여러 테넌시에 걸쳐 여러 Oracle E-Business Suite 고객 관리

이 참조 아키텍처는 테넌시 전반에서 두 개의 서로 다른 Oracle E-Business Suite(EBS) 워크로드를 관리하는 방법을 설명합니다. 이 사용 사례는 여러 테넌시에 걸쳐 여러 고객의 EBS 워크로드를 구현하는 MSP(관리 서비스 제공업체) 중에서 주로 사용됩니다. MSP는 Oracle Cloud의 EBS 고객에게 호스팅 및 애플리케이션 관리 서비스를 제공하는 동시에 비용과 장기적인 운영 효율성을 제공합니다.

이 시나리오는 일반적으로 클라우드 고객을 관리하기 위해 테넌시 또는 MSP 전반에서 작업해야 하는 모든 고객에게 유용한 시작점입니다.

전 세계 수천 여 조직이 Oracle EBS를 활용하여 주요 비즈니스 운영을 운영하고 있습니다. 30년 역사의 혁신을 바탕으로 개발된 Oracle EBS는 기능 발전, 모빌리티, UI 현대화 및 운영 효율성에 중점을 두고 제품군에 지속적으로 투자하고 있으며 고객이 Oracle Cloud의 모든 이점을 누릴 수 있도록 지원합니다. Oracle EBS는 오늘날 진화하는 비즈니스 모델을 지원하고 생산성을 높이며 모던 모바일 사용자의 요구를 충족합니다.

Oracle의 EBS 고객은 미래를 찾고 클라우드 솔루션의 이점을 고려하며, 종종 성공에 필요한 특정 기술과 경험을 갖춘 파트너를 찾습니다. Oracle의 파트너 에코시스템은 고객의 성공에 매우 중요합니다. 파트너는 신뢰할 수 있는 조언자로, 고객의 성공을 이끄는 입증된 전문 지식과 도구를 갖추고 있습니다. Oracle 기술과 결합된 차별화된 서비스를 통해 Oracle 고객은 비즈니스 목표를 달성할 수 있습니다. Oracle Cloud 솔루션 및 서비스를 활용하여 포괄적인 Oracle Cloud 전략, 컨설팅 및 구현 서비스를 제공할 수 있도록 지원합니다.

주:

OCI(Oracle Cloud Infrastructure) 여정을 시작하기만 하면, OCI에서 E-Business Suite 워크로드를 이동하는 데 대한 자세한 내용은 MOS(My Oracle Support) 참조: "Explore More" 항목에서 참조된 Getting Started with Oracle E-Business Suite on Oracle Cloud Infrastructure, Doc ID 2517025.1을 참조하십시오.

구조

이 참조 구조는 Tenancy-A 및 Tenancy-B라는 두 개의 테넌시로 구성됩니다. 테넌시-A에는 고객-A의 EBS 워크로드용 VCN 1개와 MSP용 2차 VCN이 포함되어 있습니다. 테넌시-B에는 고객-B의 EBS 워크로드가 포함된 단일 VCN이 있습니다.

Customer-A의 작업 로드는 고가용성을 제공하는 여러 응용 프로그램 인스턴스를 포함하는 응용 프로그램 계층으로 구성됩니다. 사용되는 데이터베이스는 VM(가상 머신)의 Oracle Base Database Service(단일 노드 데이터베이스 시스템)입니다.

고객-A의 경우 내부 영역(전용 서브넷)과 외부 영역(공용 서브넷)이 모두 구성됩니다. 내부 사용자는 DRG(동적 라우팅 게이트웨이)를 통해 VCN의 전용 영역에 접근할 수 있습니다. 전용 로드 밸런서는 내부 영역의 애플리케이션 노드로 트래픽을 전달합니다. 공용 로드 밸런서를 사용하면 IGW(인터넷 게이트웨이)를 통해 외부 사용자 요청을 DMZ로 전달할 수 있습니다. 데이터베이스는 전용 서브넷에 배포됩니다.

