Documentação do Oracle Cloud Infrastructure

Enterprise Performance Management

O Oracle Hyperion é uma plataforma Enterprise Performance Management( EPM) usada pelas equipes financeiras para análise de fechamento financeiro, consolidação, planejamento, orçamento, previsão e lucratividade. Os principais módulos do Hyperion, como HFM (Hyperion Financial Management), Planning, Oracle Essbase e Financial Reporting, contam com um backend do Oracle AI Database altamente disponível para armazenar metadados, dados transacionais e resultados de cálculo.

Esta documentação descreve a arquitetura de referência para executar o Oracle Hyperion no Microsoft Azure, usando o Oracle AI Database@Azure para a camada de banco de dados e as máquinas virtuais do Azure para as camadas web, de aplicativo e do Oracle Essbase do Hyperion. Essa arquitetura fornece uma configuração de baixa latência porque os serviços do Oracle AI Database são implantados no mesmo data center do Azure, oferecendo suporte ao desempenho ideal para cargas de trabalho de fechamento financeiro, planejamento e consolidação.

Atualmente, o Oracle Exadata Database Service on Dedicated Infrastructure, o Oracle Exadata Database Service on Exascale Infrastructure e o Oracle Base Database Service são suportados com o Oracle AI Database@Azure. Você pode verificar a matriz de disponibilidade regional para determinar os serviços suportados pelas regiões OCI e Azure.

Este documento destina-se a arquitetos de nuvem, administradores de infraestrutura e administradores do Oracle Enterprise Performance Management responsáveis por projetar, implantar e operar ambientes Hyperion. A familiaridade com aplicativos do Oracle Hyperion, Oracle AI Database(s), Oracle Cloud Infrastructure (OCI) e Microsoft Azure é recomendada.

Arquitetura

Essa arquitetura demonstra a implantação de aplicativos Oracle Hyperion em uma única região do Azure. Para implantações de recuperação de desastres (DR), uma arquitetura semelhante pode ser implementada em várias regiões do Azure para oferecer suporte aos requisitos de continuidade dos negócios. A camada do banco de dados pode ser configurada usando o Oracle Active Data Guard com o Oracle Database@Azure. A pilha de aplicativos do Oracle Hyperion, incluindo componentes da Web, do aplicativo e do Essbase, pode usar mecanismos de sincronização de arquivos, como rsync, para replicar artefatos de aplicativos, arquivos de configuração e sistemas de arquivos compartilhados entre regiões.

Para obter mais informações sobre como projetar e implementar arquiteturas de recuperação de desastres, consulte Oracle Maximum Availability Architecture para Oracle AI Database@Azure.

Esta captura de tela mostra o diagrama da arquitetura.

Essa arquitetura implanta todos os componentes em uma única região do Azure e destaca considerações importantes de design para o Oracle Hyperion no Azure com o Oracle AI Database@Azure.

Camada de Rede

Essa arquitetura mostra uma única implantação de região do Azure de um ambiente do Oracle Hyperion projetado para garantir conectividade de baixa latência. O layout de rede consiste em uma Rede Virtual do Azure (VNet) com sub-redes dedicadas para o Azure Bastion, balanceador de carga, servidores Web do Oracle Hyperion, servidores de aplicativos e a camada de banco de dados.

A camada do banco de dados usa o Oracle AI Database@Azure, que deve ser implantado em uma sub-rede delegada do Azure. Os serviços Oracle AI Database@Azure só podem ser provisionados em sub-redes delegadas designadas à Oracle. A conectividade com ambientes on-premises pode ser estabelecida usando o Azure ExpressRoute para acesso privado de baixa latência.

O host do Bastion do Azure é implantado em uma sub-rede com um endereço IP público, enquanto todos os outros componentes do Oracle Hyperion e do banco de dados residem em sub-redes sem endereços IP públicos. Os endereços IP públicos podem ser anexados a instâncias específicas com base em requisitos operacionais ou de negócios. O acesso seguro a instâncias privadas é fornecido pela porta 22 (SSH) por meio do Azure Bastion ou pelo Azure ExpressRoute quando a conectividade direta com data centers on-premises é configurada.

