1. Oracle Cloud InfrastructureでのJD Edwards EnterpriseOneのデプロイについて学ぶ
  2. Oracle Cloud InfrastructureでのJD Edwards EnterpriseOneのデプロイについて学ぶ

Oracle Cloud InfrastructureでのJD Edwards EnterpriseOneのデプロイについて学ぶ

Oracle Cloud InfrastructureでJD Edwards EnterpriseOneをプロビジョニングする場合、またはJD Edwards EnterpriseOne環境をデータ・センターからOracle Cloud Infrastructureに移行する場合は、マルチホストのセキュアな高可用性トポロジを計画できます。

始める前に

Oracle Cloud Infrastructureは、JD Edwards EnterpriseOneアプリケーション・リリース9.0、9.1および9.2をサポートしています。JD Edwards EnterpriseOneアプリケーションのデプロイまたは移行を計画する前に、Oracle Cloud InfrastructureがJD Edwards EnterpriseOneアプリケーション・リリース、JD Edwards EnterpriseOneツール・リリースおよびアプリケーションを実行するオペレーティング・システムの組合せをサポートしているかどうかを確認します。

  • JD Edwards EnterpriseOne Toolsリリース9.2およびJD Edwards EnterpriseOne Toolsリリース9.2.x。Oracle LinuxおよびWindowsオペレーティング・システムでJD Edwards EnterpriseOneコンポーネントの手動および自動インストールをサポートします。

  • JD Edwards EnterpriseOne Toolsリリース9.1およびJD Edwards EnterpriseOne Toolsリリース9.1.xまたは9.2.x。Oracle LinuxおよびWindowsオペレーティング・システムへJD Edwards EnterpriseOneコンポーネントの手動インストールのみがサポートされています。

以前のバージョンのJD Edwards EnterpriseOneアプリケーションの詳細は、Oracle Advanced Consulting Servicesにお問い合せください。

最終的な動作保証の詳細は、My Oracle Supportを参照してください。

Oracle Cloud Infrastructureでのデプロイメントに関する考慮事項

Oracleでは、異なるサブネット間で適切なセキュリティ要件を確実に実装できるように、要塞ホスト、データベース、アプリケーション、ロード・バランサ・インスタンスなど、インスタンスに個別のサブネットを作成することをお薦めします。

プライベートまたはパブリック・サブネット

インターネットからのインスタンスへのアクセスを許可するかどうかに基づいて、プライベート・サブネットまたはパブリック・サブネットにインスタンスを作成できます。パブリック・サブネットに作成したインスタンスにはパブリックIPアドレスが割り当てられ、インターネットからこれらのインスタンスにアクセスできます。プライベート・サブネットで作成されたインスタンスにパブリックIPアドレスを割り当てることはできません。したがって、インターネットを介してこれらのインスタンスにアクセスすることはできません。

次の図は、パブリック・サブネットとプライベート・サブネットを持つ仮想クラウド・ネットワーク(VCN)を示しています。VCNには2つの可用性ドメインがあり、各可用性ドメインにはパブリック・サブネットとプライベート・サブネットがあります。Webサーバーはこのイメージのパブリック・サブネットに配置されるため、Webサーバー・インスタンスにはパブリックIPアドレスがアタッチされています。インターネット・ゲートウェイ(IGW)を介した通信を有効にすることで、パブリック・サブネット内のこれらのOracle Cloudインスタンスにインターネットからアクセスできます。IGWとの間のトラフィックを有効にするには、ルートテーブルを更新する必要があります。インターネットからWebサーバーへのトラフィックを許可するには、パブリック・サブネットにロード・バランサを作成する必要があります。インターネットからインスタンスにアクセスするには、パブリック・サブネットに要塞ホストを作成し、IGWから要塞ホストにアクセスする必要もあります。

データベース・サーバーは、このイメージのプライベート・サブネットに配置されます。データ・センターからプライベート・サブネット内のOracle Cloudインスタンスにアクセスするには、動的ルーティング・ゲートウェイ(DRG)を介して接続します。DRGは、オンプレミス・ネットワークをクラウド・ネットワークに接続します。DRGと顧客のオンプレミス機器間の通信を有効にするには、IPSec VPNまたはOracle Cloud Infrastructure FastConnectを使用します。また、ルート表を更新して、DRGとの間のトラフィックを有効にする必要があります。


public_private_subnets_jde.pngの説明が続きます
図public_private_subnets_jde.pngの説明
シナリオ1:プライベート・サブネットのすべてのインスタンスのデプロイ

