1. Distribuire una landing zone per Oracle E-Business Suite e Cloud Manager
  2. Informazioni sulla distribuzione degli stack Terraform per E-Business Suite e Cloud Manager

Informazioni sulla distribuzione degli stack Terraform per E-Business Suite e Cloud Manager

Distribuire questi stack nell'ordine specificato. Tuttavia, sono sufficientemente modulari da poter selezionare e scegliere gli stack da utilizzare purché siano già state create risorse in grado di soddisfare i requisiti di E-Business Suite.

Questi stack sono disponibili in Oracle Cloud Marketplace. Sarai indirizzato a Oracle Cloud Infrastructure Resource Manager per distribuire questi stack. OCI Resource Manager è un motore Terraform nativo in OCI, che fornisce un'interfaccia grafica per creare, eseguire e gestire Terraform.

Informazioni sulla distribuzione dello stack IAM

Questo stack Terraform crea le risorse di identità necessarie per EBS. Crea compartimenti per il carico di lavoro relativo a sicurezza, rete, EBS, Cloud Manager e ogni categoria di ambiente EBS. Ogni compartimento viene fornito con almeno un gruppo e un criterio per agevolare il semplice controllo dell'accesso basato sui ruoli (RBAC, Role-Based Access Control). È necessario aggiungere manualmente gli utenti a questi gruppi o mapparli da un provider di identità federato.

Eseguire questo stack se si desidera distribuire EBS a una nuova tenancy. Se si esegue la distribuzione in una tenancy esistente con una struttura IAM sufficiente, non è necessario distribuire questo stack.

Immettere le variabili riportate di seguito durante l'esecuzione dello stack IAM.

  • IAM e gruppi di amministratori delle credenziali: utilizzare i valori predefiniti. Crea due gruppi estesa della tenancy. Uno dispone delle autorizzazioni per gestire le credenziali di altri utenti e l'altro dispone delle autorizzazioni per la maggior parte delle altre azioni Identity.
  • Crea criterio generale: utilizzare i valori predefiniti. Crea le autorizzazioni affinché qualsiasi utente ispezioni e legga determinate risorse nella tenancy. Obbligatorio per eseguire lo stack di EBS Cloud Manager senza autorizzazioni di amministratore.
  • Prefisso zona di destinazione: uguale per ogni stack EBS e per qualsiasi altra applicazione distribuita all'interno di questa zona di destinazione.
  • Compartimento padre: può essere il compartimento radice o un altro compartimento esistente nella tenancy.
  • Prefisso del carico di lavoro EBS: rimane invariato per ogni stack EBS.
  • Categorie di ambiente di carichi di lavoro EBS: elencare ogni categoria (o set) degli ambienti EBS che si prevede di creare. È possibile digitare i nomi delle categorie direttamente nella casella del prompt, quindi selezionare Aggiungi dal menu a discesa per aggiungerli all'elenco.
  • Opzioni avanzate: è possibile personalizzare i nomi dei compartimenti di rete e sicurezza oppure utilizzare un compartimento esistente anziché crearne uno nuovo. È inoltre possibile personalizzare il vault, le chiavi e i segreti.

Nota:

Se si desidera utilizzare un vault o una chiave esistente, è necessario specificare il compartimento in cui si trova come compartimento di sicurezza esistente.

Informazioni sulla configurazione manuale dell'identità

Alcune azioni Identity non sono possibili in Terraform e Oracle sconsiglia di gestire altre azioni tramite Terraform per motivi di sicurezza.

Un amministratore della tenancy o un amministratore IAM può configurare manualmente queste risorse nella console. Procedere come segue:

  1. Creare gli account utente necessari.
  2. Mappare gli account utente ai gruppi IAM appropriati.

Creare gli account utente

In OCI è possibile creare tipi di account diversi. Se si dispone già di un provider di identità conforme a SAML 2.0, è possibile federare tale provider con la tenancy OCI. Successivamente, puoi mappare i gruppi federati esterni direttamente ai gruppi IAM OCI. Se non si dispone già di un provider di identità esterno, è possibile creare utenti direttamente nel dominio di Identity predefinito OCI o in un nuovo dominio di Identity. Tuttavia, hai bisogno di utenti IAM diretti per gli utenti nel dominio di Identity predefinito per garantire il corretto funzionamento delle autorizzazioni utente di EBS Cloud Manager all'interno dell'applicazione EBS Cloud Manager.