Customer-B의 워크로드는 애플리케이션 계층과 데이터베이스 계층이 모두 전용 서브넷에 배포되는 VM(가상 머신)에서 Oracle Base Database Service(단일 노드 데이터베이스 시스템)가 포함된 단일 애플리케이션 계층으로 구성됩니다.

고객-A와 고객-B 모두에 관리형 클라우드 서비스를 제공하기 위해서는 VCN 간 통신이 필요합니다. 이 참조 아키텍처는 RPC(원격 피어링 연결)를 사용하여 VCN 간 통신을 사용으로 설정합니다. 피어링을 사용하면 인터넷 또는 온프레미스 네트워크를 통해 트래픽을 라우팅할 필요 없이 VCN 리소스가 전용 IP 주소를 사용하여 통신할 수 있습니다. RPC는 VCN에 연결된 DRG에서 생성한 구성요소입니다. 이 워크로드는 원격 피어링된 VCN의 연결 지점 역할을 합니다. VCN 구성의 일부로, 각 관리자는 VCN에 DRG용 RPC를 생성해야 합니다. 지정된 DRG에는 VCN에 대해 설정하는 각 원격 피어링에 대한 별도의 RPC가 있어야 합니다(테넌시당 최대 10개의 RPC).

• MSP의 DRG에는 고객마다 하나씩 두 개의 RPC 연결이 있습니다(각 고객-A의 경우 RPC-1, 고객-B의 경우 RPC-2).
• Customer-A에는 하나의 RPC 연결이 있습니다. RPC-3 및 Customer-B에는 하나의 RPC 연결이 있습니다. RPC-4
• RPC-1는 Customer-A의 경우 RPC-3에 연결되고, RPC-2는 Customer-B의 경우 RPC-4에 연결됩니다.

다음 다이어그램은 이 참조 구조를 보여 줍니다.

deploy-ebs-multi-tenancies.png 그림에 대한 설명

deploy-ebs-multi-tenancies-oracle.zip

구조에는 다음과 같은 구성 요소가 있습니다.

• 테넌시

  OCI에 등록하면 Oracle은 클라우드 리소스를 생성, 구성 및 관리할 수 있는 OCI 내의 안전하고 격리된 분할 영역인 회사에 대한 테넌시를 생성합니다.

• 지역

  OCI 리전은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 방대한 거리로 이들을 분리할 수 있습니다(국가 또는 대륙 간).

• 구획

  구획은 OCI 테넌시 내의 여러 리전 논리적 분할 영역입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용량 할당량을 설정합니다. 제공된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 지정하는 정책을 정의합니다.

• AD(가용성 도메인)

  가용성 도메인은 한 지역 내의 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 분리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 하나의 가용성 도메인에서 장애가 발생하면 해당 영역의 다른 가용성 도메인에 영향을 주지 않습니다.

• 결함 도메인

  장애 도메인은 한 가용성 도메인 내 하드웨어 및 인프라의 그룹입니다. 각 가용성 도메인에는 독립된 전원 및 하드웨어로 3개의 장애 도메인이 있습니다. 여러 장애 도메인에 리소스를 분산하면 애플리케이션은 장애 도메인 내에서 물리적 서버 장애, 시스템 유지보수 및 전원 장애를 허용할 수 있습니다.

• VCN(가상 클라우드 네트워크) 및 서브넷

  VCN은 OCI 지역에서 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

• 로드 밸런서(LB)

  OCI 로드 밸런싱 서비스는 단일 시작점에서 백엔드에 있는 여러 서버로 트래픽을 자동으로 배포합니다.

• SL(Security List)

  보안 목록은 컴퓨트 인스턴스에 대한 가상 방화벽 역할을 합니다. 보안 목록은 보안 목록이 연관된 서브넷의 모든 VNIC에 적용되는 일련의 수신(인터넷에서 시작된 연결) 및 송신(VCN 내에서 시작된 연결) 보안 규칙으로 구성됩니다.

• RT(Route Table)

  가상 라우팅 테이블에는 서브넷에서 일반적으로 VCN 외부의 게이트웨이(예: 인터넷, 온프레미스 네트워크 또는 피어링된 VCN)를 통해 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.