Oracleでは、インターネットに面したエンドポイントがない本番環境では、プライベート・サブネットのすべてのインスタンスをデプロイすることをお薦めします。このタイプのデプロイメントは、クラウドを既存のデータ・センターの拡張として使用するハイブリッド・デプロイメントが必要な場合に便利です。

このデプロイメントでは、アプリケーションおよびデータベース・サーバーを含むすべてのインスタンスがプライベート・サブネットにデプロイされます。パブリックIPアドレスは、プライベート・サブネットで作成されたインスタンスに割り当てることはできないため、インターネットを介してこれらのインスタンスにアクセスすることはできません。この構成のオンプレミス環境からアプリケーション・サーバーにアクセスするには、次の操作を実行します。

  • アプリケーション・サーバーをプロビジョニングする前に、データ・センターとOracle Cloud Infrastructure DRG間のIPSec VPNトンネルを構成します。

  • この構成で要塞ホストを作成し、要塞ホストからプライベート・サブネット内のすべてのサーバーにアクセスします。

シナリオ2:パブリックおよびプライベート・サブネットでのインスタンスのデプロイ

パブリック・サブネット内のいくつかのインスタンスと、プライベート・サブネット内のいくつかのインスタンスをデプロイできます。このタイプのデプロイメントは、インターネットに直接接続しているエンドポイントとインターネットに接続していないエンドポイントがデプロイメントに含まれている場合に便利です。

この構成では、一部のアプリケーション・インスタンスはパブリック・サブネットに配置され、その他はプライベート・サブネットに配置されます。たとえば、内部ユーザーにサービスを提供するアプリケーション・インスタンスと、外部ユーザーにサービスを提供するアプリケーション・インスタンスの別のセットがあるとします。このシナリオでは、内部トラフィックを処理するアプリケーション・インスタンスをプライベート・サブネットに配置し、外部トラフィックを処理するアプリケーション・サーバーをパブリック・サブネットに配置します。また、外部トラフィックを処理するアプリケーション・サーバーをパブリック・サブネットに配置するかわりに、インターネットに面したアプリケーション・インスタンスにパブリック・ロード・バランサを設定することもできます。要塞ホストをパブリック・サブネットに配置すると、要塞ホストにパブリックIPアドレスが割り当てられ、インターネット経由でアクセスできるようになります。プライベート・サブネットのインスタンスには、要塞サーバーを介してアクセスできます。

シナリオ3:パブリック・サブネットのすべてのインスタンスのデプロイ

Oracleでは、迅速なデモのため、または内部エンドポイントのない本番グレードのデプロイメントのために、このデプロイメントをお薦めします。このデプロイメントは、独自のデータ・センターがない場合、またはVPNを介してインスタンスにアクセスできず、インターネットを介してインフラストラクチャにアクセスする場合にのみ適しています。

このデプロイメントでは、アプリケーションおよびデータベース・インスタンスを含むすべてのインスタンスがパブリック・サブネットにデプロイされます。

パブリック・サブネット内の各インスタンスには、パブリックIPアドレスがアタッチされています。パブリックIPアドレスを持つインスタンスにはインターネット経由でアクセスできますが、セキュリティ・リストおよびセキュリティ・ルールを使用してアクセスを制限できます。管理タスクを実行するために、Oracleでは、この構成に要塞ホストを配置することをお薦めします。このシナリオでは、パブリック・インターネットに対して管理ポートを開くのではなく、要塞ホストに対してのみ管理ポートを開き、要塞ホストからのみインスタンスにアクセスできるようにセキュリティ・リストおよびセキュリティ・ルールを設定します。

アンチアフィニティ

Oracle Cloud Infrastructure上の可用性ドメインに高可用性のための複数のインスタンスを作成する際、フォルト・ドメインを使用してインスタンスのアンチアフィニティを実現できます。

フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。可用性ドメインごとに3つのフォルト・ドメインが含まれています。フォルト・ドメインを使用すると、1つの可用性ドメイン内の同じ物理ハードウェア上にインスタンスが存在しないようにインスタンスを配置できます。したがって、あるフォルト・ドメインに影響するハードウェア障害またはOracle Computeハードウェア・メンテナンスは、他のフォルト・ドメインのインスタンスには影響しません。フォルト・ドメインを使用すると、予期しないハードウェア障害および計画済停止からインスタンスを保護できます。

データベースの高可用性のために、2ノードのOracle Real Application Clusters (Oracle RAC)データベース・システムを作成できます。Oracle RACの2つのノードは、デフォルトでは常に個別のフォルト・ドメインに作成されます。したがって、データベース・ノードは、同じ物理ホストにも同じ物理ラックにもありません。これにより、基礎となる物理ホストおよびラック・スイッチの障害からデータベース・インスタンスが保護されます。

