1. Déployer une zone de destination pour Oracle E-Business Suite et Cloud Manager
  2. En savoir plus sur le déploiement de piles Terraform pour E-Business Suite et Cloud Manager

En savoir plus sur le déploiement de piles Terraform pour E-Business Suite et Cloud Manager

Déployez ces piles dans l'ordre indiqué. Cependant, elles sont suffisamment modulaires pour que vous puissiez choisir les piles à utiliser, à condition que vous ayez déjà créé des ressources capables de répondre aux exigences d'E-Business Suite.

Ces piles sont disponibles dans Oracle Cloud Marketplace. Vous serez dirigé vers Oracle Cloud Infrastructure Resource Manager pour déployer ces piles. OCI Resource Manager est un moteur Terraform natif dans OCI, qui fournit une interface graphique pour créer, exécuter et gérer votre Terraform.

A propos du déploiement de la pile IAM

Cette pile Terraform crée les ressources d'identité nécessaires pour EBS. Il crée des compartiments pour la sécurité, le réseau, la charge de travail EBS, Cloud Manager et chaque catégorie d'environnement EBS. Chaque compartiment est fourni avec au moins un groupe et une stratégie facilitant le contrôle d'accès basé sur les rôles (RBAC). Vous devez ajouter manuellement des utilisateurs à ces groupes ou les mettre en correspondance à partir d'un fournisseur d'identités fédéré.

Exécutez cette pile si vous souhaitez déployer EBS vers une nouvelle location. Si vous effectuez le déploiement vers une location existante avec une structure IAM suffisante, vous n'avez pas besoin de déployer cette pile.

Entrez les variables suivantes lors de l'exécution de la pile IAM :

  • Groupes d'administrateurs d'informations d'identification et d'IAM : utilisez les valeurs par défaut. Crée deux groupes à l'échelle de la location. L'un dispose des droits d'accès nécessaires pour gérer les informations d'identification d'un autre utilisateur et l'autre dispose des droits d'accès sur la plupart des autres actions d'identité.
  • Créer une stratégie générale : utilisez les valeurs par défaut. Crée des droits d'accès permettant à tout utilisateur d'inspecter et de lire certaines ressources dans la location. Requis pour exécuter la pile EBS Cloud Manager sans droits d'accès administrateur.
  • Préfixe de zone de destination : le même pour chaque pile EBS et toutes les autres applications déployées dans cette zone de destination.
  • Compartiment parent : il peut s'agir du compartiment racine ou d'un autre compartiment existant dans la location.
  • Préfixe de charge globale EBS : reste le même pour chaque pile EBS.
  • Catégories d'environnement de charge globale EBS : répertoriez toutes les catégories (ou tous les ensembles) d'environnements EBS que vous prévoyez de créer. Vous pouvez saisir vos noms de catégorie directement dans la zone d'invite, puis sélectionner Ajouter dans le menu déroulant pour l'ajouter à la liste.
  • Options avancées : vous pouvez également personnaliser les noms des compartiments réseau et de sécurité ou utiliser un compartiment existant au lieu d'en créer un. Vous pouvez également personnaliser le coffre, les clés et les clés secrètes.

Remarque :

Si vous voulez utiliser un coffre ou une clé existant, vous devez indiquer le compartiment dans lequel il se trouve en tant que compartiment de sécurité existant.

A propos de la configuration manuelle de l'identité

Certaines actions d'identité ne sont pas possibles dans Terraform, et Oracle ne recommande pas de gérer certaines autres actions via Terraform à des fins de sécurité.

Un administrateur de location ou un administrateur IAM peut configurer manuellement ces ressources dans la console. Procédez comme suit :

  1. Créez les comptes utilisateur nécessaires.
  2. Mettez en correspondance les comptes utilisateur avec les groupes IAM appropriés.

Créer des comptes utilisateur

Vous pouvez créer différents types de compte dans OCI. Si vous disposez déjà d'un fournisseur d'identités compatible SAML 2.0, vous pouvez le fédérer avec votre location OCI. Vous pouvez alors mettre en correspondance des groupes fédérés externes directement avec des groupes OCI IAM. Si vous ne disposez pas encore d'un fournisseur d'identités externe, vous pouvez créer des utilisateurs directement dans le domaine d'identité OCI par défaut ou dans un nouveau. Cependant, vous avez besoin d'utilisateurs IAM directs pour les utilisateurs du domaine d'identité par défaut afin de vous assurer que les droits d'accès utilisateur EBS Cloud Manager fonctionnent correctement dans l'application EBS Cloud Manager.