Mappa utenti a gruppi IAM

È necessario determinare gli utenti responsabili dei tipi di risorsa OCI. Può esistere un solo utente responsabile di più tipi di risorse oppure più utenti responsabili di un singolo tipo di risorsa. Un amministratore della tenancy deve prima aggiungere gli amministratori IAM ai propri gruppi. Gli amministratori IAM possono quindi aggiungere il resto degli utenti ai rispettivi gruppi. Devono creare account per qualsiasi utente che non dispone di un account e aggiungere gli utenti ai gruppi pertinenti.

L'elenco seguente mappa gli utenti ai rispettivi gruppi:

  • Mappare gli utenti IAM ai gruppi Utenti di rete, Utenti di sicurezza e Amministratore applicazione/Amministratore IDCS.
  • Mappare gli utenti di sicurezza ai gruppi di amministratori di sicurezza e utenti di rete.
  • Mappare gli utenti di rete ai gruppi Amministratori di rete e Utenti di sicurezza.
  • Mappare ogni categoria di ambiente EBS (incluso l'utente di Cloud Manager) ai gruppi Utenti di rete e Utenti di sicurezza, ai gruppi di amministrazione dell'ambiente EBS che gestiscono, nonché al gruppo di amministrazione CM EBS.

    Nota:

    Un utente deve essere un utente IAM OCI diretto e non un utente federato.

Informazioni sulla distribuzione dello stack di rete

Questo stack Terraform crea una VCN e le subnet pubbliche e private necessarie per EBS Cloud Manager. Devi eseguire una copia di questo stack per ogni categoria di ambiente EBS definita nello stack IAM.

Immettere le variabili riportate di seguito durante l'esecuzione dello stack di rete.

  • Compartimento di sicurezza: trovare il compartimento di sicurezza creato/utilizzato nello stack IAM dalla lista prepopolata o fornire il relativo OCID. Questa variabile consente allo stack di trovare automaticamente tutte le informazioni richieste dagli stack precedenti memorizzati come segreti.
  • Segreto identità carico di lavoro: selezionare il segreto corrispondente al carico di lavoro generale EBS nel formato nome: identity-"lz prefix"-"workload prefix".
  • Prefisso del carico di lavoro EBS: rimane invariato per ogni stack EBS.
  • Opzioni avanzate: consente di personalizzare ulteriormente i segreti consumati e creati.
  • Crea VCN: puoi creare una nuova VCN o usare una VCN esistente. Per le distribuzioni successive delle categorie di ambiente di rete EBS, è necessario selezionare la VCN esistente creata o utilizzata nella distribuzione iniziale.
    • True
      • CIDR VCN: specificare l'intervallo di blocchi CIDR da usare per la VCN.
    • Falso
      • Compartimento di rete: specificare il compartimento in cui risiede la VCN.
      • VCN esistente: trovare la VCN esistente nell'elenco prepopolato oppure fornire la OCID corrispondente.
  • Segreto identità categoria ambiente: selezionare il segreto corrispondente alla categoria di ambiente del carico di lavoro EBS specifica nel formato nome: identity-"lz prefix"-"workload prefix"-"environment name".

    Nota:

    Se è necessaria una rete per categorie di ambiente aggiuntive, è necessario distribuire un'altra copia dello stack di rete.

La tabella riportata di seguito elenca le variabili di creazione della subnet, il gateway di accesso alla configurazione della subnet, le variabili CIDR e quando utilizzarle.

