アーキテクチャについて

始める前に

インフラストラクチャを構築する前に、アーキテクチャのオプションについて学習し、設計上の考慮事項を確認します。

すべてのアーキテクチャ・オプションと設計上の考慮事項の詳細は、「クラウドへのOracle Enterprise Performance Managementのデプロイ用のインフラストラクチャの設計」を参照してください。

このドキュメントでは、サポートされているHAアーキテクチャ(単一の可用性ドメインと複数の可用性ドメイン)の概要を示します。

HAアーキテクチャ:単一可用性ドメイン

このアーキテクチャでは、アプリケーションとデータベースは、単一の可用性ドメイン内の2つのフォルト・ドメインにデプロイされます。

トポロジのすべてのアプリケーション・インスタンスがアクティブです。アプリケーションの冗長インスタンスは、別のフォルト・ドメインでホストされています。そのため、インスタンスは同じ物理ハードウェア上でホストされません。このアーキテクチャにより、可用性ドメイン内で高可用性が保証されます。1つのフォルト・ドメインに影響するハードウェア障害またはメンテナンス・イベントは、他のフォルト・ドメインのインスタンスには影響しません。

インスタンスに障害が発生すると、トラフィックは可用性ドメイン内の他のインスタンスに変換され、引き続きリクエストは処理されます。失敗したインスタンスで処理されていた未完了タスクはすべて、ユーザーが再発行する必要があります。

この複数層アーキテクチャのすべてのコンポーネントは、単一のリージョンにあります。各層のリソースは、個別のサブネットでネットワーク・レベルで分離されます。

図hyperion-single ad.pngの説明

HAアーキテクチャ:複数の可用性ドメイン

このアーキテクチャでは、Web層、アプリケーション層およびデータベース層は、プライマリ(アクティブ)環境として指定された可用性ドメインにデプロイされます。冗長トポロジは、スタンバイ(非アクティブ)環境として同じリージョン内の別の可用性ドメインにデプロイされます。

このアーキテクチャ内のプライマリおよびスタンバイ環境は対称的です。つまり、両方の環境では、同一計算およびストレージ容量が提供されます。

プライマリ環境がアクティブな場合、ロード・バランサは、プライマリ・トポロジをホストする可用性ドメインにのみトラフィックをルーティングするように構成されています。
なんらかの理由でプライマリ環境が使用できない場合は、スタンバイ環境に切り替えて、ロード・バランサのバックエンド・セットを更新し、スタンバイ・トポロジをホストする可用性ドメインにトラフィックをルーティングできます。プライマリ環境が再度使用可能になったときに、それに戻り、ロード・バランサを適宜更新できます。
スイッチオーバーまたはスイッチバックの場合は、以前に実行した環境で未完了のタスクがすべて、ユーザーによって再発行される必要があります。

論理ホスト名は、データベースとアプリケーション・インスタンスに割り当てられます。スイッチオーバーまたはスイッチバック時のインスタンス再構成の必要性を減らすために、プライマリおよびスタンバイ環境でも同じ論理ホスト名が使用されます。

この複数層アーキテクチャのすべてのコンポーネントは、単一のリージョンにあります。各層のリソースは、個別のサブネットでネットワーク・レベルで分離されます。すべてのサブネットがリージョンであるため、可用性ドメインでの停止はサブネットのいずれにも影響しません。

図hyperion-multi-ad.pngの説明

アーキテクチャのコンポーネント

このソリューションに含まれるTerraformコードを使用してアーキテクチャをデプロイすると、次の計算、データベース、ネットワークおよび記憶域リソースが作成されます。

仮想クラウド・ネットワーク(VCN)およびサブネット
VCNのCIDRブロックとDNSラベルを指定します。

Terraformコードは、bastionホスト、ロード・バランサ、Web層、アプリケーション層およびデータベース・リソースに必要なリージョナル・サブネットのCIDRブロックを計算します。

また、このコードでは、必要なネットワーク・ゲートウェイ、ルート表およびセキュリティ・ルールもプロビジョニングされます。特定のセキュリティ・ルールが、このドキュメントの後半にリストされます。
基準ホスト
Bastionホストは、クラウドの外部からのトポロジに、セキュアで制御されたエントリ・ポイントとして機能するOracle Linuxコンピュート・インスタンスです。