• SG(서비스 게이트웨이)

  서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스에 대한 접근을 제공합니다. VCN에서 Oracle Services로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 경유하지 않습니다.

• IGW(인터넷 게이트웨이)

  인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용하기 위해 VCN에 추가할 수 있는 선택적인 가상 라우터입니다.

• DRG(동적 경로 지정 게이트웨이)
  DRG는 VCN과 지역 외부의 네트워크(예: 다른 OCI 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 간 전용 네트워크 트래픽 경로를 제공하는 가상 라우터입니다. DRG의 새로운 향상된 기능으로 이제 다음 리소스를 연결할 수 있습니다.

  • VCN
  • RPC
  • 사이트 간 VPN IPSec 터널
  • OCI FastConnect 가상 회로

  각 연결에는 연결 간 트래픽을 라우팅하는 정책을 정의할 수 있는 고유한 경로 테이블이 제공됩니다. 이 향상된 기능은 연결을 단순화하고 보다 복잡한 네트워크 토폴로지 및 경로 지정을 지원합니다. 이 참조 아키텍처는 허브 및 스포크 네트워크 토폴로지를 사용하여 허브 VCN의 네트워크 가상 어플라이언스인 Palo Alto를 사용하여 고객의 온프레미스 네트워크와 애플리케이션 워크로드 스포크 VCN 간 트래픽을 필터링하거나 검사할 수 있습니다.
• 객체 스토리지

  오브젝트 스토리지는 데이터베이스 백업, 애널리틱스 데이터, 이미지 및 비디오와 같은 풍부한 컨텐츠를 포함하여 모든 컨텐츠 유형의 구조적 및 비구조적 대량 데이터에 빠르게 접근할 수 있습니다. 인터넷을 통해 또는 클라우드 플랫폼 내에서 직접 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않으면서 스토리지를 원활하게 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스해야 하는 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.

• FastConnect(FC)

  Oracle Cloud Infrastructure FastConnect는 데이터 센터 및 OCI 간 전용 개인 연결을 생성할 수 있는 쉬운 방법을 제공합니다. FastConnect는 인터넷 기반 연결에 비해 더 높은 대역폭 옵션과 더 신뢰할 수 있는 네트워킹 환경을 제공합니다.

• 가상 회로(VC)

  Virtual Circuit은 네트워크 에지 라우터와 Oracle 라우터 간의 단일 논리적 연결을 제공하기 위해 하나 이상의 물리적 네트워크 연결을 통해 실행되는 layer-2 또는 layer-3 이더넷 VLAN입니다. 각 가상 회로는 고객과 Oracle은 물론 Oracle FastConnect 파트너 간 공유 정보로 구성됩니다(Oracle FastConnect 파트너를 통해 연결되는 경우). 전용 가상 회로는 전용 피어링을 지원하고, 공용 가상 회로는 공용 피어링을 지원합니다.

• E-Business Suite 애플리케이션 계층

  Oracle E-Business Suite 애플리케이션은 서버와 파일 시스템으로 구성됩니다. 이 참조 구조에서는 Customer-A에 대해 여러 응용 프로그램 계층 노드와 함께 배치되어 응용 프로그램에 배치됩니다. 여러 노드로 Oracle E-Business Suite 애플리케이션 계층을 배치할 때 공유 또는 비공유 애플리케이션 계층 파일 시스템을 사용할 수 있습니다. 이 구조는 공유 애플리케이션 계층 파일 시스템을 채택하여 디스크 공간 요구 사항을 줄이고 환경의 각 노드에 패치를 적용할 필요가 없습니다.

• Oracle E-Business Suite 데이터베이스 계층

  이 참조 아키텍처에서는 두 고객이 OCI의 기본 데이터베이스 서비스를 사용하고 있습니다. 이 서비스를 사용하면 Oracle에서 관리하는 Oracle Database 및 OCI의 통합 기능을 활용하면서 데이터에 대한 절대적 제어를 유지할 수 있습니다.