Mise en correspondance d'utilisateurs avec des groupes IAM

Vous devez déterminer quels utilisateurs seront responsables de quels types de ressource OCI. Il peut y avoir un seul utilisateur responsable de plusieurs types de ressources ou plusieurs utilisateurs responsables d'un seul type de ressource. Un administrateur de location doit d'abord ajouter les administrateurs IAM à leurs groupes. Les administrateurs IAM peuvent ensuite ajouter les autres utilisateurs à leurs groupes respectifs. Ils doivent créer des comptes pour tous les utilisateurs qui n'ont pas de compte et ajouter les utilisateurs aux groupes appropriés.

La liste suivante met en correspondance les utilisateurs avec leurs groupes respectifs :

  • Mettez en correspondance les utilisateurs IAM avec les groupes Network Users, Security Users et Application Administrator/IDCS Administrator.
  • Mapper les utilisateurs de sécurité avec les administrateurs de sécurité et les groupes d'utilisateurs réseau.
  • Mapper les utilisateurs réseau avec les groupes Administrateurs réseau et Utilisateurs de sécurité.
  • Mettez en correspondance chaque catégorie d'environnement EBS (y compris l'utilisateur Cloud Manager) avec les groupes Utilisateurs réseau et Utilisateurs de sécurité, les groupes d'administrateurs d'environnement EBS qu'ils gèrent, ainsi que le groupe d'administrateurs CM EBS.

    Remarque :

    Un utilisateur doit être un utilisateur OCI IAM direct et non un utilisateur fédéré.

A propos du déploiement de la pile réseau

Cette pile Terraform crée un VCN et les sous-réseaux public et privé nécessaires pour EBS Cloud Manager. Vous devez exécuter une copie de cette pile pour chaque catégorie d'environnement EBS définie dans la pile IAM.

Entrez les variables suivantes lors de l'exécution de la pile réseau :

  • Compartiment de sécurité : recherchez le compartiment de sécurité créé/utilisé dans la pile IAM dans la liste préremplie ou indiquez sa valeur OCID. Cette variable permet à la pile de rechercher automatiquement toutes les informations requises des piles précédentes stockées en tant que clés secrètes.
  • Clé secrète d'identité de charge globale : sélectionnez la clé secrète correspondant à la charge globale EBS générale au format de nom : identity-"lz prefix"-"workload prefix".
  • Préfixe de charge globale EBS : reste le même pour chaque pile EBS.
  • Options avancées : permet également de personnaliser les clés secrètes utilisées et créées.
  • Créer un VCN : vous avez la possibilité de créer un nouveau VCN ou d'utiliser un VCN existant. Pour les déploiements ultérieurs de catégories d'environnement réseau EBS, vous devez sélectionner le VCN existant créé ou utilisé dans le déploiement initial.
    • True
      • CIDR VCN : indiquez la plage de blocs CIDR à utiliser pour votre VCN.
    • False
      • Compartiment réseau : indiquez le compartiment dans lequel réside votre VCN.
      • VCN existant : recherchez le VCN existant dans la liste préremplie ou fournissez son OCID.
  • Clé secrète d'identité de catégorie d'environnement : sélectionnez la clé secrète correspondant à la catégorie d'environnement de charge globale EBS spécifique au format de nom : identity-"lz prefix"-"-"workload prefix"-"environment name".

    Remarque :

    Si vous avez besoin d'un réseau pour d'autres catégories d'environnement, vous devez déployer une autre copie de la pile réseau.

Le tableau suivant répertorie les variables de création de sous-réseau, la passerelle d'accès à la configuration de sous-réseau, les variables CIDR et le moment où elles doivent être utilisées :

Variable de création de sous-réseau Cas d'utilisation Configuration de sous-réseau et accès à la passerelle Variables CIDR*
Create Cloud Manager subnets or Select existing Cloud Manager subnet Créez des sous-réseaux une fois dans la première pile d'environnements réseau créée. Dans les environnements suivants, sélectionnez le sous-réseau Cloud Manager existant créé par la première pile. Sous-réseaux privés avec accès à la passerelle NAT.

