1. Distribuisci Oracle E-Business Suite con i servizi cloud Palo Alto Networks Firewall ed Exadata
  2. Distribuisci Oracle E-Business Suite con i servizi cloud Palo Alto Networks Firewall ed Exadata

Distribuisci Oracle E-Business Suite con i servizi cloud Palo Alto Networks Firewall ed Exadata

Le implementazioni cloud di Oracle E-Business Suite offrono una vasta gamma di vantaggi, sia dal punto di vista della tecnologia che da quello del business. I principali vantaggi del cloud computing, come spesso descritto nel mercato, sono il supporto per la crescita, le performance e la disponibilità, con conseguente aumento dell'agilità aziendale. Offre inoltre costi inferiori e un sistema più sicuro.

La soluzione Oracle Cloud Infrastructure (OCI) e i servizi di database certificati offrono diversi vantaggi rispetto ad altre soluzioni cloud. Ad esempio, Oracle fornisce l'automazione cloud di Oracle E-Business Suite (Cloud Manager Tool per la gestione del ciclo di vita di Oracle E-Business Suite) per OCI e i servizi di database associati (ad esempio, sistemi DB Virtual Machine, servizi cloud Exadata o Exadata Cloud@Customer) che non sono disponibili per altri fornitori.

Lo spostamento dei carichi di lavoro di Oracle E-Business Suite o l'estensione della tenancy OCI corrente con il carico di lavoro Oracle E-Business Suite su Oracle Cloud con Palo Alto Network VM-Series, firewall di nuova generazione (NGFW), migliora le opzioni di sicurezza nativa offerte da OCI.

Architettura

Questa architettura di riferimento descrive una distribuzione multi-nodo ad alta disponibilità in cui Oracle E-Business Suite Database è in esecuzione su Oracle Exadata Cloud Services.

Nota:

Se si inizia il percorso OCI, è possibile trovare ulteriori dettagli per lo spostamento del carico di lavoro E-Business Suite in OCI nella nota My Oracle Support (MOS), Introduzione a Oracle E-Business Suite su Oracle Cloud Infrastructure, ID documento 2517025.1, a cui viene fatto riferimento nell'argomento "Esplora altri".

In questa architettura, un carico di lavoro Oracle E-Business Suite è stato distribuito in una topologia di rete hub e spoke in cui il traffico viene instradato tramite un hub centrale, ma è connesso a più reti distinte (spokes VCNs). La VCN hub si connette ai VCN spoke tramite il gateway di instradamento dinamico (DRG). In questo scenario, l'hub è la combinazione sia del DRG che della VCN del firewall.

In questo caso, il livello applicazione contiene più istanze dell'applicazione per garantire alta disponibilità. Il livello di database utilizza un database Oracle Real Application Clusters in esecuzione su Oracle Exadata Cloud Services.

Questo schema descrive questa architettura.

Segue la descrizione di ebs-pan-exacs.png
Descrizione dell'immagine ebs-pan-exacs.png

ebs-pan-exacs-oracle.zip

Per rafforzare il livello di sicurezza della tenancy, è stata distribuita Palo Alto Networks VM Series. In questo modo potrai proteggere il tuo carico di lavoro e monitorare sia il traffico North-South (traffico verso la tua rete cloud) che il traffico East-West (traffico verso l'interno del tuo ambiente cloud tra i VCN). Tutto il traffico che circola tra i VCN spoke, da Internet, fino al data center on premise o tramite Oracle Services Network, verrà instradato tramite la VCN hub e ispezionato dalle tecnologie di prevenzione delle minacce a più livelli di Palo Alto Networks serie VM Firewall.

Di seguito sono riportati i flussi di traffico logici.

Flusso di traffico nord-sud in entrata:

Questa figura illustra il flusso di traffico nord-sud in entrata proveniente da Internet e in un'area geografica OCI.

Segue la descrizione di ns-inbound-inet-spoke.png
Descrizione dell'illustrazione ns-inbound-inet-spoke.png

ns-inbound-inet-spoke-oracle.zip

Questa figura illustra il flusso di traffico nord-sud in entrata proveniente dal data center on premise del cliente in un'area geografica OCI:

Segue la descrizione di ns-inbound-prem-spoke.png
Descrizione dell'immagine ns-inbound-prem-spoke.png

ns-inbound-prem-spoke-oracle.zip

Flusso di traffico nord-sud in uscita:

Questa figura illustra il flusso di traffico nord-sud in uscita proveniente da un'area geografica OCI per Internet:

Segue la descrizione di ns-outbound-spoke-prem.png
Descrizione dell'illustrazione ns-outbound-spoke-prem.png

ns-outbound-spoke-prem-oracle.zip

Questa figura illustra il flusso di traffico nord-sud in uscita proveniente da un'area geografica OCI per il data center on premise del cliente:

Segue la descrizione di ns-outbound-inet.png
Descrizione dell'illustrazione ns-outbound-inet.png

ns-in uscita-inet-oracle.zip

Flusso di traffico Est-Ovest:

Questa figura mostra il flusso di traffico est-ovest all'interno di una VCN OCI.

