1. Implantar o Oracle E-Business Suite com o Palo Alto Networks Firewall e Exadata Cloud Services
  2. Implantar o Oracle E-Business Suite com o Palo Alto Networks Firewall e Exadata Cloud Services

Implantar o Oracle E-Business Suite com o Palo Alto Networks Firewall e Exadata Cloud Services

As implantações na nuvem do Oracle E-Business Suite oferecem uma variedade de benefícios, tanto de uma perspectiva de tecnologia quanto de negócios. Os principais benefícios da computação em nuvem, como muitas vezes destacados no mercado, são o suporte para crescimento, desempenho e disponibilidade, resultando em maior agilidade nos negócios. Também oferece custos mais baixos e um sistema mais seguro.

A solução da Oracle Cloud Infrastructure (OCI) e os serviços de banco de dados certificados oferecem várias vantagens claras sobre outras soluções de nuvem. Por exemplo, a Oracle fornece automação na nuvem do Oracle E-Business Suite (Cloud Manager Tool for Oracle E-Business Suite Life Cycle management) para OCI e serviços de banco de dados associados (como Sistemas de BD de Máquina Virtual, Exadata Cloud Services ou Exadata Cloud@Customer) que não estão disponíveis em outros fornecedores.

Migrar cargas de trabalho do Oracle E-Business Suite ou estender sua tenancy atual do OCI com a carga de trabalho do Oracle E-Business Suite no Oracle Cloud com NGFWs (Virtual Firewalls de Última Geração) do Palo Alto Network, melhora as opções de segurança nativas fornecidas pelo OCI.

Arquitetura

Esta arquitetura de referência descreve uma implantação com vários nós altamente disponível na qual o Banco de Dados do Oracle E-Business Suite está sendo executado no Oracle Exadata Cloud Services.

Observação:

Se você estiver apenas começando sua jornada do OCI, mais detalhes para mover sua carga de trabalho do E-Business Suite no OCI podem ser encontrados na nota Conceitos Básicos do Oracle E-Business Suite no Oracle Cloud Infrastructure, Doc ID 2517025.1, referenciado no tópico "Explore Mais".

Nessa arquitetura, uma carga de trabalho do Oracle E-Business Suite foi implantada em uma topologia de rede hub e spoke na qual o tráfego é roteado por meio de um hub central e conectado a várias redes distintas (VCNs de spoke). A VCN de hub se conecta às VCNs de spoke por meio do DRG (Dynamic Routing Gateway). Nesse cenário, hub é a combinação do DRG e da VCN do firewall.

Aqui, a camada do aplicativo contém várias instâncias do aplicativo, para fornecer alta disponibilidade. A camada de banco de dados usa um banco de dados do Oracle Real Application Clusters em execução em um Oracle Exadata Cloud Services.

O diagrama a seguir mostra essa arquitetura:

Veja a seguir a descrição da ilustração ebs-pan-exacs.png
Descrição da ilustração ebs-pan-exacs.png

ebs-pan-exacs-oracle.zip

Para reforçar a postura de segurança da tenancy, o Palo Alto Networks VM Series é implantado. Isso permitirá proteger sua carga de trabalho e monitorar o tráfego Norte-Sul (tráfego que entra na sua rede na nuvem) e Leste-Oeste (tráfego que se move dentro do seu ambiente de nuvem entre VCNs). Todo o tráfego que flui entre as VCNs de spoke, de/para a Internet, de/para o data center local ou para o Oracle Services Network, será roteado por meio da VCN de hub e inspecionado pelas tecnologias de prevenção de ameaças multilayered do Palo Alto Networks VM Series Firewall.

