Oracle E-Business Suite 및 Cloud Manager 배치를 위한 랜딩 존 설계에 대해 알아보기
이 솔루션에서는 EBS 작업 로드 배치에 대한 특정 요구 사항을 충족하는 새 테넌시로 랜딩 존을 배포하는 방법에 대해 알아봅니다. 세 가지 다른 Oracle Cloud Infrastructure Resource Manager 스택을 사용하여 이 작업을 수행합니다.
- Oracle E-Business Suite: 랜딩존을 위한 테넌시 관리자 스택(IAM 스택)
- Oracle E-Business Suite: 랜딩존을 위한 네트워크 관리자 스택(네트워크 스택)
- Oracle E-Business Suite: 랜딩존을 위한 클라우드 관리자 배포 스택(CM 스택)
그런 다음 EBS Cloud Manager를 사용하여 이 랜딩 존에 있는 여러 EBS 환경의 마이그레이션, 배포 및 수명 주기 관리를 자동화할 수 있습니다.
구조
다음 아키텍처 다이어그램은 제공된 IAM, 네트워크 및 클라우드 관리자 스택을 사용하여 EBS Cloud Manager를 사용하여 Oracle E-Business Suite를 배포하기 위한 랜딩 존 설정을 보여줍니다.
그림 cis-landing-zone-ebs-arch.png에 대한 설명
- 테넌시 관리자 그룹의 멤버는 테넌시 관리자 스택 또는 IAM 스택의 초기 배치를 실행해야 합니다. IAM 스택을 처음 배치한 후 테넌시 관리자는 각 사용자에 대한 계정을 생성하고 해당 그룹에 IAM 관리자를 추가해야 합니다.
- 그런 다음 IAM 관리자는 나머지 사용자를 그룹에 추가할 수 있습니다.
- 관리자 그룹은 특정 구획에서 감독하는 리소스에 대한 관리 권한을 가집니다. IAM 관리자는 구획, 그룹 및 정책을 포함한 IAM 스택을 관리할 수 있습니다. 또한 이 스택은 암호를 사용하여 스택 간에 구성 정보를 안전하게 전달하는 데 필요한 저장소 및 키 리소스를 만듭니다. IAM 관리자는 IAM 관리자, 네트워크 사용자 및 보안 사용자 그룹에 대한 권한이 필요합니다.
참고:
선택적으로 인증서 관리자 그룹에 포함될 수 있습니다. - 사용자 그룹은 관리자 그룹이 만든 리소스에 액세스할 수 있도록 이러한 리소스에 대한 읽기 또는 제한적인 사용 액세스를 제공합니다.
- 관리자 그룹은 특정 구획에서 감독하는 리소스에 대한 관리 권한을 가집니다. IAM 관리자는 구획, 그룹 및 정책을 포함한 IAM 스택을 관리할 수 있습니다. 또한 이 스택은 암호를 사용하여 스택 간에 구성 정보를 안전하게 전달하는 데 필요한 저장소 및 키 리소스를 만듭니다. IAM 관리자는 IAM 관리자, 네트워크 사용자 및 보안 사용자 그룹에 대한 권한이 필요합니다.
- 네트워크 관리자는 VCN, 서브넷 및 배스천 서비스를 포함한 네트워크 스택을 관리합니다. 서브넷 집합은 각 EBS 환경 범주와 상관됩니다. 이 세트에는 내부 애플리케이션 계층 노드 및 데이터베이스 계층 노드에 대한 전용 서브넷이 필요합니다. 또한 내부 로드 밸런서, 외부 로드 밸런서, 외부 애플리케이션 계층 노드에 대한 전용 서브넷을 포함할 수 있습니다. 배스천, EBS Cloud Manager 앱, 로드 밸런서 및 파일 스토리지 마운트 대상에 대해 추가 공유 서브넷을 한 번 배치할 수 있습니다. 네트워크 관리자는 네트워크 관리자 및 보안 사용자 그룹에 대한 권한이 있어야 합니다.
