1. Informazioni sulla distribuzione di Oracle E-Business Suite su Oracle Cloud Infrastructure
  2. Informazioni sulla topologia di Oracle E-Business Suite

Informazioni sulla topologia di Oracle E-Business Suite

Informazioni sui diversi livelli in una distribuzione di Oracle E-Business Suite.

Prima di iniziare

Prima di iniziare a pianificare la distribuzione o la migrazione dell'applicazione Oracle E-Business Suite, identificare se Oracle Cloud Infrastructure supporta la versione dell'applicazione Oracle E-Business Suite che si desidera distribuire. Oracle Cloud Infrastructure supporta Oracle E-Business Suite release 12.2 e 12.1.3.

Informazioni sui nomi host logici

Oracle consiglia di utilizzare nomi host logici, non nomi host fisici, quando si imposta il livello di database Oracle E-Business Suite e il livello applicazione. I vantaggi dell'utilizzo dei nomi host logici sono:

  • Fornire la capacità di spostare il database e i livelli di applicazione in altri computer o data center senza eseguire una copia e una riconfigurazione.

  • Ridurre la quantità di riconfigurazione richiesta in caso di failover per un'elevata disponibilità utilizzando lo stesso nome host sul sito attivo e in standby.

  • Evitare la rielaborazione o il reclutamento dei livelli di database e applicazione a causa delle modifiche apportate alla configurazione di rete, ad esempio una modifica del nome host.

Informazioni sull'host di base

Un host bastion è un componente facoltativo che è possibile utilizzare con i criteri firewall per proteggere le interfacce di gestione del database e degli Application Server dall'accesso esterno. Un host bastion è un'istanza di Oracle Cloud Infrastructure Compute che utilizza Linux o Windows come sistema operativo.

Posizionare l'host bastione in una subnet pubblica e assegnargli un indirizzo IP pubblico per accedervi da Internet.

Per fornire un ulteriore livello di sicurezza, è possibile impostare liste di sicurezza per accedere all'host bastion solo dall'indirizzo IP pubblico della rete locale. È possibile accedere alle istanze di Oracle Cloud Infrastructure nella subnet privata tramite l'host bastion. A tale scopo, abilitare ssh-agent forwarding, che consente di connettersi all'host bastion, quindi accedere al server successivo inoltrando le credenziali dal computer. È inoltre possibile accedere alle istanze nella subnet privata utilizzando il tunnel SSH dinamico. Il tunneling SSH è un modo per accedere a un'applicazione Web o a un altro servizio di ascolto. Il tunnel dinamico fornisce un proxy SOCKS sulla porta locale, ma le connessioni provengono dall'host remoto.

Informazioni sul livello load balancer

Utilizzare Oracle Cloud Infrastructure Load Balancing per distribuire il traffico alle istanze dell'applicazione nei domini di disponibilità all'interno di un VCN. Questo servizio fornisce un'istanza primaria e in standby del load balancer per garantire che se il load balancer principale non è attivo, il load balancer in standby inoltri le richieste. Il load balancer garantisce che le richieste vengano instradate alle istanze dell'applicazione in buono stato. Se si verifica un problema con un'istanza dell'applicazione, il load balancer rimuove l'istanza e avvia il instradamento delle richieste alle restanti istanze dell'applicazione in buono stato.

In base alle proprie esigenze, è possibile posizionare i load balancer in una subnet pubblica o privata.

  • Per gli endpoint interni, che non sono accessibili da Internet, utilizzare un load balancer privato. Un load balancer privato ha un indirizzo IP privato e non è accessibile da Internet. Sia le istanze primarie che quelle in standby di un load balancer risiedono nella stessa subnet privata. È possibile accedere ai load balancer privati in VCN o nel data center tramite IPSec VPN tramite DRG. Il load balancer privato accetta il traffico dal data center e distribuisce il traffico alle istanze di applicazione di base.

  • Per gli endpoint rivolti verso Internet, utilizzare un load balancer pubblico. Un load balancer pubblico ha un indirizzo IP pubblico ed è accessibile da Internet. È possibile accedere ai load balancer pubblici da Internet tramite il gateway Internet.

  • Per accedere agli endpoint interni e agli endpoint con interfaccia Internet, impostare load balancer privati e load balancer pubblici. Impostare load balancer privati per servire il traffico interno e impostare load balancer pubblici per servire il traffico da Internet.

Registrare l'indirizzo IP pubblico o privato delle istanze di Oracle Cloud Infrastructure Load Balancing nel server dei nomi di dominio locale o pubblico (DNS) per la risoluzione del dominio dell'endpoint dell'applicazione.