Estes são os fluxos de tráfego lógico:

Fluxo de Tráfego Norte-Sul de Entrada:

Esta ilustração retrata o fluxo de tráfego norte-sul de entrada proveniente da Internet para uma região OCI:

Veja a seguir a descrição da ilustração ns-inbound-inet-spoke.png
Descrição da ilustração ns-inbound-inet-spoke.png

ns-inbound-inet-spoke-oracle.zip

Esta ilustração retrata o fluxo de tráfego norte-sul de entrada proveniente do data center local do cliente em uma região OCI:

Veja a seguir a descrição da ilustração ns-inbound-prem-spoke.png
Descrição da ilustração ns-inbound-prem-spoke.png

ns-inbound-prem-spoke-oracle.zip

Saída do Fluxo de Tráfego Norte-Sul:

Esta ilustração retrata o fluxo de tráfego de saída norte-sul emanando de uma região OCI para a Internet:

Veja a seguir a descrição da ilustração ns-outbound-spoke-prem.png
Descrição da ilustração ns-outbound-spoke-prem.png

ns-outbound-spoke-prem-oracle.zip

Esta ilustração retrata o fluxo de tráfego de saída norte-sul emanando de uma região OCI para o data center local do cliente:

Veja a seguir a descrição da ilustração ns-outbound-inet.png
Descrição da ilustração ns-outbound-inet.png

ns - outbound-inet-oracle.zip

Fluxo de Tráfego Leste-Oeste:

Esta ilustração retrata o fluxo de tráfego leste-oeste dentro de uma VCN do OCI:

Veja a seguir a descrição da ilustração ew-vcns.png
Descrição da ilustração ew-vcns.png

ew-vcns-oracle.zip

A arquitetura tem os seguintes componentes:
  • Locação

    Quando você acessa o Oracle Cloud Infrastructure, a Oracle cria uma tenancy para sua empresa, que é uma partição segura e isolada no Oracle Cloud Infrastructure na qual você pode criar, organizar e administrar seus recursos de nuvem.

  • Região

    Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominados domínios de disponibilidade. As regiões são independentes das outras regiões, e grandes distâncias podem se separar (em países ou até mesmo continentes). A maioria dos recursos do Oracle Cloud Infrastructure são específicos da região, como uma rede virtual na nuvem, ou específicos do domínio de disponibilidade, como uma instância de computação.

  • Compartimento

    Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

  • Domínios de disponibilidade (AD)

    Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, que oferecem tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou resfriamento ou rede interna. Portanto, é pouco provável que uma falha em um domínio de disponibilidade afete os outros domínios

  • Domínios de falha (FD)

    Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre diversos domínios de falha, seus aplicativos podem tolerar falha física do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

  • Rede virtual na nuvem (VCN) e sub-redes

    Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes de data center tradicionais, as VCNs dão a você total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após criar a VCN. Você pode segmentar uma VCN em sub-redes, que podem estar em um único domínio de disponibilidade ou abranger todos os domínios de disponibilidade da região (recomendado). Cada sub-rede consiste em um intervalo contínuo de endereços que não se sobrepõem com as outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  • VCN do Hub

    A VCN de hub é uma rede centralizada na qual são implantados os firewalls da Série VM da Palo Alto Networks. Ele fornece conectividade segura com todas as VCNs de spoke, serviços do Oracle Cloud Infrastructure, pontos finais públicos e clientes, e redes locais de data center.

  • VCN de spoke na camada de aplicativo

    A VCN spoke da camada de Aplicativo contém uma sub-rede privada para hospedar a pilha de aplicativos do Oracle E-Business Suite. Ele também tem sub-redes Cliente Exadata e de backup.

  • Balanceador de carga (LB)

    O serviço OCI Load Balancing oferece distribuição de tráfego automatizada de um único ponto de entrada para vários servidores no back-end.

  • Lista de segurança (SL)

    As Listas de Segurança atuam como firewalls virtuais para as suas instâncias de computação. Uma lista de segurança consiste em um conjunto de entradas (conexões iniciadas pela internet) e regras de segurança de saída (conexões iniciadas de dentro da VCN) que se aplicam a todas as VNICs de qualquer sub-rede à qual a lista de segurança está associada.

  • Tabela de Rota (RT)

    As tabelas de roteamento virtual contêm regras para rotear o tráfego de sub-redes para destinos fora de uma VCN, geralmente por meio de gateways fora de uma VCN (por exemplo, para a internet, para sua rede local ou para uma VCN pareada).

