1. Déployer Oracle E-Business Suite avec les services Palo Alto Networks Firewall et Exadata Cloud
  2. Déployer Oracle E-Business Suite avec les services Palo Alto Networks Firewall et Exadata Cloud

Déployer Oracle E-Business Suite avec les services Palo Alto Networks Firewall et Exadata Cloud

Les déploiements cloud d'Oracle E-Business Suite offrent un large éventail d'avantages, tant du point de vue de la technologie que de l'entreprise. Les principaux avantages du cloud computing, comme souvent vus sur le marché, sont le soutien à la croissance, aux performances et à la disponibilité, ce qui augmente la flexibilité de l'entreprise. Il offre également des coûts réduits et un système plus sécurisé.

La solution Oracle Cloud Infrastructure (OCI) et les services de base de données certifiés offrent plusieurs avantages évidents par rapport aux autres solutions cloud. Par exemple, Oracle fournit l'automatisation cloud d'Oracle E-Business Suite (Outil Cloud Manager pour la gestion du cycle de vie d'Oracle E-Business Suite) pour OCI et les services de base de données associés (tels que les systèmes de base de données de machine virtuelle, les services Exadata Cloud ou Exadata Cloud@Customer) qui ne sont pas disponibles auprès d'autres fournisseurs.

Le déplacement des charges de travail Oracle E-Business Suite ou l'extension de votre location OCI actuelle avec la charge de travail Oracle E-Business Suite sur Oracle Cloud avec des pare-feu de nouvelle génération virtuels Palo Alto Network VM-Series (NGFW) améliore les options de sécurité natives fournies par OCI.

Architecture

Cette architecture de référence décrit un déploiement à plusieurs noeuds hautement disponible dans lequel Oracle E-Business Suite Database est exécuté sur les services Oracle Exadata Cloud.

Remarque :

Si vous commencez simplement votre parcours OCI, vous trouverez plus de détails sur le déplacement de votre charge globale E-Business Suite dans OCI dans la note My Oracle Support (MOS) Introduction à Oracle E-Business Suite sur Oracle Cloud Infrastructure, ID document 2517025.1, référencée dans la rubrique "Découvrir plus".

Dans cette architecture, une charge de travail Oracle E-Business Suite a été déployée dans une topologie de réseau hub et satellite où le trafic est acheminé via un hub central et connecté à plusieurs réseaux distincts (appelle des réseaux cloud virtuels). Le hub VCN se connecte aux réseaux cloud virtuels satellite via la passerelle de routage dynamique (DRG). Dans ce scénario, hub est la combinaison du DRG et du VCN de pare-feu.

Ici, le niveau application contient plusieurs instances de l'application, afin de fournir une haute disponibilité. Le niveau base de données utilise une base de données Oracle Real Application Clusters exécutée sur Oracle Exadata Cloud Services.

Le diagramme suivant illustre cette architecture :

Description de l'image ebs-pan-exacs.png
Description de l'illustration ebs-pan-exacs.png

ebs-pan-exacs-oracle.zip

Pour renforcer l'état de sécurité de la location, la série de machines virtuelles Palo Alto Networks est déployée. Vous protégez ainsi votre charge de travail et surveillez à la fois le trafic Nord-Sud (entrée dans votre réseau cloud) et le trafic Est-Ouest (transfert dans votre environnement cloud entre les réseaux cloud virtuels). Tout le trafic qui circule entre les réseaux cloud virtuels satellite, d'Internet à destination et depuis le centre de données on-premise ou vers Oracle Services Network sera acheminé via le hub VCN et inspecté par les technologies de prévention des menaces multicouche de Palo Alto Networks VM Series Firewall.

Les flux de trafic logique sont décrits ci-dessous :

Flux de trafic Nord-Sud entrant :

Cette illustration présente le flux de trafic entrant nord-sud provenant d'Internet dans une région OCI :

Description de l'image ns-inbound-inet-spoke.png
Description de l'illustration ns-inbound-inet-spoke.png

ns-inbound-inet-spoke-oracle.zip

Cette illustration présente le flux de trafic entrant nord-sud provenant du centre de données on-premise du client vers une région OCI :

Description de l'image ns-inbound-prem-spoke.png
Description de l'illustration ns-inbound-prem-spoke.png

ns-inbound-prem-spoke-oracle.zip

Flux de trafic Nord-Sud sortant :

Cette illustration présente le flux de trafic sortant nord-sud provenant d'une région OCI vers Internet :

Description de l'image ns-outbound-spoke-prem.png
Description de l'illustration ns-outbound-spoke-prem.png

ns-outbound-spoke-prem-oracle.zip

Cette illustration présente le flux de trafic sortant nord-sud provenant d'une région OCI vers le centre de données on-premise du client :