Informazioni sul livello applicazione

Il livello applicazione si trova in una subnet, separata dalle subnet per il load balancer e le istanze di database. È necessario distribuire almeno due istanze di applicazione in un dominio di disponibilità per assicurarsi che le istanze di applicazione nel dominio di disponibilità siano altamente disponibili.

È possibile distribuire Oracle E-Business Suite con più nodi di livello applicazione che funzionano con un database Oracle E-Business Suite. Oracle consiglia di distribuire l'impostazione a più livelli di Oracle E-Business Suite con i file binari dell'applicazione condivisa. Quando si utilizza un file system a livello di applicazione condiviso, il file system a livello di applicazione Oracle E-Business Suite viene condiviso con ogni nodo nell'ambiente a più nodi.Utilizzare Oracle Cloud Infrastructure File Storage per creare un file system condiviso per condividere e sincronizzare i file binari dell'applicazione Oracle E-Business Suite tra più host dell'applicazione. Quando si utilizza un file system condiviso per più host di applicazione, riduce i requisiti di spazio su disco ed elimina la necessità di applicare patch a ciascun host di applicazione nell'ambiente.

Il traffico scorre dal load balancer alle istanze dell'applicazione mediante porte specifiche definite nelle regole di sicurezza. Impostare le regole di sicurezza per consentire il traffico solo dal load balancer sulla porta 8000 e dall'host bastion sulla porta 22.

È possibile utilizzare la funzione di backup basata su criteri di Oracle Cloud Infrastructure Block Volumes per eseguire il backup delle istanze dell'applicazione Oracle E-Business Suite.

Informazioni sul livello di database

Oracle Cloud Infrastructure offre diverse opzioni per impostare un sistema Oracle Database (DB System). Posizionare i sistemi DB in una subnet separata. Oracle consiglia di creare il servizio di database su Oracle Cloud Infrastructure in una subnet privata. Utilizzare le liste di sicurezza per limitare l'accesso ai database server solo dall'host bastion, dagli Application Server e dai server in locale.

È possibile distribuire il database utilizzando una virtual machine Oracle Compute con un solo codice, un sistema DB con una sola macchina virtuale, un sistema DB con due nodi Oracle Real Application Clusters (RAC) o un sistema Oracle Exadata DB. Per fornire un'elevata disponibilità all'interno di un dominio di disponibilità, Oracle consiglia di utilizzare un sistema DB virtual machine a 2 nodi o un sistema Oracle Exadata DB. Il sistema DB della virtual machine a 2 nodi o il sistema Oracle Exadata DB sfruttano Oracle RAC e distribuisce un cluster a 2 nodi per un'elevata disponibilità. In entrambi i casi, entrambe le istanze del database in un dominio di disponibilità sono attive. Le richieste ricevute dal livello applicazione vengono bilanciate in base al carico tra le istanze del database. Anche se un'istanza di database è inattiva, l'altra istanza di database richiede servizi.

Per il livello di database, si consiglia di impostare liste di sicurezza per assicurarsi che la comunicazione avvenga solo sulla porta 22, tramite l'host bastion e sulla porta 1521, tramite l'Application Server. È possibile utilizzare Oracle Cloud Infrastructure Object Storage per eseguire il backup del database Oracle E-Business Suite utilizzando Oracle Recovery Manager (RMAN).

Se si distribuisce Oracle E-Business Suite in più domini di disponibilità per l'alta disponibilità, è necessario impostare Oracle Data Guard o Oracle Active Data Guard in modalità sincrona per replicare le modifiche apportate al database nei due domini di disponibilità.

Informazioni sugli elenchi di sicurezza

In Oracle Cloud Infrastructure, le regole firewall vengono configurate mediante liste di sicurezza. Per ogni subnet viene creata una lista di sicurezza separata.

Oracle consiglia di creare subnet separate per il database, l'applicazione, il load balancer e gli host bastion per assicurarsi che la lista di sicurezza appropriata sia assegnata alle istanze di ogni subnet. Utilizzare le liste di sicurezza per consentire il traffico tra livelli diversi e tra l'host bastione e gli host esterni. Le liste di sicurezza contengono regole di ingresso e uscita per filtrare il traffico a livello di subnet. Essi contengono anche informazioni sulle porte di comunicazione attraverso le quali è consentito il trasferimento dei dati. Tali porte (o, in alcuni casi, i protocolli che avranno bisogno di porte aperte nelle regole di sicurezza) vengono visualizzati su ogni riga delle regole di sicurezza nei diagrammi di architettura.

Ogni lista di sicurezza viene applicata a livello di istanza. Tuttavia, quando si configurano gli elenchi di sicurezza a livello di subnet, tutte le istanze di una subnet particolare sono soggette allo stesso set di regole. A ogni subnet possono essere associati più elenchi di sicurezza e ogni lista può avere più regole. Il trasferimento di un pacchetto di dati è consentito se una regola in una qualsiasi delle liste consente il traffico (o se il traffico fa parte di una connessione esistente monitorata). Oltre alle liste di sicurezza, utilizzare iptables per implementare un altro livello di sicurezza a livello di istanza.