Variabile di creazione subnet Quando utilizzarlo? Configurazione della subnet e accesso al gateway Variabili CIDR*
Create Cloud Manager subnets or Select existing Cloud Manager subnet Creare le subnet una volta nel primo stack di ambiente di rete creato. Negli ambienti successivi, selezionare la subnet Cloud Manager esistente creata dal primo stack. Subnet private con accesso al gateway NAT.

Nota:

Se lo desideri, puoi rendere pubblica la subnet del load balancer, che utilizzerà quindi la subnet pubblica con accesso a un gateway Internet. Questo non è il processo consigliato.
  • Cloud Manager Load Balancer subnet CIDR
  • Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database) Configurazione e accesso gateway di ogni subnet della categoria di ambiente EBS Subnet private con accesso al gateway NAT
  • Application tier subnet CIDR
  • Database tier subnet CIDR
Create default Load balancer tier subnet Utilizzare per impostazione predefinita per fornire l'accesso a EBS su reti private Subnet private con accesso al gateway NAT Load balancer subnet CIDR
Create external load balancer and application tier subnets Solo nelle categorie di ambiente EBS che devono fornire l'accesso utente su Internet

Subnet LB pubblica con accesso a Internet.

Subnet dell'applicazione privata con accesso al gateway NAT.
  • External Load Balancer subnet CIDR
  • External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet Utilizzare solo se l'implementazione EBS utilizza lo storage di file condiviso. Crearlo una volta nel primo stack dell'ambiente di rete. Negli stack successivi, selezionare la subnet esistente creata nel primo stack. Subnet private con accesso al gateway NAT File Storage subnet CIDR
Create Bastion subnet Una volta creato il primo stack di ambienti di rete Quando la variabile Use Bastion Service è true, la subnet è privata. In caso contrario, è pubblica con l'accesso al gateway Internet. Bastion Subnet CIDR
Additional ebs subnets Durante la creazione di nuove subnet di Cloud Manager o di storage di file, specificare eventuali subnet EBS aggiuntive nella VCN corrente già presente o che si prevede di creare in stack diversi. Aggiunge regole di instradamento aggiuntive alle subnet di Cloud Manager e Storage di file
  • Additional application tier subnet CIDRs
  • Additional database tier subnet CIDRs

Nota:

Il bilanciamento del carico privato o predefinito è la propria opzione.

Note a piè di pagina

* Specificare un intervallo di blocchi CIDR univoco per ogni subnet che rientra nell'intervallo CIDR VCN e non è in conflitto con l'intervallo CIDR di altre subnet.

Usa servizio bastion

Se si desidera, è possibile utilizzare il servizio Bastion.

  • True: esegue il provisioning della subnet come privata insieme al servizio Bastion.
    • Lista di inclusione limiti: lista di intervalli IP esterni nella notazione CIDR che possono stabilire connessioni SSH in entrata.
    • Limite TTL frazioni: il tempo massimo consentito affinché una connessione SSH rimanga attiva, misurato in secondi. I valori consentiti sono compresi tra 30 minuti (1800 secondi) e 3 ore (10800 secondi).
  • False: esegue il provisioning della subnet come pubblica, ma non esegue il provisioning di una virtual machine Bastion tradizionale.

Informazioni sulla distribuzione dello stack di Cloud Manager

Questo stack Terraform crea la VM e il load balancer di Cloud Manager (CM), nonché il bootstrap dell'applicazione CM.

Decisioni di progettazione globali

Dovrai prendere decisioni e inserire diverse variabili durante l'esecuzione dello stack IAM.

  • Environment category identity secret: selezionare il segreto corrispondente alla categoria di ambiente specifica del carico di lavoro EBS nel formato nome: identity-"lz prefix"-"workload prefix"-"environment name". L'ambiente selezionato verrà utilizzato per creare il profilo di rete predefinito.
  • Security compartment: trovare il compartimento di sicurezza creato o utilizzato nello stack IAM dall'elenco prepopolato o fornire il relativo elemento OCID. Questa variabile consente allo stack di trovare automaticamente tutte le informazioni richieste dagli stack precedenti memorizzati come segreti.
  • Advanced options: consente di personalizzare ulteriormente i segreti consumati e creati.

