Documentazione dell'infrastruttura Oracle Cloud

Enterprise Performance Management

Oracle Hyperion è una piattaforma Enterprise Performance Management( EPM) utilizzata dai team finance per la chiusura finanziaria, il consolidamento, la pianificazione, la definizione del budget, le previsioni e l'analisi della redditività. I moduli Hyperion di base come HFM (Hyperion Financial Management), Planning, Oracle Essbase e Financial Reporting si basano su un backend Oracle AI Database ad alta disponibilità per memorizzare metadati, dati transazionali e risultati di calcolo. Se desideri distribuire Oracle Hyperion in AWS o eseguire la migrazione di Oracle Hyperion dal tuo data center ad AWS, puoi pianificare una topologia sicura e a bassa latenza utilizzando Oracle AI Database@AWS.

Scopri un'architettura di riferimento per l'esecuzione di Oracle Hyperion su AWS. L'architettura utilizza Oracle AI Database@AWS per il livello di database e Amazon EC2 per i livelli Web e applicativi. Questa architettura fornisce una configurazione a bassa latenza perché i servizi Oracle AI Database@AWS vengono eseguiti nello stesso data center AWS.

Al momento, Oracle Exadata Database Service on Dedicated Infrastructure è supportato con Oracle AI Database@AWS. Puoi controllare la matrice di disponibilità regionale per determinare i servizi supportati dalle aree OCI e AWS.

Questo documento è destinato agli architetti cloud, agli amministratori dell'infrastruttura e agli amministratori di Oracle Enterprise Performance Management responsabili della progettazione, della distribuzione e del funzionamento degli ambienti Hyperion. Si consiglia di familiarizzare con le applicazioni Oracle Hyperion, Oracle AI Database, Oracle Cloud Infrastructure (OCI) e Amazon Web Services (AWS).

Architettura

Questa architettura dimostra la distribuzione di applicazioni Oracle Hyperion all'interno di una singola regione AWS. Per le implementazioni di disaster recovery (DR), è possibile implementare un'architettura simile in più region AWS per supportare i requisiti di business continuity.

Il livello di database può essere configurato utilizzando Oracle Active Data Guard con Oracle AI Database@AWS. Lo stack di applicazioni Oracle Hyperion, inclusi i componenti Web, applicazione ed Essbase, può utilizzare meccanismi di sincronizzazione dei file, ad esempio rsync, per replicare gli artifact delle applicazioni, i file di configurazione e i file system condivisi in tutte le aree.

Per ulteriori informazioni sulla progettazione e l'implementazione delle architetture di disaster recovery, vedere Oracle Maximum Availability Architecture per Oracle AI Database@AWS.

Questo screenshot mostra il diagramma dell'architettura.

Questa architettura distribuisce tutti i componenti all'interno di un'unica region AWS e mette in evidenza importanti considerazioni di progettazione per Oracle Hyperion su AWS con Oracle AI Database@AWS.

Livello di rete

Questa architettura descrive la distribuzione dell'applicazione Oracle Hyperion in un'unica zona di disponibilità in AWS per garantire bassa latenza. L'architettura è composta da un VPC con un bastion host, un load balancer, un server Web e application server Oracle Hyperion in subnet separate e da una rete ODB con Oracle AI Database. È necessario eseguire il peering della rete ODB con il VPC. Le reti on-premise possono essere connesse tramite AWS Direct Connect e AWS Transit Gateway per un accesso privato e a bassa latenza. Le istanze di Amazon EC2 per server Web e server applicazioni possono essere collocate in più gruppi di partizioni.

L'host bastion viene distribuito in una subnet pubblica e tutte le altre istanze vengono distribuite in subnet private. Puoi accedere alle istanze in subnet private sulla porta 22 tramite l'host bastion o AWS Direct Connect se imposti la connettività diretta tra il tuo data center e AWS. Tutte le istanze sono attive nei due gruppi di posizionamento. Il database è ospitato in una singola zona di disponibilità, con RAC abilitato per impostazione predefinita. Il database può essere distribuito in una seconda zona di disponibilità con Data Guard abilitato per la ridondanza a livello di area.

