複数のテナンシ間で複数のOracle E-Business Suite顧客を管理

このリファレンス・アーキテクチャでは、2つの異なるOracle E-Business Suite (EBS)ワークロードをテナンシ間でどのように管理できるかについて説明します。このユース・ケースは、テナンシをまたがる複数の顧客にEBSワークロードを実装しているマネージド・サービス・プロバイダ(MSP)が広く普及しています。MSPは、Oracle Cloud上のEBSのお客様向けにホスティングサービスとアプリケーション管理サービスを提供し、コストと長期的な運用効率を実現します。

また、このシナリオは、一般的にクラウドの顧客を管理するためにテナンシまたはMSP全体で作業する必要がある顧客にとって有用な出発点でもあります。

世界中の何千もの組織がOracle EBSを利用して主要な事業運営を行っています。30年にわたるイノベーションの歴史を基盤として、Oracle EBSでは、機能の進歩、モビリティ、UIの最新化および運用効率に焦点を当ててスイートを提供し、お客様がOracle Cloudのすべての利点を享受できるよう支援しています。Oracle EBSは、今日の進化するビジネス・モデルをサポートし、生産性を高め、最新のモバイル・ユーザーの要求を満たします。

OracleのEBSのお客様は、将来を見据えてクラウド・ソリューションのメリットを検討しているため、成功するために必要な特定のスキルと経験を持つパートナを探すことがよくあります。Oracleのパートナ・エコシステムは、お客様の成功に不可欠です。デルのパートナーは信頼できるアドバイザであり、デモンストレーションされた専門知識とツールを備えており、お客様の成功を促進します。差別化されたサービスをOracleのテクノロジと組み合せることで、Oracleの顧客がビジネス目標を達成できるようになります。Oracle Cloudのソリューションとサービスを利用して、エンドツーエンドのOracle Cloud戦略、コンサルティングおよび実装サービスを提供できます。

ノート:

Oracle Cloud Infrastructure (OCI)のジャーニーを始めたばかりの場合は、OCIでのE-Business Suiteワークロードの移動に関する詳細は、『My Oracle Support (MOS)リファレンス』の「Getting Started with Oracle E-Business Suite on Oracle Cloud Infrastructure、 Doc ID 2517025.1」を参照してください。詳細は、「Explore More」のトピックを参照してください。

アーキテクチャ

このリファレンス・アーキテクチャは、テナンシAとテナンシBの2つのテナンシで構成されています。テナンシAには、顧客AのEBSワークロード用に1つのVCNとMSP用に2つ目のVCNが含まれます。テナンシBには、顧客BのEBSワークロードを含む単一のVCNがあります。

顧客Aのワークロードは、高可用性を提供するアプリケーションの複数のインスタンスを含むアプリケーション層で構成されます。使用されるデータベースは、仮想マシン(VM)上のOracle Base Database Service (単一ノード・データベース・システム)です。

Customer- Aの場合、内部ゾーン(プライベートサブネット)と外部ゾーン(パブリックサブネット)の両方が構成されます。内部ユーザーは、Dynamic Routing Gateway (DRG)を介してVCN内のプライベート・ゾーンにアクセスできます。プライベート・ロード・バランサは、トラフィックを内部ゾーンのアプリケーション・ノードに送ります。パブリック・ロード・バランサを使用すると、外部ユーザー・リクエストをインターネット・ゲートウェイ(IGW)によってDMZに渡すことができます。データベースはプライベート・サブネットにデプロイされます。

顧客Bのワークロードは、アプリケーション層とデータベース層の両方がプライベート・サブネットにデプロイされる仮想マシン(VM)上にOracle Base Database Service (単一ノード・データベース・システム)を持つ単一のアプリケーション層で構成されます。

マネージド・クラウド・サービスを顧客Aと顧客Bの両方に提供するには、VCN間通信が必要です。この参照アーキテクチャでは、リモート・ピアリング接続(RPC)を使用して、VCN間通信を有効にします。ピアリングでは、トラフィックをインターネット経由またはオンプレミス・ネットワーク経由でルーティングすることなく、プライベートIPアドレスを使用して、VCNのリソースが通信できます。RPCは、VCNにアタッチされたDRG上に作成するコンポーネントです。その仕事は、リモート・ピア接続されたVCNの接続ポイントとして機能することです。VCN構成の一部として、各管理者がVCNでDRGのRPCを作成する必要があります。1つのDRGには、VCNに対して確立するリモート・ピアリングごとに別々のRPCが必要です(テナンシ当たりのRPCの最大数は10)。