Description de l'image ns-outbound-inet.png
Description de l'illustration ns-outbound-inet.png

ns-outbound-inet-oracle.zip

Flux de trafic Est-Ouest :

Cette illustration présente le flux de trafic est-ouest au sein d'un VCN OCI :

Description de l'image ew-vcns.png
Description de l'illustration ew-vcns.png

ew-vcns-oracle.zip

L'architecture comprend les composants suivants :
  • Location

    Lors de l'inscription à Oracle Cloud Infrastructure, Oracle crée une location pour votre entreprise, qui est une partition sécurisée et isolée dans Oracle Cloud Infrastructure où vous pouvez créer, organiser et administrer vos ressources cloud.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique précise qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (dans les pays ou même les continents). La plupart des ressources Oracle Cloud Infrastructure sont propres à une région, par exemple un réseau cloud virtuel, ou à un domaine de disponibilité, par exemple une instance de calcul.

  • Compartiment

    Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et quelles actions elles peuvent effectuer.

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau interne du domaine de disponibilité. Ainsi, il est peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • Domaines de pannes (FD)

    Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec un matériel et une alimentation indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peut se trouver dans un seul domaine de disponibilité ou s'étendre à tous les domaines de disponibilité de la région (recommandé). Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Hub VCN

    Le hub VCN est un réseau centralisé sur lequel sont déployés les pare-feu Palo Alto Networks de série VM. Il fournit une connectivité sécurisée à tous les réseaux cloud virtuels satellite, aux services Oracle Cloud Infrastructure, aux adresses publiques et aux clients, ainsi qu'aux réseaux de centres de données sur site.

  • Application tierce via VCN

    Le niveau Application a parlé de VCN contient un sous-réseau privé qui héberge la pile d'applications Oracle E-Business Suite. Il comporte également des sous-réseaux client et de sauvegarde Exadata.

  • Equilibreur de charge (LB)

    Le service OCI Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs du back-end.

  • Liste de sécurité (SL)

    Les listes de sécurité servent de pare-feu virtuels pour vos instances de calcul. Une liste de sécurité se compose d'un ensemble de règles de sécurité entrantes (connexions initiées à partir d'Internet) et sortantes (connexions initiées à partir du VCN) qui s'appliquent à toutes les cartes d'interface réseau virtuelles de tout sous-réseau auquel la liste de sécurité est associée.

  • Table de routage (RT)

    Les tables de routage virtuelles contiennent des règles permettant d'acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles en dehors d'un VCN (par exemple, vers Internet, vers votre réseau sur site ou vers un VCN appairé).

  • Passerelle de service

    La passerelle de service permet d'accéder à partir d'un VCN vers d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic du VCN vers les services Oracle transite par la topologie Fabric réseau Oracle et ne traverse jamais Internet.

  • Passerelle Internet (IGW)

    Une passerelle Internet est un routeur virtuel facultatif que vous pouvez ajouter à votre VCN pour autoriser le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

  • Passerelle de routage dynamique

    Le DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.

    Avec les nouvelles fonctionnalités d'amélioration de DRG, vous pouvez désormais joindre les ressources suivantes :
    • Réseaux cloud virtuels
    • Connexions d'appairage à distance
    • Tunnels IPSec VPN site à site
    • Circuits virtuels OCI FastConnect
    Chaque pièce jointe est fournie avec une table de routage unique, qui vous permet de définir des stratégies de routage qui acheminent le trafic entre les pièces jointes. Cette amélioration simplifie la connectivité et s'applique aux topologies réseau et au routage plus complexes. Dans cette architecture de référence, elle utilise une topologie de réseau Hub et Spoke qui vous permet d'utiliser Palo Alto, une appliance virtuelle de réseau, dans un VCN hub pour filtrer ou inspecter le trafic entre le réseau sur site d'un client et la charge globale de l'application via VCN.

  • Carte d'interface réseau virtuelle (VNIC)

    Les services des centres de données OCI disposent de cartes d'interface réseau (NIC) physiques. Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une VNIC principale qui est automatiquement créée et attachée lors du lancement et qui est disponible pendant toute la durée de vie de l'instance. DHCP est proposé uniquement à la VNIC principale. Vous pouvez ajouter des VNIC secondaires après le lancement de l'instance. Vous devez définir des adresses IP statiques pour chaque interface.

