1. Oracle Cloud InfrastructureでのOracle E-Business Suiteのデプロイについて学ぶ
  2. Oracle E-Business Suiteトポロジの理解

Oracle E-Business Suiteトポロジの理解

Oracle E-Business Suiteデプロイメントの様々な層について学習します。

始める前に

Oracle E-Business Suiteアプリケーションのデプロイまたは移行を計画する前に、デプロイするOracle E-Business SuiteアプリケーションのバージョンがOracle Cloud Infrastructureでサポートされているかどうかを確認します。Oracle Cloud Infrastructureは、Oracle E-Business Suiteリリース12.2および12.1.3をサポートしています。

論理ホスト名について

Oracleでは、Oracle E-Business Suiteデータベース層およびアプリケーション層を設定する際に、物理ホスト名ではなく論理ホスト名を使用することをお薦めします。論理ホスト名を使用する利点は次のとおりです。

  • クローニングおよび再構成を実行せずに、データベース層およびアプリケーション層を他のマシンまたはデータ・センターに移動する機能を提供します。

  • アクティブ・サイトとスタンバイ・サイトで同じホスト名を使用して、高可用性のためにフェイルオーバーに必要な再構成の量を減らします。

  • ホスト名の変更など、ネットワーク構成の変更によるデータベース層およびアプリケーション層のリワイヤリングまたは再クローニングは避けてください。

要塞ホストについて

要塞ホストは、データベースおよびアプリケーション・サーバーの管理インタフェースを外部アクセスから保護するためにファイアウォール・ポリシーとともに使用できるオプションのコンポーネントです。要塞ホストは、オペレーティング・システムとしてLinuxまたはWindowsを使用するOracle Cloud Infrastructure Computeインスタンスです。

要塞ホストをパブリック・サブネットに配置し、インターネットからアクセスするためのパブリックIPアドレスを割り当てます。

追加のセキュリティ・レベルを提供するために、オンプレミス・ネットワークのパブリックIPアドレスからのみ要塞ホストにアクセスするようにセキュリティ・リストを設定できます。プライベート・サブネットのOracle Cloud Infrastructureインスタンスには、要塞ホストを介してアクセスできます。これを行うには、ssh - agent転送を有効にします。これにより、bastionホストに接続し、コンピュータから資格証明を転送して次のサーバーにアクセスできます。動的SSHトンネリングを使用して、プライベート・サブネット内のインスタンスにアクセスすることもできます。SSHトンネリングは、Webアプリケーションまたはその他のリスニング・サービスにアクセスする方法です。動的トンネルはローカルポート上でSOCKSプロキシを提供しますが、接続はリモートホストから発信されます。

ロード・バランサ層について

Oracle Cloud Infrastructure Load Balancingを使用して、VCN内の可用性ドメイン間でトラフィックをアプリケーション・インスタンスに分散します。このサービスは、プライマリ・ロード・バランサが停止した場合に、スタンバイ・ロード・バランサがリクエストを転送するように、ロード・バランサのプライマリおよびスタンバイ・インスタンスを提供します。ロード・バランサは、リクエストが正常なアプリケーション・インスタンスにルーティングされるようにします。アプリケーション・インスタンスに問題がある場合、ロード・バランサはそのインスタンスを削除し、残りの正常なアプリケーション・インスタンスへのリクエストのルーティングを開始します。

要件に基づいて、ロード・バランサをパブリックまたはプライベート・サブネットに配置できます。

  • インターネットからアクセスできない内部エンドポイントの場合は、プライベート・ロード・バランサを使用します。プライベート・ロード・バランサにはプライベートIPアドレスがあり、インターネットからはアクセスできません。ロード・バランサのプライマリ・インスタンスとスタンバイ・インスタンスの両方が同じプライベート・サブネットに存在します。VCNまたはデータ・センターのプライベート・ロード・バランサには、DRGを介してIPSec VPN経由でアクセスできます。プライベート・ロード・バランサは、データ・センターからのトラフィックを受け入れ、そのトラフィックを基礎となるアプリケーション・インスタンスに分散します。

  • インターネットに面したエンドポイントの場合は、パブリック・ロード・バランサを使用します。パブリック・ロード・バランサにはパブリックIPアドレスがあり、インターネットからアクセスできます。パブリック・ロード・バランサには、インターネット・ゲートウェイを介してインターネットからアクセスできます。

  • 内部エンドポイントおよびインターネットに面したエンドポイントにアクセスするには、プライベート・ロード・バランサおよびパブリック・ロード・バランサを設定します。プライベート・ロード・バランサを設定して内部トラフィックを処理し、パブリック・ロード・バランサを設定してインターネットからのトラフィックを処理します。

