PayPal: Essbase y despliegue de análisis en Oracle Cloud
Para ayudar a modernizar sus sistemas de planificación financiera y análisis, y "salirse del negocio del centro de datos", la plataforma de pago en línea, PayPal, trasladó su aplicación Hyperion Essbase local a Oracle Cloud Infrastructure (OCI).
PayPal también desplegó Oracle Analytics Cloud para proporcionar una herramienta de visualización para usuarios de Essbase, una base de datos de Oracle Autonomous Transaction Processing para registrar los esquemas de Essbase y Oracle Cloud Infrastructure Identity and Access Management para gestionar el acceso de usuarios.
Desde su migración a Oracle Cloud, los equipos financieros de PayPal pueden ejecutar análisis predictivos, modelar escenarios de simulación y crear informes ad hoc avanzados a demanda, así como cargar y recuperar datos más del 30% más rápido, ejecutar scripts de cálculo un 50% más rápido y reducir 21 servidores locales hasta solo 10 servidores en la nube.
Arquitectura
PayPal ejecuta su entorno de producción principal en la región de Oracle Cloud de EE. UU.-Phoenix y su entorno de recuperación ante desastres en la región de Oracle Cloud de EE. UU.-Ashburn.
Tanto el entorno de recuperación principal como el de recuperación ante desastres se comunican mediante conexiones de intercambio de tráfico remotas, lo que permite que el tráfico de red fluya rápidamente entre los dos entornos. PayPal dirige todo su tráfico de red desde y hacia su red interna a través de VPN FastConnect.
Mientras que los entornos de desarrollo y control de calidad (QA) de PayPal existen en las mismas redes virtuales en la nube (VCN) y subredes que su entorno de producción, solo los desarrolladores pueden acceder al entorno de desarrollo. Una instancia de Oracle SQL Developer consulta las instancias de Oracle Autonomous Transaction Processing (ATP), que aloja los esquemas de Oracle Essbase. La instancia de producción de ATP principal incluye copias de seguridad en el almacenamiento de objetos a través del gateway de servicios.
Con DropZone, un servidor Secure-FTP de origen, PayPal transfiere datos del almacén de datos local a Essbase en Oracle Cloud Infrastructure (OCI), con todas las transferencias de datos que se auditan, se comprueban para el cifrado y se registran. Los usuarios de Essbase pueden conectarse a los servicios proporcionados en la red de OCI y pueden utilizar Oracle Analytics Cloud para ejecutar visualizaciones de autoservicio. Oracle Cloud Infrastructure File Storage se comparte entre todos los servidores de aplicaciones y bastión.
El siguiente diagrama ilustra esta arquitectura de referencia.
paypal-essbase-oac-oci-oracle.zip
La implantación en cada región de OCI pertenece a un compartimento distinto, cada uno con su propia VCN. La VCN de producción y la VCN de failover se conectan mediante intercambio de tráfico remoto mediante gateways de enrutamiento dinámico (DRG).
Cada VCN tiene tres subredes:
- La subred pública 1contiene Oracle Cloud Infrastructure Load Balancing y Oracle Analytics Cloud (OAC). OAC se está ejecutando solo en la VCN principal.
- La subred pública 2 es donde se ejecutan un servidor bastión, servidores ETL, Oracle Cloud Infrastructure File Storage y un servidor de Oracle SQL Developer. El servidor de Oracle SQL Developer solo se está ejecutando en la VCN principal.
- Subred privada 1 es donde PayPal ejecuta sus servidores de Essbase y una base de datos de Oracle Autonomous Transaction Processing (ATP), ambos replicados en el sitio de recuperación ante desastres (DR).
En el centro de la arquitectura de PayPal se encuentra Oracle Identity Cloud Service (IDCS), que gestiona las asignaciones de seguridad, roles, acceso y aplicaciones para toda la huella de OCI.
- Las implantaciones de seguridad incluyen una lista permitida de IP, Oracle Cloud Infrastructure Web Application Firewall, grupos de IDCS de Oracle, aplicaciones de IDCS y filtrado en el nivel de cubo de Essbase.
-
La lista de IP permitida es una parte clave del diseño, lo que garantiza que solo los usuarios que están conectados a la red de PayPal puedan acceder a las aplicaciones.
- Solo se puede acceder al entorno de producción de PayPal a través de SSO, y cada subred tiene su propia lista de IP permitidas.
- Las auditorías se realizan mensualmente para verificar los roles y controles. Cuando alguien cambia de puesto, el evento dispara al usuario para confirmar si los roles y el acceso siguen aplicándose al nuevo trabajo.
La arquitectura tiene los siguientes componentes:
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e, incluso, continentes).
- Compartimento
Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.
- Gestión de identidad y acceso (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) le permite controlar quién puede acceder a sus recursos en Oracle Cloud Infrastructure y las operaciones que pueden realizar en esos recursos.
- Supervisión
El servicio Oracle Cloud Infrastructure Monitoring supervisa de forma activa y pasiva sus recursos en la nube mediante métricas para supervisar los recursos y las alarmas a fin de notificarle cuándo estas métricas cumplen los disparadores especificados por la alarma.
