1. Despliegue de Oracle E-Business Suite con los servicios de firewall de Palo Alto Networks y Exadata Cloud
  2. Despliegue de Oracle E-Business Suite con los servicios de firewall de Palo Alto Networks y Exadata Cloud

Despliegue de Oracle E-Business Suite con los servicios de firewall de Palo Alto Networks y Exadata Cloud

Los despliegues en la nube de Oracle E-Business Suite ofrecen una serie de ventajas, tanto desde una perspectiva tecnológica como empresarial. Las principales ventajas de la computación en la nube, tal y como se suele promocionar en el mercado, son el soporte para el crecimiento, el rendimiento y la disponibilidad, lo que se traduce en un aumento de la agilidad empresarial. También ofrece costes más bajos y un sistema más seguro.

Los servicios de bases de datos certificadas y la solución de Oracle Cloud Infrastructure (OCI) ofrecen varias ventajas claras sobre otras soluciones en la nube. Por ejemplo, Oracle proporciona la automatización en la nube de Oracle E-Business Suite (herramienta Cloud Manager para la gestión del ciclo de vida de Oracle E-Business Suite) para OCI y los servicios de base de datos asociados (como sistemas de base de datos de máquina virtual, Exadata Cloud Services o Exadata Cloud@Customer) que no están disponibles de otros proveedores.

La migración de cargas de trabajo de Oracle E-Business Suite o la ampliación del arrendamiento actual de OCI con la carga de trabajo de Oracle E-Business Suite en Oracle Cloud con firewalls virtuales de última generación (NGFW) de Palo Alto Network Network, mejora las opciones de seguridad nativa proporcionadas por OCI.

Arquitectura

Esta arquitectura de referencia describe un despliegue de varios nodos altamente disponible en el que la base de datos de Oracle E-Business Suite se ejecuta en los servicios de Oracle Exadata Cloud.

Nota:

Si acaba de empezar su recorrido de OCI, puede encontrar más detalles sobre cómo mover la carga de trabajo de E-Business Suite en OCI en la nota de My Oracle Support (MOS) Introducción a Oracle E-Business Suite en Oracle Cloud Infrastructure, ID de documento 2517025.1, a la que se hace referencia en el tema "Explorar más".

En esta arquitectura, se ha desplegado una carga de trabajo de Oracle E-Business Suite en una topología de red de hub y radio donde el tráfico se enruta a través de un hub central y se conecta a varias redes distintas (escribe VCN). La VCN de hub se conecta a las VCN de radio mediante el gateway de direccionamiento dinámico (DRG). En este escenario, hub es la combinación de DRG y VCN de firewall.

Aquí, el nivel de aplicación contiene varias instancias de la aplicación, con el fin de proporcionar una alta disponibilidad. El nivel de base de datos utiliza una base de datos de Oracle Real Application Clusters que se ejecuta en Oracle Exadata Cloud Services.

En el siguiente diagrama, se muestra esta arquitectura:

A continuación se muestra la descripción de ebs-pan-exacs.png
Descripción de la ilustración ebs-pan-exacs.png

ebs-pan-exacs-oracle.zip

Para reforzar la estrategia de seguridad del arrendamiento, se despliega la serie VM de Palo Alto Networks. Esto le permitirá proteger su carga de trabajo y controlar tanto el tráfico de North-South (tráfico que entra en su red en la nube) como el tráfico de East-West (tráfico que se mueve dentro de su entorno en la nube entre las VCN). Todo el tráfico que fluye entre las VCN del radio, desde Internet y hasta el centro de datos local o hasta Oracle Services Network, se enrutará a través de la VCN del hub y lo inspeccionarán las tecnologías de prevención de amenazas de varios niveles del firewall de la serie VM de Palo Alto Networks.

A continuación se muestran los flujos de tráfico lógicos:

Entrada de flujo de tráfico norte-sur:

En esta ilustración, se muestra el flujo de tráfico entrante norte-sur que emana de Internet en una región OCI:

Descripción de ns-inbound-inet-spoke.png a continuación
Descripción de la ilustración ns-inbound-inet-spoke.png

ns-inbound-inet-spoke-oracle.zip

En esta ilustración, se muestra el flujo de tráfico entrante norte-sur que deriva del centro de datos local del cliente en una región OCI:

A continuación se muestra la descripción de ns-inbound-prem-spoke.png
Descripción de la ilustración ns-inbound-prem-spoke.png

ns-inbound-prem-spoke-oracle.zip

Salida del flujo de tráfico norte-sur:

En esta ilustración, se muestra el flujo de tráfico saliente norte-sur que emana de una región de OCI a Internet:

