1. Oracle E-Business SuiteおよびCloud Managerのランディング・ゾーンのデプロイ
  2. E-Business SuiteおよびCloud Manager用のTerraformスタックのデプロイについて学習

E-Business SuiteおよびCloud ManagerのTerraformスタックのデプロイについて学習

これらのスタックを指定された順序でデプロイします。ただし、E-Business Suiteの要件を満たすリソースがすでに作成されているかぎり、使用するスタックを選択および選択できるモジュール式です。

これらのスタックは、Oracle Cloud Marketplaceで使用できます。これらのスタックをデプロイするようにOracle Cloud Infrastructure Resource Managerに移動します。OCI Resource ManagerはOCIのネイティブTerraformエンジンで、Terraformを作成、実行および管理するためのグラフィカル・インタフェースを提供します。

IAMスタックのデプロイについて

このTerraformスタックは、EBSに必要なアイデンティティ・リソースを作成します。セキュリティ、ネットワーク、EBSワークロード、クラウド・マネージャおよび各EBS環境カテゴリのコンパートメントを作成します。各コンパートメントには、シンプルなロールベースのアクセス制御(RBAC)を容易にするための1つ以上のグループおよびポリシーが付属しています。ユーザーを手動でこれらのグループに追加するか、フェデレーテッド・アイデンティティ・プロバイダからマップする必要があります。

EBSを新しいテナンシにデプロイする場合は、このスタックを実行します。十分なIAM構造を持つ既存のテナンシにデプロイする場合は、このスタックをデプロイする必要はありません。

IAMスタックの実行時に、次の変数を入力します:

  • IAMおよび資格証明管理グループ: デフォルト値を使用します。2つのテナンシ全体のグループを作成します。1つは他のユーザーの資格証明を管理する権限を持ち、もう1つは他のほとんどのアイデンティティ・アクションに対する権限を持ちます。
  • 一般ポリシーの作成: デフォルト値を使用します。すべてのユーザーがテナンシ全体で特定のリソースを検査および読取りする権限を作成します。管理者権限なしでEBS Cloud Managerスタックを実行するために必要です。
  • ランディング・ゾーン接頭辞: すべてのEBSスタックと、このランディング・ゾーン内にデプロイされたその他のアプリケーションに対して同じです。
  • 親コンパートメント: これは、ルート・コンパートメントまたはテナンシ内の別の既存のコンパートメントです。
  • EBSワークロード接頭辞: すべてのEBSスタックで同じままです。
  • EBSワークロード環境のカテゴリ: 作成する予定のEBS環境のすべてのカテゴリ(またはセット)をリストします。カテゴリ名をプロンプト・ボックスに直接入力し、ドロップダウン・メニューから「追加」を選択してリストに追加できます。
  • 拡張オプション: 新しいコンパートメントを作成するかわりに、ネットワークおよびセキュリティ・コンパートメント名をさらにカスタマイズしたり、既存のコンパートメントを使用できます。ボールト、キーおよびシークレットをカスタマイズすることもできます。

ノート:

既存のボールトまたはキーを使用する場合は、それが配置されているコンパートメントを既存のセキュリティ・コンパートメントとして指定する必要があります。

アイデンティティの手動構成について

Terraformでは一部のアイデンティティ・アクションは不可能であり、Oracleではセキュリティ目的でTerraformを介して特定の他のアクションを管理することは推奨されません。

テナンシ管理者またはIAM管理者は、コンソールでこれらのリソースを手動で構成できます。次のステップに従います。

  1. 必要なユーザー・アカウントを作成します。
  2. ユーザー・アカウントを適切なIAMグループにマップします。

ユーザーアカウントの作成

OCIでは様々なタイプのアカウントを作成できます。SAML 2.0準拠のアイデンティティ・プロバイダがすでにある場合は、そのプロバイダをOCIテナンシとフェデレートできます。そこから、外部フェデレーテッド・グループをOCI IAMグループに直接マップできます。外部アイデンティティ・プロバイダがまだない場合は、OCIのデフォルト・アイデンティティ・ドメインまたは新しいアイデンティティ・ドメインにユーザーを直接作成できます。ただし、EBS Cloud Managerユーザー権限がEBS Cloud Managerアプリケーション内で正しく動作するように、デフォルトのアイデンティティ・ドメインのユーザーに対して直接IAMユーザーが必要です。