このアーキテクチャのベース・ホストはパブリック・サブネットにアタッチされ、パブリックIPアドレスを持ちます。VCNに接続されたインターネット・ゲートウェイを介して、クラウド・フロー外部の管理者からベース・ホストに接続します。イングレス・セキュリティ・ルールは、パブリック・インターネットからベース・ホストへのSSH接続を許可するように構成されています。追加のセキュリティ・レベルを提供するために、特定のIPアドレス・ブロックからベース・ホストへのSSHアクセスのみを制限できます。

プライベート・サブネットのコンピュート・インスタンスには、ベース・ホストを介してアクセスできます。ssh-agent転送を有効にすると、ベース・ホストに接続し、ローカル・コンピュータから資格証明を転送することで次のサーバーにアクセスできます。

また、動的なSSHトンネリングを使用して、プライベート・サブネット内のインスタンスにアクセスできます。動的トンネルは、ローカルポート上のSOCKSプロキシを提供しますが、リモートホストからの接続です。
Load Balancer
ロード・バランサのプライマリ・ノードとスタンバイ・ノードは、別々のフォルト・ドメインまたは可用性ドメインでプロビジョニングされます。そのため、ロードバランサ層の高可用性が保証されます。

パブリックまたはプライベートのロード・バランサをプロビジョニングできます。
- パブリック・ロード・バランサをプロビジョニングする場合、Hyperion Financial Reporting Web Studioのユーザーなどの外部ユーザーからのHTTPSリクエストは、インターネット・ゲートウェイを経由してパブリック・ロード・バランサに送られます。Oracle Cloud Infrastructure Web Application Firewallサービスを使用すると、悪質なインターネット・トラフィックや望ましくないインターネット・トラフィックからアプリケーションを保護できます。
  ロード・バランサを構成して、SSL/TLSを終了し、HTTPリクエストをプライベートWeb層に配布することができます。
- プライベート・ロード・バランサをプロビジョニングすると、内部およびオンプレミス・ユーザーからのトラフィックがIPSec VPNトンネルを介して送られるか、FastConnect仮想回線がVCNにアタッチされている動的ルーティング・ゲートウェイ(DRG)に移動します。プライベート・ロード・バランサは、リクエストをインターセプトしてプライベートWeb層に配信します。
ノート:
アプリケーション・エンドポイントのドメイン解決を保証するには、パブリックまたはプライベートのロード・バランサのIPアドレスを、パブリックまたはオンプレミスのDNSに登録する必要があります。
Web層
Web層は、プライベート・サブネットにアタッチされているインスタンスをMicrosoft Windows Serverで計算するためにホストされます。インスタンスは、個別のフォルト・ドメインまたは可用性ドメインに分散され、Web層の高可用性が実現します。

Web層に対して作成されるコンピュート・インスタンスの数、使用するコンピュート・シェイプ、リスニング・ポート番号、およびブロック・ボリュームのサイズとパフォーマンス属性を指定します。
アプリケーション層
アプリケーション層には、次のOracle Enterprise Performance ManagementアプリケーションをデプロイできるMicrosoft Windowsサーバー計算インスタンスが含まれます。

ノート:
各アプリケーションで、作成する必要があるコンピュート・インスタンスの数、使用するコンピュート・シェイプ、リスニング・ポート番号、およびブロック・ボリュームのサイズとパフォーマンス属性を指定します。
- Oracle Hyperion Foundation Services
  Enterprise Performance Managementシステムのすべてのモジュールのインストールと構成、およびアプリケーションのユーザー、セキュリティ、メタデータおよびライフ・サイクルの管理を可能にする共通インフラストラクチャ・コンポーネント。
  
  Foundation Servicesは、Hyperion Financial ManagementまたはHyperion Planning (あるいはその両方)を配置するかどうかに関係なく必要です。
- (オプション)Oracle Hyperion Financial Management (HFM)
  Webベースの連結、税引当、QMR、JSKアプリケーションの環境を提供するRDBMS上の、多次元のオンライン分析処理サーバー。
  
  アプリケーションにより、スケーラブルな単一のソフトウェア・ソリューションで、グローバルな財務連結、レポートおよび分析を行うことができます。
- (オプション)Oracle Hyperion Tax Provision (HTP)
  US GAAPまたはIFRSでレポートされる多国籍会社に対する包括的なグローバル税引当ソリューション。
  