• MSPのDRGには、顧客ごとに1つずつ、2つのRPC接続があります(顧客Aの場合はRPC-1、顧客Bの場合はRPC-2)。
• 顧客Aには1つのRPC接続(RPC-3)があり、顧客Bには1つのRPC接続(RPC-4)があります。
• RPC-1は顧客AのRPC-3に接続され、RPC-2は顧客BのRPC-4に接続されています。

次の図は、このリファレンス・アーキテクチャを示しています。

図deploy- ebs- multi- tenancies.pngの説明

deploy- ebs- multi- tenancies- oracle.zip

アーキテクチャには次のコンポーネントがあります。

• テナント

  OCIにサインアップすると、Oracleは会社のテナンシを作成します。これは、クラウド・リソースを作成、編成および管理できるOCI内のセキュアで分離されたパーティションです。

• リージョン

  OCIリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的な領域です。リージョンは他のリージョンから独立しており、巨大な距離は(国全体または大陸にわたって)分離できます。

• コンパートメント

  コンパートメントは、OCIテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成し、リソースへのアクセスを制御して、使用割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。

• 可用性ドメイン(AD)

  可用性ドメインは、リージョン内の独立したスタンドアロン・データ・センターです。各アベイラビリティ・ドメインの物理リソースは、フォルト・トレランスを提供する他のアベイラビリティ・ドメインのリソースから分離されます。アベイラビリティ・ドメインは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャを共有しません。そのため、1つの可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響しない可能性があります。

• フォルト・ドメイン

  フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャのグループです。各アベイラビリティ・ドメインに3つのフォルト・ドメインがあり、電源とハードウェアが独立しています。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは、フォルト・ドメイン内の物理サーバーの障害、システム・メンテナンスおよび電源障害を許容できます。

• Virtual Cloud Network (VCN)およびサブネット

  VCNは、OCIリージョンに設定する、カスタマイズ可能なソフトウェア定義ネットワークです。従来のデータ・センター・ネットワークと同様に、CNはネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

• Load Balancer (LB)

  OCI Load Balancingサービスは、単一のエントリ・ポイントからバックエンド内の複数のサーバーへの自動トラフィック分散を提供します。

• セキュリティ・リスト

  セキュリティ・リストは、コンピュート・インスタンスの仮想ファイアウォールとして機能します。セキュリティ・リストは、セキュリティ・リストが関連付けられているサブネット内のすべてのVNICに適用されるイングレス(インターネットから開始される接続)およびエグレス(VCN内から開始される接続)のセキュリティ・ルールのセットで構成されます。

• ルート テーブル(RT)

  仮想ルート表には、サブネットからのトラフィックをVCN外部の宛先にルーティングするルールが含まれ、通常はVCN外部のゲートウェイ(インターネット、オンプレミス・ネットワーク、ピアリングされたVCNなど)を介してトラフィックをルーティングします。

• Service Gateway(SG)

  サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracle Servicesへのトラフィックは、Oracleネットワーク・ファブリックを介し、インターネットを通過することはありません。

• インターネット・ゲートウェイ(IGW)

  インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネットの間のトラフィックを許可するためにVCNに追加できるオプションの仮想ルーターです。

• Dynamic Routing Gateway(DRG)
  DRGは、VCNとリージョン外のネットワーク間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。たとえば、別のOCIリージョン内のVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダ内のネットワークなどです。DRGの新しい機能拡張により、次のリソースをアタッチできるようになりました。

  • VCN
  • RPC
  • サイト間VPN IPSecトンネル
  • OCI FastConnect仮想回線

  各添付には一意のルート表が付属しており、これにより、添付間のトラフィックをルーティングするポリシーを定義できます。この機能強化により、より複雑なネットワーク・トポロジおよびルーティングへの接続と通信が簡素化されます。このリファレンス・アーキテクチャでは、ハブおよびスポーク・ネットワーク・トポロジを使用します。これにより、ハブVCN内のネットワーク仮想アプライアンスであるPalo Altoを使用して、顧客のオンプレミス・ネットワークとアプリケーション・ワークロード・スポークVCNの間のトラフィックをフィルタまたは検査できます。
• オブジェクト・ストレージ