A continuación se muestra la descripción de ns-outbound-spoke-prem.png
Descripción de la ilustración ns-outbound-spoke-prem.png

ns-outbound-spoke-prem-oracle.zip

En esta ilustración, se muestra el flujo de tráfico saliente norte-sur que deriva de una región de OCI al centro de datos local del cliente:

Descripción de ns-outbound-inet.png a continuación
Descripción de la ilustración ns-outbound-inet.png

ns-outbound-inet-oracle.zip

Flujo de tráfico de este a oeste:

En esta ilustración, se muestra el flujo de tráfico de este a oeste dentro de una VCN de OCI:

A continuación se muestra la descripción de ew-vcns.png
Descripción de la ilustración ew-vcns.png

ew-vcns-oracle.zip

La arquitectura tiene los siguientes componentes:
  • Arrendamiento

    Al registrarse en Oracle Cloud Infrastructure, Oracle crea un arrendamiento para su compañía, que es una partición segura y aislada en Oracle Cloud Infrastructure, donde puede crear, organizar y administrar sus recursos en la nube.

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarse (entre países e incluso continentes). La mayoría de los recursos de Oracle Cloud Infrastructure son específicos de una región, como una red virtual en la nube, o específicos de un dominio de disponibilidad, como una instancia informática.

  • Compartimento

    Los compartimentos son particiones lógicas entre regiones de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

  • Dominios de disponibilidad (AD)

    Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten una infraestructura tal como la alimentación, la refrigeración o la red interna del dominio de disponibilidad. Por tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

  • Dominios de errores (FD)

    Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y potencia independientes. Cuando distribuye recursos entre varios dominios de errores, sus aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y los fallos de alimentación dentro de un dominio de errores.

  • Red virtual en la nube (VCN) y subredes

    Una VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que puede estar en un solo dominio de disponibilidad o abarcar todos los dominios de disponibilidad de la región (opción recomendada). Cada subred consta de un rango contiguo de direcciones que no se solapan con las demás subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • VCN de hub

    La VCN de hub es una red centralizada en la que se despliegan firewalls de Palo Alto Networks VM-Series. Proporciona conectividad segura a todas las redes de comunicaciones de radio, servicios de Oracle Cloud Infrastructure, clientes y puntos finales públicos y redes de centros de datos locales.

  • VCN radial de nivel de aplicación

    La VCN radial del nivel de aplicación contiene una subred privada para alojar la pila de aplicaciones de Oracle E-Business Suite. También tiene subredes de copia de seguridad y cliente de Exadata.

  • Equilibrador de carga (LB)

    El servicio de equilibrio de carga de OCI proporciona una distribución de tráfico automatizada desde un único punto de entrada hasta varios servidores del backend.

  • Lista de seguridad (SL)

    Las listas de seguridad actúan como firewalls virtuales para las instancias informáticas. Una lista de seguridad consta de un juego de reglas de seguridad de entrada (conexiones iniciadas desde Internet) y salida (conexiones iniciadas desde la VCN) que se aplican a todas las VNIC de cualquier subred con la que esté asociada la lista de seguridad.

  • Tabla de Direccionamiento (RT)

    Las tablas de rutas virtuales contienen reglas para direccionar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways fuera de una VCN (por ejemplo, a Internet, a su red local o a una VCN conectada).

  • Gateway de servicio (SG)

    El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de la VCN a los servicios de Oracle viaja por el tejido de red de Oracle y nunca atraviesa Internet.

  • Gateway de Internet (IGW)

    Un gateway de Internet es un enrutador virtual opcional que puede agregar a su VCN para permitir el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

  • Gateway de enrutamiento dinámico (DRG)

    El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor en la nube.

    Con las nuevas funciones de mejora de DRG, ahora puede asociar los siguientes recursos:
    • VCN
    • Conexiones de intercambio de tráfico remotas
    • Túneles de VPN con IPSec de sitio a sitio
    • Circuitos virtuales de FastConnect de OCI
    Cada anexo incluye una tabla de rutas única, que permite definir políticas de enrutamiento que enrutan el tráfico entre anexos. Esta mejora simplifica la conectividad y conduce a topologías de red y enrutamiento más complejos. En esta arquitectura de referencia, se utiliza una topología de red Hub y Spoke que permite utilizar Palo Alto, un dispositivo virtual de red, en una VCN de hub para filtrar o inspeccionar el tráfico entre la red local de un cliente y la VCN radial de la carga de trabajo de la aplicación.

  • Tarjeta de interfaz de red virtual (VNIC)

    Los servicios de los centros de datos de OCI tienen tarjetas de interfaz de red (NIC) física. Las instancias de máquina virtual se comunican mediante NIC virtuales (VNIC) asociadas a las NIC físicas. Cada instancia tiene una VNIC principal que se crea y se asocia automáticamente durante el inicio, que está disponible durante la vida útil de la instancia. DHCP solo se ofrece a la VNIC principal. Puede agregar VNIC secundarias después del inicio de la instancia. Debe definir IP estáticas para cada interfaz.