単一リージョンにJD Edwards EnterpriseOneをデプロイするためのアーキテクチャ

高可用性を確保しながら、JD Edwards EnterpriseOneを単一の可用性ドメインにデプロイできます。

アプリケーション・インスタンスを複数のフォルト・ドメイン内に配置することで、高可用性を実現できます。このアーキテクチャは、あるフォルト・ドメインでアプリケーション・インスタンスが停止した場合でもアプリケーションを確実に使用できるようにする場合に使用します。他のフォルト・ドメイン内の他の使用可能なアプリケーション・インスタンスは、引き続きリクエストを処理します。JD Edwards EnterpriseOneは、手動でデプロイすることも、Oracle Cloud InfrastructureのJD Edwards EnterpriseOne自動化ツールを使用してデプロイすることもできます。

このアーキテクチャでは、可用性ドメイン内の高可用性を確保するために、冗長なインスタンスが可用性ドメインのプレゼンテーション層および中間層にデプロイされることを示します。可用性ドメイン内のすべてのインスタンスがアクティブです。可用性ドメイン内のアプリケーションのこの高可用性は、アプリケーション・インスタンスを別々のフォルト・ドメインに配置することで実現できます。フォルト・ドメインを使用すると、1つの可用性ドメイン内の同じ物理ハードウェア上にインスタンスが存在しないようにインスタンスを配置できます。あるフォルト・ドメインに影響するハードウェア障害またはOracle Cloud Infrastructure Computeハードウェア・メンテナンスは、他のフォルト・ドメインのインスタンスには影響しません。インスタンスに障害が発生した場合、トラフィックは、引き続きリクエストを処理する可用性ドメイン内の他のインスタンスに転送されます。ただし、可用性ドメインへの接続に失敗した場合、または可用性ドメイン全体が停止した場合、インスタンスはリクエストを処理できません。

プライベート・サブネット内のインスタンスでは、パッチをダウンロードしたり、オペレーティング・システムおよびアプリケーションの更新を適用するために、インターネットへのアウトバウンド接続が必要です。このためには、VCNでネットワーク・アドレス変換(NAT)ゲートウェイを使用します。NATゲートウェイでは、プライベート・サブネット内のホストはインターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。

Oracleでは、Oracle Cloud Infrastructureにデプロイされたデータベースおよびアプリケーションに、リカバリ計画の堅牢なバックアップを作成することをお薦めします。データベースおよびアプリケーション・インスタンスのバックアップをOracle Cloud Infrastructure Object Storageに格納することをお薦めします。プライベート・サブネット内のデータベースおよびアプリケーション・インスタンスは、サービス・ゲートウェイを使用してOracle Cloud Infrastructure Object Storageにバックアップできます。サービス・ゲートウェイは、インターネットを経由せずOracle Cloud Infrastructure Object Storageへのアクセスを提供します。

Oracle Cloud Infrastructure Object Storageへの自動およびオンデマンド・データベース・バックアップは、Oracle Cloud Infrastructureコンソールを使用して構成できます。これには、Swiftエンドポイントを使用したOracle Cloud Infrastructure Object Storageへの接続が必要です。Oracle Cloud Infrastructure Object Storage上のすべてのデータベース・バックアップは、透過的データ暗号化(TDE)ウォレット暗号化に使用されるものと同じマスター・キーで暗号化されます。自動データベース・バックアップ・サービスでは、週次増分バックアップ計画を使用して、30日間の保存方針でデータベースをバックアップします。非定型要件のために、データベースのオンデマンドの全体バックアップを実行することもできます。

アプリケーションのバックアップは、Oracle Cloud Infrastructure Block Volumesのポリシーベースのバックアップ機能を使用して構成できます。Oracle Cloud Infrastructure Block Volumesには、スケジュールに基づいてボリューム・バックアップを自動的に実行し、選択したバックアップ・ポリシーに基づいて保存する機能があります。これにより、データのコンプライアンスおよび規制要件に準拠できます。Bronze、Silver、Goldの3つのバックアップ・ポリシーが事前定義されています。各バックアップ・ポリシーには、事前定義されたバックアップ頻度と保存期間があります。

アーキテクチャは、要塞ホスト、ロード・バランサ層、プレゼンテーション層、中間層、管理層およびデータベース層を備えた仮想クラウド・ネットワーク(VCN)で構成されます。層は、単一の可用性ドメイン内のVCNの単一のサブネットに配置されます。