- 관리자(IAM 또는 클라우드 관리자)는 EBS 클라우드 관리자에 대한 기밀 애플리케이션을 생성해야 합니다. IDCS 애플리케이션 관리자 또는 OCI ID 도메인 애플리케이션 관리자 롤(또는 테넌시 관리자여야 함)에 대한 권한이 필요합니다.
- EBS 클라우드 관리자 관리자는 클라우드 관리자 인스턴스 및 로드 밸런서를 포함하는 클라우드 관리자 스택을 관리합니다. EBS Cloud Manager 관리자는 EBS CM 그룹, 네트워크 사용자 그룹, 보안 사용자 그룹 및 일반 EBS 작업 로드 그룹 또는 특정 EBS 환경 범주 그룹에 대한 권한이 필요합니다.
- EBS 환경 범주 관리자는 Cloud Manager 웹 포털을 사용하여 EBS 환경을 관리할 수 있습니다.
이 구조에는 다음과 같은 구성 요소가 포함됩니다.
- Oracle E-Business Suite Cloud 관리자
Oracle E-Business Suite Cloud Manager는 Linux 기반 환경을 온프레미스에서 마이그레이션하고, 새로운 환경을 프로비저닝하고, 라이프사이클 관리 활동을 수행하는 등 Oracle Cloud Infrastructure(OCI)의 Oracle E-Business Suite에 대한 주요 자동화 흐름을 주도하는 웹 기반 애플리케이션입니다.
- 암호
Oracle Cloud Infrastructure Vault를 사용하면 데이터를 보호하는 암호화 키와 클라우드에서 리소스에 대한 액세스를 보호하는 데 사용하는 비밀 인증서를 중앙에서 관리할 수 있습니다. 저장소 서비스를 사용하여 저장소, 키 및 암호를 만들고 관리할 수 있습니다.
암호는 Oracle Cloud Infrastructure 서비스에서 사용하는 암호, 인증서, SSH 키 또는 인증 토큰과 같은 인증서입니다. 암호를 Vault에 저장하면 코드 또는 구성 파일과 같은 다른 위치에 저장할 때보다 더욱 안전해집니다.
- IAM(ID 및 액세스 관리)
Oracle Cloud Infrastructure Identity and Access Management(IAM)는 Oracle Cloud Infrastructure(OCI) 및 Oracle Cloud Applications에 대한 액세스 제어 플레인입니다. IAM API 및 사용자 인터페이스를 통해 ID 도메인 및 ID 도메인 내 리소스를 관리할 수 있습니다. 각 OCI IAM ID 도메인은 독립형 ID 및 접근 관리 솔루션 또는 서로 다른 사용자 모집단을 나타냅니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN을 사용하면 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 하나의 영역 또는 가용성 도메인으로 범위를 지정할 수 있는 서브넷으로 분할할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 배스천 서비스
Oracle Cloud Infrastructure 배스천은 공용 끝점이 없고 베어메탈 및 가상 머신, Oracle MySQL Database Service, Autonomous Transaction Processing(ATP), Oracle Container Engine for Kubernetes(OKE) 및 SSH(Secure Shell Protocol) 액세스를 허용하는 기타 리소스와 같은 엄격한 리소스 액세스 제어가 필요한 리소스에 대해 제한적이고 시간 제한적인 보안 액세스를 제공합니다. Oracle Cloud Infrastructure Bastion 서비스를 사용하면 점프 호스트를 배포하고 유지보수하지 않고도 전용 호스트에 접근할 수 있습니다. 또한 ID 기반 권한과 중앙 집중식 감사 및 시간 제한 SSH 세션을 통해 보안 상태를 개선할 수 있습니다. Oracle Cloud Infrastructure Bastion은 배스천 접근을 위한 공용 IP의 필요성을 제거하여 원격 접근을 제공할 때 번거롭고 잠재적인 공격 표면을 제거합니다.
E-Business Suite용 랜딩 존 배포 고려 사항
인프라를 배치하기 전에 환경 설정 방법을 몇 가지 결정해야 합니다.
