Oracle Integrationを使用したE-Business SuiteとFinancials Cloudの接続
Oracle E-Business Suiteをクラウドに移行すると、多くの機会が得られ、他のクラウド・サービスを最新化して統合できます。多くの場合、これらのプロジェクトは、より多くの機能およびビジネス・プロセスを追加する新しいSaaSアプリケーションの採用に関連しています。
Oracle Integrationは、強力なアダプタ・セットを備えたOracle Cloudリージョン・サービスであり、Oracle E-Business Suite、クラウド・サービスとテクノロジ、およびOracle Financials CloudとしてのSaaSアプリケーションの接続性と統合を提供します。このアーキテクチャは、Oracle Integrationを使用してOracle Cloud Infrastructure (OCI)上のEBSインスタンスをOracle Financials SaaSに接続するためのトポロジを示します。
アーキテクチャ
このアーキテクチャでは、Oracle Integrationを使用して構築された統合とともに、OCIリージョン内の単一の可用性ドメインでのOracle E-Business Suiteのデプロイメントを示します。Oracle Integrationは、Oracle Integration Connectivity AgentとともにデプロイされたOracle E-Business Suite Adapterを使用してOracle E-Business Suiteに接続されます。
アーキテクチャには2つのコンパートメントが含まれており、どちらもOracleのセキュリティ・ベスト・プラクティスに基づいて最大のセキュリティを提供するためにCloud Guardが有効になっています。また、データベース・システムおよび自律型データベースのプライベート・エンドポイントがデプロイされるコンパートメントは、セキュリティ・ゾーン・コンパートメントです。
各コンパートメントには、ローカル・ピアリング・ゲートウェイを介して接続され、両者間のネットワーク・トラフィックを可能にする仮想クラウド・ネットワーク(VCN)が含まれています。コンポーネントは、高可用性を提供するために異なるサブネットおよびフォルト・ドメインにあります。データベースは要塞ホストを介してのみアクセスされ、アプリケーション仮想マシン(VM)はロード・バランサを介してアクセスされます。OCIのプライベート・サブネットにデプロイされているデータベースおよびアプリケーション・インスタンスは、サービス・ゲートウェイを使用してOCIオブジェクト・ストレージにバックアップされます。サービス・ゲートウェイは、インターネットを横断せずにオブジェクト・ストレージへのアクセスを提供します。自動およびオンデマンド・データベース・バックアップ機能を使用して、アプリケーションおよびデータベースをバックアップできます。
ネットワーク・アドレス変換(NAT)ゲートウェイを使用して、プライベート・サブネット内のアプリケーション・インスタンスからインターネットへのアウトバウンド接続を有効にし、パッチをダウンロードしてオペレーティング・システムおよびアプリケーションの更新を適用します。NATゲートウェイを使用すると、プライベート・サブネットのホストはインターネットへの接続を開始してレスポンスを受信できますが、インターネットから開始されたインバウンド接続を受信することはできません。
次の図は、この参照アーキテクチャを示しています。
図ebs_integration_erp-1.pngの説明
アーキテクチャには、次のコンポーネントがあります。
- 顧客構内機器(CPE)
CPEは、オンプレミス・データ・センターとOCIのVCN間のVPN接続またはOCI FastConnectインターコネクトのオンプレミス・エンドポイントです。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立しており、広大な距離を(複数の国または複数の大陸にまたがる)分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャを共有しません。したがって、あるアベイラビリティ・ドメインでの障害が、リージョン内の他のアベイラビリティ・ドメインに影響を及ぼすことはほとんどありません。
- フォルト・ドメイン
フォルト・ドメインは、アベイラビリティ・ドメイン内のハードウェアおよびインフラストラクチャのグループです。各可用性ドメインには、独立した電源とハードウェアを持つ3つのフォルト・ドメインがあります。複数のフォルト・ドメインにリソースを分散する場合、アプリケーションでは、フォルト・ドメイン内の物理サーバー障害、システム・メンテナンスおよび電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定するカスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNではネットワーク環境を完全に制御できます。VCNには、VCNの作成後に変更できる複数の重複しないCIDRブロックを含めることができます。VCNは、リージョンまたは可用性ドメインにスコープ指定できるサブネットにセグメント化できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。
- 要塞ホスト