Remarque :

Vous pouvez éventuellement rendre le sous-réseau d'équilibreur de charge public, qui utilisera ensuite un sous-réseau public avec un accès à la passerelle Internet. Ce processus n'est pas recommandé.
  • Cloud Manager Load Balancer subnet CIDR
  • Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database) Configuration de chaque sous-réseau de catégorie d'environnement EBS et accès à la passerelle Sous-réseaux privés avec accès à la passerelle NAT
  • Application tier subnet CIDR
  • Database tier subnet CIDR
Create default Load balancer tier subnet Utiliser par défaut pour fournir l'accès à EBS sur des réseaux privés Sous-réseaux privés avec accès à la passerelle NAT Load balancer subnet CIDR
Create external load balancer and application tier subnets Uniquement dans les catégories d'environnement EBS qui doivent fournir un accès utilisateur via Internet

Sous-réseau LB public avec accès Internet.

Sous-réseau d'application privé avec accès à la passerelle NAT.
  • External Load Balancer subnet CIDR
  • External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet A utiliser uniquement si votre implémentation EBS utilise le stockage de fichiers partagé. Créez-le une fois dans la première pile d'environnements réseau. Dans les piles suivantes, sélectionnez le sous-réseau existant que vous avez créé dans la première pile. Sous-réseaux privés avec accès à la passerelle NAT File Storage subnet CIDR
Create Bastion subnet Une fois dans la première pile d'environnement réseau créée Lorsque la variable Use Bastion Service est définie sur true, le sous-réseau est privé. Sinon, il est public avec accès à la passerelle Internet. Bastion Subnet CIDR
Additional ebs subnets Lors de la création de sous-réseaux Cloud Manager ou File Storage, spécifiez tous les sous-réseaux EBS supplémentaires dans le VCN en cours dont vous disposez déjà ou que vous prévoyez de créer dans différentes piles. Ajoute des règles de routage supplémentaires aux sous-réseaux Cloud Manager et File Storage
  • Additional application tier subnet CIDRs
  • Additional database tier subnet CIDRs

Remarque :

Le LB privé ou par défaut est sa propre option.

Notes de bas de page

* Indiquez une plage de blocs CIDR unique pour chaque sous-réseau compris dans votre plage CIDR VCN et qui n'est pas en conflit avec la plage CIDR d'un autre sous-réseau.

Utiliser le service Bastion

Vous pouvez éventuellement utiliser le service Bastion.

  • True : provisionne le sous-réseau comme privé avec le service Bastion.
    • Liste d'autorisation de bastion : liste des plages d'adresses IP externes dans la notation CIDR pouvant établir des connexions SSH entrantes.
    • Limite de durée de vie de Bastion : temps maximal autorisé pour qu'une connexion SSH reste active, mesuré en secondes. Les valeurs autorisées sont comprises entre 30 minutes (1800 secondes) et 3 heures (10800 secondes).
  • False : provisionne le sous-réseau comme public mais ne provisionne pas de machine virtuelle Bastion traditionnelle.

A propos du déploiement de la pile Cloud Manager

Cette pile Terraform crée la machine virtuelle et l'équilibreur de charge Cloud Manager (CM) ainsi que l'initialisation de l'application CM.

Décisions de conception globale

Vous devrez prendre des décisions et entrer plusieurs variables lors de l'exécution de la pile IAM.

  • Environment category identity secret : sélectionnez la clé secrète correspondant à la catégorie d'environnement spécifique de la charge globale EBS au format de nom : identity-"lz prefix"-"workload prefix"-"environment name". L'environnement que vous sélectionnez sera utilisé pour créer le profil réseau par défaut.
  • Security compartment : recherchez le compartiment de sécurité créé ou utilisé dans la pile IAM dans la liste préremplie ou indiquez son OCID. Cette variable permet à la pile de rechercher automatiquement toutes les informations requises des piles précédentes stockées en tant que clés secrètes.
  • Advanced options : permet de personnaliser également les clés secrètes consommées et créées.