IAMグループへのユーザーのマップ

どのユーザーがどのOCIリソース・タイプを担当するかを決定する必要があります。複数のリソース・タイプを担当する1人のユーザー、または1つのリソース・タイプを担当する複数のユーザーが存在できます。テナンシ管理者は、まずIAM管理者を自分のグループに追加する必要があります。IAM管理者は、残りのユーザーをそれぞれのグループに追加できます。アカウントを持たないユーザーのアカウントを作成し、関連するグループにユーザーを追加する必要があります。

次のリストは、ユーザーをそれぞれのグループにマップします。

  • IAMユーザーをネットワーク・ユーザー、セキュリティ・ユーザーおよびアプリケーション管理者/IDCS管理者グループにマップします。
  • セキュリティ・ユーザーをセキュリティ管理者およびネットワーク・ユーザー・グループにマップします。
  • ネットワーク・ユーザーをネットワーク管理者およびセキュリティ・ユーザー・グループにマップします。
  • 各EBS環境カテゴリ(Cloud Managerユーザーを含む)を、ネットワーク・ユーザーおよびセキュリティ・ユーザー・グループ、管理対象のEBS環境管理グループおよびEBS CM管理グループにマップします。

    ノート:

    ユーザーは、フェデレーテッド・ユーザーではなく、直接OCI IAMユーザーである必要があります。

ネットワーク・スタックのデプロイについて

このTerraformスタックは、EBS Cloud Managerに必要なVCNとパブリックおよびプライベート・サブネットを作成します。 IAMスタックで定義したEBS環境カテゴリごとに、このスタックの1つのコピーを実行する必要があります。

ネットワーク・スタックの実行時に、次の変数を入力します。

  • セキュリティ・コンパートメント: 事前移入されたリストからIAMスタックで作成/使用されるセキュリティ・コンパートメントを検索するか、OCIDを指定します。この変数を使用すると、スタックは、シークレットとして格納されていた以前のスタックから必要なすべての情報を自動的に検索できます。
  • ワークロード・アイデンティティ・シークレット: 名前書式 identity-"lz prefix"-"workload prefix"で、一般的なEBSワークロードに対応するシークレットを選択します。
  • EBSワークロード接頭辞: すべてのEBSスタックで同じままです。
  • 拡張オプション: 使用および作成されたシークレットをさらにカスタマイズできます。
  • VCNの作成: 新しいVCNを作成するか、既存のVCNを使用するかを選択できます。EBSネットワーク環境カテゴリの後続のデプロイメントでは、初期デプロイメントで作成または使用される既存のVCNを選択する必要があります。
    • TRUE
      • VCN CIDR: VCNに使用するCIDRブロック範囲を指定します。
    • FALSE
      • ネットワーク・コンパートメント: VCNが存在するコンパートメントを指定します。
      • 既存のVCN: 事前移入されたリストから既存のVCNを検索するか、そのOCIDを指定します。
  • 環境カテゴリ・アイデンティティ・シークレット: 名前書式: identity-"lz prefix"-"workload prefix"-"environment name"で、特定のEBSワークロード環境カテゴリに対応するシークレットを選択します。

    ノート:

    追加の環境カテゴリ用のネットワークが必要な場合は、ネットワークスタックの別のコピーを配備する必要があります。

次の表に、サブネット作成変数、サブネット構成アクセス・ゲートウェイ、CIDR変数およびそれらを使用するタイミングを示します:

