Operatoren und -Benutzer auf riskante Aktivitäten. Beim Erkennen kann Cloud Guard basierend auf Ihrer Konfiguration Korrekturmaßnahmen vorschlagen, unterstützen oder ausführen. In der folgenden Liste sind die ersten Schritte für die Planung für Cloud Guard zusammengefasst:
    • Ziel: Definiert den Geltungsbereich der Cloud Guard-Prüfungen. Alle Compartments innerhalb eines Ziels werden auf dieselbe Weise geprüft. Dabei können Sie dieselben Optionen für die Verarbeitung von erkannten Problemen nutzen.
    • Detektor: Führt Prüfungen durch, um potenzielle Sicherheitsprobleme basierend auf Aktivitäten oder Konfigurationen zu identifizieren. Regeln zur Identifizierung von Problemen sind für alle Compartments in einem Ziel identisch.
    • Responder: Gibt Aktionen an, die Cloud Guard ausführen kann, wenn Detektoren Probleme identifizieren. Regeln für die Verarbeitung identifizierter Probleme sind für alle Compartments in einem Ziel identisch.

    Sicherheitszonen

    Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle, Sicherheitszonen zu verwenden. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept der Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden.

    Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert OCI die Vorgänge anhand der Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die eine der Policys verletzen.

  • Netzwerksicherheitsgruppen (NSGs)

    Mit NSGs können Sie ein Set von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Es wird empfohlen, keine Sicherheitslisten sondern NSGs zu verwenden, da NSGs die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung trennen können.

  • Load-Balancer- Bandbreite

    Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägungen mit fester Bandbreite auswählen oder eine benutzerdefinierte (flexible) Ausprägungen angeben, bei der Sie einen Bandbreitenbereich festlegen und der Service die Bandbreite automatisch basierend auf Trafficmustern skalieren lässt. Bei beiden Lösungen können Sie die Ausprägungen nach dem Erstellen des Load Balancers jederzeit ändern.

  • E-Business Suite Cloud Manager-Tool

    Oracle E-Business Suite Cloud Manager ist eine webbasierte Anwendung, die alle wichtigen Automatisierungsabläufe für Oracle E-Business Suite auf OCI steuert, einschließlich Provisioning neuer Umgebungen, Durchführung von Lifecycle-Management-Aktivitäten in diesen Umgebungen und Wiederherstellung von Umgebungen On Premise.

    Oracle empfiehlt allen Kunden, die ihre Oracle E-Business Suite-Workload in OCI verlagern möchten, dringend dieses Automatisierungstool für Lift-and-Shift, Provisioning und Lebenszyklusmanagement. Wenn unsere aktuellen Automatisierungsangebote jedoch nicht Ihren spezifischen Anforderungen entsprechen, können Sie ein manuelles Verfahren anwenden.

  • Web Application Firewall

    Es gibt viele Deployments wie Customer-A, bei denen Kunden bestimmte Anwendungsmodule für ihre Lieferanten und Partner bereitstellen müssen. Möglicherweise müssen bestimmte Endbenutzer auch eine Verbindung von außerhalb der Unternehmensfirewall herstellen. Um diese Anforderungen zu erfüllen, müssen Sie bestimmte Anwendungsendpunkte über eine entmilitarisierte Zone (DMZ) dem Internet bereitstellen. Webclients/Browser und Server kommunizieren über Protokolle wie HTTP, HTTPS, FTP usw., und böswillige Akteure könnten Sicherheitslücken bei der Verwendung dieser Protokolle nutzen.

    Protokolle befinden sich auf verschiedenen Ebenen des Protokollstacks. Obwohl Web-Exploits auf der Anwendungsschicht (Schicht 7) auftreten, kann es sich auf andere Schichten durch Paketflutung (Datenlinkschicht) oder SYN-Floodierung (Netzwerkschicht) auswirken. Web-Exploits auf der Anwendungsschicht werden jedoch immer häufiger als Netzwerkschichtangriffe auf Webserver. Diese Web-Exploits (z.B. SQL-Injection, Cross-Site Scripting, Security Misconfiguration usw.) können bei Nichtbearbeitung die Sicherheit beeinträchtigen und die Anwendungsverfügbarkeit beeinträchtigen. Mit OCI Web Application Firewall (WAF) können Sie Endpunkte sicherer machen, indem Sie potenziell böswilligen Traffic überwachen und filtern. Es ist ein cloudbasierter, mit Payment Card Industry (PCI) konformer, globaler Sicherheitsservice, der Anwendungen vor böswilligem und unerwünschtem Internetverkehr schützt.

Mehr erfahren

Erfahren Sie mehr über das Deployment der Oracle E-Business Suite für mehrere Mandanten.

Prüfen Sie die folgenden zusätzlichen Ressourcen:

Bestätigungen

Autor: Madhusri Bhattacharya