Segue la descrizione di ew-vcns.png
Descrizione dell'immagine ew-vcns.png

ew-vcns-oracle.zip

L'architettura dispone dei seguenti componenti:
  • Tenancy

    Quando ti iscrivi a Oracle Cloud Infrastructure, Oracle crea una tenancy per la tua azienda, che è una partizione sicura e isolata all'interno di Oracle Cloud Infrastructure in cui puoi creare, organizzare e amministrare le tue risorse cloud.

  • Area

    Un'area geografica di Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti). La maggior parte delle risorse di Oracle Cloud Infrastructure sono specifiche dell'area geografica, come una rete cloud virtuale o specifiche del dominio di disponibilità, ad esempio un'istanza di computazione.

  • Compartimento

    I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire i criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

  • Domini di disponibilità (AD)

    I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area geografica. Le risorse fisiche presenti in ogni dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, garantendo quindi la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, è improbabile che l'errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

  • Domini di errore (FD)

    Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore, dotati di alimentazione e hardware indipendenti. Quando si distribuiscono le risorse su più domini di errore, le applicazioni possono tollerare l'errore fisico del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono trovarsi in un singolo dominio di disponibilità o estendersi su tutti i domini di disponibilità nell'area (consigliato). Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • VCN hub

    La VCN hub è una rete centralizzata in cui vengono distribuiti i firewall Palo Alto Networks della serie VM. Offre connettività sicura a tutti i VCN spoke, ai servizi Oracle Cloud Infrastructure, agli endpoint e ai client pubblici e alle reti di data center on premise.

  • VCN spoke livello applicazione

    Il livello applicazione spoke VCN contiene una subnet privata su cui ospitare lo stack di applicazioni Oracle E-Business Suite. Inoltre, dispone di subnet di client Exadata e di backup.

  • Load balancer (LB)

    Il servizio di bilanciamento del carico OCI offre la distribuzione automatica del traffico da un singolo punto di ingresso a più server nel backend.

  • Lista di sicurezza (SL)

    Gli elenchi di sicurezza fungono da firewall virtuali per le istanze di computazione. Un elenco di sicurezza è costituito da un set di connessioni in entrata (inizializzate da Internet) e in uscita (connessioni avviate dall'interno delle regole di sicurezza VCN) valide per tutte le VNIC in qualsiasi subnet a cui è associata la lista di sicurezza.

  • Tabella di instradamento (RT)

    Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite gateway esterni a una VCN (ad esempio, a Internet, alla rete in locale o a una VCN in peer).

  • Gateway del servizi (SG)

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN ai servizi Oracle viaggia su fabric di rete Oracle e non passa mai su Internet.

  • Gateway Internet (IGW)

    Un gateway Internet è un router virtuale facoltativo che è possibile aggiungere alla VCN per consentire il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

  • Gateway di instradamento dinamico (DRG)

    Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area, ad esempio una VCN in un'altra area dell'infrastruttura Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.

    Grazie alle nuove funzioni di miglioramento del gateway DRG, puoi collegare le risorse riportate di seguito.
    • VCN
    • connessioni peering remoto
    • Tunnel IPSec VPN da sito a sito
    • Circuiti virtuali FastConnect OCI
    Ogni collegamento è dotato di una tabella di instradamento univoca che consente di definire criteri di instradamento che instradano il traffico tra gli allegati. Questo miglioramento semplifica la connettività e consente di gestire topologie di rete e instradamento più complessi. In questa architettura di riferimento viene utilizzata una topologia di rete Hub and Spoke che consente di utilizzare Palo Alto, un'appliance virtuale di rete, in una VCN hub per filtrare o analizzare il traffico tra la rete on premise di un cliente e la VCN spoke del carico di lavoro dell'applicazione.

  • Scheda interfaccia di rete virtuale (VNIC)

    I servizi nei data center OCI dispongono di schede di interfaccia di rete fisiche (NIC, Physical Network Interface Card). Le istanze di Virtual Machine comunicano utilizzando le VNIC (Virtual NIC) associate alle schede NIC fisiche. Ogni istanza dispone di una VNIC primaria che viene creata e collegata automaticamente durante l'avvio e viene disponibile durante l'intero ciclo di vita dell'istanza. DHCP viene offerto solo alla VNIC primaria. Puoi aggiungere VNIC secondarie dopo l'avvio dell'istanza. È necessario impostare IP statici per ciascuna interfaccia.