Os componentes do aplicativo Oracle Hyperion são implantados em uma única Zona de Disponibilidade para garantir conectividade de baixa latência. O banco de dados é implantado em uma única Zona de Disponibilidade com o Oracle RAC ativado por padrão. Para redundância regional, o banco de dados pode ser implantado em uma segunda Zona de Disponibilidade usando o Oracle Data Guard, fornecendo alta disponibilidade e recuperação de desastres no nível regional.

Considerações sobre Design de Rede
  • Ao planejar o espaço de endereço IP, considere os requisitos de sub-rede do Oracle AI Database@Azure e aborde os cenários de consumo de espaço.
  • Planeje cuidadosamente a configuração de DNS, especialmente ao usar resolvedores de DNS personalizados, para oferecer suporte aos requisitos de resolução de DNS do Oracle AI Database@Azure.
  • Para arquiteturas de recuperação de desastres multirregionais, considere padrões detalhados de conectividade de rede e roteamento entre regiões para o Oracle AI Database@Azure.
  • Revise os pré-requisitos de backup e recuperação no início da fase de design para garantir que os requisitos de acesso à rede sejam atendidos.
  • Use NSGs (Network Security Groups) para restringir o acesso às máquinas virtuais do banco de dados:
    • Permita o acesso SSH (porta 22) somente por meio do Azure Bastion.
    • Permitir tráfego de banco de dados (porta 1521) exclusivamente de sub-redes de aplicativos do Oracle Hyperion aprovadas e redes locais autorizadas.

Bastion host

O Azure Bastion é um serviço totalmente gerenciado que fornece um ponto de acesso administrativo seguro e controlado à rede virtual do Azure que hospeda cargas de trabalho do Oracle Hyperion.

O Azure Bastion é implantado em uma sub-rede dedicada (AzureBastionSubnet) e fornece acesso seguro e privado a máquinas virtuais em sub-redes sem endereços IP públicos, garantindo que elas não sejam expostas diretamente à internet pública. Ao usar o Azure Bastion, a arquitetura mantém um único ponto de acesso conhecido que pode ser monitorado e auditado centralmente, evitando a necessidade de expor endereços IP públicos ou portas de entrada abertas em máquinas virtuais individuais.

Nesta arquitetura, o Bastion do Azure não requer um endereço IP público nas máquinas virtuais de destino. O acesso administrativo é estabelecido através do TLS (porta 443) através do portal do Azure ou de clientes nativos suportados. Os Grupos de Segurança de Rede nas sub-redes de destino não exigem regras SSH ou RDP de entrada, o que reduz a superfície de ataque. O acesso ao Azure Bastion pode ser restrito e gerenciado usando o controle de acesso baseado em atribuição (RBAC) do Azure e a autenticação do Azure Active Directory.

O Azure Bastion permite que os administradores se conectem a máquinas virtuais sem endereço IP público em sub-redes usando SSH para Linux e RDP para Windows. As conexões são iniciadas na estação de trabalho local do administrador e submetidas a proxy por meio do serviço Bastion, garantindo que as credenciais e as sessões não sejam expostas à rede pública.

Ao centralizar o acesso administrativo e eliminar a exposição direta à VM, o Azure Bastion aumenta a segurança, mantendo o acesso operacional a cargas de trabalho privadas.

Camada de Aplicativos do Oracle Hyperion

Todos os componentes na camada de aplicativos do Oracle Hyperion são configurados para estabelecer conexão com instâncias ativas do Oracle Database implantadas no Oracle Database@Azure. A camada de aplicativos hospeda os principais serviços do Oracle Hyperion EPM responsáveis por consolidação financeira, planejamento, análise, integração de dados e gerenciamento de fechamento financeiro. Esses componentes são distribuídos em várias máquinas virtuais para oferecer suporte a alta disponibilidade, escalabilidade e segurança.