  アプリケーションには、税金自動化、データ収集、税引当計算、申告先経過勘定自動化、税金レポートおよび分析など、企業の税引当プロセスのすべてのステージが含まれます。アプリケーションは、Oracle Hyperion Financial Managementを使用して作成され、Financial Managementで提供されるすべての機能を利用します。
- (オプション)Oracle Hyperion Planning
  財務および業務のプランニング・プロセスを統合し、ビジネスの予測可能性を向上する、集中管理されたExcelベースおよびWebベースの計画、予算編成および予測ソリューション。
- (オプション)Oracle Essbase
  事前パッケージ済アプリケーションのデプロイやカスタム・アプリケーションの開発のための環境を提供する、オンライン分析処理(OLAP)サーバーです。
- (オプション)Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)
  Webベースのガイド付きワークフローを使用して、財務ユーザーが標準化された財務データ管理プロセスを開発する際に役立つパッケージ化されたソリューション。
- (オプション)Oracle Hyperion Strategic Finance
  オンザフライのシナリオ分析およびモデリング機能を備えた財務予測およびモデリングのソリューション。財務予測およびモデリングの機能により、財務シナリオを迅速にモデル化して評価したり、高度な債務および資本構造管理のための即時利用可能な機能を提供できます。
- (オプション)Oracle Hyperion Profitability and Cost Management
  実用的なインサイトを提供するアプリケーション。原価および収益性のドライバを検出し、可視性および柔軟性をユーザーに提供し、リソースの位置を改善します。
各アプリケーションのコンピュート・インスタンスは、分散ドメインまたは可用性ドメインです。そのため、アプリケーション層のすべてのコンポーネントの可用性が高くなります。
アプリケーション層のすべてのコンピュート・インスタンスは、プライベート・サブネットにアタッチされます。そのため、アプリケーションはネットワーク・レベルでトポロジ内の他のすべてのリソースから分離され、非認証ネットワーク・アクセスから保護されます。
- NATゲートウェイを使用すると、アプリケーション層のプライベート計算インスタンスは、クラウド外のホストにアクセスできます(たとえば、アプリケーション・パッチや外部統合のダウンロード)。NATゲートウェイを介して、プライベート・サブネットのコンピュート・インスタンスはインターネットへの接続を開始し、レスポンスを受信できますが、インターネット上のホストから開始されたインバウンド接続を受信しません。
- サービス・ゲートウェイを使用すると、アプリケーション層のプライベートOracle Linux計算インスタンスがリージョン内のYumサーバーにアクセスし、オペレーティング・システムの更新と追加のパッケージを取得できます。
- サービス・ゲートウェイを使用すると、パブリック・インターネットをトラバースせずに、アプリケーションをリージョン内のOracle Cloud Infrastructure Object Storageにバックアップすることもできます。
データベース層
データベース層には、Oracle Cloud Infrastructure Databaseインスタンスが含まれています。高可用性を実現するには、2ノードの仮想マシンのDBシステム(VM)またはExadata DBシステムを使用します。

Oracle Hyperion Foundation Servicesおよびアプリケーション用に個別のデータベースをプロビジョニングすることもできます。

データベースごとに、エディション、バージョン、ライセンス・モデル、ノード数、CDB名とPDB名、形状、サイズ、キャラクタ・セットを指定します。
- 単一ADアーキテクチャを選択すると、データベース・ノードは、個別のフォルト・ドメインに分散され、各データベース・クラスタがフォルト・ドメイン・レベルでの障害に耐えられるようになります。
- 複数ADアーキテクチャを選択すると、プライマリ・データベースとスタンバイ・データベースは別々の可用性ドメインでプロビジョニングされるため、データベースは可用性ドメイン・レベルで障害が発生する可能性があります。Oracle Data Guardが同期モードであると、スタンバイ・データベースがトランザクションで一貫したプライマリ・データベースのコピーになります。
すべてのデータベース・ノードはプライベート・サブネットに接続されます。そのため、データベースはネットワーク・レベルでトポロジ内の他のすべてのリソースから分離され、非認証ネットワーク・アクセスから保護されます。

サービス・ゲートウェイを使用すると、パブリック・インターネットを横断せずに、リージョン内のOracle Cloud Infrastructure Object Storageにデータベースをバックアップできます。
ファイル・ストレージ
アプリケーション層内のコンポーネントは、アプリケーションによって生成される共有バイナリおよびデータを格納するために、共有Oracle Cloud Infrastructure File Storageにアクセスできます。ファイルシステムのマウントパスとサイズ制限を指定します。