次のアーキテクチャ・ダイアグラムでは、要塞ホストはパブリック・サブネットにデプロイされ、他のすべてのインスタンスはプライベート・サブネットに配置されます。ビジネス要件に応じて、パブリック・サブネットまたはプライベート・サブネットにインスタンスを配置できます。ポート22を介してプライベート・サブネットにあるインスタンスには、要塞ホストまたは動的ルーティング・ゲートウェイ(DRG)を介してアクセスできます。DRGと顧客のオンプレミス機器間の通信を有効にするには、IPSec VPNまたはOracle Cloud Infrastructure FastConnectを使用します。

管理層のサーバー・マネージャは、プレゼンテーション層、中間層およびデータベース層と通信して、コードのデプロイメント、構成管理、ランタイム・メトリック・アクセスおよびログ・アクセスを提供します。管理層のデプロイメント・サーバーは、中間層およびデータベース層と通信して、コードを構築およびデプロイします。開発クライアントは、中間層およびデータベース層と通信します。Application Development Framework (ADF)およびOracle Business Intelligence Publisherは、プレゼンテーション層のHTMLサーバーと通信します。


single_availability_domain_jd_edwards_deployment.pngの説明が続きます
図single_availability_domain_jd_edwards_deployment.pngの説明
このアーキテクチャは、次の層に分かれています。

  • 要塞ホスト:要塞ホストは、プライベート・サブネット内のインスタンスにアクセスするためのジャンプ・サーバーとして使用できるオプションのコンポーネントです。要塞ホストは、オペレーティング・システムとしてLinuxを使用するOracle Cloud Infrastructure Computeインスタンスです。要塞ホストをパブリック・サブネットに配置し、インターネットからアクセスするためのパブリックIPアドレスを割り当てます。

    追加のセキュリティ・レベルを提供するために、オンプレミス・ネットワークのパブリックIPアドレスからのみ要塞ホストにアクセスするようにセキュリティ・リストを設定できます。プライベート・サブネットのOracle Cloud Infrastructureインスタンスには、要塞ホストを介してアクセスできます。これを行うには、ssh - agent転送を有効にします。これにより、bastionホストに接続し、コンピュータから資格証明を転送して次のサーバーにアクセスできます。動的SSHトンネリングを使用して、プライベート・サブネット内のインスタンスにアクセスすることもできます。SSHトンネリングは、Webアプリケーションまたはその他のリスニング・サービスにアクセスする方法です。動的トンネルはローカル・ポートにSOCKSプロキシを提供しますが、接続はリモート・ホストから発信されます。

  • ロード・バランサ層:ロード・バランサ層には、プレゼンテーション層のすべてのインスタンスにトラフィックをロード・バランシングするOracle Cloud Infrastructure Load Balancingインスタンスが含まれます。ロード・バランサは、ユーザーからのリクエストを受信し、これらのリクエストをプレゼンテーション層のインスタンスにルーティングします。

    Oracle Cloud Infrastructure Load Balancingを使用して、VCN内のアプリケーション・インスタンスにトラフィックを分散します。このサービスは、プライマリ・ロード・バランサが使用できなくなった場合に、スタンバイ・ロード・バランサがリクエストを転送するように、ロード・バランサのプライマリおよびスタンバイ・インスタンスを提供します。ロード・バランサは、リクエストが正常なアプリケーション・インスタンスにルーティングされるようにします。アプリケーション・インスタンス内で問題が発生した場合、ロード・バランサは残りの正常なアプリケーション・インスタンスにリクエストをルーティングします。

    要件に基づいて、ロード・バランサをパブリックまたはプライベート・サブネットに配置できます。

    • インターネットからアクセスできない内部エンドポイントの場合は、プライベート・ロード・バランサを使用します。プライベート・ロード・バランサにはプライベートIPアドレスがあり、インターネットからはアクセスできません。ロード・バランサのプライマリ・インスタンスとスタンバイ・インスタンスの両方が同じプライベート・サブネットに存在します。VCNまたはデータ・センターのプライベート・ロード・バランサには、DRGを介してIPSec VPN経由でアクセスできます。プライベート・ロード・バランサは、データ・センターからのトラフィックを受け入れ、そのトラフィックを基礎となるアプリケーション・インスタンスに分散します。

    • インターネットに面したエンドポイントの場合は、パブリック・ロード・バランサを使用します。パブリック・ロード・バランサにはパブリックIPアドレスがあり、インターネットからアクセスできます。パブリック・ロード・バランサには、インターネット・ゲートウェイを介してインターネットからアクセスできます。

    • 内部エンドポイントおよびインターネットに面したエンドポイントにアクセスするには、プライベート・ロード・バランサおよびパブリック・ロード・バランサを設定します。プライベート・ロード・バランサを設定して内部トラフィックを処理し、パブリック・ロード・バランサを設定してインターネットからのトラフィックを処理します。