サブネット作成変数 用途 サブネット構成およびゲートウェイ・アクセス CIDR変数*
Create Cloud Manager subnets or Select existing Cloud Manager subnet 最初に作成したネットワーク環境スタックにサブネットを1回作成します。後続の環境では、最初のスタックによって作成された既存のCloud Managerサブネットを選択します。 NATゲートウェイ・アクセスを使用するプライベート・サブネット。

ノート:

オプションでLoad Balancerサブネットをパブリックにできます。これにより、インターネット・ゲートウェイ・アクセスでパブリック・サブネットが使用されます。これは推奨プロセスではありません。
  • Cloud Manager Load Balancer subnet CIDR
  • Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database) すべてのEBS環境カテゴリのサブネット構成およびゲートウェイ・アクセス NATゲートウェイ・アクセスを使用するプライベート・サブネット
  • Application tier subnet CIDR
  • Database tier subnet CIDR
Create default Load balancer tier subnet デフォルトでは、プライベート・ネットワークを介してEBSへのアクセスを提供します。 NATゲートウェイ・アクセスを使用するプライベート・サブネット Load balancer subnet CIDR
Create external load balancer and application tier subnets インターネットを介してユーザー・アクセスを提供する必要があるEBS環境カテゴリでのみ

インターネット・アクセスを使用するパブリックLBサブネット。

NAT Gatewayアクセス権を持つプライベート・アプリケーション・サブネット。
  • External Load Balancer subnet CIDR
  • External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet EBS実装で共有ファイル・ストレージが使用されている場合にのみ使用します。最初のネットワーク環境スタックで1回作成します。後続のスタックで、最初のスタックで作成した既存のサブネットを選択します。 NATゲートウェイ・アクセスを使用するプライベート・サブネット File Storage subnet CIDR
Create Bastion subnet 最初のネットワーク環境スタックで1回作成 Use Bastion Service変数がtrueの場合、サブネットはプライベートです。それ以外の場合は、インターネット・ゲートウェイ・アクセスでパブリックになります。 Bastion Subnet CIDR
Additional ebs subnets 新しいクラウド・マネージャまたはファイル・ストレージ・サブネットを作成する場合は、現在のVCNにすでにある追加のEBSサブネット、または別のスタックで作成する予定のサブネットを指定します。 Cloud ManagerおよびFile Storageサブネットにルーティング・ルールを追加します
  • Additional application tier subnet CIDRs
  • Additional database tier subnet CIDRs

ノート:

プライベートまたはデフォルトのLBは、独自のオプションです。

脚注

* VCN CIDR範囲内にあり、他のサブネットのCIDR範囲と競合しない各サブネットに対して、一意のCIDRブロック範囲を指定します。

Bastionサービスの使用

オプションとしてBastionサービスを使用できます。

  • True: サブネットをBastionサービスとともにプライベートとしてプロビジョニングします。
    • 要塞許可リスト: インバウンドSSH接続を作成できるCIDR表記の外部IP範囲のリスト。
    • 要塞TTL制限: SSH接続がアクティブなままになるまで許容される最大時間(秒単位)。指定できる値は、30分(1800秒)から3時間(10800秒)までです。
  • False: サブネットをパブリックとしてプロビジョニングしますが、従来の要塞仮想マシンはプロビジョニングしません。

Cloud Managerスタックのデプロイについて

このTerraformスタックでは、Cloud Manager (CM) VMとLoad Balancer、およびCMアプリケーションのブートストラップが作成されます。

グローバル設計の意思決定

IAMスタックの実行時には、決定を行い、いくつかの変数を入力する必要があります。

  • Environment category identity secret: 名前書式identity-"lz prefix"-"workload prefix"-"environment name"で、EBSワークロードの特定の環境カテゴリに対応するシークレットを選択します。選択した環境は、デフォルトのネットワークプロファイルの作成に使用されます。
  • Security compartment: 事前移入されたリストからIAMスタックで作成または使用されるセキュリティ・コンパートメントを検索するか、OCIDを指定します。この変数を使用すると、スタックは、シークレットとして格納されていた以前のスタックから必要なすべての情報を自動的に検索できます。
  • Advanced options: 使用および作成されたシークレットをさらにカスタマイズできます。