- Dominio de disponibilidad
Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, que ofrecen tolerancia a los fallos. Los dominios de disponibilidad no comparten una infraestructura como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.
- Dominio de errores
Un dominio de errores es una agrupación de hardware e infraestructura en un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de errores.
- Firewall de aplicaciones web (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio de aplicación de borde, regional y basado en el sector de tarjetas de pago (PCI) que se asocia a un punto de aplicación, como un equilibrador de carga o un nombre de dominio de aplicación web. WAF protege las aplicaciones del tráfico de Internet malicioso y no deseado. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas las aplicaciones de clientes.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizada y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes del centro de datos tradicionales, las VCN le proporcionan un control completo sobre su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Lista de seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
- Conexión a VPN
VPN Connect proporciona conectividad VPN IPSec de sitio a sitio entre la red local y los VCN en Oracle Cloud Infrastructure. El conjunto de protocolos IPSec cifra el tráfico IP antes de transferir los paquetes del origen al destino y desciende el tráfico cuando llega.
- Gateway de traducción de direcciones de red (NAT)
Un gateway de NAT permite que los recursos privados de una VCN accedan a los hosts en Internet, sin exponer esos recursos a las conexiones de Internet entrantes.
- Gateway de servicio
El gateway de servicio proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde la VCN al servicio Oracle recorre el tejido de red de Oracle y no internet.
- Gateway de enrutamiento dinámico (DRG)
El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre una VCN y una red fuera de la región, como una VCN en otra región de Oracle Cloud Infrastructure, una red local o una red en otro proveedor de nube.
- Intercambio de tráfico remoto
El intercambio de tráfico remoto permite a los recursos de las VCN comunicarse mediante direcciones IP privadas sin enrutar el tráfico a través de Internet o a través de la red local. El intercambio de tráfico remoto elimina la necesidad de un gateway de Internet y direcciones IP públicas para las instancias que necesitan comunicarse con otra VCN en una región diferente.
- Recursos informáticos
El servicio Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts de recursos informáticos en la nube. Puede iniciar instancias informáticas con unidades que cumplan los requisitos de recursos para CPU, memoria, ancho de banda de red y almacenamiento. Después de crear una instancia informática, puede accederla de forma segura, reiniciarla, asociar y desasociar volúmenes y terminarla cuando ya no lo necesite.
- Host bastión
El host bastión es una instancia informática que sirve como punto de entrada seguro y controlado a la topología desde fuera de la nube. El host bastión se aprovisiona normalmente en una zona desmilitarizada (DMZ). Permite proteger recursos confidenciales colocándolos en redes privadas a las que no se puede acceder directamente desde fuera de la nube. La topología tiene un único punto de entrada conocido que puede supervisar y auditar con regularidad. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso a ellos.
- equilibrador de carga
El servicio Oracle Cloud Infrastructure Load Balancing proporciona una distribución automatizada de tráfico desde un único punto de entrada a varios servidores en el backend.
- Object Storage
El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede escalar el almacenamiento sin problemas sin experimentar una degradación del rendimiento o de la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento "activo" al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "en frío" que conserva durante largos períodos de tiempo y rara vez acceso.
- Almacenamiento de archivos
El servicio Oracle Cloud Infrastructure File Storage proporciona un sistema de archivos de red duradero, escalable, seguro y empresarial. Puede conectarse a un sistema de archivos del servicio File Storage desde cualquier instancia con hardware dedicado, de máquina virtual o de contenedor en una VCN. También puede acceder a un sistema de archivos desde fuera de la VCN mediante Oracle Cloud Infrastructure FastConnect y la VPN con IPSec.
- Análisis
Oracle Analytics Cloud es un servicio en la nube pública escalable y seguro que ofrece a los analistas empresariales funciones de autoservicio modernas y que funcionan con IA para la preparación de datos, la visualización, la generación de informes empresariales, los análisis aumentados y el procesamiento y generación de lenguaje natural. Con Oracle Analytics Cloud, también obtiene capacidades de gestión de servicios flexibles, incluida la configuración rápida, la ampliación y la aplicación de parches sencillas y la gestión automatizada del ciclo de vida.
- Autonomous Transaction Processing
Oracle Autonomous Transaction Processing es un servicio de base de datos que se ha optimizado para las cargas de trabajo de procesamiento de transacciones y que es independiente y autosegura. No es necesario configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la realización de copias de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.
Incorporación y despliegue de funciones
¿Desea mostrar lo que ha creado en Oracle Cloud Infrastructure? ¿Es importante compartir sus lecciones aprendidas, mejores prácticas y arquitecturas de referencia con nuestra comunidad global de arquitectos en la nube? Permítanos ayudarte a empezar.
- Descargar la plantilla (PPTX)
Ilustre su propia arquitectura de referencia arrastrando y soltando los iconos en el marco de alambre de ejemplo.
- Vea el tutorial de arquitectura
Obtenga instrucciones paso a paso sobre cómo crear una arquitectura de referencia.
- Enviar el diagrama
Nos envía un correo electrónico con su diagrama. Nuestros arquitectos en la nube revisarán su diagrama y se pondrán en contacto con usted para analizar su arquitectura.