    アプリケーション・エンドポイントのドメイン解決のために、オンプレミスまたはパブリック・ドメイン・ネーム・サーバー(DNS)のOracle Cloud Infrastructure Load BalancingインスタンスのパブリックまたはプライベートIPアドレスを登録します。

    アーキテクチャ図に示されているポートは単なる例です。使用可能な任意のポートを使用できます。

  • 管理層:管理層には、次のサーバーの単一インスタンスが含まれます。高可用性を確保するために、これらのサーバーの冗長インスタンスは必要ありません。

    • プロビジョニング・サーバー:このサーバーを使用して、Oracle Cloud InfrastructureでJD Edwards EnterpriseOneコンポーネントのエンドツーエンドのデプロイメントを自動化します。ポート22を介して、データベース層のインスタンスを含む他の層のすべてのインスタンスと通信します。これは、JD Edwards EnterpriseOne One - Clickプロビジョニング・コンソールおよびJD Edwards EnterpriseOne Server Managerコンソールをホストします。

    • デプロイメント・サーバー:インストール・プロセス中に、このサーバーは必要なすべてのファイルおよびインストール・パッケージの中央リポジトリとして機能します。ソフトウェアは、このサーバーから他のすべてのサーバーおよびクライアントに配布またはデプロイされます。

    • 開発クライアント: JD Edwards EnterpriseOne開発クライアントには、標準のMicrosoft Windowsアプリケーションとして実行されるコンポーネント(アクティブ・コンソール、Forms Design Aid (FDA)およびレポート設計ツール(RDA)など)と、Webブラウザで実行されるコンポーネントが含まれます。

    • Application Development Framework (ADF)サーバー: JD Edwards EnterpriseOne ADFサーバーは、ADFランタイムを使用してOracle WebLogicサーバーにデプロイされるWebアプリケーションです。これは、Oracle ADFで開発されたJD Edwards EnterpriseOneアプリケーションの実行に使用されます。

    • Oracle Business Intelligence Publisher: Oracle Business Intelligence Publisherは、JD Edwards EnterpriseOneによって収集されたデータをレポートの形式で表示します。Oracle Business Intelligence Publisherを使用して、ビジネス要件に基づいて様々なテンプレートを使用してレポートを表示します。テンプレート・ファイルを使用して、レポート出力の表示方法を設計および制御できます。

  • プレゼンテーション層:プレゼンテーション層には、高可用性を提供するためのアプリケーション・インタフェース・サービスおよびJavaアプリケーション・サーバーの冗長なインスタンスが含まれます。これらのサーバーは、中間層のサーバーと通信します。すべてのインスタンスはアクティブで、ロード・バランサからトラフィックを受信します。各インスタンスは、ブロック・ストレージ・ボリュームに関連付けられます。この層には、JD Edwards EnterpriseOneと外部システム間の統合の作成に使用できるコンポーネントも含まれています。実装には、これらのコンポーネントを含めることができます。

    この層には、次のサーバーが含まれます。

    • アプリケーション・インタフェース・サービス(AIS)サーバー:アプリケーション・インタフェース・サービス・サーバーは、JD Edwards EnterpriseOneモバイル・エンタープライズ・アプリケーションとJD Edwards EnterpriseOne間の通信インタフェースを提供します。

    • 標準Javaアプリケーション・サーバー(標準JAS):ロード・バランサからリクエストを受信し、単純なビジネス・ロジックを実行します。複雑なビジネス・ロジックを必要とするタスクの場合、標準JASはリクエストをロジック・サーバーに渡します。また、場合によってはAISサーバーにリクエストを渡します。ただし、AISランタイム用にAISサーバーで構成されいません。

    • 専用Javaアプリケーション・サーバー(専用JAS): AISサーバーからリクエストを受信します。複雑なビジネス・ロジックを必要とするタスクを実行するために、リクエストをロジック・サーバーに渡します。AISランタイム用にAISサーバーとともに構成されます。

    可用性ドメイン内の高可用性を確保するには、すべてのコンポーネントの冗長インスタンスをデプロイします。すべてのインスタンスはアクティブで、ロード・バランサおよび中間層からトラフィックを受信します。

  • 中間層:中間層には、ロジック・サーバーとバッチ・サーバーが含まれます。これらは直接ロード・バランシングされませんが、プレゼンテーション層のサーバーとの1対1マッピングがあります。同じエンタープライズ・サーバー・インスタンス上でロジック・サーバーとバッチ・サーバーをホストできます。ただし、ロジック・サーバーとバッチ・サーバーは別々のエンタープライズ・サーバー・インスタンスに設定することをお薦めします。

