1. En savoir plus sur le déploiement d'Oracle E-Business Suite sur Oracle Cloud Infrastructure
  2. Comprendre la topologie Oracle E-Business Suite

Comprendre la topologie Oracle E-Business Suite

Découvrez les différents niveaux d'un déploiement Oracle E-Business Suite.

Avant de commencer

Avant de commencer à planifier le déploiement ou la migration de votre application Oracle E-Business Suite, identifiez si Oracle Cloud Infrastructure prend en charge la version de l'application Oracle E-Business Suite que vous souhaitez déployer. Oracle Cloud Infrastructure prend en charge Oracle E-Business Suite versions 12.2 et 12.1.3.

A propos des noms d'hôte logiques

Oracle recommande d'utiliser des noms d'hôte logiques, et non des noms d'hôte physiques, lorsque vous configurez le niveau de base de données Oracle E-Business Suite et le niveau d'application. Les avantages de l'utilisation des noms d'hôtes logiques sont les suivants :

  • Fournir la possibilité de déplacer les niveaux de base de données et d'application vers d'autres machines ou centres de données sans exécuter de clone et de reconfiguration.

  • Réduisez la quantité de reconfiguration requise lors du basculement pour une haute disponibilité en utilisant le même nom d'hôte sur le site actif et le site de secours.

  • Évitez de redémarrer ou de recloniser les niveaux de base de données et d'application en raison de modifications de configuration réseau, telles qu'un changement de nom d'hôte.

A propos de l'hôte Bastion

Un hôte bastion est un composant optionnel que vous pouvez utiliser avec des stratégies de pare-feu pour protéger les interfaces de gestion des serveurs de base de données et d'applications contre l'accès externe. Un hôte bastion est une instance Oracle Cloud Infrastructure Compute qui utilise Linux ou Windows comme système d'exploitation.

Placez l'hôte du bastion dans un sous-réseau public et assignez-lui une adresse IP publique pour y accéder à partir d'Internet.

Pour fournir un niveau de sécurité supplémentaire, vous pouvez configurer des listes de sécurité pour accéder à l'hôte du bastion uniquement à partir de l'adresse IP publique de votre réseau sur site. Vous pouvez accéder aux instances Oracle Cloud Infrastructure dans le sous-réseau privé via l'hôte bastion. Pour ce faire, activez le transfert ssh-agent, qui vous permet de vous connecter à l'hôte bastion, puis d'accéder au serveur suivant en transmettant les informations d'identification à partir de votre ordinateur. Vous pouvez également accéder aux instances du sous-réseau privé à l'aide d'un tunnel SSH dynamique. Le tunnelage SSH est un moyen d'accéder à une application Web ou à un autre service d'écoute. Le tunnel dynamique fournit un proxy SOCKS sur le port local, mais les connexions proviennent de l'hôte distant.

A propos du niveau d'équilibreur de charge

Utilisez Oracle Cloud Infrastructure Load Balancing pour distribuer le trafic vers vos instances d'application dans les domaines de disponibilité d'un VCN. Ce service fournit une instance principale et de secours de l'équilibreur de charge pour s'assurer que si l'équilibreur de charge principal est arrêté, l'équilibreur de charge de secours transmet les demandes. L'équilibreur de charge garantit que les demandes sont acheminées vers les instances d'application saines. S'il y a un problème avec une instance d'application, l'équilibreur de charge supprime cette instance et commence à acheminer les demandes vers les instances d'application saines restantes.

En fonction de vos besoins, vous pouvez placer des équilibreurs de charge dans un sous-réseau public ou privé.

  • Pour les terminaux internes, qui ne sont pas accessibles depuis Internet, utilisez un équilibreur de charge privé. Un équilibreur de charge privé a une adresse IP privée, et il n'est pas accessible à partir d'Internet. Les instances principales et les instances de secours d'un équilibreur de charge résident dans le même sous-réseau privé. Vous pouvez accéder aux équilibreurs de charge privés dans VCN ou dans votre centre de données via IPSec VPN via DRG. L'équilibreur de charge privé accepte le trafic depuis votre centre de données et distribue le trafic vers les instances d'application sous-jacentes.

