1. Oracle Siebel CRMのOracle Cloud Infrastructureへのデプロイについてご紹介します
  2. Oracle Cloud InfrastructureでのOracle Siebel CRMのアーキテクチャの理解

Oracle Cloud InfrastructureでのOracle Siebel CRMのアーキテクチャの理解

アーキテクチャを計画して、複数の可用性ドメインにOracle Siebel CRMをデプロイし、高可用性を確保できます。可用性ドメイン内のアプリケーションの高可用性は、アプリケーション・インスタンスを別々のフォルト・ドメインに配置することで実現できます。

複数の可用性ドメインにわたる単一リージョンでの高可用性のためのSiebel 19.x以上をデプロイするためのアーキテクチャ

このアーキテクチャでは、複数の可用性ドメイン(AD)にまたがる単一リージョンで高可用性を実現するために、Siebel 19.x以上をデプロイする方法を示します。

複数可用性ドメイン・リージョン(フェニックス、アッシュバーン、ロンドン、フランクフルト)へのデプロイに関心のあるお客様は、1つのリージョン内のAD全体にわたるディザスタ・リカバリを選択できます。

hasing-reg-multi-ad-siebel-19-20-21.pngの説明が続きます
図hasing-reg-multi-ad-siebel-19-20-21.pngの説明

ha-sing-reg-multi-ad-siebel-19-20-21.zip

  • ADをまたぐリージョナル・サブネット(1): リージョナル・サブネットはリージョン全体にまたがり、ADネットワーク障害からの保護、簡略化されたSiebelサービスのデプロイメントおよび管理などの利点を提供します。このアーキテクチャ要塞ホストでは、両方のADのロード・バランサおよびアプリケーション層サーバーがアクティブ状態です。
  • AD間のロード・バランシング(2):パブリック・ロード・バランシングは、すべての構成済ADにトラフィックを分散し、AD障害からの保護を提供します。
  • AD全体でアクティブ/アクティブのSiebel AI Serverコンポーネント(3): AD全体でサポートされているサービスをクラスタ化することで、1つのADで予期せぬ障害から保護できます。
  • AD全体でアクティブ/アクティブのSiebel Serverコンポーネント(4): AD間でサポートされているサービスをクラスタ化することで、1つのADで予期せぬ障害から保護できます。GWYおよびSiebelファイル・システムは、AD全体でアクティブ/パッシブとして表示されます。
  • アベイラビリティ・ドメインをまたがるデータベースDR (5): Data GuardまたはActive Data Guardの使用は、ユース・ケースおよびデータベース・エディションによって異なります。Active Data Guardには、Enterprise Edition– Extreme Performanceが必要です。

複数のリージョンにわたるディザスタ・リカバリのためのSiebel 19.x以上をデプロイするためのアーキテクチャ

このアーキテクチャでは、災害復旧(DR)のためにSiebel 19.x以上を複数のリージョンにデプロイする方法を示します。

1つのリージョンがダウンする可能性が低い場合、複数のリージョンにわたって真のDRを実現できます。

ノート:

このリファレンス・アーキテクチャは、プライマリ・リージョン内のAD全体でサポートされているサービスをクラスタリングする最も堅牢なケースを対象としていますが、DRは単一のADで複数のリージョンにわたって実現できます。新しいOCIリージョンのほとんどは単一のADリージョンとなるため、この点に注意することが重要です。

dr-multi-reg-19-20-21.pngの説明が続きます
図dr-multi-reg-19-20-21.pngの説明

dr-multi-reg-19-20-21.zip

  • リージョン間のVCNピアリング: VCNsは、テナンシ内のリージョン間、またはテナンシ間でも接続できます。接続は、リージョン間のOracleの内部バックボーンを使用して実現されます。2つの異なるADで実行されている2つのアプリケーションがある場合、VCNピアリングによって、それらのアプリケーションは内部的に通信できます。
  • AD間のアクティブ/アクティブ・コンポーネント: AD間でサポートされているサービスをクラスタ化すると、AD障害から保護されます。
  • AD間のロード・バランシング:パブリック・ロード・バランシングは、すべての構成済ADにトラフィックをSiebelサーバーに分散し、ADからの保護を提供します。
  • リージョン間でのアクティブ/パッシブ・アプリケーション・サーバー・コンポーネントの分散:アクティブ/パッシブを使用してAD間でアプリケーション・サーバーを同期する場合は、rsyncを使用します。
  • ADを横断するリージョナル・サブネット:リージョナル・サブネットはリージョン全体にまたがり、ADネットワーク障害に対する自己回復性を実現し、Siebelサービスの導入と管理を簡素化します。
  • AD間でのデータベースDR: Data GuardまたはActive Data Guardの使用は、ユースケースおよびデータベース・エディションによって異なります。Active Data Guardには、Enterprise Edition– Extreme Performanceが必要です。
  • AD間でのストレージ同期:リージョン間のブロック・ボリューム・バックアップは、コンソール、CLI、SDKsまたはREST APIを使用して実行できます。ブロック・ボリューム・バックアップを別のリージョンに定期的にコピーすると、ソース・リージョンでリージョン全体にわたる障害が発生した場合、宛先リージョンでアプリケーションとデータを再構築することが容易になります。アプリケーションを別のリージョンに移行および拡張することも容易です。Object Storageのリージョン間コピーでは、データは同じリージョン内のバケット間または他のリージョン内のバケットにオブジェクトを非同期でコピーします。