Considerazioni sulla progettazione della rete
  1. Oracle AI Database@AWS supporta varie topologie di rete. Per ulteriori informazioni, consulta le opzioni della Topologia di rete di Oracle AI Database@AWS per selezionare quella più adatta alle tue esigenze organizzative.
  2. Quando progetti gli spazi degli indirizzi IP, pianifica i requisiti di rete ODB e dipendenza Exadata di Oracle AI Database@AWS. Per ulteriori informazioni sugli scenari di consumo dello spazio, vedere Progettazione della rete ODB.
  3. Distribuire il livello dell'applicazione nella stessa zona di disponibilità del database per bassa latenza.
  4. Per le architetture di disaster recovery multi-regione, prendi in considerazione pattern di connettività di rete dettagliati e instradamento tra più aree per Oracle AI Database@AWS. Di seguito sono riportate le opzioni del percorso di rete per le distribuzioni a area singola e tra più aree. Una volta stabilito il percorso di rete, Active Data Guard deve essere abilitato in modo che i database primari e in standby rimangano sincronizzati.
    1. Cross Availability Zone: questo è lo scenario in cui vengono distribuiti più servizi Oracle AI Database@AWS in più zone di disponibilità.
      1. Opzione 1: OCI: puoi eseguire il peer di entrambe le reti cloud virtuali (VCN) che ospitano Oracle AI Database@AWS tramite Local Peering Gateway (LPG).
      2. Opzione 2: AWS: è possibile eseguire il peer del VPC che ospita l'app di livello pari con entrambe le reti ODB che ospitano Oracle AI Database@AWS.
      3. Opzione 3: AWS: è possibile utilizzare Transit Gateway per connettere entrambe le reti ODB tramite Transit VPC. Ogni rete ODB viene gestita in peering con Transit VPC ed entrambi i VPC di transito vengono connessi tramite Transit Gateway.
    2. Cross region: questo è lo scenario in cui vengono distribuiti più servizi Oracle AI Database@AWS in più aree
      1. Opzione 1: OCI: puoi eseguire il peer delle reti cloud virtuali (VCN) in tutte le aree utilizzando il gateway di instradamento dinamico (DRG) e una VCN hub in ciascuna area geografica.
      2. Opzione 2: è possibile utilizzare un gateway di transito per connettere entrambe le reti ODB tramite un VPC di transito. Ogni rete ODB viene gestita in peering con VPC di transito ed entrambi i VPC di transito vengono connessi tramite il gateway di transito.
  5. Rivedere la sezione relativa ai prerequisiti di backup e ripristino nelle prime fasi della progettazione per garantire il rispetto dei requisiti di accesso alla rete.
  6. Utilizzare i gruppi di sicurezza di rete (NSG) per limitare l'accesso alle virtual machine di database.
    • Consentire l'accesso SSH (porta 22) solo tramite Bastion.
    • Consenti traffico database (porta 1521) esclusivamente da subnet dell'applicazione Oracle Hyperion approvate e reti on premise autorizzate.

Host bastion

L'host bastion AWS è un servizio gestito che fornisce un punto di accesso sicuro e controllato alle reti virtuali AWS dall'esterno di AWS.

AWS Bastion è distribuito in una subnet dedicata (AWSBastionSubnet) e consente l'accesso sicuro alle virtual machine in subnet private che non sono direttamente raggiungibili dalla rete Internet pubblica. Utilizzando AWS Bastion, l'architettura mantiene un unico punto di accesso noto che può essere monitorato e controllato centralmente, evitando al contempo la necessità di esporre indirizzi IP pubblici o aprire porte in entrata su singole virtual machine.

In questa architettura, AWS Bastion non richiede un indirizzo IP pubblico sulle virtual machine di destinazione. L'accesso amministrativo viene stabilito tramite TLS (port 443) tramite il portale AWS o i client nativi supportati. I gruppi di sicurezza di rete nelle subnet di destinazione non richiedono regole SSH o RDP in entrata, il che riduce ulteriormente la superficie di attacco. L'accesso a AWS Bastion può essere limitato e gestito utilizzando il controllo dell'accesso basato sui ruoli AWS (RBAC) e l'autenticazione AWS Active Directory.

