Verlagerung von Infor LN und Infor OS in Oracle Cloud Infrastructure
Infor LN ist ein diskretes Fertigungs-ERP, das von vielen Unternehmen weltweit eingesetzt wird. In der Regel wird ein Infor LN-Deployment mit Infor OS einhergehen, das als digitales Transformationstool für Automatisierung, Vorhersage und Geschäftseinblicke eingesetzt werden kann.
Sie können Infor LN und Infor OS mit Oracle Cloud Infrastructure (OCI) verwenden, um einen nachhaltigen Wettbewerbsvorteil für Deployments zu schaffen, die unterschiedliche Perspektiven bilden und Kostenstrukturen optimieren, Kapazitätsplanung nach Bedarf, Deployment-Agilität, Sicherheit und schnellere Markteinführungszeit bereitstellen. Diese Referenzarchitektur ist eine Baseline für das Deployment von Infor LN und Infor OS auf OCI.
Architektur
Das folgende Architekturdiagramm zeigt die erforderliche Konfiguration der Landingzone und Ressourcen zum Deployment von Infor LN und Infor OS auf OCI. Bei dieser Architektur wird davon ausgegangen, dass Infor LN und Infor OS dieselbe Datenbank gemeinsam verwenden und Microsoft Active Directory (AD) mit Domain Controller (DC) verwenden, der auch in OCI als Identitätsprovider gehostet wird. Oracle Identity Cloud Service verwaltet die Federation zwischen AD und Infor LN/Infor OS und Single Sign-On-Aktivierung.
Beschreibung der Abbildung infor-oci-arch.png
- Mandant
Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle einen Mandanten für Ihr Unternehmen. Ein Mandant ist eine sichere und isolierte Partition innerhalb von Oracle Cloud Infrastructure, in der Sie Ihre Cloud-Ressourcen erstellen, organisieren und verwalten können.
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center, die sogenannten Availability-Domains, enthält. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (auf Ländern oder sogar Kontinenten).
- Compartment
Compartments sind regionsübergreifende logische Partitionen in einem Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Ihre Ressourcen in Oracle Cloud organisieren, den Zugriff auf die Ressourcen kontrollieren und Nutzungsquoten festlegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.
- Verfügbarkeitsdomains
Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung, Kühlung oder das interne Availability-Domainnetzwerk. Daher ist es wahrscheinlich, dass sich ein Fehler in einer Availability-Domain auf die anderen Availability-Domains in der Region auswirkt.
- Faultdomains
Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen auf mehrere Faultdomains verteilen, können Ihre Anwendungen damit den physischen Serverausfall, die Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.
- Virtuelles Cloud-Netzwerk (VCN) und Subnetze
Ein VCN ist ein anpassbares, Software-definiertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie bei traditionellen Data Center-Netzwerken erhalten Sie mit VCNs die vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die einer Region oder einer Availability-Domain zugeordnet werden können. Jedes Subnetz besteht aus einem fortlaufenden Adressbereich, der sich mit den anderen Subnetzen im VCN nicht überschneidet. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.
- Load Balancer
Der Oracle Cloud Infrastructure Load Balancing-Service ermöglicht automatisierte Trafficverteilung von einem einzelnen Entry Point zu mehreren Servern im Backend. Der Load Balancer bietet Zugriff auf verschiedene Anwendungen.
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Traffictyp angeben, der in das und aus dem Subnetz zugelassen werden muss.
- NAT-Gateway
Das NAT-Gateway ermöglicht privaten Ressourcen in einem VCN den Zugriff auf Hosts im Internet, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.
- Servicegateway
Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zu dem Oracle-Service durchläuft das Oracle-Fabric, ohne jemals über das Internet geleitet zu werden.
- Webanwendungs-Firewall
Oracle Cloud Infrastructure Web Application Firewall (Oracle WAF) ist ein cloud-basierter, globaler Sicherheitsservice, der Anwendungen vor böswilligem und unerwünschten Internetverkehr schützt. Mit WAF, das vollständig in die Oracle Cloud Infrastructure-Managementkonsole integriert ist, können Sie jede internetseitige Webanwendung schützen und konsistente Regeldurchsetzung über alle Webanwendungen einer Organisation hinweg bereitstellen.
- Cloud Guard
Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn fehlerhafte oder unsichere Aktivitäten erkannt werden, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt die Durchführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.
