1. Oracle Cloud Infrastructure 상에 Oracle E-Business Suite를 배치하는 방법 학습
  2. Oracle E-Business Suite 토폴로지 이해

Oracle E-Business Suite 토폴로지 이해

Oracle E-Business Suite 배치의 여러 계층에 대해 알아봅니다.

시작하기 전에

Oracle E-Business Suite 애플리케이션 배포 또는 마이그레이션 계획을 시작하기 전에 Oracle Cloud Infrastructure에서 배포할 Oracle E-Business Suite 애플리케이션 버전을 지원하는지 확인합니다. Oracle Cloud Infrastructure는 Oracle E-Business Suite 릴리스 12.2 및 12.1.3을 지원합니다.

논리 호스트 이름 정보

Oracle은 Oracle E-Business Suite 데이터베이스 계층 및 응용 프로그램 계층을 설정할 때 물리적 호스트 이름이 아닌 논리적 호스트 이름을 사용할 것을 권장합니다. 논리 호스트 이름을 사용하면 다음과 같은 이점이 있습니다:

  • 클론 및 재구성을 실행하지 않고 데이터베이스 및 애플리케이션 계층을 다른 시스템 또는 데이터 센터로 이동하는 기능을 제공합니다.

  • 활성 및 대기 사이트에서 동일한 호스트 이름을 사용하여 고가용성을 위해 복구 시 필요한 재구성 양을 줄입니다.

  • 호스트 이름 변경과 같은 네트워크 구성 변경으로 인해 데이터베이스 및 응용 프로그램 계층을 되감거나 다시 로닝하지 마십시오.

배스천 호스트 정보

배스천 호스트는 방화벽 정책과 함께 사용하여 외부 액세스로부터 데이터베이스 및 응용 프로그램 서버의 관리 인터페이스를 보호할 수 있는 선택적 구성 요소입니다. 배스천 호스트는 Linux 또는 Windows를 운영 체제로 사용하는 Oracle Cloud Infrastructure 컴퓨트 인스턴스입니다.

배스천 호스트를 공용 서브넷에 배치하고 인터넷에서 액세스할 공용 IP 주소를 지정합니다.

추가 보안 레벨을 제공하려면 온-프레미스 네트워크의 공용 IP 주소에서만 배스천 호스트에 액세스하도록 보안 목록을 설정할 수 있습니다. 배스천 호스트를 통해 전용 서브넷의 Oracle Cloud Infrastructure 인스턴스에 액세스할 수 있습니다. 이렇게 하려면 ssh-agent 전달을 사용으로 설정하여 배스천 호스트에 연결한 후 컴퓨터에서 자격 증명을 전달하여 다음 서버에 액세스할 수 있습니다. 동적 SSH 터널링을 사용하여 전용 서브넷의 인스턴스에 액세스할 수도 있습니다. SSH 터널링은 웹 응용 프로그램 또는 기타 수신 서비스에 액세스하는 방법입니다. 동적 터널은 로컬 포트에서 SOCKS 프록시를 제공하지만 원격 호스트에서 연결이 시작됩니다.

로드 밸런서 계층 정보

Oracle Cloud Infrastructure Load Balancing를 사용하여 VCN 내의 가용성 도메인 간에 애플리케이션 인스턴스에 트래픽을 분배할 수 있습니다. 이 서비스는 기본 로드 밸런서가 작동 중지될 경우 대기 로드 밸런서가 요청을 전달하도록 로드 밸런서의 기본 및 대기 인스턴스를 제공합니다. 로드 밸런서는 요청이 정상적인 응용 프로그램 인스턴스로 경로 지정되도록 합니다. 응용 프로그램 인스턴스에 문제가 있는 경우 로드 밸런서는 해당 인스턴스를 제거하고 나머지 정상적인 응용 프로그램 인스턴스로 요청 경로 지정을 시작합니다.

요구사항에 따라 공용 또는 전용 서브넷에 로드 밸런서를 배치할 수 있습니다.