  • SG (Gateway de serviço)

    O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para os Serviços Oracle percorre a malha da rede Oracle e nunca passa pela internet.

  • Gateway de Internet (IGW)

    Um gateway de internet é um roteador virtual opcional que você pode adicionar à sua VCN para permitir tráfego entre as sub-redes públicas em uma VCN e a internet pública.

  • Gateway de Roteamento Dinâmico (DRG)

    O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre uma VCN e uma rede fora da região, como uma VCN em outra região do Oracle Cloud Infrastructure, uma rede local ou uma rede em outro provedor de nuvem.

    Com os novos recursos de aprimoramento do DRG, agora é possível anexar os seguintes recursos:
    • VCNs
    • Conexões de pareamento remoto
    • Túneis IPSec VPN Site a Site
    • Circuitos virtuais FastConnect do OCI
    Cada anexo vem com uma Tabela de Roteamento exclusiva, que permite definir políticas de roteamento que roteiam o tráfego entre anexos. Esse aprimoramento simplifica a conectividade e atende a topologias de rede e roteamento mais complexos. Nesta arquitetura de referência, você usa uma topologia de rede Hub e Spoke que permite usar Palo Alto, um appliance virtual de rede, em uma VCN de hub, para filtrar ou inspecionar o tráfego entre a rede local de um cliente e a VCN de spoke da carga de trabalho do aplicativo.

  • Placa de interface de rede virtual (VNIC)

    Os serviços nos data centers do OCI têm placas de interface de rede física (NICs). As instâncias de máquina virtual se comunicam usando NICs virtuais (VNICs) associadas às NICs físicas. Cada instância tem uma VNIC principal criada e anexada automaticamente durante o processo de inicialização e está disponível durante o tempo de vida da instância. O DHCP é oferecido somente para a VNIC principal. Você pode adicionar VNICs secundárias após a inicialização da instância. Você deve definir IPs estáticos para cada interface.

  • Object Storage

    O armazenamento de objetos fornece acesso rápido a grandes volumes de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados analíticos e conteúdo avançado, como imagens e vídeos. Você pode armazenar e, em seguida, recuperar dados diretamente da internet ou de dentro da plataforma de nuvem. Você pode escalar o armazenamento de forma integrada sem experimentar qualquer degradação no desempenho ou na confiabilidade do serviço. Use o armazenamento padrão para armazenamento "quente" que você precisa acessar de forma rápida, imediata e frequente. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.

  • FastConnect (FC)

    O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o seu data center e o Oracle Cloud Infrastructure. O FastConnect fornece opções de largura de banda mais alta e uma experiência de rede mais confiável quando comparada com conexões baseadas na internet.

  • Circuito virtual (VC)

    Circuito virtual é uma VLAN Ethernet layer-2 ou layer-3 que executa uma ou mais conexões de rede físicas para fornecer uma única conexão lógica entre o roteador no perímetro de sua rede e o roteador da Oracle. Cada circuito virtual é composto por informações compartilhadas entre o cliente e a Oracle, bem como um parceiro do Oracle FastConnect (se você estiver estabelecendo conexão por meio de um parceiro Oracle FastConnect). Os circuitos virtuais privados suportam pareamento privado, enquanto os circuitos virtuais públicos suportam pareamento público.

  • Firewall da Palo Alto Networks VM-Series

    Fornece todos os recursos de firewalls de última geração físicos em um formato de máquina virtual, entregando a segurança de rede em linha e a prevenção de ameaças para proteger consistentemente nuvens públicas e privadas.

    Com a VM-Series no OCI, você pode proteger e segmentar suas cargas de trabalho, evitar ameaças avançadas e melhorar a visibilidade dos seus aplicativos à medida que for para a nuvem.
    • A sub-rede de gerenciamento usa a interface de gerenciamento para permitir que os usuários finais se conectem à interface do usuário.
    • A sub-rede não confiável é usada para direcionar o tráfego externo de/para o Firewall da Série VM da Palo Alto Networks.
    • A sub-rede confiável é usada para direcionar o tráfego interno de/para o Firewall da Série VM da Palo Alto Networks.
    • A sub-rede de alta disponibilidade (HA) garante que os firewalls de VM-Sseries estejam com alta disponibilidade.