이 솔루션 플레이북에서는 세 개의 Terraform 스택을 모두 배포한다고 가정합니다. 이러한 스택은 팀의 의사소통 방식에 따라 코드형 인프라(IaC) 또는 협업 IaC로 간주할 수 있습니다. 팀 중 하나가 Terraform 스택을 사용하지 않는 반자동 운영 모델로 롤백할 수 있습니다. 초기 스택 배치 후 완전히 수동 방식으로 롤백할 수도 있습니다.
일반 의사 결정
Infrastructure, 정보 공유, 환경 및 이름 지정 규칙을 반드시 결정해야 합니다.
| 영역 | 고려 사항 | 옵션 |
|---|---|---|
| 기반 구조 관리 운영 모델 | Terraform 스택을 관리 및 유지 관리하기 위해 최선을 다하고 있는지 또는 Terraform을 일회성 스크립트로 사용하고 콘솔 또는 CLI을 사용하여 리소스를 관리하려는지 고려하십시오. 이는 팀에 필요한 Terraform 기술 수준과 실행할 특정 스택 코드를 결정하는 데 도움이 됩니다.
|
|
| 정보 공유 | 스택 간에 정보를 전달할 방법을 결정합니다. Oracle은 Oracle Cloud Infrastructure Vault 암호를 사용할 것을 권장합니다. 또는 암호에 Hashicorps Vault를 사용할 수 있습니다. 암호 사용을 선택하지 않고 입력 변수를 사용하여 정보를 전달하거나 상태 파일을 사용하여 출력을 공유할 수도 있습니다. |
|
| E-Business Suite 환경 |
ID 및 네트워크 레벨에서 서로 격리된 여러 범주의 EBS 환경을 생성합니다. ID 격리에는 별도의 구획 및 IAM 리소스 생성이 포함됩니다. 이 리소스는 CM UI에서의 액세스를 제한합니다. 네트워크 격리에는 VCN 내에 별도의 서브넷 집합을 생성하는 과정이 포함됩니다. |
|
| 지역 | IAM 스택에는 홈 영역에서만 생성할 수 있는 리소스가 포함되어 있습니다. 따라서 네트워크 및 클라우드 관리자 스택의 자동화는 홈 리전으로 제한됩니다. |
|
이름 지정 규칙
이러한 스택은 이름 지정 규칙을 공유하므로 리소스가 테넌시 전체에서 필요한 고유 이름을 사용하고 조직에서 쉽게 식별할 수 있도록 해줍니다. 기본적으로 이러한 이름은 IAM 스택에서 설정되며 암호는 네트워크 및 클라우드 관리자 스택을 통해 이름 지정 규칙을 전파합니다.
참고:
네트워크 또는 클라우드 관리자 스택을 독립형으로 배치하는 경우 이름 지정 규칙을 수동으로 입력해야 합니다.다음은 접두어 목록 및 해당 접두어 용도입니다.
lz_prefix: 사용 중인 랜딩 존을 식별하는 데 사용됩니다. 여러 작업 부하가 랜딩 존(네트워크 및 보안 구획)을 공유하거나 조직의 내부 구조에 따라 다른 랜딩 존을 사용할 수 있습니다.
ebs_workload_prefix: 작업 로드 또는 응용 프로그램을 식별합니다. 각 워크로드에는 자체적으로 분리된 구획이 있습니다.
ebs_workload_environment_category(ies): 사용하거나 생성할 EBS 환경 범주를 식별합니다. IAM 스택을 사용하면 여러 EBS 환경 범주에 대한 리소스를 생성할 수 있습니다. 각 EBS 범주에 대해 한 번씩 네트워크 스택을 여러 번 배포해야 합니다.