  • 인터넷에서 액세스할 수 없는 내부 끝점의 경우 전용 로드 밸런서를 사용하십시오. 전용 로드 밸런서는 전용 IP 주소를 가지며 인터넷에서 액세스할 수 없습니다. 로드 밸런서의 기본 인스턴스와 대기 인스턴스 모두 동일한 전용 서브넷에 상주합니다. DRG를 통해 IPSec VPN을 통해 VCN 또는 데이터 센터의 개인 로드 밸런서에 액세스할 수 있습니다. 전용 로드 밸런서는 데이터 센터의 트래픽을 받아들이고 트래픽을 기본 애플리케이션 인스턴스에 분배합니다.

  • 인터넷 연결 끝점의 경우 공용 로드 밸런서를 사용합니다. 공용 로드 밸런서는 공용 IP 주소를 가지며 인터넷에서 액세스할 수 있습니다. 인터넷에서 인터넷 게이트웨이를 통해 공용 로드 밸런서에 액세스할 수 있습니다.

  • 내부 끝점 및 인터넷 연결 끝점에 액세스하려면 전용 로드 밸런서 및 공용 로드 밸런서를 설정합니다. 내부 트래픽을 처리하도록 전용 로드 밸런서를 설정하고 인터넷의 트래픽을 제공하도록 공용 로드 밸런서를 설정합니다.

애플리케이션 끝점의 도메인 분석을 위해 온-프레미스 또는 공용 도메인 이름 서버(DNS) 에 Oracle Cloud Infrastructure Load Balancing 인스턴스의 공용 또는 전용 IP 주소를 등록합니다.

애플리케이션 계층 정보

애플리케이션 계층은 서브넷에 있으며 로드 밸런서 및 데이터베이스 인스턴스에 대한 서브넷과 구분됩니다. 가용성 도메인의 응용 프로그램 인스턴스에 고가용성이 제공되도록 하려면 가용성 도메인에 응용 프로그램 인스턴스를 두 개 이상 배치해야 합니다.

Oracle E-Business Suite 데이터베이스에서 작동하는 여러 애플리케이션 계층 노드를 사용하여 Oracle E-Business Suite를 배치할 수 있습니다. Oracle은 공유 애플리케이션 바이너리와 함께 Oracle E-Business Suite 다중 계층 설정을 배치할 것을 권장합니다. 공유 응용 프로그램 계층 파일 시스템을 사용하면 Oracle E-Business Suite 응용 프로그램 계층 파일 시스템이 다중 노드 환경의 각 노드와 공유됩니다.Oracle Cloud Infrastructure 파일 저장소를 사용하여 여러 애플리케이션 호스트 간에 Oracle E-Business Suite 애플리케이션 바이너리를 공유하고 동기화하는 공유 파일 시스템을 생성할 수 있습니다. 여러 응용 프로그램 호스트에 대해 공유 파일 시스템을 사용하는 경우 디스크 공간 요구 사항이 줄어들고 환경의 각 응용 프로그램 호스트에 패치를 적용할 필요가 없습니다.

트래픽은 보안 규칙에서 정의한 특정 포트를 통해 로드 밸런서에서 애플리케이션 인스턴스로 흐릅니다. 포트 8000을 통한 로드 밸런서 및 포트 22를 통한 배스천 호스트에서의 트래픽만 허용하도록 보안 규칙을 설정합니다.

Oracle Cloud Infrastructure Block Volumes의 정책 기반 백업 기능을 사용하여 Oracle E-Business Suite 애플리케이션 인스턴스를 백업할 수 있습니다.

데이터베이스 계층 정보

Oracle Cloud Infrastructure는 Oracle Database System(DB 시스템) 을 설정하기 위한 여러 가지 옵션을 제공합니다. DB 시스템을 별도의 서브넷에 배치합니다. Oracle은 Oracle Cloud Infrastructure의 데이터베이스 서비스를 전용 서브넷에 생성할 것을 권장합니다. 보안 목록을 사용하여 배스천 호스트, 애플리케이션 서버 및 온-프레미스 서버에서만 데이터베이스 서버에 대한 액세스를 제한할 수 있습니다.