AWS Bastion consente agli amministratori di connettersi alle virtual machine in subnet private utilizzando SSH per Linux e RDP per Windows. Le connessioni vengono avviate dalla workstation locale dell'amministratore e sottoposte a proxy tramite il servizio bastion, assicurando che le credenziali e le sessioni non siano esposte alla rete pubblica.

Centralizzando l'accesso amministrativo ed eliminando l'esposizione diretta delle VM, AWS Bastion migliora la sicurezza preservando l'accesso operativo ai carichi di lavoro privati.

Livello applicazione Oracle Hyperion

Tutti i componenti nel livello dell'applicazione Oracle Hyperion sono configurati per la connessione alle istanze attive di Oracle AI Database distribuite su Oracle AI Database@AWS. Il livello dell'applicazione ospita i servizi Oracle Hyperion EPM di base responsabili del consolidamento finanziario, della pianificazione, degli analytics, dell'integrazione dei dati e della gestione della chiusura finanziaria. Questi componenti sono distribuiti su più virtual machine per supportare alta disponibilità, scalabilità e sicurezza.

Il livello dell'applicazione Hyperion include i seguenti componenti principali:
  • Componenti di Core Hyperion EPM
    • Foundation Services:

      Fornisce il livello di infrastruttura condivisa per Hyperion EPM, tra cui provisioning degli utenti, sicurezza, autenticazione, gestione dei metadati e gestione del ciclo di vita. Foundation Services consente la governance centralizzata in tutte le applicazioni Hyperion.

    • Hyperion Financial Management (HFM):

      Applicazione basata sul Web utilizzata per il consolidamento finanziario, la generazione di report legali e l'analisi finanziaria. HFM supporta strutture di proprietà complesse, conversione di valuta, eliminazioni interaziendali e controlli di audit.

    • Hyperion Planning:

      Supporta budgeting aziendale, previsioni e pianificazione basata su driver. Le applicazioni di pianificazione consentono la modellazione degli scenari, le approvazioni dei flussi di lavoro e l'integrazione con le regole di calcolo per l'analisi what-if.

    • Oracle Essbase:

      Un server analitico multidimensionale ad alte prestazioni che consente aggregazioni, calcoli e analisi ad hoc rapide. Essbase supporta molti casi d'uso di pianificazione, previsione e reporting.

    • Financial Data Quality Management, Enterprise Edition (FDMEE):

      Gestisce l'integrazione dei dati e la qualità dei dati, incluso il mapping, la convalida e il caricamento dei dati finanziari dai sistemi di origine nelle applicazioni Hyperion.

    • Profitability and Cost Management:

      Consente l'allocazione dei costi, l'analisi della redditività e la misurazione delle prestazioni tra prodotti, clienti, canali e business unit.

    • Financial Close Management (FCM):

      Financial Close Management orchestra e monitora il processo di chiusura finanziaria end-to-end gestendo task, dipendenze, approvazioni e riconciliazioni. Fornisce visibilità in tempo reale sullo stato di chiusura, applica procedure di chiusura standardizzate e supporta la verificabilità tra entità e periodi di reporting.

    • Gestione fiscale:

      Hyperion Tax Management supporta il provisioning, la conformità e la generazione di report fiscali centralizzando i calcoli delle imposte e la raccolta dei dati. Consente alle organizzazioni di gestire le posizioni fiscali correnti e differite, rispettare i requisiti normativi e ridurre l'impegno manuale attraverso flussi di lavoro e controlli automatizzati.

    • Financial Reporting:

      Hyperion Financial Reporting offre rendiconti finanziari, report di gestione e divulgazioni altamente formattati e di qualità della produzione. Supporta i requisiti legali, normativi e di reporting gestionale, con definizioni di report riutilizzabili e accesso sicuro tra gli stakeholder finance.

  • Componenti Web e Application Server
    • Oracle HTTP Server (OHS):

      Agisce come punto di accesso Web per le applicazioni Hyperion EPM, gestendo le richieste HTTP/HTTPS in entrata e in genere gestite da un Elastic Load Balancing (ELB) Amazon.

    • Oracle WebLogic Server:

      Ospita applicazioni e servizi Web Hyperion EPM, inclusi i componenti Foundation, Planning, HFM, FDMEE e Workspace. I domini WebLogic vengono in genere distribuiti su più nodi per l'alta disponibilità.