    中間層は、プレゼンテーション層からリクエストを受信します。リクエストを処理した後、リクエストをデータベース・サーバーに転送します。サーバーのすべてのインスタンスがアクティブで、リクエストを処理します。

    この層には、次のサーバーが含まれます。

    • ロジック・サーバーまたはエンタープライズ・サーバー:これらのサーバーには、ビジネス・ロジックまたはビジネス機能が含まれます。

    • バッチ・サーバー:これらのサーバーはバッチ処理に使用されます。

  • データベース層:データベース層には、JD Edwards EnterpriseOneデータベース・サーバー・インスタンスが含まれます。高可用性の要件を満たすために、Oracleでは、Oracle Cloud Infrastructureの2ノード、Oracle Real Application Clusters (Oracle RAC)データベース・システムまたはOracle Database Exadata Cloud Serviceシステムを使用してJD Edwards EnterpriseOneデータベース・サーバー・インスタンスを設定することをお薦めします。

    冗長なデータベース・インスタンスを設定して、高可用性を実現できます。Oracle RACおよびOracle Database Exadata Cloud Serviceデータベース・システムの場合、アプリケーション・サブネットから受信されるリクエストは、データベース・サーバー間でロード・バランシングされます。一方のデータベース・インスタンスが使用できなくなった場合、もう一方のデータベース・インスタンスがリクエストを処理します。Oracle Cloud Infrastructure Object Storageを使用すると、Oracle Recovery Manager (RMAN)を使用してJD Edwards EnterpriseOneデータベースをバックアップできます。JD Edwards EnterpriseOneデータベースをOracle Cloud Infrastructure Object Storageにバックアップまたはパッチ適用するには、DBシステムのVCNがサービス・ゲートウェイまたはインターネット・ゲートウェイで構成されている必要があります。バックアップおよびパッチ適用には、インターネット・ゲートウェイではなくサービス・ゲートウェイを使用することをお薦めします。

    セキュリティ・リストを使用して、要塞ホスト、アプリケーション層およびオンプレミス・サーバーからデータベース・サーバーへのアクセスのみを制限します。ポート22、要塞ホストおよびポート1521を介してのみ通信が行われるようにセキュリティ・リストを設定できます。また、インターネットを介してデータベース・システムにアクセスできないことを確認してください。

Oracle Cloud Infrastructure Object Storageを使用して、プレゼンテーション層および中間層のインスタンスをバックアップできます。

障害時リカバリを使用したJD Edwards EnterpriseOneのデプロイのアーキテクチャ

このアーキテクチャでは、障害時リカバリを使用したJD Edwards EnterpriseOneアプリケーション・サーバーのデプロイメントを示します。パブリック・サブネット内の要塞およびプライベート・サブネット内の他のすべてのサーバーを含むVCNが表示されます。

本番サーバは2つの異なるリージョンに配置されます。一方のリージョンのサーバーはアクティブ・モードで、もう一方のリージョンのサーバー(障害時リカバリ・リージョン)はスタンバイ・モードです。

アーキテクチャ図では、要塞ホストはパブリック・サブネットにデプロイされ、他のすべてのインスタンスはプライベート・サブネットにデプロイされます。ビジネス要件に基づいて、インスタンスをパブリック・サブネットまたはプライベート・サブネットに配置できます。プライベート・サブネット内のインスタンスには、要塞ホストまたはDRGを介してポート22を介してアクセスできます。DRGと顧客構内機器間の通信を有効にするには、IPSec VPNまたはOracle Cloud Infrastructure FastConnectを使用します。

このアーキテクチャでは、高可用性を確保するために、複数のアプリケーション・インスタンスが複数のフォルト・ドメインにデプロイされます。これにより、可用性ドメインのいずれかが使用できない場合でも、アプリケーションを使用できるようになります。他の可用性ドメイン内の使用可能なアプリケーション・インスタンスは、引き続きリクエストを処理します。

両方のリージョンの要塞ホストはアクティブであり、両方のリージョンに対するSSHリクエストを常に処理できます。オンプレミスのDNSまたは外部DNSサービスは、JD Edwards EnterpriseOneアプリケーションのリクエストを受信します。これらのリクエストは、アクティブなリージョンのロード・バランサでラウンドロビン・ロード・バランシングされます。ロード・バランサは、プレゼンテーション層および中間層のインスタンスにリクエストをルーティングします。中間層のインスタンスは、リクエストを処理のためにアクティブなデータベース・インスタンスにルーティングします。管理層の開発クライアントもデータベースと通信します。管理層のプロビジョニング・サーバーは、すべての層のインスタンスと通信します。