  • Object Storage

    El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin problemas sin experimentar ninguna degradación del rendimiento o la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento "en caliente" al que necesita acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y a los que rara vez se accede o que rara vez se accede.

  • FastConnect (FC)

    Oracle Cloud Infrastructure FastConnect proporciona una forma fácil de crear una conexión privada y exclusiva entre el centro de datos y Oracle Cloud Infrastructure. FastConnect ofrece opciones de un ancho de banda superior y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

  • Circuito virtual (VC)

    Un circuito virtual es una VLAN Ethernet layer-2 o layer-3 que se ejecuta en una o más conexiones de red físicas para proporcionar una conexión lógica única entre el enrutador del borde de la red y el enrutador de Oracle. Cada circuito virtual está compuesto por información compartida entre el cliente y Oracle, así como un partner de Oracle FastConnect (si se conecta a través de un partner de Oracle FastConnect). Los circuitos virtuales privados admiten el intercambio de tráfico privado, mientras que los circuitos virtuales públicos admiten el intercambio de tráfico público.

  • Firewall de la serie VM de Palo Alto Networks

    Proporciona todas las capacidades de firewalls físicos de última generación en un formulario de máquina virtual, lo que proporciona seguridad de red en línea y prevención de amenazas para proteger de forma consistente las nubes públicas y privadas.

    Con la serie VM en OCI, puede proteger y segmentar sus cargas de trabajo, prevenir amenazas avanzadas y mejorar la visibilidad de sus aplicaciones a medida que avanza a la nube.
    • La subred de gestión utiliza la interfaz de gestión para permitir a los usuarios finales conectarse a la interfaz de usuario.
    • La subred de confianza se utiliza para dirigir el tráfico externo hacia o desde el firewall de la serie VM de Palo Alto Networks.
    • La subred de confianza se utiliza para dirigir el tráfico interno hacia o desde el firewall de la serie VM de Palo Alto Networks.
    • La subred de alta disponibilidad (HA) garantiza que los firewalls de la serie VM tengan alta disponibilidad.

  • Nivel de Aplicación de E-Business Suite

    Una aplicación de Oracle E-Business Suite está compuesta de servidores y sistemas de archivos. En esta arquitectura de referencia, se despliega con varios nodos de nivel de aplicación y caters en la aplicación. Al desplegar un nivel de aplicación de Oracle E-Business Suite con varios nodos, puede utilizar un sistema de archivos de nivel de aplicación compartido o no compartido. Esta arquitectura adopta un sistema de archivos de nivel de aplicación compartido, lo que reduce los requisitos de espacio en disco y elimina la necesidad de aplicar parches a cada nodo del entorno.

  • Centros de Comandos de Empresa (ECC)

    Los centros de comandos empresariales proporcionan detección de información junto con capacidades de visualización y exploración integradas en las interfaces de usuario de Oracle E-Business Suite. Oracle Enterprise Command Center Framework permite crear paneles de control de negocio en diferentes áreas funcionales. Los usuarios de Oracle E-Business Suite pueden navegar por la información transaccional mediante componentes visuales interactivos y funciones de detección guiada, lo que permite un análisis de datos exploratorios. La movilidad y el diseño ajustable están integrados en Oracle Enterprise Command Center Framework, y todos los paneles de control ajustan automáticamente el diseño para que se ajuste mejor a un factor de formulario de dispositivos móviles o de escritorio.

    Oracle Enterprise Command Center Framework, incluido el contenido del panel de control, cumple automáticamente el contexto de seguridad y la seguridad existentes de Oracle E-Business Suite. Los centros de comandos empresariales ayudan a los usuarios de Oracle E-Business Suite a identificar y actuar sobre las transacciones prioritarias sin informes operativos personalizados. ECC versión V7 incluye 32 centros de comandos que incluyen 121 paneles de control en Oracle E-Business Suite.

  • Nivel de base de datos de Oracle E-Business Suite - Exadata Cloud Service

    Los servicios de Exadata Cloud le permiten aprovechar la potencia de Exadata en la nube. Puede aprovisionar sistemas X8M flexibles que le permitan agregar servidores de recursos informáticos y servidores de almacenamiento de base de datos al sistema a medida que aumenten sus necesidades. Los sistemas X8M ofrecen redes RoCE (RDMA sobre Ethernet convergente) para módulos de gran ancho de banda y baja latencia, memoria persistente (PMEM) y software inteligente de Exadata. Puede aprovisionar sistemas X8M mediante una unidad equivalente a un sistema X8 de cuarto de rack y, a continuación, agregar servidores de base de datos y almacenamiento en cualquier momento después del aprovisionamiento.