DNS et configuration de certificat

Le DNS et les certificats sont recommandés, mais facultatifs.

  • Cloud Manager CA cert (optional) : indiquez la chaîne d'autorité de certification signée utilisée pour générer votre certificat Cloud Manager sous forme de fichier.
  • Cloud Manager key cert : indiquez le fichier de certificat de clé privée que vous avez généré pour EBS Cloud Manager.
  • Cloud Manager Public cert : indiquez la chaîne de certificats publics utilisée pour valider votre certificat privé en tant que fichier.

    Remarque :

    Si vous ne fournissez pas le certificat de clé privée, un certificat sera généré pour vous à l'aide de openSSL et du hostname fourni.
  • Server host for EBS Cloud Manager login URL : entrez une valeur hostname pour le portail Web EBS Cloud Manager. Le format d'entrée doit être myebscm.example.com et correspondre à votre entrée DNS, votre certificat signé et votre application confidentielle. L'URL de connexion à EBS Cloud Manager sera https://myebscm.example.com:443.
    • Certificat CA CM
    • Certificat de clé CM
    • Certificat public CM

Création d'une application confidentielle

Un administrateur d'application doit d'abord enregistrer EBS CM en tant qu'application confidentielle à l'aide de la console OCI pour gérer E-Business Suite à l'aide de Cloud Manager. Cela permet aux utilisateurs d'authentifier et d'autoriser l'accès à Cloud Manager à l'aide de leur compte OCI.

Avant de créer l'application confidentielle, vous devez connaître le fichier URL que vous prévoyez d'utiliser pour EBS Cloud Manager. Cette URL doit correspondre à hostname dans votre enregistrement DNS et votre certificat signé.

Vous devez utiliser les commandes client ID et secret fournies lors de l'exécution de la pile Cloud Manager.

Configuration IDCS ou de domaine d'identité

  • ID de client IDCS : ID de l'application confidentielle pour EBS Cloud Manager enregistrée lors de la configuration de l'identité.
  • Clé secrète du client IDCS : clé secrète de l'application confidentielle pour EBS Cloud Manager que vous avez enregistrée lors de la configuration de l'identité.
  • Locataire client IDCS : ID du locataire de domaine d'identité ou IDCS. Elle peut apparaître comme une partie de l'URL dans la barre d'adresse de votre navigateur, après // et avant identity.oraclecloud.com. Il commence par les caractères idcs-, suivis d'une chaîne de chiffres et de lettres au format idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

Administrateur EBS CM

  • OCID utilisateur d'administrateur Cloud Manager : par défaut, cette pile utilisera le compte de l'utilisateur exécutant cette pile en tant qu'administrateur Cloud Manager initial. Vous pouvez également définir un autre utilisateur en tant qu'administrateur initial en indiquant sa valeur OCID ici. Ce compte d'administrateur doit être un utilisateur IAM non fédéré local.
  • Clé d'API privée d'administrateur Cloud Manager : par défaut, une clé d'API est créée et associée au compte d'administrateur Cloud Manager choisi. Vous pouvez éventuellement saisir une clé d'API privée déjà associée.

Machine virtuelle Cloud Manager

  • Forme EBS Cloud Manager : sélectionnez une forme dans la liste pour la machine virtuelle EBS Cloud Manager. Oracle recommande les formes Standard2.x et Standard.E2.x.
  • Clé SSH : clé SSH publique utilisée pour accéder à Cloud Manager à l'aide de CLI.
  • Domaine de disponibilité EBS Cloud Manager : sélectionnez votre domaine de disponibilité dans la liste.
  • Mot de passe CM : mot de passe de l'administrateur EBS CM.

Remarque :

Le mot de passe doit être composé d'au moins 8 caractères, d'une majuscule, d'une minuscule, d'un nombre et d'un caractère spécial (#?!@$%^&*-). Le mot de passe est utilisé par l'administrateur EBS Cloud Manager pour se connecter à l'instance Cloud Manager, puis exécuter les scripts suivants. Le mot de passe par défaut initial est WElcome##12345. Oracle vous recommande de modifier le mot de passe avec une valeur répondant aux exigences de mot de passe répertoriées dans ce document.