권장 사항

OCI에서 E-Business Suite로 작업할 경우, 다음 권장 사항은 구현에 따라 다를 수도 있지만 유용하게 사용될 수 있습니다.

• VCN

  VCN을 생성할 때 VCN의 서브넷에 연결할 리소스의 수에 따라 필요한 CIDR 블록 수 및 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.

  전용 접속을 설정하려는 다른 네트워크(OCI, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.

  VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다. 서브넷을 설계할 때는 트래픽 플로우와 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 보안 경계로 사용할 수 있는 동일한 서브넷에 연결합니다.

  Oracle은 보다 유연하기 때문에 지역별 서브넷을 사용할 것을 권장합니다. VCN을 서브넷으로 효율적으로 분산하는 동시에 가용성 도메인 장애를 설계할 수 있게 되었습니다.

• 보안

  Oracle은 OCI 테넌시의 보안 상황을 강화하기 위해 Cloud Guard 및 보안 영역을 사용할 것을 권장합니다. 보안 영역을 생성하기 전에 Cloud Guard를 사용으로 설정해야 합니다. Cloud Guard를 사용하면 보안 영역 이전에 생성된 기존 리소스에서 정책 위반을 감지할 수 있습니다.

  Cloud Guard

  Cloud Guard는 고객이 Oracle Cloud에서 강력한 보안 상황을 모니터링, 식별, 달성 및 유지보수할 수 있도록 지원하는 클라우드 전용 서비스입니다. 이 서비스를 사용하여 OCI 리소스에서 구성과 관련된 보안 취약점, OCI 운영자 및 사용자의 위험한 활동을 조사할 수 있습니다. 감지되면 Cloud Guard가 구성에 따라 제안, 도움을 주거나 해결 조치를 취할 수 있습니다. 다음 목록은 Cloud Guard 계획을 시작하기 위해 알아야 할 사항을 요약하여 보여줍니다.
  • 대상: Cloud Guard가 확인하는 범위를 정의합니다. 대상 내의 모든 구획은 동일한 방식으로 검사되므로 감지된 문제를 처리하는 데 동일한 옵션이 제공됩니다.
  • 감지자: 작업 또는 구성을 기반으로 잠재적 보안 문제를 식별하기 위해 검사를 수행합니다. 문제를 식별하기 위해 따르는 규칙은 대상의 모든 구획에 대해 동일합니다.
  • 응답자: 감지기가 문제를 식별할 때 Cloud Guard가 수행할 수 있는 작업을 지정합니다. 식별된 문제를 처리하는 방법에 대한 규칙은 대상의 모든 구획에 대해 동일합니다.

  보안 영역

  최대 보안이 필요한 리소스의 경우 Oracle은 보안 영역을 사용할 것을 권장합니다. 보안 영역은 모범 사례를 기반으로 하는 Oracle 정의 보안 정책 레시피와 연관된 구획입니다. 예를 들어, 보안 영역의 리소스는 공용 인터넷에서 액세스할 수 없으며 고객 관리 키를 사용하여 암호화되어야 합니다.

  보안 영역에서 리소스를 만들고 업데이트할 때 OCI는 보안 영역 레시피의 정책에 대해 작업을 검증하고 정책을 위반하는 작업을 거부합니다.

• NSG(네트워크 보안 그룹)

  NSG를 사용하여 특정 VNIC에 적용되는 일련의 수신 및 송신 규칙을 정의할 수 있습니다. NSG를 사용하면서 VCN 서브넷 아키텍처를 애플리케이션의 보안 요구사항과 분리할 수 있으므로 보안 목록이 아닌 NSG를 사용하는 것이 좋습니다.

• 로드 밸런서 대역폭

  로드 밸런서를 생성하는 동안 고정 대역폭을 제공하는 사전 정의된 구성을 선택하거나, 대역폭 범위를 설정하는 커스터마이징(가변형) 구성을 지정하고 서비스에서 트래픽 패턴을 기반으로 대역폭을 자동으로 확장할 수 있습니다. 어느 접근 방식이든 로드 밸런서를 생성한 후에는 언제든지 구성을 변경할 수 있습니다.