  オブジェクト・ストレージでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、シームレスにストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、ほとんどアクセスしないコールド・ストレージには、アーカイブ・ストレージを使用します。

• FastConnect(FC)

  Oracle Cloud Infrastructure FastConnectは、データ・センターとOCIとの専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、インターネットベースの接続に比べて、高帯域幅のオプションと信頼性の高いネットワーキングエクスペリエンスを提供します。

• バーチャル・サーキット(VC)

  仮想回線は、1つ以上の物理ネットワーク接続上で動作するlayer-2またはlayer-3イーサネットVLANで、ネットワークのエッジにあるルーターとOracleルーター間の単一の論理接続を提供します。各仮想回線は、顧客とOracle、およびOracle FastConnectパートナ(Oracle FastConnectパートナを介して接続している場合)の間で共有される情報で構成されています。プライベート仮想回線はプライベート・ピアリングをサポートしますが、パブリック仮想回線はパブリック・ピアリングをサポートします。

• E-Business Suiteアプリケーション層

  Oracle E-Business Suiteアプリケーションは、サーバーおよびファイル・システムで構成されます。このリファレンス・アーキテクチャでは、Customer- Aに対して、複数のアプリケーション層ノードおよびコンテナとともにアプリケーションにデプロイされます。Oracle E-Business Suiteアプリケーション層を複数のノードとともにデプロイする場合は、共有または非共有のいずれかのアプリケーション層ファイル・システムを使用できます。このアーキテクチャは共有アプリケーション層ファイル・システムを採用しているため、ディスク領域要件が軽減され、環境内の各ノードにパッチを適用する必要がなくなります。

• Oracle E-Business Suiteデータベース層

  このリファレンス・アーキテクチャでは、どちらの顧客もOCIのBase Database Serviceを使用しています。このサービスを使用すると、Oracleによって管理されるOracle DatabaseとOCIの統合機能を活用しながら、データを完全に制御できます。

推奨事項

OCIでE-Business Suiteを操作する場合、実装によって異なる可能性があるが、次の推奨事項が役立つことがあります。

• VCN

  VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。

  プライベート接続を設定する他のネットワーク(OCI、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。

  VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。

  Oracleでは、より柔軟であるため、リージョナル・サブネットの使用をお薦めします。それにより、アベイラビリティ・ドメインの障害を考慮しながら、効率的にVCNをサブネットに分割できます。

• セキュリティ

  OCIテナンシのセキュリティ状態を強化するために、Oracleではクラウド・ガードおよびセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンを作成する前に、クラウド・ガードを有効にする必要があります。クラウド・ガードは、セキュリティ・ゾーンの前に作成された既存のリソースのポリシー違反を検出するのに役立ちます。

  クラウド・ガード

  クラウド・ガードは、顧客がOracle Cloudで強力なセキュリティ・ポスチャをモニター、識別、実現および維持するのに役立つクラウドネイティブ・サービスです。このサービスを使用して、構成に関連するセキュリティの弱点についてOCIリソース、およびリスクのあるアクティビティのためにOCIオペレータとユーザーを確認します。検出時、クラウド・ガードは、構成に基づいて修正処理を提案、支援または実行できます。次のリストに、クラウド・ガードの計画を開始するために知っておく必要があることをまとめます。
  • ターゲット: クラウド・ガードでチェックする対象の範囲を定義します。ターゲット内のすべてのコンパートメントは同じ方法でチェックされ、検出された問題を処理するために同じオプションを使用します。
  • ディテクタ: アクティビティまたは構成に基づいて、潜在的なセキュリティの問題を識別するチェックを実行します。問題を識別するために従うルールは、ターゲット内のすべてのコンパートメントで同じです。
  • レスポンダ: 検出者が問題を識別したときにクラウド・ガードが実行できるアクションを指定します。識別した問題を処理する方法のルールは、ターゲット内のすべてのコンパートメントで同じです。

  セキュリティ・ゾーン

  最大限のセキュリティを必要とするリソースの場合、Oracleではセキュリティーゾーンを使用することをお勧めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくセキュリティ・ポリシーのOracle定義レシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースは、パブリック・インターネットからアクセスできず、顧客管理キーを使用して暗号化する必要があります。