단일 노드 Oracle 컴퓨트 가상 머신, 단일 노드 가상 머신 DB 시스템, 두 노드 RAC(Oracle Real Application Clusters) 가상 머신 DB 시스템 또는 Oracle Exadata DB 시스템을 사용하여 데이터베이스를 배치할 수 있습니다. 가용성 도메인 내에서 고가용성을 제공하기 위해 Oracle은 2노드 가상 머신 DB 시스템 또는 Oracle Exadata DB 시스템을 사용할 것을 권장합니다. 2노드 가상 머신 DB 시스템 또는 Oracle Exadata DB 시스템은 Oracle RAC를 활용하고 고가용성을 위해 2노드 클러스터를 배치합니다. 두 경우 모두 가용성 도메인에 있는 데이터베이스의 두 인스턴스가 모두 활성 상태입니다. 애플리케이션 계층에서 수신된 요청은 데이터베이스 인스턴스에서 로드 밸런싱됩니다. 하나의 데이터베이스 인스턴스가 작동 중지된 경우에도 다른 데이터베이스 인스턴스는 요청을 처리합니다.

데이터베이스 계층의 경우 포트 22, 배스천 호스트 및 포트 1521을 통해서만 애플리케이션 서버를 통해 통신이 수행되도록 보안 목록을 설정하는 것이 좋습니다. Oracle Cloud Infrastructure Object Storage를 사용하여 RMAN(Oracle Recovery Manager) 을 통해 Oracle E-Business Suite 데이터베이스를 백업할 수 있습니다.

고가용성을 위해  여러 가용성 도메인에 Oracle E-Business Suite를 배치하는 경우 두 가용성 도메인의 데이터베이스 간에 데이터베이스 변경사항을 복제하도록 동기 모드로 Oracle Data Guard 또는 Oracle Active Data Guard를 설정해야 합니다.

보안 목록 정보

Oracle Cloud Infrastructure에서 방화벽 규칙은 보안 목록을 통해 구성됩니다. 각 서브넷에 대해 별도의 보안 목록이 생성됩니다.

Oracle은 적합한 보안 목록이 각 서브넷의 인스턴스에 지정되도록 데이터베이스, 애플리케이션, 로드 밸런서 및 배스천 호스트에 대해 별도의 서브넷을 생성할 것을 권장합니다. 보안 목록을 사용하여 서로 다른 계층 간의 트래픽과 배스천 호스트와 외부 호스트 간의 트래픽을 허용합니다. 보안 목록에는 서브넷 레벨에서 트래픽을 필터링하기 위한 수신 및 송신 규칙이 포함되어 있습니다. 또한 데이터 전송이 허용되는 통신 포트에 대한 정보도 포함되어 있습니다. 이러한 포트(또는 보안 규칙에서 열린 포트가 필요한 프로토콜) 는 아키텍처 다이어그램의 각 보안 규칙 라인에 표시됩니다.

각 보안 목록은 인스턴스 레벨에서 적용됩니다. 하지만 서브넷 레벨에서 보안 목록을 구성하면 특정 서브넷의 모든 인스턴스에 동일한 규칙 집합이 적용됩니다. 각 서브넷에는 여러 보안 목록이 연결될 수 있으며 각 목록에는 여러 규칙이 있을 수 있습니다. 목록의 규칙이 트래픽을 허용하는 경우(또는 트래픽이 추적 중인 기존 연결의 일부인 경우) 데이터 패킷 전송이 허용됩니다. 보안 목록 외에도 iptables를 사용하여 인스턴스 레벨에서 다른 보안 계층을 구현합니다.

공용 서브넷 배치의 경우 인터넷에서 애플리케이션 및 데이터베이스 인스턴스에 액세스하지 못하도록 하여 추가 보안 레벨을 제공할 수 있습니다. 사용자정의 보안 목록을 사용하여 인터넷에서 애플리케이션 및 데이터베이스 인스턴스에 대한 액세스를 방지하고 관리를 위해 배스천 호스트에서 포트 22를 통해 데이터베이스 및 애플리케이션 호스트에 대한 액세스를 허용합니다. 인터넷에서 애플리케이션 및 데이터베이스 인스턴스에 대한 SSH 액세스를 사용으로 설정하지 않지만 배스천 호스트를 포함하는 서브넷에서 이러한 인스턴스에 대한 SSH 액세스를 허용할 수 있습니다.