A camada de aplicativos Hyperion inclui os seguintes componentes principais:
  • Componentes do Core Hyperion EPM
    • Foundation Services:

      Fornece a camada de infraestrutura compartilhada para o Hyperion EPM, incluindo provisionamento de usuários, segurança, autenticação, gerenciamento de metadados e gerenciamento do ciclo de vida. O Foundation Services permite a governança centralizada em todos os aplicativos Hyperion.

    • Hyperion Financial Management (HFM):

      Um aplicativo baseado na Web usado para consolidação financeira, relatórios estatutários e análise financeira. O HFM oferece suporte a estruturas de propriedade complexas, conversão de moeda, eliminações entre empresas e controles de auditoria.

    • Hyperion Planning:

      Suporta orçamento empresarial, previsão e planejamento baseado em driver. Os aplicativos de planejamento permitem a modelagem de cenários, aprovações de workflow e integração com regras de cálculo para análise simulada.

    • Oracle Essbase:

      Um servidor analítico multidimensional de alto desempenho que permite agregações rápidas, cálculos e análise ad-hoc. O Essbase sustenta muitos casos de uso de planejamento, previsão e relatórios.

    • Financial Data Quality Management, Enterprise Edition (FDMEE):

      Gerencia a integração e a qualidade dos dados, incluindo mapeamento, validação e carregamento de dados financeiros de sistemas de origem para aplicativos Hyperion.

    • Profitability and Cost Management:

      Permite alocação de custos, análise de lucratividade e medição de desempenho em produtos, clientes, canais e unidades de negócios.

    • Financial Close Management (FCM):

      O Financial Close Management orquestra e monitora o processo de fechamento financeiro de ponta a ponta gerenciando tarefas, dependências, aprovações e reconciliações. Ele fornece visibilidade em tempo real do status de fechamento, impõe procedimentos de fechamento padronizados e oferece suporte à capacidade de auditoria entre entidades e períodos de relatório.

    • Gerenciamento de Impostos:

      O Hyperion Tax Management suporta provisionamento, conformidade e geração de relatórios de impostos centralizando cálculos de impostos e coleta de dados. Ele permite que as organizações gerenciem posições de impostos atuais e diferidos, cumpram os requisitos regulatórios e reduzam o esforço manual por meio de fluxos de trabalho e controles automatizados.

    • Financial Reporting:

      O Hyperion Financial Reporting oferece demonstrativos financeiros altamente formatados, com qualidade de produção, relatórios de gerenciamento e divulgações. Ele oferece suporte aos requisitos de relatórios estatutários, regulatórios e de gerenciamento, com definições de relatórios reutilizáveis e acesso seguro entre as partes interessadas financeiras.

  • Componentes do Servidor da Web e do Aplicativo
    • Oracle HTTP Server (OHS):

      Atua como o ponto de entrada da Web para aplicativos Hyperion EPM, tratando solicitações HTTP/HTTPS recebidas e geralmente lideradas por um Balanceador de Carga do Azure.

    • Oracle WebLogic Server:

      Hospeda aplicativos e serviços web Hyperion EPM, incluindo componentes Foundation, Planning, HFM, FDMEE e Workspace. Os domínios WebLogic são normalmente implantados em vários nós para alta disponibilidade.

  • Armazenamento de Arquivos do Azure:

    É usado para hospedar binários de software Hyperion compartilhados, arquivos de configuração, logs e artefatos de aplicativo. Um sistema de arquivos centralizado pode ser montado nos servidores Hyperion web, de aplicativos e do Oracle Essbase para garantir a consistência e simplificar a manutenção do software. O Azure Files Premium é recomendado em vez do Azure Files Standard para oferecer maior taxa de transferência e menor latência.