  • Pour les terminaux orientés sur Internet, utilisez un équilibreur de charge public. Un équilibreur de charge public a une adresse IP publique, et il est accessible à partir d'Internet. Vous pouvez accéder aux équilibreurs de charge publics depuis Internet via la passerelle Internet.

  • Pour accéder aux terminaux internes et aux terminaux orientés sur Internet, configurez des équilibreurs de charge privés et des équilibreurs de charge publics. Configurez des équilibreurs de charge privés pour desservir le trafic interne et configurez des équilibreurs de charge publics pour desservir le trafic à partir d'Internet.

Enregistrez l'adresse IP publique ou privée des instances Oracle Cloud Infrastructure Load Balancing dans votre serveur de noms de domaine public ou sur site (DNS) pour obtenir la résolution de domaine de votre adresse d'application.

A propos du niveau d'application

Le niveau d'application se trouve dans un sous-réseau, distinct des sous-réseaux pour l'équilibreur de charge et les instances de base de données. Vous devez déployer au moins deux instances d'application dans un domaine de disponibilité pour vous assurer que les instances d'application dans le domaine de disponibilité sont hautement disponibles.

Vous pouvez déployer Oracle E-Business Suite avec plusieurs noeuds de niveau application qui fonctionnent avec une base de données Oracle E-Business Suite. Oracle recommande de déployer la configuration multiniveau Oracle E-Business Suite avec des binaires d'application partagés. Lorsque vous utilisez un système de fichiers de niveau application partagé, le système de fichiers de niveau application Oracle E-Business Suite est partagé avec chaque noeud dans l'environnement multinoeud.Utilisez Oracle Cloud Infrastructure File Storage pour créer un système de fichiers partagé pour partager et synchroniser les binaires d'application Oracle E-Business Suite entre plusieurs hôtes d'application. Lorsque vous utilisez un système de fichiers partagé pour plusieurs hôtes d'application, il réduit les besoins en espace disque et élimine la nécessité d'appliquer des patches à chaque hôte d'application dans l'environnement.

Le trafic entre l'équilibreur de charge et les instances d'application via des ports spécifiques que vous définissez dans les règles de sécurité. Configurez des règles de sécurité pour autoriser le trafic uniquement à partir de l'équilibreur de charge sur le port 8000 et à partir de l'hôte bastion sur le port 22.

Vous pouvez utiliser la fonctionnalité de sauvegarde basée sur des stratégies d'Oracle Cloud Infrastructure Block Volumes pour sauvegarder les instances d'application Oracle E-Business Suite.

A propos du niveau de base de données

Oracle Cloud Infrastructure offre plusieurs options pour configurer un système Oracle Database (DB System). Placez DB Systems dans un sous-réseau distinct. Oracle recommande la création du service de base de données sur Oracle Cloud Infrastructure dans un sous-réseau privé. Utilisez des listes de sécurité pour restreindre l'accès aux serveurs de base de données uniquement à partir de l'hôte du bastion, des serveurs d'applications et des serveurs sur site.

Vous pouvez déployer la base de données à l'aide d'une machine virtuelle Oracle Compute mono-node, d'un système de base de données de machine virtuelle mono-node, d'un système de base de données de machine virtuelle Oracle Real Application Clusters (RAC) à deux noeuds ou d'un système Oracle Exadata DB. Pour fournir une haute disponibilité dans un domaine de disponibilité, Oracle recommande d'utiliser un système de base de données de machine virtuelle à 2 noeuds ou un système Oracle Exadata DB. Le système de base de données de machine virtuelle à 2 noeuds ou le système Oracle Exadata DB exploite Oracle RAC et déploie un cluster à 2 noeuds pour une haute disponibilité. Dans les deux cas, les deux instances de la base de données dans un domaine de disponibilité sont actives. Les demandes reçues du niveau application sont équilibrées entre les instances de base de données. Même si une instance de base de données est arrêtée, les autres demandes de services d'instance de base de données.

