1. Saiba mais sobre a implantação do Oracle E-Business Suite no Oracle Cloud Infrastructure
  2. Compreender a Topologia do Oracle E-Business Suite

Compreender a Topologia do Oracle E-Business Suite

Saiba mais sobre as diferentes camadas em uma implantação do Oracle E-Business Suite.

Antes de Começar

Antes de começar a planejar implantar ou migrar seu aplicativo Oracle E-Business Suite, identifique se o Oracle Cloud Infrastructure suporta a versão do aplicativo Oracle E-Business Suite que você deseja implantar. O Oracle Cloud Infrastructure suporta o Oracle E-Business Suite release 12.2 e 12.1.3.

Sobre Nomes de Host Lógicos

A Oracle recomenda que você use nomes de host lógicos, e não nomes de host físicos, ao configurar a camada do banco de dados Oracle E-Business Suite e a camada da aplicação. As vantagens de usar nomes de host lógicos são:

  • Fornecer a capacidade de mover o banco de dados e as camadas da aplicação para outras máquinas ou data centers sem executar um clone e uma reconfiguração.

  • Reduza a quantidade de reconfiguração necessária no failover para alta disponibilidade usando o mesmo nome de host no site ativo e stand-by.

  • Evite reconectar ou reclinar as camadas do banco de dados e da aplicação devido a alterações na configuração da rede, como uma alteração no nome do host.

Sobre o Host Bastion

Um host bastion é um componente opcional que você pode usar com políticas de firewall para proteger as interfaces de gerenciamento do banco de dados e dos servidores de aplicativos do acesso externo. Um bastion host é uma instância do Oracle Cloud Infrastructure Compute que usa o Linux ou o Windows como seu sistema operacional.

Coloque o bastião host em uma sub-rede pública e designe-lhe um endereço IP público para acessá-lo a partir da internet.

Para fornecer um nível adicional de segurança, você pode configurar listas de segurança para acessar o bastion host somente a partir do endereço IP público da sua rede local. Você pode acessar instâncias do Oracle Cloud Infrastructure na sub-rede privada por meio do host bastion. Para fazer isso, ative o encaminhamento ssh-agent, que permite que você se conecte ao bastion host e acesse o próximo servidor encaminhando as credenciais do seu computador. Você também pode acessar as instâncias na sub-rede privada usando o túnel SSH dinâmico. O túnel SSH é uma maneira de acessar uma aplicação Web ou outro serviço de listening. O túnel dinâmico fornece um proxy SOCKS na porta local, mas as conexões são originadas do host remoto.

Sobre a Camada do Balanceador de Carga

Use o Oracle Cloud Infrastructure Load Balancing para distribuir tráfego para suas instâncias da aplicação entre domínios de disponibilidade dentro de um VCN. Este serviço fornece uma instância principal e stand-by do balanceador de carga para garantir que, se o balanceador de carga principal ficar inativo, o balanceador de carga stand-by encaminhará as solicitações. O balanceador de carga garante que as solicitações sejam roteadas para as instâncias do aplicativo íntegras. Se houver um problema com uma instância do aplicativo, o balanceador de carga removerá essa instância e iniciará o roteamento de solicitações para as instâncias do aplicativo íntegras restantes.

Com base nas suas necessidades, você pode colocar balanceadores de carga em uma sub-rede pública ou privada.

  • Para pontos finais internos, que não são acessíveis pela Internet, use um balanceador de carga privado. Um balanceador de carga privado tem um endereço IP privado e não pode ser acessado pela Internet. As instâncias principal e stand-by de um balanceador de carga residem na mesma sub-rede privada. Você pode acessar balanceadores de carga privados no VCN ou em seu data center pela IPSec VPN por meio de um DRG. O balanceador de carga privado aceita tráfego do seu data center e distribui o tráfego para instâncias subjacentes do aplicativo.

  • Para pontos finais voltados para a Internet, use um balanceador de carga público. Um balanceador de carga público tem um endereço IP público e pode ser acessado pela Internet. Você pode acessar os balanceadores de carga públicos pela Internet por meio do gateway de internet.

  • Para acessar pontos finais internos e pontos finais voltados para a Internet, configure balanceadores de carga privados e balanceadores de carga públicos. Configure balanceadores de carga privados para atender ao tráfego interno e configure balanceadores de carga públicos para atender ao tráfego da Internet.

Registre o endereço IP público ou privado das instâncias do Oracle Cloud Infrastructure Load Balancing no seu DNS (servidor de nome de domínio local ou público) para resolução de domínio do ponto final da aplicação.