アプリケーション・エンドポイントのドメイン解決のために、オンプレミスまたはパブリック・ドメイン・ネーム・サーバー(DNS)にOracle Cloud Infrastructure Load BalancingインスタンスのパブリックまたはプライベートIPアドレスを登録します。

アプリケーション層について

アプリケーション層は、ロード・バランサおよびデータベース・インスタンスのサブネットとは別のサブネットにあります。可用性ドメインのアプリケーション・インスタンスが高可用性になるように、可用性ドメインに少なくとも2つのアプリケーション・インスタンスをデプロイする必要があります。

Oracle E-Business Suiteデータベースで動作する複数のアプリケーション層ノードを使用してOracle E-Business Suiteをデプロイできます。Oracleでは、共有アプリケーション・バイナリを使用してOracle E-Business Suite複数層設定をデプロイすることをお薦めします。共有アプリケーション層ファイル・システムを使用する場合、Oracle E-Business Suiteアプリケーション層ファイル・システムはマルチノード環境の各ノードと共有されます。Oracle Cloud Infrastructure File Storageを使用して、複数のアプリケーション・ホスト間でOracle E-Business Suiteアプリケーション・バイナリを共有および同期するための共有ファイル・システムを作成します。複数のアプリケーション・ホストに共有ファイル・システムを使用すると、ディスク領域要件が軽減され、環境内の各アプリケーション・ホストにパッチを適用する必要がなくなります。

トラフィックは、セキュリティ・ルールで定義した特定のポートを介してロード・バランサからアプリケーション・インスタンスに流れます。ポート8000を介したロード・バランサおよびポート22を介した要塞ホストからのトラフィックのみを許可するようにセキュリティ・ルールを設定します。

Oracle Cloud Infrastructure Block Volumesのポリシー・ベースのバックアップ機能を使用して、Oracle E-Business Suiteアプリケーション・インスタンスをバックアップできます。

データベース層について

Oracle Cloud Infrastructureには、Oracle Databaseシステム(DBシステム)を設定するためのオプションがいくつか用意されています。DBシステムを別のサブネットに配置します。Oracleでは、Oracle Cloud Infrastructureのデータベース・サービスをプライベート・サブネットに作成することをお薦めします。セキュリティ・リストを使用して、要塞ホスト、アプリケーション・サーバーおよびオンプレミス・サーバーからデータベース・サーバーへのアクセスのみを制限します。

データベースは、単一ノードのOracle Compute仮想マシン、単一ノードの仮想マシンDBシステム、2ノードのOracle Real Application Clusters (RAC)仮想マシンDBシステムまたはOracle Exadata DBシステムを使用してデプロイできます。可用性ドメイン内で高可用性を実現するために、Oracleでは、2ノードの仮想マシンDBシステムまたはOracle Exadata DBシステムを使用することをお薦めします。2ノード仮想マシンDBシステムまたはOracle Exadata DBシステムのいずれかがOracle RACを利用し、高可用性のために2ノード・クラスタをデプロイします。いずれの場合も、可用性ドメイン内のデータベースの両方のインスタンスがアクティブです。アプリケーション層から受信したリクエストは、データベース・インスタンス間でロード・バランシングされます。一方のデータベース・インスタンスが停止している場合でも、もう一方のデータベース・インスタンスはリクエストを処理します。

データベース層では、ポート22、要塞ホストおよびポート1521を介してのみアプリケーション・サーバーを介して通信が行われるようにセキュリティ・リストを設定することをお薦めします。Oracle Cloud Infrastructure Object Storageを使用すると、Oracle Recovery Manager (RMAN)を使用してOracle E-Business Suiteデータベースをバックアップできます。

高可用性のためにOracle E-Business Suiteを複数の可用性ドメインにデプロイする場合は、Oracle Data GuardまたはOracle Active Data Guardを同期モードで設定して、データベースの変更を2つの可用性ドメインのデータベース間でレプリケートする必要があります。

セキュリティ・リストについて

Oracle Cloud Infrastructureでは、ファイアウォール・ルールはセキュリティ・リストを介して構成されます。サブネットごとに個別のセキュリティ・リストが作成されます。

Oracleでは、各サブネットのインスタンスに適切なセキュリティ・リストが割り当てられるように、データベース、アプリケーション、ロード・バランサおよび要塞ホスト用に個別のサブネットを作成することをお薦めします。セキュリティ・リストを使用して、異なる層間および要塞ホストと外部ホスト間のトラフィックを許可します。セキュリティ・リストには、サブネット・レベルでトラフィックをフィルタするイングレス・ルールおよびエグレス・ルールが含まれます。また、データ転送が許可されている通信ポートに関する情報も含まれます。これらのポート(または場合によっては、セキュリティ・ルールでオープン・ポートを必要とするプロトコル)は、アーキテクチャ図の各セキュリティ・ルール行に表示されます。