    Para aprovisionar una base de datos de servicios de Exadata Cloud, primero debe aprovisionar la infraestructura de servicios de Exadata Cloud y los recursos de cluster de VM por separado. Junto con la infraestructura, se crea un cluster de VM, un directorio raíz de base de datos inicial y una base de datos. Puede crear directorios raíz de base de datos y bases de datos adicionales en cualquier momento utilizando la consola o la API de Oracle Cloud Infrastructure.

Recomendaciones

Al trabajar con E-Business Suite en OCI, las siguientes recomendaciones pueden resultar útiles, aunque pueden variar según la implantación.
  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes en la VCN. Utilice bloques CIDR que estén dentro del espacio de dirección IP privada estándar.

    Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desea configurar conexiones privadas.

    Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR. Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y flujo de tráfico. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

    Oracle recomienda utilizar subredes regionales porque son más flexibles. Facilitan la división eficiente de la VCN en subredes, al tiempo que su diseño se orienta a los fallos del dominio de disponibilidad.

  • Seguridad

    Para reforzar la estrategia de seguridad de su arrendamiento de OCI, Oracle recomienda utilizar Cloud Guard y zonas de seguridad. Debe activar Cloud Guard antes de crear zonas de seguridad. Cloud Guard le ayuda a detectar violaciones de política en los recursos existentes creados antes de la zona de seguridad.

    Cloud Guard

    Cloud Guard es un servicio en la nube que ayuda a los clientes a supervisar, identificar, lograr y mantener una estrategia de seguridad sólida en Oracle Cloud. Utilice el servicio para examinar los recursos de OCI y detectar deficiencias de seguridad relacionadas con la configuración, así como los operadores y usuarios de OCI para realizar actividades de riesgo. Tras la detección, Cloud Guard puede ofrecer sugerencias, prestar asistencia o tomar medidas correctivas, en función de la configuración. En la siguiente lista se resumen los elementos que debe conocer para empezar a planificar Cloud Guard:
    • Destino: define el ámbito de comprobación de Cloud Guard. Todos los compartimentos de un destino se comprueban de la misma manera y tiene las mismas opciones para el procesamiento de los problemas que se detectan.
    • Detector: realiza comprobaciones para identificar posibles problemas de seguridad en función de las actividades o configuraciones. Las reglas que se siguen para identificar los problemas son las mismas para todos los compartimentos de un destino.
    • Respondedor: especifica las acciones que Cloud Guard puede realizar cuando los detectores identifican problemas. Las reglas sobre cómo procesar los problemas identificados son las mismas para todos los compartimentos de un destino.

    Zonas de seguridad

    Para los recursos que requieren máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta definida por Oracle de políticas de seguridad que se basan en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona de seguridad desde la Internet pública y se deben cifrar con claves gestionadas por el cliente.

    Al crear y actualizar recursos en una zona de seguridad, OCI valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega operaciones que violan cualquiera de las políticas.

  • Grupos de seguridad de red (NSG)

    Puede usar los NSG para definir un juego de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación.

    Puede usar los NSG para definir un juego de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación.

  • Ancho de banda del equilibrador de carga

    Al crear el equilibrador de carga, puede seleccionar una unidad predefinida que proporcione un ancho de banda fijo o especificar una unidad personalizada (flexible) en la que defina un rango de ancho de banda y permita al servicio escalar el ancho de banda automáticamente en función de los patrones de tráfico. Con cualquier enfoque, puede cambiar la unidad en cualquier momento después de crear el equilibrador de carga.

  • Herramienta E-Business Suite Cloud Manager

    Oracle E-Business Suite Cloud Manager es una aplicación basada en web que controla todos los principales flujos de automatización de Oracle E-Business Suite en OCI, incluido el aprovisionamiento de nuevos entornos, la realización de actividades de gestión del ciclo de vida en esos entornos y la restauración de entornos desde entornos locales.

    Oracle recomienda encarecidamente a todos los clientes que tengan la intención de trasladar su carga de trabajo de Oracle E-Business Suite a OCI para que utilicen esta herramienta de automatización para la migración a la nube, el aprovisionamiento y la gestión del ciclo de vida. Sin embargo, si nuestras ofertas de automatización actuales no satisfacen sus requisitos específicos, puede utilizar un procedimiento manual.

Explorar más

Obtenga más información sobre el despliegue de Oracle E-Business Suite con un firewall de Palo Alto Networks y los servicios de Exadata Cloud.

Revise estos recursos adicionales:

Agradecimientos

  • Autor: Madhusri Bhattacharya