IAM 스택 결정
테넌시 및 ID 도메인을 결정하는 다양한 요인을 고려해 보십시오.
| 영역 | 고려 사항 | 옵션 |
|---|---|---|
| 테넌시 |
새 테넌시가 필요한지 아니면 기존 테넌시를 사용할 계획인지 고려하십시오. 새 테넌시: 사용자 계정 생성 및 IAM, 인증서, 감사자, 공고 및 비용을 관리하기 위한 테넌시 레벨 사용자 설정 등 권장 ID 및 거버넌스 시스템을 구성해야 합니다. 기존 테넌시: Oracle은 네트워킹, EBS 애플리케이션 및 보안에 대한 ID 리소스를 설정할 것을 권장합니다. IAM 스택으로 새 리소스를 생성하거나 요구 사항 및 EBS 요구 사항에 맞는 기존 리소스를 재사용할 수 있습니다. |
새 테넌시
|
| IDCS 또는 ID 도메인 | 설정이 해당 서비스에 대해 약간 다르기 때문에 ID 도메인이 테넌시에서 사용으로 설정되었는지 확인합니다. |
|
네트워크 스택 결정
업무 요구 사항에 맞는 네트워킹 요구 사항을 구체적으로 결정해야 합니다.
| 영역 | 고려 사항 | 옵션 |
|---|---|---|
| VCN(가상 클라우드 네트워크) | 새 VCN 또는 기존 VCN이 필요한지 여부를 고려합니다. | 새 VCN 네트워킹 스택은 새 VCN을 자동으로 배포할 수 있습니다. 이 네트워크를 다른 VCN, 클라우드 또는 온프레미스 데이터 센터와 피어링하려면 이 Terraform 스택 외부에 연결해야 합니다. 기존 VCN입력 변수를 사용하여 기존 VCN을 전달할 수 있습니다. 그러면 기존 VCN 내에 필요한 서브넷, 보안 목록 및 라우팅 테이블이 생성됩니다.
참고: 이 방법은 필요한 게이트웨이가 VCN에 이미 있다고 가정합니다. |
| 여러 E-Business Suite 환경 범주 | 여러 EBS 환경 범주를 만드는 경우 네트워크 스택을 여러 번 배포하여 격리된 네트워크를 만들 수 있습니다. 이후 배치 시 기존 VCN을 첫번째 배치에서 생성했거나 사용한 것으로 지정해야 합니다. 또한 필요한 EBS 서브넷만 배치하면 됩니다. 다른 클라우드 관리자 또는 배스천 서브넷 집합이 필요하지 않습니다. | 초기 스택: 기존 또는 새 VCN을 선택하는 옵션:
추가 환경 범주 스택
이 스택을 제대로 네트워크화하려면 초기 스택에서 생성된 클라우드 관리자 및/또는 파일 스토리지 서브넷에 대한 CIDR 블록이 필요합니다. |
| 네트워크 액세스 | 직원에게는 전용 네트워크 피어링, 배스천 액세스 또는 둘 다를 통해 OCI에 대한 네트워크 액세스가 필요합니다. 직원이 전용 네트워크 외부에서 원격 SSH 액세스 권한이 필요한 경우 또는 전용 접속이 작동 중지되는 경우 배스천 서브넷을 설정할 수 있습니다.
OCI VCN을 전용 네트워크에 직접 피어싱하여 |
배스천 서브넷(한 번 배치):
|
| 클라우드 관리자 서브넷 | EBS Cloud Manager 애플리케이션을 사용하여 EBS 환경을 관리하려면 클라우드 관리자 서브넷 집합을 배치해야 합니다. 이 CM 서브넷 세트는 한 번만 배치하면 됩니다. | Cloud Manager 서브넷(한 번 배치):
|
| EBS 서브넷 | 환경의 요구에 따라 EBS 서브넷을 구성하려면 다음 권장 사항을 따르십시오.
|
|
| CIDR 블록 |
새 VCN을 생성하도록 선택하는 경우 네트워크에 대해 단일 CIDR 블록 범위를 지정해야 합니다. |
배치하려는 각 서브넷에 대해 VCNs CIDR 블록 범위 내에서 사용되지 않은 CIDR 블록 범위를 지정해야 합니다. |
클라우드 관리자 스택 결정
클라우드 관리자 스택 배치에 대해 특정 결정을 내려야 합니다.