各セキュリティ・リストは、インスタンス・レベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成すると、特定のサブネット内のすべてのインスタンスに同じルール・セットが適用されます。各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます。いずれかのリストのルールでトラフィックが許可されている場合(またはトラフィックが追跡されている既存の接続の一部である場合)、データ・パケットの転送が許可されます。セキュリティ・リストに加えて、iptablesを使用して、インスタンス・レベルで別のセキュリティ・レイヤーを実装します。

パブリック・サブネット内のデプロイメントの場合、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを禁止することで、追加のセキュリティ・レベルを提供できます。カスタム・セキュリティ・リストを使用して、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを防ぎ、管理目的で要塞ホストからポート22を介したデータベースおよびアプリケーション・ホストへのアクセスを許可します。インターネットからアプリケーションおよびデータベース・インスタンスへのSSHアクセスを有効にしないでくださいが、要塞ホストを含むサブネットからこれらのインスタンスへのSSHアクセスを許可できます。

プライベート・サブネットのインスタンスには、要塞サーバーを介してアクセスできます。

要塞ホストのセキュリティ・リスト

要塞セキュリティ・リストを使用すると、ポート22を介して公共のインターネットから要塞ホストにアクセスできます。

  • オンプレミス・ネットワークからインターネット経由の要塞ホストへのSSHトラフィックを許可するには:

    ステートフル・イングレス:ソースCIDR 0.0.0.0/0およびすべてのソース・ポートから宛先ポート22 (SSH)へのTCPトラフィックを許可します。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    ポート22上のインターネットを介して、パブリック・インターネット(0.0.0.0/0)ではなくデータ・センターからのみアクセスできるように要塞ホストを制限することもできます。これを実現するには、ステートフル・イングレス・ルールでソースCIDRのかわりにエッジ・ルーターIPを0.0.0.0/0として使用します。

  • 要塞ホストからOracle Cloud Infrastructure ComputeインスタンスへのSSHトラフィックを許可するには:

    ステートフル・エグレス:すべてのソース・ポートから宛先ポート22 (SSH)への宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

ロード・バランサ層のセキュリティ・リスト

アーキテクチャ図は、プライベート・サブネットに配置されるプライベート・ロード・バランサを示しています。ロード・バランサ・インスタンスをパブリック・サブネットに配置すると、インターネット(0.0.0.0/0)からロード・バランサ・インスタンスへのトラフィックが許可されます。

  • インターネットからロード・バランサへのトラフィックを許可するには:

    ステートフル・イングレス:ソースCIDR (インターネット) 0.0.0.0/0およびすべてのソース・ポートから宛先ポート8888 (HTTP)または443 (HTTPS)へのTCPトラフィックを許可します。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • オンプレミス・ネットワークからロード・バランサへのトラフィックを許可するには:

    ステートフル・イングレス:オンプレミス・ネットワークCIDRブロックおよびすべてのソース・ポートから宛先ポート8888 (HTTP)または443 (HTTPS)へのTCPトラフィックを許可します

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • ロード・バランサ層からアプリケーション層へのトラフィックを許可するには:

    ステートフル・エグレス:すべてのソース・ポートから宛先ポート8000 (HTTP)への宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

アプリケーション層のセキュリティ・リスト

アプリケーション層のセキュリティ・リストでは、ロード・バランサ層からアプリケーション層へのトラフィックが許可されます。

  • 要塞ホストからアプリケーション層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • ロード・バランサ層からアプリケーション層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • アプリケーション層のアプリケーション・インスタンス間でトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • アプリケーション層からデータベース層へのトラフィック、およびアプリケーション層のアプリケーション・インスタンス間のトラフィックを許可するには:

    ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

複数のアプリケーション層構成のアプリケーション層間の通信の場合(Oracle E-Business Suite EBS 12.2でのみ必要):

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

データベース層のセキュリティ・リスト

  • 要塞ホストからデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • アプリケーション層からデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • データベース層からアプリケーション層へのトラフィックを許可するには:

    ステートフル・エグレス: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Oracle Cloud Infrastructure Object Storageへのデータベースのバックアップのトラフィックを許可するには:

    ステートフル・エグレス:   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    複数の可用性ドメイン・アーキテクチャで、Oracle Active Data Guardの可用性ドメイン間のデータベース層間のトラフィックを許可するには:

    • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Oracle Database Exadata Cloud Serviceシステムのプロビジョニングには、次の追加ルールが必要です。

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All