  • Camada de Aplicativo do E-Business Suite

    Um aplicativo do Oracle E-Business Suite é composto de servidores e sistemas de arquivos. Nesta arquitetura de referência, ela é implantada com vários nós da camada de aplicativos e atende ao aplicativo. Ao implantar uma camada de aplicativo do Oracle E-Business Suite com vários nós, você pode usar um sistema de arquivos de camada de aplicativo compartilhado ou não compartilhado. Essa arquitetura adota um sistema de arquivos da camada de aplicativos compartilhados, que reduz os requisitos de espaço em disco e elimina a necessidade de aplicar patches a cada nó no ambiente.

  • Centros de Comando Empresarial (ECC)

    Os Enterprise Command Centers fornecem descoberta de informações juntamente com recursos de visualização e exploração incorporados nas interfaces de usuário do Oracle E-Business Suite. O Oracle Enterprise Command Center Framework permite criar painéis de negócios em diferentes áreas funcionais. Os usuários do Oracle E-Business Suite navegam em informações transacionais usando componentes visuais interativos e recursos de descoberta guiada que permitem uma análise de dados exploratória. O design responsivo e de mobilidade são integrados no Oracle Enterprise Command Center Framework, e todos os painéis ajustam automaticamente o layout para melhor se adequar ao formato de um desktop ou de um dispositivo móvel.

    O Oracle Enterprise Command Center Framework, incluindo o conteúdo do painel, adere automaticamente ao contexto e à segurança de segurança do Oracle E-Business Suite existente. Os Enterprise Command Centers ajudam os usuários do Oracle E-Business Suite a identificar e agir em transações prioritárias sem relatórios operacionais personalizados. O ECC versão V7 inclui 32 centros de comando que consistem em 121 painéis no Oracle E-Business Suite.

  • Camada de banco de dados do Oracle E-Business Suite - Exadata Cloud Service

    Os Exadata Cloud Services permitem que você aproveite o poder do Exadata na nuvem. Você pode provisionar sistemas X8M flexíveis que permitem adicionar servidores de computação de banco de dados e servidores de armazenamento ao seu sistema à medida que suas necessidades aumentam. Os sistemas X8M oferecem a rede RoCE (RDMA sobre Ethernet Convergida) para módulos de largura de banda alta e baixa latência, memória persistente (PMEM) e software Exadata inteligente. Você pode provisionar sistemas X8M usando uma forma equivalente a um sistema X8 de rastreamento trimestral e, em seguida, adicionar servidores de banco de dados e armazenamento a qualquer momento após o provisionamento.

    Para provisionar um banco de dados Exadata Cloud Services, primeiro você deve provisionar recursos de infraestrutura e cluster de VMs do Exadata Cloud Services separadamente. Junto com a Infraestrutura, um cluster de VMs, um home de banco de dados inicial e um banco de dados são criados. Você pode criar homes de banco de dados adicionais e bancos de dados a qualquer momento, usando a Console ou a API do Oracle Cloud Infrastructure.

Recomendações

Quando você trabalha com o E-Business Suite na OCI, as recomendações a seguir podem ser úteis, embora possam variar de acordo com sua implementação.
  • VCN

    Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estão dentro do espaço de endereço IP privado padrão.

    Selecione os blocos CIDR que não se sobrepõem a nenhuma outra rede (no Oracle Cloud Infrastructure, no seu data center local ou em outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

    Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR. Ao projetar as sub-redes, considere seu fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como limite de segurança.

    A Oracle recomenda o uso de sub-redes regionais porque elas são mais flexíveis. Elas tornam mais fácil dividir sua VCN em sub-redes com eficiência, prevendo falhas no domínio de disponibilidade.