Amazon Elastic File System (EFS) viene utilizzato per ospitare file binari del software Hyperion condivisi, file di configurazione, log e artifact dell'applicazione. Un file system NFS centralizzato può essere montato su server Web, applicazioni ed Essbase Hyperion per garantire coerenza e semplificare la manutenzione del software. Il throughput con provisioning di Amazon Elastic File System o EFS Elastic Throughput è consigliato nelle configurazioni di throughput di base per offrire throughput più elevato e latenza più bassa.

Livello database

Per i requisiti di alta disponibilità, si consiglia di utilizzare una delle seguenti opzioni di Oracle AI Database@AWS per impostare le istanze di database di Oracle Hyperion:
  • Oracle Exadata Database Service on Dedicated Infrastructure

Le istanze di database sono configurate per l'alta disponibilità con Oracle Real Application Clusters (RAC) abilitato. Per ottenere la ridondanza della zona di disponibilità per il database, utilizzare Oracle Active Data Guard in modalità sincrona per replicare il database nelle zone di disponibilità.

Un prerequisito per Active Data Guard consiste nel stabilire un percorso di rete privato tra le zone di disponibilità tramite:
  • Connettività backbone AWS con TGW, oppure
  • Connettività backbone OCI utilizzando il peering VCN con Local Peering Gateway o Dynamic Routing Gateway.

Un prerequisito è definire un percorso di rete attraverso il backbone AWS eseguendo il peering di VNets o attraverso il backbone OCI eseguendo il peering di VCN utilizzando gateway di peering locali. La porta 1521 è aperta per la comunicazione con Oracle Active Data Guard. I servizi di trasporto Data Guard utilizzano la porta 1521 per trasmettere i redo log file per Oracle Active Data Guard. Per considerazioni dettagliate sulla progettazione della rete, vedere Maximum Availability Architecture (MAA).

Backup e recupero

I backup automatizzati del database possono essere configurati utilizzando Oracle Autonomous Recovery Service, Amazon S3 o OCI Object Storage, a seconda del servizio di database e dei requisiti di recupero selezionati.

Cifratura dati

Per i dati in transito, i servizi Oracle AI Database@AWS sono accessibili solo tramite canali di comunicazione cifrati. Per impostazione predefinita, il client Oracle Net è configurato per utilizzare le sessioni cifrate, assicurando che tutte le connessioni al database siano protette in transito.

Oracle AI Database@AWS protegge i dati in archivio utilizzando la cifratura dei dati trasparente (TDE, Transparent Data Encryption), abilitata per impostazione predefinita senza che sia necessaria la configurazione del cliente. TDE crittografa automaticamente file di database, redo e undo log, backup e altri dati persistenti quando scritti nello storage e decifra in modo trasparente i dati quando vi si accede da processi autorizzati. La cifratura viene gestita utilizzando un modello di chiave gerarchica, in cui una chiave di cifratura principale protegge le chiavi di tablespace che a loro volta cifrano i dati.

Oracle AI Database@AWS supporta sia le opzioni chiave gestite da Oracle che quelle gestite dal cliente per TDE. Grazie alle chiavi gestite da Oracle, le chiavi di cifratura vengono generate, memorizzate e gestite automaticamente da Oracle. Grazie alle chiavi gestite dal cliente, i clienti possono controllare centralmente la gestione, la rotazione e l'audit del ciclo di vita delle chiavi integrando OCI Vault, Oracle Key Vault o AWS Key Management Service (KMS).

Nota

Oracle Data Guard tra più aree non è supportato quando le chiavi di cifratura gestite dal cliente sono memorizzate in AWS Key Management Service (KMS).

Migrazione a Oracle AI Database@AWS

Oracle Zero Downtime Migration (ZDM) fornisce più flussi di lavoro di migrazione per lo spostamento dei database Hyperion su Oracle AI Database@AWS.