Camada do Banco de Dados

Para requisitos de alta disponibilidade, recomendamos usar uma das seguintes opções do Oracle AI Database@Azure para configurar instâncias de banco de dados do Oracle Hyperion:
  • Oracle Exadata Database Service on Dedicated Infrastructure
  • Oracle Exadata Database Service on Exascale Infrastructure
  • Oracle Base Database Service
    Observação

    O Oracle Base Database Service só é recomendado para instâncias de desenvolvimento ou de sandbox.

As instâncias de banco de dados são configuradas para alta disponibilidade com o Oracle Real Application Clusters (RAC) ativado. Para obter redundância de zona de disponibilidade para o banco de dados, use o Oracle Active Data Guard no modo síncrono para replicar o banco de dados entre zonas de disponibilidade.

Um pré-requisito para o Active Data Guard é estabelecer um caminho de rede privada entre zonas de disponibilidade, seja por meio de:
  • Conectividade de backbone do Azure usando pareamento VNet ou
  • Conectividade de backbone do OCI usando pareamento de VCN com LPGs (Local Peering Gateways)

A porta 1521 é usada para conectividade de banco de dados e para serviços de transporte de redo do Oracle Active Data Guard, que transmitem redo logs entre bancos de dados principal e stand-by. Para obter considerações detalhadas sobre design de rede, consulte MAA (Maximum Availability Architecture).

Backup e Recuperação

Os backups automatizados de banco de dados podem ser configurados usando o Oracle Autonomous Recovery Service ou o OCI Object Storage, dependendo dos requisitos de serviço e recuperação de banco de dados selecionados.

Criptografia de Dados

Para dados em trânsito, os serviços Oracle AI Database@Azure só são acessíveis por meio de canais de comunicação criptografados. Por padrão, o cliente do Oracle Net é configurado para usar sessões criptografadas, garantindo que todas as conexões de banco de dados sejam protegidas em trânsito.

O Oracle AI Database@Azure protege os dados em repouso usando a TDE (Transparent Data Encryption), que é ativada por padrão sem a necessidade de configuração do cliente. A TDE criptografa automaticamente arquivos de banco de dados, redo e undo logs, backups e outros dados persistentes quando gravados no armazenamento e decriptografa de forma transparente os dados quando acessados por processos autorizados. A criptografia é gerenciada usando um modelo de chave hierárquica, no qual uma chave de criptografia mestra protege as chaves de tablespace que, por sua vez, criptografam os dados.

O Oracle AI Database@Azure suporta opções de chave gerenciadas pela Oracle e gerenciadas pelo cliente para TDE. Com chaves gerenciadas pela Oracle, as chaves de criptografia são geradas, armazenadas e gerenciadas automaticamente pela Oracle. Com chaves gerenciadas pelo cliente, os clientes podem controlar centralmente o gerenciamento, a rotação e a auditoria do ciclo de vida da chave integrando-se ao OCI Vault, ao Oracle Key Vault ou ao Azure Key Vault (AKV).

Observação

O Oracle Data Guard entre regiões não é suportado quando as chaves de criptografia gerenciadas pelo cliente são armazenadas na Chave VaultAzure do Azure Key Vault (AKV)

Migração para o Oracle AI Database@Azure

O Oracle Zero Downtime Migration (ZDM) fornece vários fluxos de trabalho de migração para mover bancos de dados Hyperion para o Oracle AI Database@Azure.

Migração para o Exadata Database, o Exascale Database e o Base Database
  • Migração Física On-line:

    O fluxo de trabalho de migração on-line física suporta migrações entre as mesmas versões e plataformas de banco de dados. Essa abordagem usa a transferência direta de dados e o método de restauração do serviço para criar o banco de dados de destino, evitando o uso de armazenamento de backup intermediário. O Oracle Data Guard é usado para manter os bancos de dados de origem e de destino sincronizados, permitindo a migração com tempo de inatividade mínimo.