Pour le niveau de base de données, il est recommandé de configurer des listes de sécurité pour vous assurer que la communication se produit uniquement sur le port 22, via l'hôte bastion, et sur le port 1521, via le serveur d'applications. Vous pouvez utiliser Oracle Cloud Infrastructure Object Storage pour sauvegarder la base de données Oracle E-Business Suite à l'aide d'Oracle Recovery Manager (RMAN).

Si vous déployez Oracle E-Business Suite dans plusieurs domaines de disponibilité pour une haute disponibilité, vous devez configurer Oracle Data Guard ou Oracle Active Data Guard en mode synchrone pour répliquer les modifications apportées à la base de données dans les deux domaines de disponibilité.

A propos des listes de sécurité

Dans Oracle Cloud Infrastructure, les règles de pare-feu sont configurées via des listes de sécurité. Une liste de sécurité distincte est créée pour chaque sous-réseau.

Oracle recommande de créer des sous-réseaux distincts pour les hôtes de base de données, d'application, d'équilibreur de charge et de bastion afin de s'assurer que la liste de sécurité appropriée est affectée aux instances de chaque sous-réseau. Utilisez des listes de sécurité pour permettre le trafic entre différents niveaux et entre l'hôte du bastion et les hôtes externes. Les listes de sécurité contiennent des règles d'entrée et d'évacuation pour filtrer le trafic au niveau sous-réseau. Elles contiennent également des informations sur les ports de communication par lesquels le transfert de données est autorisé. Ces ports (ou dans certains cas, les protocoles qui nécessiteront des ports ouverts dans les règles de sécurité) sont affichés sur chaque ligne de règle de sécurité dans les diagrammes d'architecture.

Chaque liste de sécurité est appliquée au niveau de l'instance. Toutefois, lorsque vous configurez vos listes de sécurité au niveau sous-réseau, toutes les instances d'un sous-réseau particulier sont soumises au même ensemble de règles. Chaque sous-réseau peut être associé à plusieurs listes de sécurité, et chaque liste peut comporter plusieurs règles. Le transfert d'un paquet de données est autorisé si une règle de l'une des listes autorise le trafic (ou si le trafic fait partie d'une connexion existante qui fait l'objet d'un suivi). En plus des listes de sécurité, utilisez iptables pour implémenter une autre couche de sécurité au niveau de l'instance.

Pour les déploiements dans un sous-réseau public, vous pouvez fournir un niveau de sécurité supplémentaire en empêchant l'accès aux instances d'application et de base de données à partir d'Internet. Utilisez une liste de sécurité personnalisée pour empêcher l'accès aux instances d'application et de base de données à partir d'Internet, et permettre l'accès aux hôtes de base de données et d'application sur le port 22 à partir de l'hôte bastion à des fins d'administration. N'activez pas l'accès SSH aux instances d'application et de base de données à partir d'Internet, mais vous pouvez autoriser l'accès SSH à ces instances à partir du sous-réseau qui contient l'hôte bastion.

Vous pouvez accéder à vos instances dans le sous-réseau privé via le serveur bastion.

Liste de sécurité de l'hôte de Bastion

La liste de sécurité bastion permet à l'hôte bastion d'être accessible à partir de l'Internet public sur le port 22.

  • Permettre le trafic SSH depuis le réseau sur place jusqu'à l'hôte du bastion sur Internet :

    Entrée avec statut : autorisez le trafic TCP à partir du CIDR source 0.0.0.0/0 et de tous les ports source vers le port de destination 22 (SSH).

    Type de source = CIDR, Source CIDR = 0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination Port Range = 22

    Vous pouvez également restreindre l'accès à l'hôte bastion via Internet sur le port 22 uniquement depuis votre centre de données au lieu d'Internet public (0.0.0.0/0). Pour ce faire, utilisez votre adresse IP de routeur de bordure au lieu du CIDR source comme 0.0.0.0/0 dans la règle d'entrée avec statut.