要塞ホストは、クラウド外部からトポロジへのセキュアで制御されたエントリ・ポイントとして機能するコンピュート・インスタンスです。要塞ホストは通常、非武装地帯(DMZ)でプロビジョニングされます。これにより、クラウドの外部から直接アクセスできないプライベート・ネットワークに機密リソースを配置することで、機密リソースを保護できます。トポロジには、定期的に監視および監査できる単一の既知のエントリ・ポイントがあります。したがって、トポロジのより機密性の高いコンポーネントへのアクセスを損なうことなく、公開を回避できます。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成し、リソースへのアクセスを制御し、使用量割当て制限を設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、リソースにアクセスできるユーザーおよびリソースが実行できるアクションを指定するポリシーを定義します。
- クラウド・ガード
Oracle Cloud Guardを使用して、Oracle Cloud Infrastructureのリソースのセキュリティを監視および維持できます。Cloud Guardは、定義可能なディテクタ・レシピを使用して、リソースにセキュリティ上の弱点がないかどうかを調べ、オペレータおよびユーザーのリスクのあるアクティビティを監視します。構成の誤りやセキュアでないアクティビティが検出されると、Cloud Guardは修正処理を推奨し、定義可能なレスポンダ・レシピに基づいてそれらの処理の実行を支援します。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、VCNとリージョン外のネットワーク(別のOracle Cloud InfrastructureリージョンのVCN、オンプレミス・ネットワーク、別のクラウド・プロバイダのネットワークなど)との間のプライベート・ネットワーク・トラフィックのパスを提供する仮想ルーターです。
- ファイル・ストレージ
Oracle Cloud Infrastructure File Storage Serviceでは、永続的でスケーラブルな、エンタープライズ規模のネットワーク・ファイル・システムを提供します。VCNのベア・メタル、仮想マシンまたはコンテナ・インスタンスからファイル・ストレージ・サービスのファイル・システムに接続できます。また、Oracle Cloud Infrastructure FastConnectおよびIPSec VPNを使用してVCNの外部からファイル・システムにアクセスすることもできます。
- オブジェクト・ストレージ
オブジェクト・ストレージを使用すると、データベース・バックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツを含む、あらゆるコンテンツ・タイプの大量の構造化データおよび非構造化データにすばやくアクセスできます。迅速かつ頻繁にアクセスする必要がある「ホット」ストレージには、標準ストレージを使用します。長時間保持し、ほとんどまたはほとんどアクセスしないコールド・ストレージには、アーカイブ・ストレージを使用します。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、バックエンドの複数のサーバーに対して、単一のエントリ・ポイントから自動トラフィック分散を提供します。
- VM DBシステム
Oracle VM Database Systemは、仮想マシン上のフル機能のOracleデータベースの構築、スケーリングおよび管理を可能にするOracle Cloud Infrastructure (OCI)データベース・サービスです。VMデータベース・システムでは、ローカル・ストレージのかわりにOCIブロック・ボリューム・ストレージを使用し、Oracle Real Application Clusters (Oracle RAC)を実行して可用性を向上させることができます。
- NATゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースは、着信インターネット接続にそれらのリソースを公開せずにインターネット上のホストにアクセスできます。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
- インターネット・ゲートウェイ
インターネット・ゲートウェイでは、VCNのパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- ローカル・ピアリング・ゲートウェイ(LPG)
LPGを使用すると、VCNを同じリージョン内の別のVCNとピア接続できます。ピアリングとは、VCNがプライベートIPアドレスを使用して通信するということです。トラフィックがインターネットを通過したり、オンプレミス・ネットワークを経由してルーティングしたりすることはありません。
- セキュリティ・ゾーン
セキュリティ・ゾーンは、データの暗号化やコンパートメント全体のネットワークへのパブリック・アクセスの防止などのポリシーを強制することで、Oracleのセキュリティのベスト・プラクティスを最初から確実に実施します。セキュリティ・ゾーンは、同じ名前のコンパートメントに関連付けられ、コンパートメントおよびそのサブコンパートメントに適用されるセキュリティ・ゾーン・ポリシーまたはレシピが含まれます。標準コンパートメントをセキュリティ・ゾーン・コンパートメントに追加または移動することはできません。
- 統合
Oracle Integrationは、アプリケーションの統合、プロセスの自動化、ビジネス・プロセスに関するインサイトの取得およびビジュアル・アプリケーションの作成を可能にするフルマネージド・サービスです。
