E-Business Suite 및 Cloud Manager용 Terraform 스택 배포에 대해 알아보기

해당 스택을 지정된 순서대로 배치합니다. 그러나 E-Business Suite 요구 사항을 충족할 수 있는 리소스를 이미 만든 경우 사용할 스택을 선택하고 선택할 수 있을 만큼 모듈식입니다.

이러한 스택은 Oracle Cloud Marketplace에서 사용할 수 있습니다. 이러한 스택을 배치하려면 Oracle Cloud Infrastructure Resource Manager로 이동됩니다. OCI Resource Manager는 OCI의 네이티브 Terraform 엔진으로, Terraform을 생성, 실행 및 관리할 수 있는 그래픽 인터페이스를 제공합니다.

IAM 스택 배치 정보

이 Terraform 스택은 EBS에 필요한 ID 리소스를 생성합니다. 보안, 네트워크, EBS 작업 로드, 클라우드 관리자 및 각 EBS 환경 범주에 대한 구획을 생성합니다. 각 구획에는 간단한 RBAC(역할 기반 액세스 제어)를 위한 그룹 및 정책이 하나 이상 포함되어 있습니다. 이러한 그룹에 사용자를 수동으로 추가하거나 통합 ID 제공자에서 매핑해야 합니다.

EBS를 새 테넌시에 배치하려면 이 스택을 실행합니다. 충분한 IAM 구조를 사용하여 기존 테넌시에 배치하는 경우 이 스택을 배치할 필요가 없습니다.

IAM 스택을 실행할 때 다음 변수를 입력합니다.

• IAM 및 인증서 관리 그룹: 기본값을 사용합니다. 두 개의 테넌시 와이드 그룹을 생성합니다. 하나는 다른 사용자의 자격 증명을 관리할 수 있는 권한이 있고 다른 하나는 대부분의 다른 ID 작업에 대한 권한을 가집니다.
• 일반 정책 생성: 기본값을 사용합니다. 테넌시 전체에서 특정 리소스를 검사하고 읽을 수 있는 권한을 모든 사용자에게 생성합니다. 관리자 권한 없이 EBS Cloud Manager 스택을 실행하는 데 필요합니다.
• 랜딩 영역 접두어: 이 랜딩 영역 내에 배치된 모든 EBS 스택과 다른 모든 앱에 대해 동일합니다.
• 상위 구획: 루트 구획이거나 테넌시에 있는 다른 기존 구획일 수 있습니다.
• EBS 작업 로드 접두어: 모든 EBS 스택에 대해 동일하게 유지됩니다.
• EBS 작업 로드 환경 범주: 생성하려는 EBS 환경의 모든 범주(또는 세트)를 나열합니다. 범주 이름을 프롬프트 상자에 직접 입력한 다음 드롭다운 메뉴에서 추가를 선택하여 목록에 추가할 수 있습니다.
• 고급 옵션: 네트워크 및 보안 구획 이름을 추가로 사용자정의하거나 새 구획을 생성하는 대신 기존 구획을 사용할 수 있습니다. 저장소, 키 및 암호를 사용자 정의할 수도 있습니다.

참고:

기존 저장소 또는 키를 사용하려면 해당 구획이 있는 구획을 기존 보안 구획으로 지정해야 합니다.

ID 수동 구성 정보

일부 ID 작업은 Terraform에서 수행할 수 없으며, Oracle은 보안을 위해 Terraform을 통해 특정 기타 작업을 관리하는 것을 권장하지 않습니다.

테넌시 관리자 또는 IAM 관리자는 콘솔에서 이러한 리소스를 수동으로 구성할 수 있습니다. 다음 단계를 수행합니다.

1. 필요한 사용자 계정을 생성합니다.
2. 사용자 계정을 적절한 IAM 그룹에 매핑합니다.

사용자 계정 생성

OCI에서 다양한 계정 유형을 생성할 수 있습니다. SAML 2.0 호환 ID 제공자가 이미 있는 경우 해당 제공자를 OCI 테넌시와 통합할 수 있습니다. 이 페이지에서는 외부 통합 그룹을 OCI IAM 그룹에 직접 매핑할 수 있습니다. 외부 ID 제공자가 없는 경우 OCI 기본 ID 도메인 또는 새 ID 도메인에 직접 사용자를 생성할 수 있습니다. 그러나 EBS Cloud Manager 사용자 권한이 EBS Cloud Manager 애플리케이션 내에서 제대로 작동하도록 하려면 기본 ID 도메인의 사용자에 대해 직접 IAM 사용자가 필요합니다.