  セキュリティ・ゾーンでリソースを作成および更新すると、OCIはセキュリティ・ゾーン・レシピのポリシーに対する操作を検証し、いずれかのポリシーに違反する操作を拒否します。

• ネットワーク・セキュリティ・グループ(NSG)

  NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGではVCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。

• ロード・バランサの帯域幅

  ロード・バランサの作成時に、固定帯域幅を提供する事前定義済のシェイプを選択するか、帯域幅範囲を設定するカスタム(柔軟性のある)シェイプを指定して、トラフィック・パターンに基づいて帯域幅を自動的にスケーリングできます。どちらの方法でも、ロード・バランサの作成後にいつでもシェイプを変更できます。

• E-Business Suite Cloud Managerツール

  Oracle E-Business Suite Cloud Managerは、OCI上のOracle E-Business Suiteのすべての主要自動化フロー(新しい環境のプロビジョニング、それらの環境でのライフサイクル管理アクティビティの実行、オンプレミスからの環境のリストアなど)を推進するWebベースのアプリケーションです。

  Oracleは、Oracle E-Business SuiteワークロードをOCIに移行しようとするすべてのお客様に、この自動化ツールを使用して、リフト・アンド・シフト、プロビジョニングおよびライフサイクル管理を行うことを強くお勧めします。ただし、現在の自動化製品が特定の要件を満たしていない場合は、手動手順を使用できます。

• Webアプリケーション・ファイアウォール

  Customer- Aのような多くのデプロイメントがあり、顧客は、サプライヤおよびパートナのアプリケーション・モジュールを公開する要件があります。特定のエンド・ユーザーが企業ファイアウォールの外部から接続する必要性もあります。これらの要件を満たすには、非武装ゾーン(DMZ)を介して特定のアプリケーション・エンドポイントをインターネットに公開する必要があります。Webクライアント/ブラウザおよびサーバーは、HTTP、HTTPS、FTPなどのプロトコルを介して通信し、悪意のあるアクターは、これらのプロトコルの使用方法における脆弱性を悪用する可能性があります。

  プロトコルは、プロトコルスタックのさまざまなレイヤーにあります。Webエクスプロイトはアプリケーション・レイヤー(レイヤー7)で発生しますが、パケット・フラッディング(データ・リンク・レイヤー)またはSYNフラッディング(ネットワーク・レイヤー)を介して他のレイヤーに影響する可能性があります。ただし、アプリケーション・レイヤーのWebエクスプロイトは、Webサーバー上のネットワーク・レイヤー攻撃よりも一般的になっています。これらのWebエクスプロイト(SQLインジェクション、クロスサイト・スクリプティング、セキュリティ構成ミスなど)は、処理されない場合、セキュリティが損なわれ、アプリケーションの可用性に影響を与える可能性があります。OCIのWeb Application Firewall (WAF)を使用すると、悪質な可能性があるトラフィックをモニターおよびフィルタして、エンドポイントのセキュリティを強化できます。クラウドベースのPayment Card Industry (PCI)準拠のグローバル・セキュリティ・サービスであり、悪意のある望ましくないインターネット・トラフィックからアプリケーションを保護します。

詳細の参照

複数のテナンシ間でのOracle E-Business Suiteのデプロイについてさらに学習します。

次の追加リソースを確認します。

• 製品および製品関連のドキュメント:
  • Oracle Cloud Infrastructureのベスト・プラクティス・フレームワーク
  • Palo Alto Networks FirewallとExadata Cloud ServicesによるOracle E-Business Suiteのデプロイ
  • Oracle E-Business Suite Cloud Managerガイド
  • Dynamic Routing Gateways(DRG)
  • 拡張DRGの基本的なルーティング・シナリオ
  • Oracle E-Business SuiteでのOCI WAF (Web Application Firewall)の使用
  • Web Application Firewallの概要
• My Oracle Support Notes:
  • Oracle Cloud InfrastructureでのOracle E-Business Suiteの開始(Doc ID 2517025.1)
  • Oracle Cloud InfrastructureでOracle E-Business SuiteをプロビジョニングするためにOracle E-Business Suite Cloud Managerで使用される標準(Doc ID 2656874.1)
  • DMZでのOracle E-Business Suiteリリース12.2の構成(ドキュメントID 1375670.1)
  • DMZでのOracle E-Business Suite R12構成(ドキュメントID 380490.1)

承認

作成者: Madhusri Bhattacharya