1. Impostare l'infrastruttura per distribuire Oracle Enterprise Performance Management
  2. Informazioni sull'architettura

Informazioni sull'architettura

L'infrastruttura necessaria per distribuire le applicazioni Oracle Enterprise Performance Management (Hyperion) in Oracle Cloud Infrastructure include le istanze di calcolo, i componenti di rete, le risorse di memorizzazione e i database. Per distribuire e gestire la topologia cloud in modo efficiente, definire l'infrastruttura come codice nei file di configurazione Terraform.

Utilizzare la configurazione Terraform inclusa in questa soluzione per configurare le risorse dell'infrastruttura necessarie per distribuire le applicazioni Oracle Enterprise Performance Management sui server Microsoft Windows nel cloud.

Operazioni preliminari

Prima di iniziare a creare l'infrastruttura, è necessario conoscere le opzioni architetturali ed esaminare le considerazioni sulla progettazione.

Per una descrizione dettagliata di tutte le opzioni architetturali e delle considerazioni sulla progettazione, vedere Progettare l'infrastruttura per distribuire Oracle Enterprise Performance Management nel cloud.

Questo documento fornisce una breve panoramica delle architetture HA supportate: un singolo dominio di disponibilità e più domini di disponibilità.

Architettura HA: Dominio di disponibilità singolo

In questa architettura, le applicazioni e i database vengono distribuiti su due domini di errore in un singolo dominio di disponibilità.

Tutte le istanze di applicazione nella topologia sono attive. Le istanze ridondanti dell'applicazione sono ospitate in domini di errore separati. Pertanto, le istanze non si trovano sulla stessa hardware fisico. Questa architettura garantisce l'elevata disponibilità all'interno del dominio di disponibilità. Un evento di gestione o errore hardware che interessa un dominio di errore non ha effetto sulle istanze negli altri domini di errore.

Se si verifica un errore in un'istanza, il traffico è divertente per le altre istanze del dominio di disponibilità che continuano a elaborare le richieste. Gli utenti devono sottomettere nuovamente tutti i task incompleti in fase di elaborazione da parte dell'istanza non riuscita.

Tutti i componenti di questa architettura su più livelli si trovano in un'unica area. Le risorse in ciascun livello vengono isolate a livello di rete in subnet separate.


Segue descrizione di hyperion-single-ad.png
Descrizione dell'immagine hyperion-single-ad.png

Architettura HA: più domini di disponibilità

In questa architettura il livello Web, il livello applicazione e il livello database vengono distribuiti in un dominio di disponibilità designato come ambiente primario (attivo). Una topologia ridondante viene distribuita come ambiente in standby (non attivo) in un altro dominio di disponibilità nella stessa area.

Gli ambienti primari e in standby di questa architettura sono simmetrici, ovvero entrambi gli ambienti forniscono la stessa capacità di computazione e storage.

  • Se l'ambiente primario è attivo, il load balancer è configurato per instradare il traffico solo al dominio di disponibilità che ospita la topologia principale.
  • Se l'ambiente primario non è disponibile per un motivo qualsiasi, è possibile passare all'ambiente in standby e aggiornare il set backend del load balancer per instradare il traffico al dominio di disponibilità che ospita la topologia in standby. Se l'ambiente primario diventa nuovamente disponibile, è possibile tornare all'ambiente e aggiornare di conseguenza il load balancer.

    In caso di switchover o switchback, tutti i task incompleti nell'ambiente in esecuzione in precedenza devono essere risottomessi dagli utenti.

I nomi host logici vengono assegnati ai database e alle istanze dell'applicazione. Per ridurre lo sforzo per la riconfigurazione delle istanze durante uno switchover o lo switchback, gli stessi nomi host logici vengono utilizzati negli ambienti primari e in standby.

Tutti i componenti di questa architettura a più livelli si trovano in una singola area. Le risorse in ciascun livello vengono isolate a livello di rete in subnet separate. Ogni subnet è regionale, pertanto le indisponibilità in un dominio di disponibilità non influenzano alcuna delle subnet.

Segue descrizione di hyperion-multi-ad.png
Descrizione dell'immagine hyperion-multi-ad.png

Componenti dell'architettura

Quando si usa il codice Terraform incluso in questa soluzione per distribuire l'architettura, vengono create le risorse di computazione, database, networking e storage seguenti.

  • Rete cloud virtuale (VCN) e subnet

    Puoi specificare il blocco CIDR e l'etichetta DNS per la VCN.

    Il codice Terraform calcola i blocchi CIDR per le subnet regionali necessarie per host di base, load balancer, livello Web, livello applicazione e risorse di database.

