Oracle Cloud InfrastructureへのOracle Siebel CRMのデプロイについて
Oracle Siebel CRM 19.x以上をOracle Cloud Infrastructureにプロビジョニングする場合、またはSiebel CRM環境をデータ・センターからOracle Cloud Infrastructureに移行する場合は、開発環境およびテスト環境に対して、マルチホストでセキュアな高可用性トポロジを計画できます。
Oracle Cloud Infrastructureでのデプロイメントに関する考慮事項
Oracleでは、要塞ホスト、データベース、アプリケーション、ロード・バランサ・インスタンスなど、インスタンスに個別のサブネットを作成して、適切なセキュリティ要件を様々なサブネットにまたがって実装できるようにすることをお薦めします。
プライベート・サブネットまたはパブリック・サブネット
インターネットからのインスタンスへのアクセスを許可するかどうかに基づいて、プライベート・サブネットまたはパブリック・サブネットにインスタンスを作成できます。パブリック・サブネットで作成したインスタンスにはパブリックIPアドレスが割り当てられ、インターネットからこれらのインスタンスにアクセスできます。プライベート・サブネットで作成されたインスタンスにパブリックIPアドレスを割り当てることはできません。したがって、インターネットを介してこれらのインスタンスにアクセスすることはできません。
次の図は、パブリックおよびプライベート・サブネットを含む仮想クラウド・ネットワーク(VCN)を示しています。VCNには2つの可用性ドメインがあり、各可用性ドメインにはパブリック・サブネットとプライベート・サブネットが含まれます。Webサーバーは、このイメージのパブリック・サブネットに配置されるため、各Webサーバー・インスタンスにはパブリックIPアドレスがアタッチされています。インターネット・ゲートウェイ(IGW)を介した通信を有効にすることで、インターネットからパブリック・サブネット内のこれらのOracle Cloudインスタンスにアクセスできます。IGWとの間のトラフィックを有効にするには、ルート表を更新する必要があります。インターネットからのWebサーバーへのトラフィックを許可するには、パブリック・サブネットにロード・バランサを作成する必要があります。インターネットからインスタンスにアクセスするには、パブリック・サブネットに要塞ホストを作成し、IGWから要塞ホストにアクセスする必要もあります。
データベース・サーバーは、このイメージのプライベート・サブネットに配置されます。動的ルーティング・ゲートウェイ(DRG)を介して接続することで、データ・センターからプライベート・サブネット内のOracle Cloudインスタンスにアクセスできます。DRGは、オンプレミス・ネットワークをクラウド・ネットワークに接続します。DRGと顧客のオンプレミス機器間の通信を有効にするには、IPSec VPNまたはOracle Cloud Infrastructure FastConnectを使用します。また、DRGとの間のトラフィックを有効にするためにルート表を更新する必要もあります。
図public_private_subnets_jde.pngの説明
シナリオ1: プライベート・サブネットへのすべてのインスタンスのデプロイ
Oracleでは、インターネットに直接接続されているエンドポイントがない本番環境のすべてのインスタンスをプライベート・サブネットにデプロイすることをお薦めします。このタイプのデプロイメントは、既存のデータ・センターの拡張としてクラウドとのハイブリッド・デプロイメントを行う場合に役立ちます。
このデプロイメントでは、アプリケーション・サーバーおよびデータベース・サーバーを含むすべてのインスタンスがプライベート・サブネットにデプロイされます。パブリックIPアドレスをプライベート・サブネットで作成されたインスタンスに割り当てることはできないため、インターネットを介してこれらのインスタンスにアクセスできません。この構成でオンプレミス環境からアプリケーション・サーバーにアクセスするには、次の操作を行います。
-
アプリケーション・サーバーをプロビジョニングする前に、データ・センターとOracle Cloud Infrastructure DRGの間のIPSec VPNトンネルを構成します。