Migrazione al database Exadata
  • Migrazione fisica online:

    Il flusso di lavoro fisico di migrazione online supporta le migrazioni tra le stesse versioni e piattaforme del database. Questo approccio utilizza il trasferimento diretto dei dati e il metodo restore from service per creare il database di destinazione, evitando l'uso dello storage di backup intermedio. Oracle Data Guard viene utilizzato per mantenere sincronizzati i database di origine e di destinazione, consentendo una migrazione con tempi di inattività minimi.

  • Migrazione offline fisica:

    Il workflow di migrazione offline fisico supporta le migrazioni tra le stesse versioni e piattaforme del database. Il database di destinazione viene creato utilizzando il backup e il ripristino di Recovery Manager (RMAN). Amazon Elastic File System o Amazon S3 viene utilizzato per fornire una condivisione di file NFS per memorizzare i file di backup RMAN durante il processo di migrazione.

  • Migrazione in linea logica:

    Il flusso di lavoro di migrazione online logico supporta le migrazioni tra le stesse versioni e piattaforme di database o tra loro diverse. Questo workflow utilizza l'esportazione e l'importazione di Oracle Data Pump per creare il database di destinazione. Amazon Elastic File System o Amazon S3 fornisce una condivisione di file NFS per memorizzare i file di dump di Data Pump. Oracle Golden Gate viene utilizzato per sincronizzare i database di origine e di destinazione, consentendo una migrazione con tempi di inattività minimi.

  • Migrazione offline fisica:

    Il workflow di migrazione offline logico supporta le migrazioni tra le stesse versioni e piattaforme di database o tra loro diverse. Il database di destinazione viene creato utilizzando l'esportazione e l'importazione di Oracle Data Pump. Amazon Elastic File System o Amazon S3 fornisce una condivisione di file NFS per memorizzare i file di dump di Data Pump utilizzati durante la migrazione.

Panoramica componenti

Componente Scopo
Oracle AI Database@AWS Oracle AI Database@AWS fornisce Oracle Exadata Database distribuito e gestito in AWS con integrazione AWS nativa. Combina le prestazioni di Oracle Exadata Database e le funzionalità di Oracle AI Database con modelli di rete, sicurezza e consumo AWS. L'offerta include Oracle Exadata Database Service on Dedicated Infrastructure per l'hosting del livello di database per Oracle Hyperion.
Load balancer AWS AWS Load Balancer distribuisce il traffico in entrata tra server Web o applicativi e monitora continuamente le sonde di stato backend per inviare traffico solo a istanze in buono stato. Ciò garantisce anche la distribuzione del traffico, l'alta disponibilità e il failover automatico senza applicazione.
Bastion AWS AWS Bastion consente l'accesso RDP e SSH sicuro alle virtual machine tramite HTTPS senza richiedere indirizzi IP pubblici. Migliora la sicurezza centralizzando l'accesso amministrativo e riducendo l'esposizione alle minacce Internet in entrata.
Autonomous Recovery Service Autonomous Recovery Service offre backup automatizzato, protezione continua dei dati e ripristino rapido per Oracle AI Database. Riduce la perdita e i tempi di ripristino dei dati gestendo autonomamente le operazioni di backup, convalida e ripristino.
Storage degli oggetti Lo storage degli oggetti offre storage duraturo e scalabile per i dati non strutturati utilizzando un modello bucket-and-object. È in genere utilizzato per backup, archiviazione e condivisione dei dati con controlli integrati di sicurezza e ciclo di vita.
Vault OCI OCI Vault fornisce la gestione centralizzata di chiavi di cifratura e segreti utilizzando gli HSM gestiti da Oracle. Consente una sicurezza elevata, una rotazione delle chiavi e un controllo dell'accesso per proteggere i dati tra i servizi OCI.
Amazon Elastic File System Un servizio di storage di file basato su NFS completamente gestito e scalabile da AWS che fornisce l'accesso al file system condiviso a più istanze di computazione nelle zone di disponibilità.
Amazon S3 Un servizio di storage degli oggetti altamente durevole e scalabile utilizzato per memorizzare e recuperare quantità illimitate di dati da qualsiasi luogo
Servizio KMS (Key Management Service) AWS AWS Key Management Service (KMS) è un servizio di sicurezza gestito che semplifica la creazione, il controllo e la gestione di chiavi crittografiche per crittografare i dati tra servizi e applicazioni AWS.

Ulteriori informazioni