    Il codice esegue inoltre il provisioning dei gateway di rete, delle tabelle di instradamento e delle regole di sicurezza necessari. Le regole di sicurezza specifiche sono elencate più avanti in questo documento.

  • Host di base

    L'host di base è un'istanza di calcolo Oracle Linux che funge da punto di accesso sicuro e controllato rispetto alla topologia dall'esterno del cloud.

    L'host di base di questa architettura è collegato a una subnet pubblica e dispone di un indirizzo IP pubblico. Connessioni all'host di base dagli amministratori esterni al flusso cloud tramite il gateway Internet collegato alla VCN. Una regola di sicurezza in entrata è configurata per consentire le connessioni SSH all'host di base da Internet pubblico. Per fornire un livello di sicurezza aggiuntivo, è possibile limitare l'accesso SSH all'host di base solo da un blocco specifico di indirizzi IP.

    Puoi accedere alle istanze di computazione nelle subnet private tramite l'host di base. Abilitare l'inoltro ssh-agent, che consente di connettersi all'host di base, quindi accedere al server successivo inoltrando le credenziali dal computer locale.

    È inoltre possibile accedere alle istanze nelle subnet private utilizzando il tunneling SSH dinamico. Il tunnel dinamico fornisce un proxy SOCKS sulla porta locale, ma le connessioni provengono dall'host remoto.

  • Load balancer

    Viene eseguito il provisioning dei nodi primario e in standby del load balancer in domini di errore o di disponibilità distinti. Pertanto, l'alta disponibilità viene garantita per il livello del load balancer.

    Puoi eseguire il provisioning di un load balancer pubblico o privato.

    • Se si esegue il provisioning di un load balancer pubblico, le richieste HTTPS da utenti esterni, ad esempio utenti di Hyperion Financial Reporting Web Studio, fluiscono attraverso il gateway Internet al load balancer pubblico. È possibile utilizzare il servizio Oracle Cloud Infrastructure Web Application Firewall per proteggere le applicazioni da traffico Internet non autorizzato o indesiderato.

      È possibile configurare il load balancer per interrompere SSL/TLS e distribuire le richieste HTTP al livello Web privato.

    • Se si esegue il provisioning di un load balancer privato, il traffico dai tuoi utenti interni e on premise avviene attraverso i tunnel IPSec VPN o i circuiti virtuali FastConnect al gateway di instradamento dinamico (DRG) collegato alla rete VCN. Un load balancer privato intercetta le richieste e le distribuisce al livello Web privato.

    Nota:

    Per garantire la risoluzione dei domini degli endpoint dell'applicazione, è necessario registrare l'indirizzo IP del load balancer pubblico o privato nel DNS pubblico o in locale.
  • Livello Web

    Il livello Web è ospitato in istanze di computazione Microsoft Windows Server collegate a una subnet privata. Le istanze vengono distribuite in domini di errore o di disponibilità separati, garantendo l'elevata disponibilità del livello Web.

    Puoi specificare il numero di istanze di computazione da creare per il livello Web, la forma di computazione da usare, il numero della porta di ascolto e gli attributi di dimensione e prestazioni dei volumi a blocchi.

  • Livello applicazione
    Il livello applicazione include le istanze di calcolo di Microsoft Windows Server in cui è possibile distribuire le seguenti applicazioni Oracle Enterprise Performance Management.

    Nota:

    Per ogni applicazione si specifica il numero di istanze di computazione da creare, la forma di computazione da usare, il numero della porta di ascolto e gli attributi di dimensione e prestazioni dei volumi a blocchi.
    • Oracle Hyperion Foundation Services

      Componenti comuni dell'infrastruttura che consentono di installare e configurare tutti i moduli del sistema Enterprise Performance Management e di gestire utenti, sicurezza, metadati e ciclo di vita delle applicazioni.

      Foundation Services è necessario indipendentemente dal fatto che si desideri distribuire Hyperion Financial Management, Hyperion Planning o entrambi.

    • (Facoltativo) Oracle Hyperion Financial Management (HFM)

      Server di elaborazione analitico in linea multidimensionale in RDBMS che fornisce un ambiente per applicazioni di consolidamento basato su Web, fondo imposte e tasse, QMR, JSK.

      L'applicazione abilita il consolidamento finanziario globale, il reporting e l'analisi in una singola soluzione software estremamente scalabile.

    • (Opzionale) Oracle Hyperion Tax Provision (HTP)

      Soluzione avanzata per il fondo imposte e tasse a livello globale per il reporting di società multinazionali con US GAAP o IFRS.