  • Storage degli oggetti

    Lo storage degli oggetti ti consente di accedere rapidamente a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi i backup del database, i dati analitici e i contenuti avanzati quali immagini e video. Puoi archiviare e recuperare i dati in modo sicuro direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza subire cali di prestazioni o affidabilità dei servizi. Puoi utilizzare lo storage standard per lo storage "hot" a cui hai bisogno per accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage in grassetto conservato per lunghi periodi di tempo e accesso raramente eseguito.

  • FastConnect (FC)

    Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

  • Circuito virtuale (VC)

    Un circuito virtuale è una VLAN Ethernet layer-2 o layer-3, che viene eseguita su una o più connessioni di rete fisiche per fornire una singola connessione logica tra il router sul bordo della rete e il router Oracle. Ogni circuito virtuale è composto da informazioni condivise tra il cliente e Oracle, nonché da un partner Oracle FastConnect (se ti stai connettendo tramite un partner Oracle FastConnect). I circuiti virtuali privati supportano il peering privato, mentre i circuiti virtuali pubblici supportano il peering pubblico.

  • Firewall Palo Alto Networks serie VM

    Offre tutte le funzionalità dei firewall fisici di nuova generazione in un formato di virtual machine, garantendo sicurezza di rete in linea e prevenzione delle minacce per proteggere costantemente i cloud pubblici e privati.

    Grazie alle VM-Series su OCI, puoi proteggere e segmentare i carichi di lavoro, prevenire minacce avanzate e migliorare la visibilità sulle applicazioni durante il passaggio al cloud.
    • La sottorete di gestione utilizza l'interfaccia di gestione per consentire agli utenti finali di connettersi all'interfaccia utente.
    • La subnet di sicurezza viene utilizzata per indirizzare il traffico esterno verso o dal firewall della serie VM di Palo Alto Networks.
    • La subnet attendibile viene utilizzata per indirizzare il traffico interno al firewall VM-Series di Palo Alto Networks o da tale rete.
    • La sottorete HA (High Availability) garantisce che i firewall VM-Series si trovino ad alta disponibilità.

  • Livello applicazione E-Business Suite

    Un'applicazione Oracle E-Business Suite è composta da server e file system. In questa architettura di riferimento, viene distribuita con più nodi di livello applicazione e catalizza l'applicazione. Quando si distribuisce un livello applicazione Oracle E-Business Suite con più nodi, è possibile utilizzare un file system di livello applicazione condiviso o non condiviso. Questa architettura adotta un file system a livello di applicazione condiviso, che riduce i requisiti di spazio su disco ed elimina la necessità di applicare patch a ciascun nodo dell'ambiente.

  • Enterprise Command Centers (ECC)

    I Centri di comando aziendali offrono rilevamento delle informazioni e funzionalità di visualizzazione ed esplorazione integrate nelle interfacce utente di Oracle E-Business Suite. Oracle Enterprise Command Center Framework consente di creare dashboard aziendali in aree funzionali diverse. Gli utenti di Oracle E-Business Suite navigano nelle informazioni transazionali utilizzando componenti visivi interattivi e funzionalità di ricerca guidata che consentono l'analisi dei dati esplorativi. Mobilità e progettazione reattiva sono integrati in Oracle Enterprise Command Center Framework e tutti i dashboard modificano automaticamente il layout per adattarsi meglio a un fattore di forma desktop o dispositivo di tipo mobile.

    Oracle Enterprise Command Center Framework, incluso il contenuto del dashboard, aderisce automaticamente al contesto e alla sicurezza esistenti di Oracle E-Business Suite. Enterprise Command Centers consente agli utenti di Oracle E-Business Suite di identificare e agire sulle transazioni prioritarie senza generare report operativi personalizzati. La release ECC V7 include 32 centri di comando che comprendono 121 dashboard in Oracle E-Business Suite.

  • Livello di database Oracle E-Business Suite - Exadata Cloud Service

    I servizi cloud Exadata ti consentono di sfruttare la potenza di Exadata nel cloud. Puoi eseguire il provisioning di sistemi X8M flessibili che ti consentono di aggiungere server di calcolo e server di storage del database al tuo sistema di pari passo con la crescita delle tue esigenze. I sistemi X8M offrono reti RoCE (RDMA over Converged Ethernet) per moduli con larghezza di banda elevata e bassa latenza, memoria persistente (PMEM) e software Exadata intelligente. È possibile eseguire il provisioning dei sistemi X8M utilizzando una forma equivalente a un sistema X8 di rack e quindi aggiungere server di database e storage in qualsiasi momento dopo il provisioning.

    Per eseguire il provisioning di un database dei servizi cloud Exadata, prima è necessario eseguire il provisioning separato dell'infrastruttura dei servizi cloud Exadata e delle risorse cluster VM. Oltre all'infrastruttura, vengono creati un cluster VM, una home di database iniziale e un database. Puoi creare home e database aggiuntivi in qualsiasi momento utilizzando la console o l'API Oracle Cloud Infrastructure.