プライマリ・リージョンが使用できない場合は、「障害時リカバリ」リージョンで実行されているデータベース・サーバーに手動でスイッチオーバーし、「障害時リカバリ」リージョンで実行されている要塞ホストまたはロード・バランサの使用を開始する必要があります。

プライベート・サブネット内のデータベースおよびアプリケーション・インスタンスは、サービス・ゲートウェイを使用してOracle Cloud Infrastructureオブジェクト・ストレージにバックアップできます。サービス・ゲートウェイは、インターネットを経由せずにオブジェクト・ストレージへのアクセスを提供します。


jde2.pngの説明が続きます
図jde2.pngの説明

  • 要塞ホスト:要塞ホストは、アプリケーションおよびデータベース・インスタンスにアクセスするためのジャンプ・ホストとして機能するように各リージョンでプロビジョニングできるオプションのコンポーネントです。両方のリージョンの要塞ホストがアクティブな状態です。

  • ロード・バランサ・インスタンス: Oracle Cloud Infrastructure Load Balancingインスタンスは、アプリケーション・サーバー間でトラフィックを分散します。アクティブ/プライマリ・リージョンのロード・バランサ・インスタンスはアクティブです。JD Edwards EnterpriseOne URLで受信したリクエストは、オンプレミスまたは外部のDNSサービスによってアクティブなリージョンのロード・バランサに送信されます。

  • プレゼンテーション層:プレゼンテーション層には、高可用性を実現するためのApplication Interface Services (AIS)およびJava Application Server (JAS)の冗長インスタンスが含まれています。これらのサーバーは、中間層のサーバーと通信します。すべてのインスタンスはアクティブで、ロード・バランサからトラフィックを受信します。各インスタンスは、ブロック・ストレージ・ボリュームに関連付けられます。この層には、JD Edwards EnterpriseOneと外部システム間の統合の作成に使用できるコンポーネントも含まれています。実装には、これらのコンポーネントを1つ以上含めることができます。

  • 中間層:中間層には、ロジック・サーバーとバッチ・サーバーが含まれます。これらは直接ロード・バランシングされませんが、プレゼンテーション層のサーバーとの1対1マッピングがあります。

  • データベース層:両方のリージョンで高可用性データベース・インスタンスを設定します。アクティブ/プライマリ・リージョンで実行されているデータベース・サーバーはアクティブ状態です。各リージョンでは、1つのリージョン内で高可用性を確保するために、2つ以上のデータベース・インスタンスが設定されています。アクティブ/プライマリ・リージョンでデータベース・インスタンスが使用できない場合は、「障害時リカバリ」リージョンのデータベース・インスタンスにスイッチオーバーし、「障害時リカバリ」リージョンのロード・バランサを使用して環境へのアクセスを開始します。

    Oracle Active Data Guardを同期モードで使用して、データベースをリージョン間でレプリケートします。

ネットワーク・セキュリティ・グループについて

Oracle Cloud Infrastructureでは、ファイアウォール・ルールはネットワーク・セキュリティ・グループを介して構成されます。層ごとに個別のネットワーク・セキュリティ・グループが作成されます。

セキュリティ・リストを使用して、異なる層間および要塞ホストと外部ホスト間のトラフィックを許可します。セキュリティ・ルールには、層レベルでトラフィックをフィルタするイングレス・ルールおよびエグレス・ルールが含まれます。また、データ転送が許可されている通信ポートに関する情報も含まれます。これらのポート(または場合によっては、セキュリティ・ルールでオープン・ポートを必要とするプロトコル)は、アーキテクチャ図の各ネットワーク・セキュリティ・グループ・ラインに表示されます。

各ネットワーク・セキュリティ・グループはVNICレベルで実施されます。いずれかのリストのルールでトラフィックが許可されている場合(またはトラフィックが追跡されている既存の接続の一部である場合)、データ・パケットの転送が許可されます。ネットワーク・セキュリティ・グループに加えて、iptablesを使用して、インスタンス・レベルで別のセキュリティ・レイヤーを実装します。

パブリック・サブネット内のデプロイメントの場合、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを禁止することで、追加のセキュリティ・レベルを提供できます。カスタム・ネットワーク・セキュリティ・グループを使用して、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを防ぎ、管理目的で要塞ホストからポート22を介したデータベースおよびアプリケーション・ホストへのアクセスを許可します。インターネットからアプリケーションおよびデータベース・インスタンスへのSSHアクセスを有効にしないでくださいが、要塞ホストを含むサブネットからこれらのインスタンスへのSSHアクセスを許可できます。