DNSおよび証明書の構成

DNSおよび証明書は推奨されますが、オプションです。

  • Cloud Manager CA cert (optional): Cloud Manager証明書をファイルとして生成するために使用される署名付き認証局チェーンを指定します。
  • Cloud Manager key cert: EBS Cloud Managerで使用するために生成した秘密キー証明書ファイルを指定します。
  • Cloud Manager Public cert: プライベート証明書をファイルとして検証するために使用するパブリック証明書チェーンを指定します。

    ノート:

    秘密キー証明書を指定しない場合、証明書はopenSSLおよび指定されたhostnameを使用して生成されます。
  • Server host for EBS Cloud Manager login URL: EBS Cloud Manager Webポータルのhostnameを入力します。入力形式はmyebscm.example.comで、DNSエントリ、署名済証明書および機密アプリケーションと一致する必要があります。EBS Cloud ManagerのログインURLはhttps://myebscm.example.com:443になります。
    • CM CA証明書
    • CMキー証明書
    • CM公開証明書

機密アプリケーションの作成

アプリケーション管理者は、まずOCIコンソールを使用してEBS CMを機密アプリケーションとして登録し、Cloud Managerを使用してE-Business Suiteを管理する必要があります。これにより、ユーザーはOCIアカウントを使用してCloud Managerへのアクセスを認証および認可できます。

機密アプリケーションを作成する前に、EBS Cloud Managerに使用する予定のURLを知っている必要があります。このURLは、DNSレコードおよび署名付き証明書のhostnameと一致する必要があります。

Cloud Managerスタックの実行時に提供されるclient IDおよびsecretを使用する必要があります。

IDCSまたはアイデンティティ・ドメインの構成

  • IDCSクライアントID: IDの構成時に登録されたEBS Cloud Managerの機密アプリケーションのID。
  • IDCSクライアント・シークレット: アイデンティティの構成時に登録したEBS Cloud Managerの機密アプリケーションのシークレット。
  • IDCSクライアント・テナント: IDCSまたはアイデンティティ・ドメイン・テナントのID。これは、//の後およびidentity.oraclecloud.comの前に、ブラウザのアドレス・バーのURLの一部として確認できます。文字idcs-で始まり、その後にidcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxという書式の数値と文字の文字列が続きます。

EBS CM管理

  • クラウド・マネージャ管理ユーザーOCID: デフォルトでは、このスタックは、このスタックを実行しているユーザーのアカウントを初期クラウド・マネージャ管理者として使用します。オプションで、ここでOCIDを指定して、別のユーザーを初期管理にできます。この管理アカウントは、ローカル非フェデレーテッドIAMユーザーである必要があります。
  • クラウド・マネージャ管理ユーザーのプライベートAPIキー: デフォルトでは、新しいAPIキーが作成され、選択したクラウド・マネージャ管理アカウントに関連付けられます。オプションで、すでに関連付けられているプライベートAPIキーを入力できます。

クラウド・マネージャ仮想マシン

  • EBS Cloud Managerシェイプ: EBS Cloud Manager VMのリストからシェイプを選択します。Oracleでは、Standard2.xおよびStandard.E2.xシェイプをお薦めします。
  • SSH key: CLIを使用してクラウド・マネージャにアクセスするために使用されるパブリックSSHキー。
  • EBS Cloud Manager Availability Domain: リストから可用性ドメインを選択します。
  • CMパスワード: EBS CM管理者のパスワード。

ノート:

パスワードは、少なくとも8文字、大文字、小文字、数字、特殊文字(#?!@$%^&*-)を1つずつ使用する必要があります。パスワードは、EBS Cloud Manager管理者がCloud Managerインスタンスに接続し、後続のスクリプトを実行するために使用されます。初期デフォルト・パスワードはWElcome##12345です。Oracleでは、このノートに記載されているパスワード要件を満たす値を使用してパスワードを変更することをお勧めします。