IAM 그룹에 사용자 매핑

어떤 사용자가 어떤 OCI 리소스 유형을 담당할 것인지 결정해야 합니다. 여러 리소스 유형을 담당하는 사용자가 한 명이거나 단일 리소스 유형을 담당하는 사용자가 여러 명일 수 있습니다. 먼저 테넌시 관리자가 IAM 관리자를 그룹에 추가해야 합니다. 그러면 IAM 관리자가 나머지 유저를 해당 그룹에 추가할 수 있습니다. 계정이 없는 사용자에 대한 계정을 생성하고 관련 그룹에 사용자를 추가해야 합니다.

다음 목록은 사용자를 해당 그룹에 매핑합니다.

• IAM 사용자를 네트워크 사용자, 보안 사용자 및 애플리케이션 관리자/IDCS 관리자 그룹에 매핑합니다.
• 보안 사용자를 보안 관리자 및 네트워크 사용자 그룹에 매핑합니다.
• 네트워크 사용자를 네트워크 관리자 및 보안 사용자 그룹에 매핑합니다.
• 각 EBS 환경 범주(클라우드 관리자 사용자 포함)를 네트워크 사용자 및 보안 사용자 그룹, 관리하는 EBS 환경 관리 그룹 및 EBS CM 관리 그룹에 매핑합니다.

  참고:

  사용자는 통합 사용자가 아닌 직접 OCI IAM 사용자여야 합니다.

네트워크 스택 배치 정보

이 Terraform 스택은 EBS Cloud Manager에 필요한 VCN 및 공용 및 전용 서브넷을 생성합니다. IAM 스택에 정의한 각 EBS 환경 범주당 이 스택의 복사본을 하나씩 실행해야 합니다.

네트워크 스택을 실행할 때 다음 변수를 입력합니다.

• 보안 구획: 미리 채워진 목록에서 IAM 스택에서 생성/사용된 보안 구획을 찾거나 OCID을 제공합니다. 이 변수를 사용하면 스택이 암호로 저장된 이전 스택에서 필요한 모든 정보를 자동으로 찾을 수 있습니다.
• 작업 로드 ID 암호: 이름 형식의 일반 EBS 작업 로드에 해당하는 암호( identity-"lz prefix"-"workload prefix")를 선택합니다.
• EBS 작업 로드 접두어: 모든 EBS 스택에 대해 동일하게 유지됩니다.
• 고급 옵션: 소비 및 생성된 암호를 추가로 사용자 정의할 수 있습니다.
• VCN 생성: 새 VCN을 생성하거나 기존 VCN을 사용할 수 있는 옵션이 있습니다. 이후 EBS 네트워크 환경 범주 배치의 경우 초기 배치에서 생성되거나 사용된 기존 VCN을 선택해야 합니다.
  • True
    • VCN CIDR: VCN에 사용할 CIDR 블록 범위를 지정합니다.
  • 거짓
    • 네트워크 구획: VCN이 상주하는 구획을 지정합니다.
    • 기존 VCN: 미리 채워진 목록에서 기존 VCN을 찾거나 해당 OCID을 제공합니다.
• 환경 범주 ID 암호: 이름 형식의 특정 EBS 작업 로드 환경 범주에 해당하는 암호를 선택합니다. identity-"lz prefix"-"workload prefix"-"environment name".

  참고:

  추가 환경 범주에 대한 네트워크가 필요한 경우 네트워크 스택의 다른 복사본을 배치해야 합니다.

다음 표에는 서브넷 생성 변수, 서브넷 구성 액세스 게이트웨이, CIDR 변수 및 사용 시기가 나와 있습니다.