-
この構成で要塞ホストを作成し、要塞ホストからプライベート・サブネット内のすべてのサーバーにアクセスします。
シナリオ2: パブリック・サブネットおよびプライベート・サブネットへのインスタンスのデプロイ
パブリック・サブネットにはいくつかのインスタンス、プライベート・サブネットにはいくつかのインスタンスをデプロイできます。このタイプのデプロイメントは、デプロイメントにインターネット接続エンドポイントおよびインターネット接続以外のエンドポイントが含まれる場合に役立ちます。
この構成では、一部のアプリケーション・インスタンスがパブリック・サブネットに配置され、その他がプライベート・サブネットに配置されます。たとえば、内部ユーザーにサービスを提供するアプリケーション・インスタンスと、外部ユーザーにサービスを提供する別のアプリケーション・インスタンスのセットがあるとします。このシナリオでは、内部トラフィックを処理するアプリケーション・インスタンスをプライベート・サブネットに配置し、外部トラフィックを処理するアプリケーション・サーバーをパブリック・サブネットに配置します。外部トラフィックを提供するアプリケーション・サーバーをパブリック・サブネットに配置するかわりに、インターネットに直接接続しているアプリケーション・インスタンスにパブリック・ロード・バランサを設定することもできます。要塞ホストをパブリック・サブネットに配置すると、要塞ホストにパブリックIPアドレスが割り当てられ、インターネット経由でアクセスできます。プライベート・サブネット内のインスタンスには、要塞サーバーを介してアクセスできます。
シナリオ3: パブリック・サブネット内のすべてのインスタンスのデプロイ
Oracleでは、迅速なデモンストレーションや、内部エンドポイントのない本番グレードのデプロイメントのために、このデプロイメントをお薦めします。このデプロイメントは、独自のデータ・センターがないか、VPNを介してインスタンスにアクセスできず、インターネット経由でインフラストラクチャにアクセスする必要がある場合にのみ適しています。
このデプロイメントでは、アプリケーションおよびデータベース・インスタンスを含むすべてのインスタンスがパブリック・サブネットにデプロイされます。
パブリック・サブネット内のすべてのインスタンスに、パブリックIPアドレスがアタッチされています。パブリックIPアドレスを持つインスタンスにはインターネット経由でアクセスできますが、セキュリティ・リストおよびセキュリティ・ルールを使用してアクセスを制限できます。管理タスクを実行するために、Oracleでは、この構成に要塞ホストを配置することをお薦めします。このシナリオでは、パブリック・インターネットへの管理ポートをオープンするのではなく、要塞ホストに対してのみ管理ポートをオープンし、セキュリティ・リストおよびセキュリティ・ルールを設定して、インスタンスが要塞ホストからのみアクセスできるようにします。
アンチアフィニティ
Oracle Cloud Infrastructure上の可用性ドメインで高可用性のために複数のインスタンスを作成する際、フォルト・ドメインを使用して、インスタンスのアンチアフィニティを実現できます。
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。可用性ドメインごとに3つのフォルト・ドメインが含まれています。フォルト・ドメインを使用すると、1つの可用性ドメイン内の同じ物理ハードウェア上にインスタンスが存在しないようにインスタンスを配置できます。そのため、1つのフォルト・ドメインに影響するハードウェア障害またはOracle Computeハードウェア・メンテナンスは、他のフォルト・ドメイン内のインスタンスに影響しません。フォルト・ドメインを使用することで、予期しないハードウェア障害や計画停止からインスタンスを保護できます。
データベースの高可用性を実現するために、2ノードのOracle Real Application Clusters (Oracle RAC)データベース・システムを作成できます。Oracle RACの2つのノードは、デフォルトで常に個別のフォルト・ドメインに作成されます。したがって、データベース・ノードは同じ物理ホストにも同じ物理ラックにもありません。これにより、基礎となる物理ホストおよびラック・スイッチ障害の最上位からデータベース・インスタンスを保護します。