배스천 서버를 통해 전용 서브넷의 인스턴스에 액세스할 수 있습니다.

배스천 호스트에 대한 보안 목록

배스천 보안 목록을 사용하면 포트 22를 통해 공용 인터넷에서 배스천 호스트에 액세스할 수 있습니다.

  • 인터넷을 통해 온프레미스 네트워크에서 배스천 호스트로 SSH 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 수신: 소스 CIDR 0.0.0.0/0 및 모든 소스 포트에서 대상 포트 22(SSH) 로의 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    공용 인터넷(0.0.0.0/0) 대신 데이터 센터에서만 포트 22의 인터넷을 통해 배스천 호스트에 액세스할 수 있도록 제한할 수도 있습니다. 이를 위해서는 Stateful 수신 규칙에서 소스 CIDR 대신 에지 라우터 IP를 0.0.0.0/0 로 사용하십시오.

  • 배스천 호스트에서 Oracle Cloud Infrastructure 컴퓨트 인스턴스로의 SSH 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 송신: 모든 소스 포트에서 대상 포트 22(SSH) 로의 대상 CIDR 0.0.0.0/0 에 대한 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

로드 밸런서 계층에 대한 보안 목록

아키텍처 다이어그램은 전용 서브넷에 배치된 전용 로드 밸런서를 보여줍니다. 로드 밸런서 인스턴스를 공용 서브넷에 배치하면 인터넷(0.0.0.0/0) 에서 로드 밸런서 인스턴스로의 트래픽이 허용됩니다.

  • 인터넷에서 로드 밸런서로의 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 수신: 소스 CIDR(인터넷) 0.0.0.0/0 및 모든 소스 포트에서 대상 포트 8888(HTTP) 또는 443(HTTPS) 으로의 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • 온-프레미스 네트워크에서 로드 밸런서로의 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 수신: 온-프레미스 네트워크 CIDR 블록 및 모든 소스 포트에서 대상 포트 8888(HTTP) 또는 443(HTTPS) 으로의 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • 로드 밸런서 계층에서 애플리케이션 계층으로의 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 송신: 모든 소스 포트에서 대상 포트 8000(HTTP) 으로 대상 CIDR 0.0.0.0/0 에 대한 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

애플리케이션 계층에 대한 보안 목록

응용 프로그램 계층에 대한 보안 목록은 로드 밸런서 계층에서 응용 프로그램 계층으로의 트래픽을 허용합니다.

  • 배스천 호스트에서 응용 프로그램 계층으로의 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 로드 밸런서 계층에서 응용 프로그램 계층으로의 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • 응용 프로그램 계층의 응용 프로그램 인스턴스 간 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • 애플리케이션 계층에서 데이터베이스 계층으로 그리고 애플리케이션 계층의 애플리케이션 인스턴스 간에 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 송신: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

다중 애플리케이션 계층 구성의 애플리케이션 계층 간 통신의 경우(Oracle E-Business Suite EBS 12.2에만 필요):

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

데이터베이스 계층에 대한 보안 목록

  • 배스천 호스트에서 데이터베이스 계층으로의 트래픽을 허용하려면 다음과 같이 하십시오:

    Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 애플리케이션 계층에서 데이터베이스 계층으로의 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • 데이터베이스 계층에서 애플리케이션 계층으로의 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 송신: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Oracle Cloud Infrastructure Object Storage 로의 데이터베이스 백업을 위해 트래픽을 허용하려면 다음을 수행합니다:

    Stateful 송신:   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    다중 가용성 도메인 아키텍처의 경우 Oracle Active Data Guard의 가용성 도메인 간에 데이터베이스 계층 간 트래픽을 허용하려면 다음과 같이 하십시오:

    • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Oracle Database Exadata Cloud Service 시스템 프로비저닝의 경우 다음 추가 규칙이 필요합니다:

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Stateful 수신: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Stateful 송신: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Stateful 송신: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All