- Sicherheitszone
Sicherheitszonen stellen von Anfang an sicher, dass die Best Practices von Oracle für die Sicherheit durchgesetzt werden, indem Policys wie das Verschlüsseln von Daten und das Verhindern des öffentlichen Zugriffs auf Netzwerke für ein gesamtes Compartment durchgesetzt werden. Eine Sicherheitszone ist mit einem Compartment mit demselben Namen verknüpft und umfasst Sicherheitszonen-Policys oder ein "Rezept", das für das Compartment und die zugehörigen Sub-Compartments gilt. Sie können ein Standard-Compartment nicht zu einem Sicherheitszonen-Compartment hinzufügen oder verschieben.
- Object Storage
Der Objektspeicher bietet schnellen Zugriff auf große Mengen an strukturierten und unstrukturierten Daten mit beliebigen Inhaltstypen, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher im Internet oder in der Cloud-Plattform speichern und daraus abrufen. Sie können den Speicher nahtlos skalieren, ohne dass die Performance oder die Servicezuverlässigkeit beeinträchtigt wird. Verwenden Sie Standardspeicher für "Hot"-Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archive Storage für "kalten" Speicher, den Sie über lange Zeiträume aufbewahren, selten oder selten.
- Oracle Database Cloud Service
Oracle Database Cloud Service ermöglicht es Ihnen, Oracle-Datenbanken einfach in der Cloud zu erstellen, zu skalieren und zu sichern. Sie erstellen Datenbanken in DB-Systemen als virtuelle Maschinen mit Block-Volumes, von denen beide leistungsstark und kostengünstig sind. Der Service unterstützt auch die "Cloud-First"-Oracle RAC-Implementierung auf VM-Servern auf der virtuellen Cloud-Netzwerkschicht.
- Internetgateway
Ein Internetgateway ist ein optionaler virtueller Router, der die Edge des VCN mit dem Internet verbindet. Um das Gateway zu verwenden, müssen die Hosts auf beiden Seiten der Verbindung öffentliche IP-Adressen für das Routing haben. Verbindungen, die aus Ihrem VCN stammen und für eine öffentliche IP-Adresse (innerhalb oder außerhalb des VCN) bestimmt sind, werden durch das Internetgateway. Verbindungen, die von außerhalb des VCN stammen und für eine öffentliche IP-Adresse innerhalb des VCN bestimmt sind, durchlaufen das Internetgateway.
- Dynamic Routing Gateway (DRG)
Ein DRG fungiert als virtueller Router, der einen Pfad für Datenverkehr zwischen Ihren On-Premise-Netzwerken und VCNs bereitstellt und auch zur Weiterleitung von Datenverkehr zwischen VCNs verwendet werden kann. Mit verschiedenen Anhangstypen können benutzerdefinierte Netzwerktopologien mit Komponenten in verschiedenen Regionen und Mandanten erstellt werden. Jedem DRG-Anhang ist eine Routentabelle zugeordnet, mit der Pakete, die in das DRG eingehen, an ihren nächsten Hop weitergeleitet werden. Neben statischen Routen werden Routen aus den zugeordneten Netzwerken mithilfe optionaler Importroutenverteilungen dynamisch in DRG-Routentabellen importiert.
- Bastion-Service
Oracle Cloud Infrastructure Bastion bietet eingeschränkten und zeitlich begrenzten Zugriff auf Zielressourcen, die keine öffentlichen Endpunkte haben. Mit Bastionen können autorisierte Benutzer mithilfe von Secure Shell-(SSH-)Sessions eine Verbindung von bestimmten IP-Adressen zu Zielressourcen herstellen. Bei einer Verbindung können Benutzer mit der Zielressource über jede von SSH unterstützte Software oder jedes unterstützte Protokoll interagieren. Beispiel: Sie können das Remote Desktop Protocol (RDP) verwenden, um eine Verbindung zu einem Windows-Host herzustellen, oder mit Oracle Net Services eine Verbindung zu einer Datenbank herstellen.
- Identity Cloud-Service
Oracle Identity Cloud Service (IDCS) ist eine Identity-as-a-Service-(IDaaS-)Lösung, die in Oracle Public Cloud (OPC) verfügbar ist. Sie soll Unternehmenskontrollen erweitern, indem das Provisioning und Deprovisioning von PaaS- und SaaS-Accounts automatisiert werden, die Benutzererfahrung für den Zugriff auf Cloud-Anwendungen vereinfacht wird. Dazu wird die nahtlose Integration mit Enterprise-Identity Stores und Authentifizierungsservices bereitgestellt und Complianceaktivitäten durch eindeutige Berichte zur Cloud-Anwendungsnutzung vereinfacht.