| 영역 | 고려 사항 | 옵션 |
|---|---|---|
| DNS |
현재 EBS에 DNS를 사용하는 방법을 고려하십시오. 새 EBS IP 주소를 가리키도록 DNS 항목을 업데이트해야 합니다. 조직의 기존 프로세스에 따라 DNS 항목을 업데이트합니다. EBS 환경용 DNS 외에도 클라우드 관리자 앱 자체에는 새 DNS 항목이 필요합니다. 이 항목은 제공한 |
|
| 인증서 | 현재 EBS에 인증서를 사용하는 방법을 고려하십시오. 외부 인증서 서비스를 사용하여 인증서를 만들어야 인증서를 스택의 파일로 업로드할 수 있습니다. 인증서를 생성하려면 조직의 기존 프로세스를 따라야 합니다. EBS 환경에 대한 인증서 외에도 클라우드 관리자 앱 자체에는 인증서가 필요합니다. |
|
필수 서비스 및 역할 정보
이 솔루션에는 다음과 같은 서비스 및 역할이 필요합니다.
-
Oracle Cloud Infrastructure
-
Oracle Cloud Infrastructure Identity and Access Management입니다.
- Oracle Cloud Infrastructure 네트워킹 서비스
- Oracle Cloud Infrastructure 보안 서비스
- Oracle E-Business Suite Cloud 관리자
Terraform 스택을 배포하려면 다음 역할이 필요합니다.
| 서비스 이름: 역할 | 필요한 항목... |
|---|---|
| OCI: 테넌시 관리자 | IAM 스택의 초기 배치를 수행합니다.
참고: 테넌시 관리자에게는 모든 스택을 배치할 수 있는 권한이 있습니다. Oracle은 전용 롤을 사용하여 조직 요구 사항에 따라 개별 배치를 수행할 것을 권장합니다. |
|
IDCS: 애플리케이션 관리자 또는 OCI ID 도메인: 애플리케이션 관리자 |
IDCS 또는 OCI ID 도메인에 E-Business Suite 클라우드 관리자 기밀 애플리케이션을 등록합니다. |
다음은 IAM 스택에 의해 자동으로 생성되는 롤입니다.
| 서비스 이름: 역할 | 필요한 항목... |
|---|---|
| OCI: IAM-관리자 | 구획, 그룹 및 정책을 포함한 IAM 스택을 관리합니다. |
| OCI: 인증서-관리자 | 사용자 인증서를 관리합니다. |
| OCI: <lz-prefix>-네트워크 관리자 | VCN, 서브넷, 보안 규칙 및 배스천을 포함한 네트워크 스택을 관리합니다. |
| OCI: <lz-prefix>-네트워크 사용자 | 다른 팀이 제공된 네트워크 리소스를 사용할 수 있도록 허용합니다. |
| OCI: <lz-prefix>-Security-Administrators | 보안 구획을 모니터합니다. |
| OCI: <lz-prefix>-Security-Users | 다른 팀이 제공된 보안 리소스를 사용할 수 있도록 허용합니다. |
| OCI: <lz-prefix>-<ebs-workload-prefix>-관리자 | EBS Cloud Manager UI에 액세스하여 환경을 프로비저닝하고 모든 환경 범주에 대한 수명 주기 관리 활동을 수행합니다. 이러한 유저를 보통 EBS DBA라고 합니다.
참고: 직접 IAM 유저여야 합니다. |
| <lz-prefix>-<ebs-workload-prefix>-cm-관리자 |
EBS Cloud Manager 관리자 그룹의 멤버는 다음을 수행해야 합니다.
참고: 직접 IAM 유저여야 합니다. |
| OCI: <lz-prefix>-<ebs-workload-prefix>-<ebs-workload-environment-category>-관리자 | EBS Cloud Manager UI에 액세스하여 환경을 프로비저닝하고 특정 환경 범주에 대한 수명 주기 관리 활동을 수행합니다. 이러한 유저를 보통 EBS DBA라고 합니다.
참고: 직접 IAM 유저여야 합니다. |
| OCI: 일반 사항 | 사용자가 다양한 IAM 및 핵심 리소스에 대한 액세스를 볼 수 있도록 허용합니다. 또한 Oracle 태그에 대한 액세스도 제공합니다. |
필요한 정보를 얻으려면 Oracle 제품, 솔루션 및 서비스를 참조하십시오.