  • Segurança

    Para reforçar a postura de segurança da sua tenancy do OCI, a Oracle recomenda o uso das zonas do Cloud Guard e de Segurança. Ative o Cloud Guard antes de criar zonas de Segurança. O Cloud Guard ajuda a detectar violações de política nos recursos existentes que foram criados antes da zona Segurança.

    Cloud Guard

    O Cloud Guard é um serviço nativo da nuvem que ajuda os clientes a monitorar, identificar, obter e manter uma forte postura de segurança no Oracle Cloud. Use o serviço para examinar seus recursos do OCI por questões de segurança relacionadas à configuração e os operadores e usuários do OCI por questões de risco. No momento da detecção, o Cloud Guard pode sugerir, auxiliar ou executar ações, com base em sua configuração. A lista a seguir resume o que você precisa saber para iniciar o planejamento do Cloud Guard:
    • Destino: Define o escopo de verificação do Cloud Guard. Todos os compartimentos de um destino são verificados da mesma forma e você tem as mesmas opções para processar os problemas detectados.
    • Detector: executa verificações para identificar possíveis problemas de segurança com base em atividades ou configurações. As regras seguidas para identificar problemas são as mesmas para todos os compartimentos de um destino.
    • Respondedor: Especifica ações que o Cloud Guard pode executar quando os detectores identificam problemas. As regras de como processar problemas identificados são as mesmas para todos os compartimentos de um destino.

    Zonas de segurança

    Para recursos que exigem segurança máxima, a Oracle recomenda que você use zonas de Segurança. Uma zona de segurança é um compartimento associado a uma receita definida pela Oracle de políticas de segurança que se baseiam nas melhores práticas. Por exemplo, os recursos de uma zona de Segurança não podem ser acessados pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente.

    Quando você criar e atualizar recursos em uma zona de Segurança, o OCI validará as operações contra as políticas na receita de zona de segurança e negará operações que violem qualquer uma das políticas.

  • Grupos de Segurança de Rede (NSGs)

    Você pode usar NSGs para definir um conjunto de regras de entrada e saída que se aplicam a VNICs específicas. Recomendamos o uso de NSGs em vez de listas de segurança, porque os NSGs permitem que você separe a arquitetura da sub-rede da VCN dos requisitos de segurança do seu aplicativo.

    Você pode usar NSGs para definir um conjunto de regras de entrada e saída que se aplicam a VNICs específicas. Recomendamos o uso de NSGs em vez de listas de segurança, porque os NSGs permitem que você separe a arquitetura da sub-rede da VCN dos requisitos de segurança do seu aplicativo.

  • Largura de banda do balanceador de carga

    Ao criar o balanceador de carga, você pode selecionar uma forma predefinida que forneça uma largura de banda fixa ou especificar uma forma personalizada (flexível) na qual você define uma faixa de largura de banda e permite que o serviço dimensione a largura de banda automaticamente com base nos padrões de tráfego. Com qualquer uma das abordagens, você pode alterar a configuração a qualquer momento após criar o balanceador de carga.

  • Ferramenta E-Business Suite Cloud Manager

    O Oracle E-Business Suite Cloud Manager é um aplicativo baseado na Web que impulsiona todos os principais fluxos de automação do Oracle E-Business Suite no OCI, incluindo o provisionamento de novos ambientes, a execução de atividades de gerenciamento do ciclo de vida nesses ambientes e a restauração de ambientes locais.

    A Oracle recomenda expressamente todos os clientes que pretendem transferir sua carga de trabalho do Oracle E-Business Suite para a OCI a fim de usar essa ferramenta de automação para gerenciamento de ciclo de vida e de lift and shift, provisionamento e lifecycle management. No entanto, se nossas ofertas atuais de automação não atenderem aos seus requisitos específicos, você poderá usar um procedimento manual.

Saiba Mais

Saiba mais sobre a implantação do Oracle E-Business Suite com um firewall Palo Alto Networks e Exadata Cloud Services.

Analise esses recursos adicionais:

Confirmações

  • Autor: Madhusri Bhattacharya