- EBSアダプタとの統合接続性エージェント
VMにデプロイされた統合接続エージェントは、統合をプライベート・サブネット内のリソースに接続します。Oracle IntegrationのOracle E-Business Suiteアダプタは、クラウド内のOracle E-Business Suiteサービスにアクセスするための接続ツールとして機能します。これは、SOAゲートウェイEBS RESTサービス、XMLゲートウェイ、PLおよびSQL API、コンカレント・プログラム、Java API、オープン・インタフェース表およびビュー、カスタム・インタフェースなど、EBS統合サービスの接続性を提供します。
- 財務クラウド
Financials Cloudアプリケーションは、Webサービス、API、ビジネス・オブジェクトおよびパブリッシュ・イベントを公開します。Oracle Integrationに含まれているOracle ERP Cloudアダプタは、統合に関連する具体的な詳細を知らなくてもFinancialsに接続できます。
お薦め
- VCN
VCNを作成する場合、VCNのサブネットにアタッチする予定のリソースの数に基づいて、必要なCIDRブロックの数と各ブロックのサイズを決定します。標準のプライベートIPアドレス空間内にあるCIDRブロックを使用します。
プライベート接続を設定する予定の他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ内)と重複しないCIDRブロックを選択します。
VCNを作成した後、CIDRブロックを変更、追加および削除できます。
サブネットを設計する際には、トラフィック・フローとセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
- ネットワーク・セキュリティ・グループ(NSG)
NSGを使用して、特定のVNICに適用されるイングレス・ルールおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストのかわりにNSGを使用することをお薦めします。
- セキュリティ・ゾーン
最大限のセキュリティを必要とするリソースの場合、Oracleではセキュリティ・ゾーンを使用することをお薦めします。セキュリティ・ゾーンは、ベスト・プラクティスに基づくセキュリティ・ポリシーのOracle定義レシピに関連付けられたコンパートメントです。たとえば、セキュリティ・ゾーン内のリソースにパブリック・インターネットからアクセスできないようにする必要があり、顧客管理キーを使用して暗号化する必要があります。セキュリティ・ゾーンでリソースを作成および更新すると、Oracle Cloud Infrastructureでは、セキュリティ・ゾーン・レシピのポリシーに対して操作が検証され、ポリシーに違反する操作が拒否されます。
- クラウド・ガード
Oracleが提供するデフォルト・レシピをクローニングおよびカスタマイズして、カスタム検出およびレスポンダ・レシピを作成します。これらのレシピを使用すると、警告を生成するセキュリティ違反のタイプと、それらに対して実行できるアクションを指定できます。たとえば、可視性がパブリックに設定されているオブジェクト・ストレージ・バケットを検出できます。
Cloud Guardをテナンシ・レベルで適用して、最も広範な範囲をカバーし、複数の構成を維持する管理上の負担を軽減します。
管理リスト機能を使用して、特定の設定をディテクタに適用することもできます。
注意事項
この参照アーキテクチャをデプロイする場合は、次の点を考慮してください。
- スケーラビリティー
Oracle Integrationインスタンスの作成時に、管理者はインスタンスごとに使用するメッセージ・パックの数を指定します。
- リソース制限
テナンシのベスト・プラクティス、サービス別の制限およびコンパートメント割当てを検討します。
- SECURITY
OCI Identity and Access Management (IAM)ポリシーを使用して、クラウド・リソースにアクセスできるユーザーおよび実行できる操作を制御します。データベース・パスワードまたはその他のシークレットを保護するには、OCI Vaultサービスの使用を検討してください。
- 実績および原価
OCIは、幅広いアプリケーションおよびユースケースに対応するコンピュート・シェイプを提供します。コンピュート・インスタンスのシェイプは慎重に選択してください。負荷に最適なパフォーマンスを最も低いコストで提供するシェイプを選択します。より多くのパフォーマンス、メモリーまたはネットワーク帯域幅が必要な場合は、より大きなシェイプに変更できます。
- 可用性
デプロイメント要件およびリージョンに基づいて高可用性オプションを使用することを検討してください。このオプションには、リージョン内の複数の可用性ドメイン間でのリソースの分散および可用性ドメイン内のフォルト・ドメイン間でのリソースの分散が含まれます。
フォルト・ドメインは、単一の可用性ドメイン内にデプロイされたワークロードに最適なリジリエンスを提供します。アプリケーション層で高可用性を実現するには、異なるフォルト・ドメインにアプリケーション・サーバーをデプロイし、ロード・バランサを使用してアプリケーション・サーバー間でクライアント・トラフィックを分散します。
- モニタリングとアラート
必要に応じてシェイプをスケール・アップまたはスケール・ダウンできるように、ノードのCPUおよびメモリー使用率の監視およびアラートを設定します。