  • Stockage d'objets

    Object Storage offre un accès rapide à de grandes quantités de données structurées et non structurées de tout type de contenu, notamment des sauvegardes de base de données, des données analytiques et des contenus enrichis tels que des images et des vidéos. Vous pouvez stocker et extraire en toute sécurité des données directement à partir d'Internet ou de la plate-forme cloud. Vous pouvez faire évoluer le stockage de manière transparente sans subir de dégradation des performances ou de la fiabilité du service. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

  • FastConnect (FC)

    Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante plus élevée et une expérience sur réseau plus fiable par rapport aux connexions Internet.

  • Circuit virtuel (VC)

    Un circuit virtuel est un VLAN Ethernet layer-2 ou layer-3 qui exécute des connexions réseau physiques pour fournir une connexion logique unique entre le routeur en périphérie de votre réseau et le routeur Oracle. Chaque circuit virtuel est constitué d'informations partagées entre le client et Oracle, ainsi qu'un partenaire Oracle FastConnect (si vous vous vous connectez via un partenaire Oracle FastConnect). Les circuits virtuels privés prennent en charge l'appairage privé, tandis que les circuits virtuels publics prennent en charge l'appairage public.

  • Pare-feu Palo Alto Networks série VM

    Fournit toutes les fonctionnalités des pare-feu physiques de nouvelle génération sous forme de machine virtuelle, offrant ainsi une sécurité réseau en ligne et une prévention des menaces afin de protéger de manière cohérente les clouds publics et privés.

    Avec les séries de machines virtuelles sur OCI, vous pouvez protéger et segmenter vos charges de travail, empêcher les menaces avancées et améliorer la visibilité sur vos applications au fur et à mesure de votre passage au cloud.
    • Le sous-réseau de gestion utilise l'interface de gestion pour permettre aux utilisateurs finaux de se connecter à l'interface utilisateur.
    • Le sous-réseau non sécurisé est utilisé pour diriger le trafic externe vers ou depuis le pare-feu Palo Alto Networks VM-Series.
    • Le sous-réseau de confiance est utilisé pour diriger le trafic interne vers ou depuis le pare-feu Palo Alto Networks VM-Series.
    • Le sous-réseau haute disponibilité garantit une haute disponibilité des pare-feu de la série VM.

  • Niveau application E-Business Suite

    Une application Oracle E-Business Suite est composée de serveurs et de systèmes de fichiers. Dans cette architecture de référence, elle est déployée avec plusieurs noeuds de niveau application et s'adresse à l'application. Lors du déploiement d'un niveau d'application Oracle E-Business Suite avec plusieurs noeuds, vous pouvez utiliser un système de fichiers de niveau d'application partagé ou non partagé. Cette architecture adopte un système de fichiers partagé au niveau de l'application, ce qui réduit l'espace disque requis et élimine la nécessité d'appliquer des patches à chaque noeud de l'environnement.

  • Centres de commande d'entreprise (ECC)

    Les centres de commande d'entreprise fournissent des fonctionnalités de repérage d'informations, de visualisation et d'exploration intégrées dans les interfaces utilisateur d'Oracle E-Business Suite. Oracle Enterprise Command Center Framework vous permet de créer des tableaux de bord métier dans différents domaines fonctionnels. Les utilisateurs d'Oracle E-Business Suite naviguent sur des informations transactionnelles à l'aide de composants visuels interactifs et de fonctionnalités de découverte assistée pour une analyse exploratoire des données. La mobilité et la conception réactive sont intégrées à Oracle Enterprise Command Center Framework. Tous les tableaux de bord ajustent automatiquement la présentation pour s'adapter au facteur de forme d'un ordinateur de bureau ou d'un appareil mobile.

    Oracle Enterprise Command Center Framework, y compris le contenu du tableau de bord, respecte automatiquement le contexte de sécurité et la sécurité existants d'Oracle E-Business Suite. Les centres de commande d'entreprise aident les utilisateurs d'Oracle E-Business Suite à identifier les transactions prioritaires et à les traiter sans générer de rapports opérationnels personnalisés. ECC version V7 comprend 32 centres de commande comprenant 121 tableaux de bord dans Oracle E-Business Suite.

  • Niveau base de données Oracle E-Business Suite - Exadata Cloud Service

    Les services Exadata Cloud vous permettent de tirer parti de la puissance d'Exadata dans le cloud. Vous pouvez provisionner des systèmes X8M flexibles qui vous permettent d'ajouter des serveurs de calcul et des serveurs de stockage de base de données à votre système à mesure que vos besoins augmentent. Les systèmes X8M offrent un réseau RoCE (RDMA over Converged Ethernet) pour une bande passante élevée et une latence faible, des modules de mémoire persistante (PMEM) et un logiciel Exadata intelligent. Vous pouvez provisionner des systèmes X8M à l'aide d'une forme équivalente à un système X8 quart de rack, puis ajouter des serveurs de base de données et de stockage à tout moment après le provisionnement.