プライベート・サブネットのインスタンスには、要塞サーバーを介してアクセスできます。

要塞ホストのネットワーク・セキュリティ・グループ

要塞ネットワーク・セキュリティ・グループを使用すると、ポート22を介してパブリック・インターネットから要塞ホストにアクセスできます。

  • インターネットを介したオンプレミス・ネットワークから要塞ホストへのSSHトラフィックを許可するには:

    ステートフル・イングレス:ソースCIDR 0.0.0.0/0およびすべてのソース・ポートから宛先ポート22 (SSH)へのTCPトラフィックを許可します。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    パブリック・インターネット(0.0.0.0/0)ではなく、データ・センターからのみポート22でインターネットを介してアクセスできるように要塞ホストを制限することもできます。これを実現するには、ステートフル・イングレス・ルールでソースCIDRのかわりにエッジ・ルーターIPを0.0.0.0/0として使用します。

  • 要塞ホストからOracle Cloud Infrastructureへのすべてのトラフィックを許可するには:

    ステートフル・エグレス:すべてのソース・ポートからすべての宛先ポートへの宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

要件に基づいて、ネットワーク・セキュリティ・グループに対してルールを追加または削除できます。また、Javaアプリケーション・サーバーおよびアプリケーション・インタフェース・サービス・サーバーにアクセスするポートを指定します。

管理層のネットワーク・セキュリティ・グループ

  • ステートフル・イングレス: VCNのソースCIDRブロックおよび任意のソース・ポートからの宛先ポート22 (SSH)でのTCPトラフィックを許可します。

  • ステートフル・イングレス: TCP上のVCNのソースCIDRブロック、ソース・ポート= all、宛先ポート= 445、5985、14501 -14510、3000、8998 -8999、5150

  • ステートフル・エグレス:すべてのトラフィックを許可します。

ロード・バランサ層のネットワーク・セキュリティ・グループ

アーキテクチャには、プライベート・サブネットに配置されるプライベート・ロード・バランサが含まれます。ロード・バランサ・インスタンスをパブリック・サブネットに配置すると、インターネットからロード・バランサ・インスタンスへのトラフィックが許可されます。

  • ステートフル・イングレス: TCP上のVCNおよびオンプレミス・ネットワークのソースCIDRブロック、ソース・ポート=すべて、宛先ポート=ロード・バランサ・インスタンスでリスナーを作成したポート

  • ステートフル・エグレス:すべてのトラフィックを許可します。

プレゼンテーション層のネットワーク・セキュリティ・グループ

  • オンプレミス環境およびVCNからプレゼンテーション層サブネットへのトラフィックを許可するには:

    ステートフル・イングレス: TCP上のVCNおよびオンプレミス・ネットワークのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 14501 -14510、5150、Weblogic管理サーバー・ポート、Webサーバー・ポート

  • ステートフル・イングレス: TCP上のVCNのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 22 (SSH)

  • プレゼンテーション層サブネットから中間層サブネットへのトラフィックを許可するには:

    ステートフル・エグレス: TCP上のソース0.0.0.0/0、ソース・ポート=すべて、宛先ポート=すべて

また、Java Application ServerおよびApplication Interface Servicesサーバーへのアクセスに使用するポートと、Oracle Business Intelligence Publisherサーバーへのアクセスに使用するポートを指定します。

中間層のネットワーク・セキュリティ・グループ

  • オンプレミス環境およびVCNから中間層サブネットへのトラフィックを許可するには:

    ステートフル・イングレス: TCP上のVCNおよびオンプレミス・ネットワークのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 6017 -6023、14502 -14510、5150

  • ステートフル・イングレス: TCP上のVCNのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 22 (SSH)

  • 中間層サブネットからプレゼンテーション層サブネットへのトラフィックを許可するには:

    ステートフル・エグレス: TCP上のソース0.0.0.0/0、ソース・ポート=すべて、宛先ポート=すべて

データベース層のセキュリティ・リスト

  • 要塞ホストからデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: TCP上の要塞ホストのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 22

  • 中間層からデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: TCP上の中間層のソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 1521

  • オンプレミス環境およびVCNからプレゼンテーション層サブネットへのトラフィックを許可するには:

    ステートフル・イングレス: TCP上のVCNのソースCIDRブロック、ソース・ポート=すべて、宛先ポート= 14502 -14510、5150

  • データベース層から中間層へのトラフィックを許可するには:

    ステートフル・エグレス: TCP上の宛先0.0.0.0/0、ソース・ポート=すべて、宛先ポート=すべて