ネットワーク・セキュリティ・グループについて

Oracle Cloud Infrastructureでは、ファイアウォール・ルールはネットワーク・セキュリティ・グループを介して構成されます。層ごとに個別のネットワーク・セキュリティ・グループが作成されます。

セキュリティ・リストを使用して、異なる層間、および要塞ホストと外部ホスト間のトラフィックを許可します。セキュリティ・ルールには、層レベルでトラフィックをフィルタするためのイングレス・ルールとエグレス・ルールが含まれます。また、データ転送が許可されている通信ポートに関する情報も含まれています。これらのポート(または場合によっては、セキュリティ・ルールでオープン・ポートを必要とするプロトコル)は、アーキテクチャ図の各ネットワーク・セキュリティ・グループ行に表示されます。

各ネットワーク・セキュリティ・グループはVNICレベルで適用されます。データ・パケットの転送は、いずれかのリストのルールでトラフィックが許可されている場合(またはトラフィックがトラッキング対象の既存の接続の一部である場合)、許可されます。ネットワーク・セキュリティ・グループに加えて、iptablesを使用して、インスタンス・レベルで別のセキュリティ・レイヤーを実装します。

パブリック・サブネット内のデプロイメントの場合、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを防止することで、追加のレベルのセキュリティを提供できます。カスタム・ネットワーク・セキュリティ・グループを使用して、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを防止し、管理目的で要塞ホストからポート22を介してデータベースおよびアプリケーション・ホストへのアクセスを許可します。インターネットからアプリケーションおよびデータベース・インスタンスへのSSHアクセスを有効にしないでください。ただし、要塞ホストを含むサブネットからこれらのインスタンスへのSSHアクセスを許可できます。

プライベート・サブネット内のインスタンスには、要塞サーバーを介してアクセスできます。

要塞ホストのセキュリティ・リスト

要塞セキュリティ・リストを使用すると、要塞ホストにパブリック・インターネットからポート22を介してアクセスできます。

  • インターネット経由でオンプレミス・ネットワークから要塞ホストへのSSHトラフィックを許可するには:

    ステートフル・イングレス: ソースCIDR 0.0.0.0/0およびすべてのソース・ポートから宛先ポート22 (SSH)へのTCPトラフィックを許可します。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    また、パブリック・インターネット(0.0.0.0/0)ではなく、データ・センターからのみポート22でインターネット経由でアクセスできるように要塞ホストを制限することもできます。これを実現するには、ステートフル・イングレス・ルールでソースCIDRのかわりにエッジ・ルーターIPを0.0.0.0/0として使用します。

  • 要塞ホストからOracle Cloud Infrastructure ComputeインスタンスへのSSHトラフィックを許可するには:

    ステートフル・エグレス: すべてのソース・ポートから宛先ポート22 (SSH)への宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

Oracle Cloud Infrastructure Load Balancingインスタンスのセキュリティ・リスト

このアーキテクチャには、プライベート・サブネットに配置されるプライベート・ロード・バランサが含まれています。ロード・バランサ・インスタンスをパブリック・サブネットに配置する場合、インターネット(0.0.0.0/0)からロード・バランサ・インスタンスへのトラフィックを許可します。

  • インターネットからロード・バランサへのトラフィックを許可するには:

    ステートフル・イングレス: ソースCIDR (インターネット) 0.0.0.0/0およびすべてのソース・ポートから宛先ポート80 (HTTP)または443 (HTTPS)へのTCPトラフィックを許可します。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 80 or 443

  • オンプレミス・ネットワークからロード・バランサへのトラフィックを許可するには:

    ステートフル・イングレス: オンプレミス・ネットワークCIDRブロックおよびすべてのソース・ポートから宛先ポート80 (HTTP)または443 (HTTPS)へのTCPトラフィックを許可します

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 80 or 443

  • ロード・バランサ層からアプリケーション・サーバーへのトラフィックを許可するには:

    ステートフル・エグレス: すべてのソース・ポートからすべての宛先ポートへの宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Siebel Web Serverのセキュリティリスト

次のセキュリティ・リストを作成して、ロード・バランサ・インスタンスおよび要塞サーバーからSiebel Webサーバーへのトラフィックを許可します。ロード・バランサ・インスタンスから受信したトラフィックは、アプリケーション層のSiebelアプリケーション・サーバーに転送されます。

  • 要塞ホストからアプリケーション層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • ロード・バランサ層からアプリケーション層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 80 or 443

  • Siebel Webサーバーからアプリケーション層のSiebelサーバーへのトラフィックを許可するには:

    ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

アプリケーション層のセキュリティ・リスト

  • 要塞ホストからアプリケーション層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • SiebelサーバーからSiebel Gateway Name Serverへのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of Siebel application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 2320

  • Siebel WebサーバーからSiebelアプリケーション・サーバーへのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of Siebel web subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 2321

  • エグレス・トラフィックを許可するには:

    ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

データベース層のセキュリティ・リスト

  • 要塞ホストからデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Siebelアプリケーション・サーバーからデータベース層へのトラフィックを許可するには:

    ステートフル・イングレス: Source Type = CIDR, Source CIDR = <CIDR block of siebel application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

  • エグレス・トラフィックを許可するには:

    ステートフル・エグレス: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All