Configurazione di DNS e certificati

I certificati DNS e DNS sono consigliati, ma facoltativi.

  • Cloud Manager CA cert (optional): fornire la catena di autorità di certificazione firmata utilizzata per generare il certificato Cloud Manager come file.
  • Cloud Manager key cert: fornire il file del certificato della chiave privata generato per l'uso per EBS Cloud Manager.
  • Cloud Manager Public cert: fornire la catena di certificati pubblica utilizzata per convalidare il certificato privato come file.

    Nota:

    Se non si fornisce il certificato della chiave privata, verrà generato un certificato utilizzando openSSL e hostname forniti.
  • Server host for EBS Cloud Manager login URL: immettere un valore hostname per il portale Web EBS Cloud Manager. Il formato di input deve essere myebscm.example.com e corrispondere alla voce DNS, al certificato firmato e all'applicazione riservata. L'URL di login di EBS Cloud Manager sarà https://myebscm.example.com:443.
    • Certificato CA CM
    • Certificato chiave CM
    • Certificato pubblico CM

Creare un'applicazione riservata

Un amministratore dell'applicazione deve prima registrare EBS CM come applicazione riservata utilizzando la console OCI per gestire E-Business Suite utilizzando Cloud Manager. In questo modo gli utenti possono autenticare e autorizzare l'accesso a Cloud Manager utilizzando il proprio account OCI.

Prima di creare l'applicazione riservata, è necessario conoscere il file URL che si prevede di utilizzare per EBS Cloud Manager. Questo URL deve corrispondere a hostname nel record DNS e nel certificato firmato.

È necessario utilizzare client ID e secret forniti quando si esegue lo stack di Cloud Manager.

Configurazione dominio IDCS o Identity

  • ID client IDCS: ID dell'applicazione riservata per EBS Cloud Manager registrata durante la configurazione dell'identità.
  • Segreto client IDCS: segreto dell'applicazione riservata per EBS Cloud Manager registrato durante la configurazione dell'identità.
  • Tenant client IDCS: ID del tenant IDCS o del dominio di Identity. Può essere visualizzato come parte dell'URL nella barra degli indirizzi del browser dopo // e prima di identity.oraclecloud.com. Inizia con i caratteri idcs-, seguiti da una stringa di numeri e lettere nel formato idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

Amministratore CM EBS

  • OCID utente amministratore di Cloud Manager: per impostazione predefinita, questo stack utilizzerà l'account dell'utente che esegue questo stack come amministratore iniziale di Cloud Manager. Facoltativamente, è possibile impostare un altro utente come amministratore iniziale specificando qui il relativo OCID. Questo account amministratore deve essere un utente IAM non federato locale.
  • Chiave API privata dell'utente amministratore Cloud Manager: per impostazione predefinita, viene creata una nuova chiave API associata all'account di amministrazione Cloud Manager scelto. Facoltativamente, è possibile immettere una chiave API privata già associata.

Virtual machine Cloud Manager

  • Forma di EBS Cloud Manager: selezionare una forma dalla lista per la VM di EBS Cloud Manager. Oracle consiglia le forme Standard2.x e Standard.E2.x.
  • Chiave SSH: chiave SSH pubblica utilizzata per accedere a Cloud Manager utilizzando CLI.
  • Dominio di disponibilità di EBS Cloud Manager: selezionare il dominio di disponibilità dall'elenco.
  • Password CM: la password per l'amministratore CM EBS.

Nota:

La password deve contenere almeno 8 caratteri, una lettera maiuscola, una lettera minuscola, un numero, un carattere speciale (#?!@$%^&*-). La password viene utilizzata dall'amministratore di EBS Cloud Manager per connettersi all'istanza di Cloud Manager, quindi eseguire gli script successivi. La password predefinita iniziale è WElcome##12345. Oracle consiglia di modificare la password con un valore che soddisfi i requisiti di password elencati in questa nota.