서브넷 생성 변수	사용 시기	서브넷 구성 및 게이트웨이 접근	CIDR 변수*
Create Cloud Manager subnets or Select existing Cloud Manager subnet	생성된 첫번째 네트워크 환경 스택에서 서브넷을 한 번 생성합니다. 이후 환경에서는 첫번째 스택에서 생성된 기존 클라우드 관리자 서브넷을 선택합니다.	NAT 게이트웨이 액세스 권한이 있는 전용 서브넷입니다. 참고: 선택적으로 로드 밸런서 서브넷을 공용(public)으로 만들어 인터넷 게이트웨이 액세스와 함께 공용(public) 서브넷을 사용할 수 있습니다. 이 프로세스는 권장되지 않습니다.	Cloud Manager Load Balancer subnet CIDR Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database)	모든 EBS 환경 범주 서브넷 구성 및 게이트웨이 액세스	NAT 게이트웨이 액세스 권한이 있는 전용 서브넷	Application tier subnet CIDR Database tier subnet CIDR
Create default Load balancer tier subnet	기본적으로 개인 네트워크를 통해 EBS에 대한 액세스 제공	NAT 게이트웨이 액세스 권한이 있는 전용 서브넷	Load balancer subnet CIDR
Create external load balancer and application tier subnets	인터넷을 통해 사용자 액세스를 제공해야 하는 EBS 환경 범주에서만	인터넷에 액세스하는 공용 LB 서브넷입니다. NAT 게이트웨이 액세스 권한이 있는 전용 앱 서브넷입니다.	External Load Balancer subnet CIDR External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet	EBS 구현에서 공유 파일 스토리지를 사용하는 경우에만 사용하십시오. 첫번째 네트워크 환경 스택에서 한 번 만듭니다. 후속 스택에서 첫번째 스택에서 만든 기존 서브넷을 선택합니다.	NAT 게이트웨이 액세스 권한이 있는 전용 서브넷	File Storage subnet CIDR
Create Bastion subnet	첫번째 네트워크 환경 스택에서 한 번 생성	Use Bastion Service 변수가 true이면 서브넷은 전용입니다. 그렇지 않으면 인터넷 게이트웨이 액세스가 공용입니다.	Bastion Subnet CIDR
Additional ebs subnets	새 클라우드 관리자 또는 파일 스토리지 서브넷을 생성할 때 이미 있는 현재 VCN의 추가 EBS 서브넷 또는 다른 스택에서 생성하려는 서브넷을 지정합니다.	클라우드 관리자 및 파일 스토리지 서브넷에 추가 경로 지정 규칙을 추가합니다.	Additional application tier subnet CIDRs Additional database tier subnet CIDRs 참고: 전용 또는 기본 LB는 고유한 옵션입니다.

각주

* VCN CIDR 범위 내에 있고 다른 서브넷의 CIDR 범위와 충돌하지 않는 각 서브넷에 대한 고유한 CIDR 블록 범위를 지정합니다.

배스천 서비스 사용

선택적으로 배스천 서비스를 사용할 수 있습니다.

• True: 배스천 서비스와 함께 서브넷을 전용으로 프로비전합니다.
  • 배스천 허용 목록: 인바운드 SSH 접속을 생성할 수 있는 CIDR 표기법의 외부 IP 범위 목록입니다.
  • Bastion TTL limit: SSH 연결이 활성 상태로 유지되도록 허용되는 최대 시간(초)입니다. 허용되는 값은 30분(1800초)에서 3시간(10800초) 사이입니다.
• False: 서브넷을 공용으로 프로비전하지만 기존 배스천 가상 머신은 프로비전하지 않습니다.

클라우드 관리자 스택 배치 정보

이 Terraform 스택은 CM(클라우드 관리자) VM 및 로드 밸런서와 CM 앱 부트스트랩을 생성합니다.

글로벌 설계 결정

IAM 스택을 실행할 때 결정을 내리고 여러 변수를 입력해야 합니다.

• Environment category identity secret: 이름 형식 identity-"lz prefix"-"workload prefix"-"environment name"의 EBS 작업 로드의 특정 환경 범주에 해당하는 암호를 선택합니다. 선택한 환경은 기본 네트워크 프로파일을 만드는 데 사용됩니다.
• Security compartment: 미리 채워진 목록에서 IAM 스택에서 생성되거나 사용된 보안 구획을 찾거나 해당 OCID을 제공합니다. 이 변수를 사용하면 스택이 암호로 저장된 이전 스택에서 필요한 모든 정보를 자동으로 찾을 수 있습니다.
• Advanced options: 소비 및 생성된 암호를 추가로 사용자정의할 수 있습니다.

DNS 및 인증서 구성

DNS 및 인증서가 권장되지만 선택사항입니다.