  • Pour autoriser le trafic SSH de l'hôte bastion vers les instances Oracle Cloud Infrastructure Compute, procédez comme suit :

    Sortie avec statut : autorisez le trafic TCP vers la destination C0.0.0.0 IDR/0 de tous les ports source vers le port de destination 22 (SSH).

    Type de destination = CIDR, Destination CIDR = < Bloc CIDR de VCN>, Protocole IP = TCP, Plage de ports source = Tous, Plage de ports de destination = 22

Liste de sécurité pour le niveau d'équilibreur de charge

Les diagrammes d'architecture présentent des équilibreurs de charge privés, placés dans des sous-réseaux privés. Si vous placez les instances d'équilibreur de charge dans un sous-réseau public, vous autorisez le trafic à partir d'Internet (0.0.0.0/0) vers les instances d'équilibreur de charge.

  • Pour permettre le trafic depuis Internet vers l'équilibreur de charge :

    Entrée avec statut : autorisez le trafic TCP à partir du CIDR source (Internet) 0.0.0.0/0 et de tous les ports source vers le port de destination 8888 (HTTP) ou 443 (HTTPS).

    Type de source = CIDR, Source CIDR = 0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination Port Range = 8888 ou 443

  • Pour permettre le trafic du réseau sur site vers l'équilibreur de charge :

    Entrée avec statut : Autoriser le trafic TCP à partir du bloc CIDR réseau sur site et de tous les ports source vers le port de destination 8888 (HTTP) ou 443 (HTTPS)

    Type de source = CIDR, CIDR source = < Bloc CIDR pour réseau sur site >, Protocole IP = TCP, Plage de ports source = Tous, Plage de ports de destination = 8888 ou 443

  • Pour autoriser le trafic entre les niveaux de l'équilibreur de charge et les niveaux d'application :

    Sortie avec statut : Autoriser le trafic TCP à destination C0.0.0.0 IDR/0 de tous les ports source vers le port de destination 8000 (HTTP)

    Type de destination = CIDR, Destination CIDR = < Bloc CIDR pour sous-réseau d'applications >, Protocole IP = TCP, Plage de ports source = Tous, Plage de ports de destination = 8000

Liste de sécurité pour le niveau d'application

La liste de sécurité du niveau application autorise le trafic du niveau de l'équilibreur de charge au niveau de l'application.

  • Pour permettre le trafic de l'hôte bastion au niveau de l'application :

    Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Pour autoriser le trafic du niveau d'équilibreur de charge au niveau de l'application, procédez comme suit :

    Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • Pour autoriser le trafic entre les instances d'application au niveau de l'application, procédez comme suit :

    Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Pour autoriser le trafic du niveau d'application au niveau de la base de données et entre les instances d'application du niveau d'application :

    Sortie avec conservation de statut : Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Pour la communication entre les niveaux d'application dans une configuration à plusieurs niveaux d'application (obligatoire pour Oracle E-Business Suite EBS 12.2 uniquement) :

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

Liste de sécurité pour le niveau de base de données

  • Pour permettre le trafic de l'hôte bastion au niveau de la base de données :

    Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Pour autoriser le trafic entre les niveaux d'application et le niveau de base de données :

    Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • Pour autoriser le trafic du niveau de base de données au niveau de l'application :

    Sortie avec conservation de statut : Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Pour autoriser le trafic pour la sauvegarde de la base de données vers Oracle Cloud Infrastructure Object Storage, procédez comme suit :

    Sortie avec conservation de statut :   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Pour une architecture de domaine de disponibilité multiple, pour autoriser le trafic entre les niveaux de base de données dans les domaines de disponibilité d'Oracle Active Data Guard :

    • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Pour le provisionnement du système Oracle Database Exadata Cloud Service, les règles supplémentaires suivantes sont requises :

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Entrée avec statut : Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Sortie avec conservation de statut : Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Sortie avec conservation de statut : Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All