セキュリティ・ルール

Terraformコードは、サブネットごとに個別のセキュリティ・リストを作成します。

各セキュリティ・リストには、サブネット内のリソースのトラフィック・フロー要件に基づいて、1つ以上のステートフル・セキュリティ・ルールが含まれます。

ベース・ホストのセキュリティ・リスト

セキュリティ・ルール・タイプ	ソースまたは宛先	ポート
エグレス	VCN	3389
エグレス	VCN	22
イングレス	0.0.0.0/0	22

ロード・バランサのセキュリティ・リスト

セキュリティ・ルール・タイプ	ソースまたは宛先	ポート
エグレス	0.0.0.0/0	すべて
イングレス	0.0.0.0/0	ロード・バランサに対して指定するリスニング・ポート

Webサーバーの「セキュリティ」リスト

セキュリティ・ルール・タイプ	ソースまたは宛先	ポート
エグレス	0.0.0.0/0	すべて
イングレス	VCN	Web層に指定するリスニング・ポート。

データベースのセキュリティ・リスト

セキュリティ・ルール・タイプ	ソースまたは宛先	ポート
エグレス	0.0.0.0/0	TCP:すべて
イングレス	VCN	TCP: 22
イングレス	VCN	TCP: 1521

アプリケーション・サーバーの「セキュリティ」リスト

このセキュリティ・リストには、次のセキュリティ・ルールが含まれます:

サブネット外部のホストにバインドされるすべてのTCPトラフィックを許可するエグレス・ルール。
VCNのホストからRDP port 3389へのTCPトラフィックを許可するイングレス・ルール。

イングレス・ルールは、VCNの任意のホストから次のポートへのTCPトラフィックを許可します。

アプリケーション	ポート
Oracle Hyperion Foundation Services: WebLogicサーバー	7001, 9000
Oracle Hyperion Foundation Services:ディメンション・サーバー	5251, 5255
Oracle Hyperion Foundation Services: Reporting and Analysisフレームワーク・エージェント	6860, 6861
Oracle Hyperion Planningサーバー: WebLogicサーバー	7001
Oracle Hyperion Planningサーバー: Java Webアプリケーション	8300
Oracle Hyperion Planningサーバー: RMI	11333
Oracle Essbaseサーバー:エージェント	1423
Oracle Essbaseサーバー:アプリケーション	32768-33768
Oracle Essbaseサーバー: OPMNポート	6711, 6712
Oracle Hyperion Financial Management: WebLogicサーバー	7001, 7363
Oracle Hyperion Financial Management:サーバー	9091
Oracle Hyperion Tax Provisionサーバー	22200
Oracle Hyperion Profitability and Cost Managementサーバー	6756
Oracle Hyperion Strategic Financeサーバー	8900
Oracle Hyperion Financial Data Quality Management, Enterprise Editionサーバー	6550

Oracle Cloud Infrastructure File Storageのセキュリティ・ルール
- VCNの任意のホストから111および2048-2050へのTCPトラフィックを許可するingressルール
- VCNのホストから111および2048へのUDPトラフィックを許可するingressルール
- ポート111および2048 -2050からVCNのホストへのTCPトラフィックを許可するエグレス・ルール
- ポート111からVCN内の任意のホストへのUDPトラフィックを許可するエグレス・ルール

必要なサービスおよび権限

このソリューションには次のサービスが必要です:

Oracle Cloud Infrastructure Compute
Oracle Cloud Infrastructure Database
Oracle Cloud Infrastructure Networking
Oracle Cloud Infrastructure Load Balancing
(オプション)Oracle Cloud Infrastructure FastConnect
Oracle Cloud Infrastructure Identity and Access Management
Oracle Cloud Infrastructure Object Storage
Oracle Cloud Infrastructure File Storage
Oracle Cloud Infrastructure Block Volumes

テナンシ管理者に、次の権限を含むOracle Cloud Infrastructure Identity and Access Managementポリシーの作成を依頼してください。

Allow group your.group to manage instance-family in compartment your.compartment
Allow group your.group to manage virtual-network-family in compartment your.compartment
Allow group your.group to manage database-family in compartment your.compartment
Allow group your.group to manage object-family in compartment your.compartment
Allow group your.group to manage volume-family in compartment your.compartment
Allow group your.group to manage load-balancers in compartment your.compartment
Allow group your.group to read compartments in compartment your.compartment
Allow group your.group to manage file-family in compartment your.compartment
Allow group your.group to read all-resources in tenancy

your.groupを、インフラストラクチャ・リソースをプロビジョニングするユーザーが属するグループの名前に置き換えます。
your.compartmentを、インフラストラクチャをプロビジョニングするコンパートメントのOCIDに置き換えます。