      L'applicazione include tutte le fasi del processo di Tax Provision aziendale, incluse l'automazione delle imposte, la raccolta dati, il calcolo del fondo imposte e tasse, l'automazione del reso agli accantonamenti e il reporting e l'analisi delle imposte. L'applicazione viene creata utilizzando Oracle Hyperion Financial Management e sfrutta tutte le funzionalità fornite da Financial Management.

    • (Facoltativo) Oracle Hyperion Planning

      Soluzione centralizzata, basata su Excel e basata su Web per la pianificazione, la definizione dei budget e la previsione che integra i processi di pianificazione finanziaria e operativa e migliora la prevedibilità aziendale.

    • (Facoltativo) Oracle Essbase

      Server OLAP (Online Analytical Processing) che fornisce un ambiente per la distribuzione di applicazioni predefinite o per lo sviluppo di applicazioni personalizzate.

    • (Facoltativo) Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)

      Soluzione preparata che consente agli utenti finanziari di sviluppare processi di gestione dei dati finanziari standardizzati utilizzando un workflow guidato basato sul Web.

    • (Facoltativo) Oracle Hyperion Strategic Finance

      Soluzione di modellazione e previsione finanziaria con funzionalità di analisi e modellazione di scenari in tempo reale che consente di modellare e valutare rapidamente gli scenari finanziari e offre funzionalità esterne ai titoli propri per una gestione all'avanguardia dei debiti e della struttura capitale.

    • (Facoltativo) Oracle Hyperion Profitability and Cost Management

      Un'applicazione che fornisce informazioni approfondite da cui è possibile intraprendere azioni mediante la ricerca automatica di driver di costi e redditività, consente agli utenti di dare visibilità e flessibilità e di migliorare l'allineamento delle risorse.

    Le istanze di computazione per ogni applicazione vengono distribuite domini di errore o domini di disponibilità distinti. Pertanto, tutti i componenti del livello applicazione sono altamente disponibili.

    Tutte le istanze di computazione nel livello applicazione sono collegate a una subnet privata. Pertanto, le applicazioni vengono isolate a livello di rete da tutte le altre risorse della topologia e pertanto vengono scuse dall'accesso non autorizzato alla rete.
    • Il gateway NAT consente alle istanze di calcolo private nel livello applicazione di accedere agli host esterni al cloud (ad esempio, per scaricare le patch dell'applicazione o le integrazioni esterne). Attraverso il gateway NAT, le istanze di calcolo nella subnet privata possono avviare connessioni a Internet e ricevere risposte, ma non riceveranno connessioni in entrata avviate dagli host su Internet.
    • Il gateway di servizi consente alle istanze di calcolo Oracle Linux private nel livello applicazione di accedere a un server Yum nell'area per ottenere aggiornamenti del sistema operativo e package aggiuntivi.
    • Il gateway del servizio consente inoltre di eseguire il backup delle applicazioni nello storage degli oggetti Oracle Cloud Infrastructure all'interno dell'area, senza utilizzare la rete Internet pubblica.
  • Livello database

    Il livello database contiene istanze di Oracle Cloud Infrastructure Database. Per una disponibilità elevata, usare i sistemi DB VM (Virtual Machine) 2-node o Exadata DB.

    È possibile scegliere di eseguire il provisioning di database distinti per Oracle Hyperion Foundation Services e per le applicazioni.

    Per ogni database si specifica l'edizione, la versione, il modello di licenza, il numero di nodi, i nomi CDB e PDB, la forma, la dimensione e il set di caratteri.

    • Se si sceglie l'architettura Single AD, i nodi del database vengono distribuiti in domini di errore separati, assicurando che ogni cluster del database sia tollerato a errori a livello di dominio di errore.
    • Se si sceglie l'architettura multi-AD, viene eseguito il provisioning dei database primario e in standby in domini di disponibilità distinti, garantendo che i database siano tollerati agli errori a livello di dominio disponibile. Oracle Data Guard in modalità sincrona garantisce che il database in standby sia una copia coerente a livello di transazione del database primario.

    Tutti i nodi di database sono collegati a una subnet privata. Pertanto, i database vengono isolati a livello di rete da tutte le altre risorse della topologia e vengono visualizzati come schermati dall'accesso non autorizzato alla rete.

    Il gateway del servizio consente di eseguire il backup dei database nello storage degli oggetti Oracle Cloud Infrastructure all'interno dell'area senza scorrere la rete Internet pubblica.

  • Storage di file

    I componenti del livello applicazione hanno accesso a Oracle Cloud Infrastructure File Storage condiviso per la memorizzazione dei file binari condivisi e dei dati generati dalle applicazioni. Specificare il percorso di accesso e il limite della dimensione per il file system.

Regole di sicurezza

Il codice Terraform crea una lista di sicurezza distinta per ogni subnet.