Sobre a Camada de Aplicativos

A camada de aplicativos está em uma sub-rede, que é separada das sub-redes das instâncias do balanceador de carga e do banco de dados. Você deve implantar pelo menos duas instâncias de aplicativos em um domínio de disponibilidade para garantir que as instâncias de aplicativos no domínio de disponibilidade estejam altamente disponíveis.

Você pode implantar o Oracle E-Business Suite com vários nós de camada de aplicativos que funcionam com um banco de dados Oracle E-Business Suite. A Oracle recomenda que você implante a configuração de várias camadas do Oracle E-Business Suite com binários de aplicativos compartilhados. Quando você usa um sistema de arquivos de camada de aplicativos compartilhados, o sistema de arquivos de camada de aplicativos Oracle E-Business Suite é compartilhado com cada nó no ambiente de vários nós.Use o Oracle Cloud Infrastructure File Storage para criar um sistema de arquivos compartilhado para compartilhar e sincronizar binários de aplicativos Oracle E-Business Suite entre vários hosts de aplicativos. Quando você usa um sistema de arquivos compartilhado para vários hosts de aplicativos, ele reduz os requisitos de espaço em disco e elimina a necessidade de aplicar patches a cada host de aplicativos no ambiente.

O tráfego flui do balanceador de carga para as instâncias do aplicativo por meio de portas específicas definidas nas regras de segurança. Configure regras de segurança para permitir tráfego somente do balanceador de carga na porta 8000 e do host bastião na porta 22.

Você pode usar o recurso de backup baseado em política do Oracle Cloud Infrastructure Block Volumes para fazer backup das instâncias da aplicação Oracle E-Business Suite.

Sobre a Camada de Banco de Dados

O Oracle Cloud Infrastructure oferece várias opções para configurar um Sistema Oracle Database (Sistema de BD). Colocar Sistemas de BD em uma sub-rede separada. A Oracle recomenda que o serviço de banco de dados no Oracle Cloud Infrastructure seja criado em uma sub-rede privada. Use listas de segurança para restringir o acesso aos servidores de banco de dados somente do bastion host, servidores de aplicativos e servidores locais.

Você pode implantar o banco de dados usando uma máquina virtual Oracle Compute de nó único, um sistema de BD de máquina virtual de nó único, um sistema de BD de máquina virtual Oracle Real Application Clusters (RAC) de dois nós ou um sistema Oracle Exadata DB. Para fornecer alta disponibilidade em um domínio de disponibilidade, a Oracle recomenda o uso do sistema de BD de máquina virtual de 2 nós ou de um sistema Oracle Exadata DB. O sistema de BD de máquina virtual de 2 nós ou o sistema Oracle Exadata DB aproveita o Oracle RAC e implanta um cluster de 2 nós para alta disponibilidade. Em ambos os casos, ambas as instâncias do banco de dados em um domínio de disponibilidade estão ativas. As solicitações recebidas da camada da aplicação são balanceadas de carga entre as instâncias do banco de dados. Mesmo que uma instância do banco de dados esteja inativa, as outras solicitações de serviços da instância do banco de dados.

Para a camada do banco de dados, é recomendável configurar listas de segurança para garantir que a comunicação ocorra somente pela porta 22, pelo host bastião e pela porta 1521, pelo servidor de aplicativos. Você pode usar o Oracle Cloud Infrastructure Object Storage para fazer backup do banco de dados Oracle E-Business Suite usando o Oracle Recovery Manager (RMAN).

Se você implantar o Oracle E-Business Suite em vários domínios de disponibilidade para alta disponibilidade, deverá configurar o Oracle Data Guard ou o Oracle Active Data Guard no modo síncrono para replicar alterações no banco de dados nos dois domínios de disponibilidade.

Sobre as Listas de Segurança

No Oracle Cloud Infrastructure, as regras de firewall são configuradas por meio de listas de segurança. Uma lista de segurança separada é criada para cada sub-rede.

A Oracle recomenda que você crie sub-redes separadas para o banco de dados, aplicativo, balanceador de carga e bastion hosts para garantir que a lista de segurança apropriada seja designada às instâncias em cada sub-rede. Use listas de segurança para permitir o tráfego entre diferentes camadas e entre o bastião host e hosts externos. As listas de segurança contêm regras de entrada e saída para filtrar o tráfego no nível da sub-rede. Eles também contêm informações sobre portas de comunicação através das quais a transferência de dados é permitida. Essas portas (ou, em alguns casos, os protocolos que precisarão de portas abertas nas regras de segurança) são mostrados em cada linha de regra de segurança nos diagramas de arquitetura.