Suggerimenti

Quando si utilizza E-Business Suite su OCI, i seguenti suggerimenti possono essere utili, ma possono variare in base alla propria implementazione.
  • VCN

    Quando crei una rete VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Usare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) in cui si intende impostare connessioni private.

    Dopo aver creato una VCN, puoi modificare, aggiungere e rimuovere i relativi blocchi CIDR. Quando si progettano le subnet, considerare i requisiti di flusso di traffico e sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

    Oracle consiglia di utilizzare le subnet regionali perché sono più flessibili. Semplifica il dividere la VCN in subnet e, allo stesso tempo, favorisce la progettazione del guasto al dominio di disponibilità.

  • Sicurezza

    Per rafforzare il livello di sicurezza della tenancy OCI, Oracle consiglia di utilizzare le zone di Cloud Guard e sicurezza. È necessario abilitare Cloud Guard prima di creare le zone di sicurezza. Cloud Guard consente di rilevare le violazioni dei criteri nelle risorse esistenti create prima della zona di sicurezza.

    Cloud Guard

    Cloud Guard è un servizio cloud nativo che consente ai clienti di monitorare, identificare, raggiungere e gestire livelli di sicurezza elevati in Oracle Cloud. Utilizzare il servizio per esaminare le risorse OCI per i punti deboli nella sicurezza, nonché per gli operatori e gli utenti OCI per le attività a rischio. Al momento del rilevamento, Cloud Guard può suggerire, assistere o intraprendere azioni correttive, in base alla configurazione. Nell'elenco riportato di seguito vengono riepilogate le informazioni necessarie per iniziare a pianificare Cloud Guard.
    • Destinazione: definisce l'ambito dei controlli di Cloud Guard. Il controllo di tutti i compartimenti all'interno di una destinazione avviene nello stesso modo in cui si hanno le stesse opzioni per l'elaborazione dei problemi rilevati.
    • Detector: esegue controlli per identificare i potenziali problemi di sicurezza in base alle attività o alle configurazioni. Le regole seguite per identificare i problemi sono le stesse per tutti i compartimenti di una destinazione.
    • Responder: specifica le azioni che Cloud Guard può eseguire quando i rilevatori identificano i problemi. Le regole per l'elaborazione dei problemi identificati sono le stesse per tutti i compartimenti di una destinazione.

    Zone di sicurezza

    Per le risorse che richiedono la massima sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta dei criteri di sicurezza definita da Oracle basata su migliori prassi. Ad esempio, le risorse di una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente.

    Quando si creano e aggiornano risorse in una zona di sicurezza, OCI convalida le operazioni rispetto ai criteri nella ricetta della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

  • Gruppi di sicurezza di rete (NSG)

    È possibile utilizzare i gruppi di sicurezza di rete per definire un set di regole di entrata e uscita valide per VNIC specifiche. Consigliamo di usare i gruppi di rete NSG piuttosto che le liste di sicurezza perché i gruppi di rete consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza della tua applicazione.

    È possibile utilizzare i gruppi di sicurezza di rete per definire un set di regole di entrata e uscita valide per VNIC specifiche. Consigliamo di usare i gruppi di rete NSG piuttosto che le liste di sicurezza perché i gruppi di rete consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza della tua applicazione.

  • Larghezza di banda del load balancer

    Durante la creazione del load balancer, puoi selezionare una forma predefinita che fornisce una larghezza di banda fissa oppure specificare una forma (flessibile) personalizzata in cui impostare un intervallo di larghezza di banda e lasciare che il servizio scali automaticamente la larghezza di banda in base ai pattern di traffico. Grazie a entrambi i metodi, puoi modificare la forma in qualsiasi momento dopo aver creato il load balancer.

  • Strumento E-Business Suite Cloud Manager

    Oracle E-Business Suite Cloud Manager è un'applicazione basata su Web che gestisce tutti i principali flussi di automazione per Oracle E-Business Suite su OCI, inclusi il provisioning di nuovi ambienti, l'esecuzione delle attività di gestione del ciclo di vita su tali ambienti e il ripristino degli ambienti on premise.

    Oracle raccomanda a tutti i clienti che intendono spostare il carico di lavoro Oracle E-Business Suite in OCI per utilizzare questo strumento di automazione per attività di migrazione diretta senza modifica, provisioning e gestione del ciclo di vita. Tuttavia, se le nostre attuali offerte di automazione non soddisfano i tuoi requisiti specifici, puoi utilizzare una procedura manuale.

Visualizza altro

Scopri di più sulla distribuzione di Oracle E-Business Suite con un firewall Palo Alto Networks e i servizi cloud Exadata.

Esaminare le seguenti risorse aggiuntive:

Conferme

  • Autore: Madhusri Bhattacharya