Ogni lista di sicurezza contiene una o più regole di sicurezza con conservazione dello stato, in base ai requisiti del flusso di traffico delle risorse presenti nella subnet.

  • Lista di sicurezza per l'host di base
    Tipo di regola sicurezza Origine o destinazione Porta
    Uscita VCN 3389
    Uscita VCN 22
    Ingress 0.0.0.0/0 22
  • Lista di sicurezza per il load balancer
    Tipo di regola sicurezza Origine o destinazione Porta/e
    Uscita 0.0.0.0/0 All
    Ingress 0.0.0.0/0 Le porte di ascolto specificate per il load balancer
  • Lista di sicurezza per i Web server
    Tipo di regola sicurezza Origine o destinazione Porta/e
    Uscita 0.0.0.0/0 All
    Ingress VCN Le porte di ascolto specificate per il livello Web.
  • Lista di sicurezza per i database
    Tipo di regola sicurezza Origine o destinazione Porta/e
    Uscita 0.0.0.0/0 TCP: tutti
    Ingress VCN TCP: 22
    Ingress VCN TCP: 1521
  • Lista di sicurezza per gli Application Server

    Questa lista di sicurezza contiene le regole di sicurezza riportate di seguito.

    • Regola di uscita per consentire l'associazione di tutto il traffico TCP per qualsiasi host all'esterno della subnet.
    • Regola di entrata per consentire il traffico TCP da qualsiasi host nella VCN alla porta RDP 3389.
    • Regole di entrata per consentire il traffico TCP da qualsiasi host nella rete VCN alle seguenti porte:
      Applicazione Porta/e
      Oracle Hyperion Foundation Services: server WebLogic 7001, 9000
      Oracle Hyperion Foundation Services: server dimensioni 5251, 5255
      Oracle Hyperion Foundation Services: agente di Reporting and Analysis Framework 6860, 6861
      Server Oracle Hyperion Planning: server WebLogic 7001
      Server Oracle Hyperion Planning: applicazione Web Java 8300
      Server Oracle Hyperion Planning: RMI 11333
      Server Oracle Essbase: Agente 1423
      Server Oracle Essbase: applicazioni 32768- 33768
      Server Oracle Essbase: porte OPMN 6711, 6712
      Oracle Hyperion Financial Management: server WebLogic 7001, 7363
      Oracle Hyperion Financial Management: server 9091
      server Oracle Hyperion Tax Provision 22200
      server Oracle Hyperion Profitability and Cost Management 6756
      server Oracle Hyperion Strategic Finance 8900
      server Oracle Hyperion Financial Data Quality Management, Enterprise Edition 6550
  • Regole di sicurezza per Oracle Cloud Infrastructure File Storage
    • Regola di entrata per consentire il traffico TCP da qualsiasi host nella VCN alle porte 111 e 2048- 2050
    • Regola di entrata per consentire il traffico UDP da qualsiasi host nella VCN alle porte 111 e 2048
    • Regola di uscita per consentire il traffico TCP dalle porte 111 e 2048- 2050 a qualsiasi host nella VCN
    • Regola di uscita che consente il traffico UDP dalla porta 111 a qualsiasi host nella VCN

Servizi e autorizzazioni richiesti

Per questa soluzione sono necessari i seguenti servizi:
  • Oracle Cloud Infrastructure Compute
  • Oracle Cloud Infrastructure Database
  • Oracle Cloud Infrastructure Networking
  • Bilanciamento del carico di Oracle Cloud Infrastructure
  • (Facoltativo) Oracle Cloud Infrastructure FastConnect
  • Oracle Cloud Infrastructure Identity and Access Management
  • Storage degli oggetti Oracle Cloud Infrastructure
  • Oracle Cloud Infrastructure File Storage
  • Oracle Cloud Infrastructure Block Volumes
Chiedere all'amministratore della tenancy di creare un criterio Oracle Cloud Infrastructure Identity and Access Management che includa le seguenti autorizzazioni:
Allow group your.group to manage instance-family in compartment your.compartment
Allow group your.group to manage virtual-network-family in compartment your.compartment
Allow group your.group to manage database-family in compartment your.compartment
Allow group your.group to manage object-family in compartment your.compartment
Allow group your.group to manage volume-family in compartment your.compartment
Allow group your.group to manage load-balancers in compartment your.compartment
Allow group your.group to read compartments in compartment your.compartment
Allow group your.group to manage file-family in compartment your.compartment
Allow group your.group to read all-resources in tenancy
  • Sostituire your.group con il nome del gruppo al quale appartiene l'utente che esegue il provisioning delle risorse dell'infrastruttura.
  • Sostituire your.compartment con l'OCID del compartimento in cui si desidera eseguire il provisioning dell'infrastruttura.