• E-Business Suite Cloud Manager 툴

  Oracle E-Business Suite Cloud Manager는 새로운 환경 프로비저닝, 해당 환경에서 라이프사이클 관리 활동 수행, 온프레미스에서 환경 복원 등 OCI의 Oracle E-Business Suite에 대한 모든 주요 자동화 플로우를 제공하는 웹 기반 애플리케이션입니다.

  Oracle은 리프트 및 시프트, 프로비저닝 및 라이프사이클 관리에 이 자동화 툴을 사용하려면 Oracle E-Business Suite 워크로드를 OCI로 이전하려는 모든 고객을 권장합니다. 그러나 현재의 자동화 오퍼링이 특정 요구사항을 충족하지 못하는 경우 수동 절차를 사용할 수 있습니다.

• Web Application Firewall

  Customer-A와 같은 많은 배치가 있으며, 공급업체와 파트너를 위해 일부 응용 프로그램 모듈을 표시해야 하는 요구 사항이 있습니다. 특정 일반 사용자가 회사 방화벽 외부에서 연결해야 할 수도 있습니다. 이러한 요구사항을 충족하려면 DMZ(Demilitarized Zone)를 통해 특정 애플리케이션 엔드포인트를 인터넷에 노출해야 합니다. 웹 클라이언트/브라우저 및 서버는 HTTP, HTTPS, FTP 등과 같은 프로토콜을 통해 통신하며 악의적인 행위자는 이러한 프로토콜이 사용되는 방식의 취약성을 악용할 수 있습니다.

  프로토콜은 프로토콜 스택의 서로 다른 계층에 있습니다. 웹은 응용 프로그램 계층(계층 7)에서 악용되지만 패킷 플러딩(데이터 링크 계층) 또는 SYN 플러딩(네트워크 계층)을 통해 다른 계층에 영향을 줄 수 있습니다. 그러나 응용 프로그램 계층의 웹 익스플로잇은 웹 서버의 네트워크 계층 공격보다 일반화되고 있습니다. 이러한 웹 사이트는 악용(예: SQL 주입, 교차 사이트 스크립팅, 보안 잘못된 구성 등)되어 처리되지 않으면 보안을 저해하고 애플리케이션 가용성에 영향을 줄 수 있습니다. OCI의 WAF(Web Application Firewall)는 잠재적으로 악의적인 트래픽을 모니터링하고 필터링하여 끝점을 보다 안전하게 보호할 수 있도록 지원합니다. 이 서비스는 클라우드 기반의 PCI(Payment Card Industry) 호환 글로벌 보안 서비스로, 악성적이고 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호합니다.

추가 탐색

여러 테넌시에 Oracle E-Business Suite를 배포하는 방법에 대해 자세히 알아봅니다.

다음 추가 리소스를 검토합니다.

• 제품 및 제품 관련 설명서:
  • Oracle Cloud Infrastructure용 모범사례 프레임워크
  • Palo Alto Networks Firewall 및 Exadata Cloud Services와 함께 Oracle E-Business Suite 배포
  • Oracle E-Business Suite Cloud Manager 설명서
  • DRG(동적 경로 지정 게이트웨이)
  • 향상된 DRG에 대한 기본 라우팅 시나리오
  • Oracle E-Business Suite에서 OCI WAF(Web Application Firewall) 사용
  • 웹 애플리케이션 방화벽 개요
• My Oracle Support 참고 사항:
  • Oracle Cloud Infrastructure상의 Oracle E-Business Suite 시작하기(문서 ID 2517025.1)
  • Oracle Cloud Infrastructure에서 Oracle E-Business Suite를 프로비전하기 위해 Oracle E-Business Suite Cloud Manager에서 사용되는 표준(문서 ID 2656874.1)
  • DMZ의 Oracle E-Business Suite 릴리스 12.2 구성(문서 ID 1375670.1)
  • DMZ의 Oracle E-Business Suite R12 구성(문서 ID 380490.1)

수락

저자: Madhusri Bhattacharya