• Cloud Manager CA cert (optional): Cloud Manager 인증서를 파일로 생성하는 데 사용되는 서명된 인증 기관 체인을 제공합니다.
• Cloud Manager key cert: EBS Cloud Manager에 사용하기 위해 생성한 전용 키 인증서 파일을 제공합니다.
• Cloud Manager Public cert: 개인 인증서를 파일로 검증하는 데 사용되는 공용 인증서 체인을 제공합니다.

  참고:

  개인 키 인증서를 제공하지 않을 경우 openSSL 및 제공된 hostname를 사용하여 인증서가 생성됩니다.
• Server host for EBS Cloud Manager login URL: EBS Cloud Manager 웹 포털에 대한 hostname를 입력합니다. 입력 형식은 myebscm.example.com이고 DNS 항목, 서명된 인증서 및 기밀 애플리케이션과 일치해야 합니다. EBS Cloud Manager 로그인 URL은 https://myebscm.example.com:443입니다.
  • CM CA 인증서
  • CM 키 인증서
  • CM 공용 인증서

기밀 애플리케이션 생성

클라우드 관리자를 사용하여 E-Business Suite를 관리하려면 애플리케이션 관리자가 먼저 OCI 콘솔을 사용하여 EBS CM을 기밀 애플리케이션으로 등록해야 합니다. 이렇게 하면 사용자가 OCI 계정을 사용하여 클라우드 관리자에 대한 액세스를 인증하고 권한을 부여할 수 있습니다.

기밀 애플리케이션을 생성하기 전에 EBS Cloud Manager에 사용할 URL을 알고 있어야 합니다. 이 URL은 DNS 레코드 및 서명된 인증서의 hostname와 일치해야 합니다.

클라우드 관리자 스택을 실행할 때 제공된 client ID 및 secret을 사용해야 합니다.

IDCS 또는 ID 도메인 구성

• IDCS 클라이언트 ID: ID를 구성할 때 등록된 EBS Cloud Manager에 대한 기밀 애플리케이션의 ID입니다.
• IDCS 클라이언트 암호: ID를 구성할 때 등록한 EBS Cloud Manager용 기밀 애플리케이션의 암호입니다.
• IDCS 클라이언트 테넌트: IDCS 또는 ID 도메인 테넌트의 ID입니다. 이는 브라우저 주소 표시줄에서 // 뒤와 identity.oraclecloud.com 앞에 있는 URL의 일부로 볼 수 있습니다. idcs- 문자로 시작하고 뒤에 idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 형식의 숫자와 문자 문자열이 옵니다.

EBS CM 관리

• 클라우드 관리자 관리 사용자 OCID: 기본적으로 이 스택은 이 스택을 실행 중인 사용자의 계정을 초기 클라우드 관리자 관리자로 사용합니다. 선택적으로 여기에 OCID을 제공하여 다른 사용자를 초기 관리자로 설정할 수 있습니다. 이 관리자 계정은 로컬 비통합 IAM 사용자여야 합니다.
• Cloud Manager 관리 사용자 전용 API 키: 기본적으로 새 API 키가 생성되어 선택한 Cloud Manager 관리 계정과 연관됩니다. 선택적으로 이미 연관된 전용 API 키를 입력할 수 있습니다.

Cloud Manager 가상 시스템

• EBS 클라우드 관리자 구성: EBS 클라우드 관리자 VM의 목록에서 구성을 선택합니다. Oracle은 Standard2.x 및 Standard.E2.x 구성을 권장합니다.
• SSH 키: CLI를 사용하여 Cloud Manager에 액세스하는 데 사용되는 공용 SSH 키입니다.
• EBS Cloud Manager 가용성 도메인: 목록에서 가용성 도메인을 선택합니다.
• CM 비밀번호: EBS CM 관리자에 대한 비밀번호입니다.

참고:

비밀번호는 최소 8자, 대문자 1자, 소문자 1자, 숫자 1자, 특수 문자(#?!@$%^&*-)여야 합니다. 이 비밀번호는 EBS Cloud Manager 관리자가 Cloud Manager 인스턴스에 접속한 후 후속 스크립트를 실행하는 데 사용됩니다. 초기 기본 암호는 WElcome##12345입니다. Oracle은 이 참고 사항에 나열된 암호 요구 사항을 충족하는 값으로 암호를 변경할 것을 권장합니다.