    Pour provisionner une base de données Exadata Cloud Services, vous devez d'abord provisionner les ressources d'infrastructure et de cluster de machines virtuelles Exadata Cloud Services séparément. Outre l'infrastructure, un cluster de machines virtuelles, un répertoire de base de base de données initial et une base de données sont créés. Vous pouvez créer des répertoires de base de base de données et des bases de données supplémentaires à tout moment à l'aide de la console ou de l'API Oracle Cloud Infrastructure.

Recommandations

Lorsque vous utilisez E-Business Suite sur OCI, les recommandations suivantes peuvent s'avérer utiles, même si elles peuvent varier en fonction de votre implémentation.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez de joindre aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.

    Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) sur lequel vous souhaitez configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR. Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

    Oracle recommande d'utiliser des sous-réseaux régionaux car ils sont plus flexibles. Ils permettent de diviser plus facilement votre VCN en sous-réseaux tout en concevant une panne de domaine de disponibilité.

  • Sécurité

    Pour renforcer l'état de sécurité de votre location OCI, Oracle recommande d'utiliser Cloud Guard et les zones de sécurité. Vous devez activer Cloud Guard avant de créer des zones de sécurité. Cloud Guard vous aide à détecter les violations de stratégie dans les ressources existantes créées avant la zone de sécurité.

    Cloud Guard

    Cloud Guard est un service natif du cloud qui aide les clients à surveiller, identifier, atteindre et maintenir un état de sécurité élevé sur Oracle Cloud. Utilisez le service pour examiner les ressources OCI afin de détecter les failles de sécurité liées à la configuration, ainsi que les activités à risque de vos opérateurs et utilisateurs OCI. Lors de la détection, Cloud Guard peut suggérer, accompagner ou effectuer des actions correctives, en fonction de votre configuration. La liste suivante résume ce que vous devez savoir pour commencer à planifier Cloud Guard :
    • Cible : définit la portée des vérifications de Cloud Guard. Tous les compartiments d'une cible sont vérifiés de la même manière, et vous disposez des mêmes options pour traiter les problèmes détectés.
    • Détecteur : effectue des vérifications pour identifier les problèmes de sécurité potentiels en fonction des activités ou des configurations. Les règles suivies pour identifier les problèmes sont identiques pour tous les compartiments d'une cible.
    • Répondeur : indique les actions que Cloud Guard peut effectuer lorsque les détecteurs identifient des problèmes. Les règles de traitement des problèmes identifiés sont identiques pour tous les compartiments d'une cible.

    Zones de sécurité

    Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de stratégies de sécurité reposant sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir du réseau Internet public et doivent être cryptées à l'aide de clés gérées par le client.

    Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, OCI valide les opérations par rapport aux stratégies dans la recette de zone de sécurité et refuse les opérations qui violent les stratégies.

  • Groupes de sécurité réseau

    Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des VNIC spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau de VCN des exigences de sécurité de votre application.

    Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des VNIC spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau de VCN des exigences de sécurité de votre application.

  • Bande passante d'équilibreur de charge

    Lors de la création de l'équilibreur de charge, vous pouvez sélectionner une forme prédéfinie fournissant une bande passante fixe ou indiquer une forme personnalisée (flexible) dans laquelle vous définissez une plage de bande passante et laisser le service redimensionner automatiquement la bande passante en fonction des modèles de trafic. Avec l'une ou l'autre approche, vous pouvez modifier la forme à tout moment après la création de l'équilibreur de charge.

  • Outil E-Business Suite Cloud Manager

    Oracle E-Business Suite Cloud Manager est une application Web qui gère tous les principaux flux d'automatisation d'Oracle E-Business Suite sur OCI, y compris le provisionnement de nouveaux environnements, l'exécution d'activités de gestion du cycle de vie sur ces environnements et la restauration d'environnements sur site.

    Oracle recommande fortement à tous les clients qui ont l'intention de déplacer leur charge de travail Oracle E-Business Suite vers OCI d'utiliser cet outil d'automatisation pour la migration, le provisionnement et la gestion du cycle de vie. Toutefois, si nos offres d'automatisation actuelles ne répondent pas à vos exigences spécifiques, vous pouvez utiliser une procédure manuelle.

Voir plus

Découvrez comment déployer Oracle E-Business Suite avec un pare-feu Palo Alto Networks et des services Exadata Cloud.

Consultez les ressources supplémentaires suivantes :

Revenus

  • Auteur : Madhusri Bhattacharya