Empfehlungen
- VCN
Legen Sie beim Erstellen eines VCN die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen fest, die Sie den Subnetzen im VCN zuordnen möchten. Verwenden Sie CIDR-Blöcke, die sich im privaten Standard-IP-Adressraum befinden.
Wählen Sie CIDR-Blöcke aus, die sich nicht mit anderen Netzwerken (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, für die Sie private Verbindungen einrichten möchten.
Nachdem Sie ein VCN erstellt haben, können Sie dessen CIDR-Blöcke ändern, hinzufügen und entfernen.
Berücksichtigen Sie beim Entwerfen der Subnetze den Trafficfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze verwendet werden kann.
Regionale Subnetze verwenden
- Sicherheit
Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure proaktiv überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn fehlerhafte oder unsichere Aktivitäten erkannt werden, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt die Durchführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.
Für Ressourcen, die maximale Sicherheit erfordern, empfiehlt Oracle die Verwendung von Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept mit Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Auf die Ressourcen in einer Sicherheitszone kann nicht über das öffentliche Internet zugegriffen werden. Sie müssen dann mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge anhand der Policys im Rezept "security-zone" und verweigert Vorgänge, die eine der Policys verletzen.
- Cloud Guard
Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektor- und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welcher Typ von Sicherheitsverletzungen eine Warnung generiert und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie können Object Storage-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist.
Wenden Sie Cloud Guard auf Mandantenebene an, um den umfassendsten Geltungsbereich abzudecken und den Administrationsaufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren.
Sie können das Feature "Verwaltete Liste" auch verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.
- Sicherheitszonen
Klonen und passen Sie die von Oracle bereitgestellten Standardrezepte an, um benutzerdefinierte Detektor- und Responder-Rezepte zu erstellen. Mit diesen Rezepten können Sie angeben, welcher Typ von Sicherheitsverletzungen eine Warnung generiert und welche Aktionen für sie ausgeführt werden dürfen. Beispiel: Sie können Object Storage-Buckets ermitteln, deren Sichtbarkeit auf "Öffentlich" gesetzt ist.
Wenden Sie Cloud Guard auf Mandantenebene an, um den umfassendsten Geltungsbereich abzudecken und den Administrationsaufwand für die Verwaltung mehrerer Konfigurationen zu reduzieren.
Sie können das Feature "Verwaltete Liste" auch verwenden, um bestimmte Konfigurationen auf Detektoren anzuwenden.
- Network Security Groups (NSGs)
Mit NSGs können Sie ein Set von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Es wird empfohlen, NSGs anstelle von Sicherheitslisten zu verwenden, da NSGs es Ihnen ermöglichen, die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung zu trennen.
Mit NSGs können Sie ein Set von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Es wird empfohlen, NSGs anstelle von Sicherheitslisten zu verwenden, da NSGs es Ihnen ermöglichen, die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung zu trennen.
- Load-Balancer-Bandbreite
Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägung auswählen, die eine feste Bandbreite bereitstellt, oder eine benutzerdefinierte (flexible) Ausprägung angeben, in der Sie einen Bandbreitenbereich festlegen und die Bandbreite basierend auf Trafficmustern automatisch skalieren lassen. Bei beiden Lösungen können Sie die Ausprägungen nach dem Erstellen des Load Balancers jederzeit ändern.
Hinweise
Berücksichtigen Sie die folgenden Faktoren beim Deployment dieser Referenzarchitektur.
- Umgebungen
Dieses Architektur-Considre für Test und Entwicklung für Infor-LN und Infor-OS auf einem Rechner. In der Produktionsumgebung wird ein Singleton-Modell ohne Redundanz angewendet
- Sicherheit
Der VPN-Zugriff wird verwaltet, um den Zugriff von allen On-Premise-Terminals auf die OCI-Ressourcen zu erleichtern. Internetzugriff durch Webanwendungs-Firewall geschützt. Zugriff auf Anwendungsebene wird von IDCS verwaltet
- Verfügbarkeit
Diese Architektur nimmt einzelne Knoten sowohl für Infor-LN als auch für Infor-OS an. Dieses Deployment kann erweitert werden, um das High-Availability-Setup für beide Anwendungen zu implementieren
- Kostenfaktor
Diese Architektur galt als kostengünstige Methode für die Bereitstellung aus Sicht der Ressourcen. Eine Umgebung für Inofr-LN und Infor-OS für Nicht-Produktion und einen einzelnen Server für jede Anwendung in der Produktion mit einer konsolidierten Datenbank.