  • Migração física off-line:

    O fluxo de trabalho de migração física off-line suporta migrações entre as mesmas versões e plataformas de banco de dados. O banco de dados de destino é criado usando o backup e a restauração do RMAN (Recovery Manager). Os Arquivos do Azure são usados para fornecer um compartilhamento de arquivos NFS para armazenar arquivos de backup do RMAN durante o processo de migração.

  • Migração On-line Lógica:

    O fluxo de trabalho de migração online lógica oferece suporte a migrações entre as mesmas versões e plataformas de banco de dados ou diferentes. Esse fluxo de trabalho usa a exportação e a importação do Oracle Data Pump para criar o banco de dados de destino. Os Arquivos do Azure fornecem um compartilhamento de arquivos NFS para armazenar os arquivos de dump do Data Pump. O Oracle GoldenGate é usado para sincronizar os bancos de dados de origem e de destino, permitindo a migração com tempo de inatividade mínimo.

  • Migração Física On-line:

    O fluxo de trabalho de migração off-line lógica suporta migrações entre as mesmas versões de banco de dados e plataformas diferentes. O banco de dados de destino é criado usando a exportação e importação do Oracle Data Pump. Os Arquivos do Azure fornecem um compartilhamento de arquivos NFS para armazenar os arquivos de dump do Data Pump usados durante a migração.

Visão Geral dos Componentes

Componente Finalidade
Oracle AI Database@Azure O Oracle AI Database@Azure fornece o Oracle Exadata Database implantado e operado no Azure com integração nativa do Azure. Ele combina o desempenho do Oracle Exadata Database e os recursos do Oracle AI Database com modelos de rede, segurança e consumo do Azure. A oferta inclui o Oracle Exadata Database, o Oracle Exadata Database Service on Exascale Infrastructure e o Oracle Base Database Service para hospedar a camada de banco de dados do Oracle Hyperion.
Balanceador de Carga do Azure O Balanceador de Carga do Azure distribui o tráfego de entrada entre servidores web ou de aplicativos e monitora continuamente as sondagens de integridade de back-end para enviar tráfego apenas para instâncias íntegras. Isso garante até mesmo a distribuição de tráfego, alta disponibilidade e failover automático sem aplicação.
Bastion do Azure O Azure Bastion permite acesso seguro de RDP e SSH a máquinas virtuais por HTTPS sem exigir endereços IP públicos. Ele melhora a segurança ao centralizar o acesso administrativo e reduzir a exposição a ameaças de entrada na internet.
Serviço de Recuperação Autônoma O Autonomous Recovery Service fornece backup automatizado, proteção contínua de dados e recuperação rápida para Oracle AI Database(s). Ele reduz a perda de dados e o tempo de recuperação gerenciando de forma autônoma operações de backup, validação e restauração.
Armazenamento de Objetos O Object Storage fornece armazenamento durável e escalável para dados não estruturados usando um modelo bucket-and-object. É comumente usado para backups, arquivamento e compartilhamento de dados com segurança integrada e controles de ciclo de vida.
Vault do OCI O OCI Vault fornece gerenciamento centralizado de chaves de criptografia e segredos usando HSMs gerenciados pela Oracle. Ele permite forte segurança, rotação de chaves e controle de acesso para proteger dados nos serviços da OCI.
Arquivos Azure Os Arquivos do Azure fornecem armazenamento de arquivos compartilhado e totalmente gerenciado usando protocolos SMB e NFS padrão. Ele permite que os aplicativos acessem compartilhamentos de arquivos escaláveis e altamente disponíveis sem gerenciar sistemas de armazenamento subjacentes.
Vault de Chaves do Azure O Azure Key Vault é um serviço gerenciado que fornece armazenamento seguro e gerenciamento do ciclo de vida para informações confidenciais, como segredos, chaves de criptografia e certificados usados por aplicativos corporativos.

Saiba mais