Per le distribuzioni in una subnet pubblica, è possibile fornire un ulteriore livello di sicurezza impedendo l'accesso alle istanze dell'applicazione e del database da Internet. Utilizzare una lista di sicurezza personalizzata per impedire l'accesso a Internet alle istanze di applicazione e di database e consentire l'accesso al database e agli host di applicazione sulla porta 22 dall'host bastion ai fini dell'amministrazione. Non abilitare l'accesso SSH all'applicazione e alle istanze di database da Internet, ma è possibile consentire l'accesso SSH a queste istanze dalla subnet che contiene l'host bastion.

È possibile accedere alle istanze nella subnet privata tramite il server bastion.

Lista di sicurezza per l'host di base

La lista di sicurezza bastion consente di accedere all'host bastion da Internet pubblico sulla porta 22.

  • Per consentire il traffico SSH dalla rete on-premise all'host bastione su Internet:

    Ingresso statico: consente il traffico TCP dal CIDR 0.0.0.0/0 di origine e da tutte le porte di origine alla porta di destinazione 22 (SSH).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    È inoltre possibile limitare l'accesso dell'host bastion a Internet sulla porta 22 solo dal data center anziché da Internet pubblico (0.0.0.0/0). A tale scopo, utilizzare l'IP del router edge anziché il CIDR di origine come 0.0.0.0/0 nella regola di ingresso con conservazione dello stato.

  • Per consentire il traffico SSH dall'host bastion alle istanze di Oracle Cloud Infrastructure Compute, effettuare le operazioni riportate di seguito.

    Uscita con conservazione dello stato: consente il traffico TCP alla destinazione CIDR 0.0.0.0/0 da tutte le porte di origine alla porta di destinazione 22 (SSH).

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

Elenco sicurezza per il livello load balancer

I diagrammi di architettura mostrano load balancer privati, posizionati in subnet private. Se si inseriscono le istanze del load balancer in una subnet pubblica, il traffico da Internet (0.0.0.0/0) alle istanze del load balancer viene consentito.

  • Per consentire il traffico da Internet al load balancer:

    Ingresso statico: consente il traffico TCP dall'origine CIDR (Internet) 0.0.0.0/0 e da tutte le porte di origine alla porta di destinazione 8888 (HTTP) o 443 (HTTPS).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Per consentire il traffico dalla rete in locale al load balancer, effettuare le operazioni riportate di seguito.

    Ingresso statico: consente il traffico TCP dal blocco CIDR di rete in locale e da tutte le porte di origine alla porta di destinazione 8888 (HTTP) o 443 (HTTPS)

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Per consentire il traffico dai livelli del load balancer ai livelli applicazione, effettuare le operazioni riportate di seguito.

    Uscita statica: consente al traffico TCP di destinazione CIDR 0.0.0.0/0 da tutte le porte di origine alla porta di destinazione 8000 (HTTP)

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

Lista di sicurezza per il livello applicazione

La lista di sicurezza per il livello applicazione consente il traffico dal livello load balancer al livello applicazione.

  • Per consentire il traffico dall'host bastione al livello applicazione, procedere come segue.

    Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Per consentire il traffico dal livello load balancer al livello applicazione, effettuare le operazioni riportate di seguito.

    Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • Per consentire il traffico tra le istanze di applicazione nel livello di applicazione, procedere come segue.

    Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Per consentire il traffico dal livello di applicazione al livello di database e tra le istanze di applicazione nel livello di applicazione, procedere come segue.

    Uscita statica: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Per la comunicazione tra livelli di applicazione in una configurazione di più livelli di applicazione (richiesta solo per Oracle E-Business Suite EBS 12.2):

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

Lista di sicurezza per il livello di database

  • Per consentire il traffico dall'host bastione al livello di database, effettuare le operazioni riportate di seguito.

    Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Per consentire il traffico dai livelli di applicazione al livello di database, effettuare le operazioni riportate di seguito.

    Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • Per consentire il traffico dal livello di database al livello di applicazione, procedere come segue.

    Uscita statica: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Per consentire il traffico per il backup del database in Oracle Cloud Infrastructure Object Storage, procedere come segue.

    Uscita statica:   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Per l'architettura di più domini di disponibilità, per consentire il traffico tra i livelli di database tra i domini di disponibilità per Oracle Active Data Guard:

    • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Per il provisioning del sistema Oracle Database Exadata Cloud Service sono necessarie le seguenti regole aggiuntive:

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Ingresso statico: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Uscita statica: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Uscita statica: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All