Cada lista de segurança é imposta no nível da instância. No entanto, quando você configura suas listas de segurança no nível da sub-rede, todas as instâncias de uma sub-rede específica estão sujeitas ao mesmo conjunto de regras. Cada sub-rede pode ter várias listas de segurança associadas a ela e cada lista pode ter várias regras. A transferência de um pacote de dados é permitida se uma regra em qualquer uma das listas permitir tráfego (ou se o tráfego fizer parte de uma conexão existente que está sendo rastreada). Além das listas de segurança, use o iptables para implementar outra camada de segurança no nível da instância.

Para implantações em uma sub-rede pública, você pode fornecer um nível adicional de segurança impedindo o acesso às instâncias da aplicação e do banco de dados pela Internet. Use uma lista de segurança personalizada para impedir o acesso à aplicação e às instâncias do banco de dados pela Internet e permitir o acesso ao banco de dados e aos hosts da aplicação pela porta 22 do host bastion para fins de administração. Não ative o acesso SSH às instâncias do aplicativo e do banco de dados pela Internet, mas você pode permitir o acesso SSH a essas instâncias pela sub-rede que contém o host bastion.

Você pode acessar suas instâncias na sub-rede privada por meio do servidor bastion.

Lista de Segurança para o Host Bastion

A lista de segurança bastion permite que o host bastion seja acessível pela Internet pública na porta 22.

  • Para permitir o tráfego SSH da rede local para o bastião host pela Internet:

    Entrada com monitoramento de estado: Permite tráfego TCP do CIDR de origem 0.0.0.0/0 e de todas as portas de origem para a porta de destino 22 (SSH).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    Você também pode restringir o host bastião a ser acessível pela Internet na porta 22 somente do seu data center, em vez da Internet pública (0.0.0.0/0). Para isso, use o IP do roteador de borda em vez do CIDR de origem como 0.0.0.0/0 na regra de entrada com monitoramento de estado.

  • Para permitir tráfego SSH do bastion host para instâncias do Oracle Cloud Infrastructure Compute:

    Saída com monitoramento de estado: Permite tráfego TCP para o CIDR de destino 0.0.0.0/0 de todas as portas de origem para a porta de destino 22 (SSH).

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

Lista de Segurança para o Nível do Balanceador de Carga

Os diagramas de arquitetura mostram balanceadores de carga privados, que são colocados em sub-redes privadas. Se você colocar as instâncias do balanceador de carga em uma sub-rede pública, estará permitindo o tráfego da Internet (0.0.0.0/0) para as instâncias do balanceador de carga.

  • Para permitir o tráfego da Internet para o balanceador de carga:

    Entrada com monitoramento de estado: permite tráfego TCP do CIDR de origem (Internet) 0.0.0.0/0 e de todas as portas de origem para a porta de destino 8888 (HTTP) ou 443 (HTTPS).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Para permitir o tráfego da rede local para o balanceador de carga:

    Entrada com monitoramento de estado: Permitir tráfego TCP do bloco CIDR da rede local e de todas as portas de origem para a porta de destino 8888 (HTTP) ou 443 (HTTPS)

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Para permitir o tráfego das camadas do balanceador de carga para as camadas do aplicativo:

    Saída com monitoramento de estado: Permitir tráfego TCP para CIDR de destino 0.0.0.0/0 de todas as portas de origem para a porta de destino 8000 (HTTP)

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

Lista de Segurança para a Camada de Aplicativos

A lista de segurança da camada do aplicativo permite tráfego da camada do balanceador de carga para a camada do aplicativo.

  • Para permitir o tráfego do bastião host para a camada do aplicativo:

    Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Para permitir tráfego da camada do balanceador de carga para a camada do aplicativo:

    Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000

  • Para permitir tráfego entre instâncias do aplicativo na camada do aplicativo:

    Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Para permitir o tráfego da camada da aplicação para a camada do banco de dados e entre instâncias da aplicação na camada da aplicação:

    Saída com monitoramento de estado: Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Para comunicação entre camadas de aplicativos em uma configuração de várias camadas de aplicativos (Isso é necessário apenas para o Oracle E-Business Suite EBS 12.2):

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7001-7002

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7201-7202

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7401-7402

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 7601-7602

Lista de Segurança para a Camada de Banco de Dados

  • Para permitir o tráfego do host bastion para a camada do banco de dados:

    Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Para permitir o tráfego das camadas da aplicação para a camada do banco de dados:

    Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • Para permitir o tráfego da camada do banco de dados para a camada do aplicativo:

    Saída com monitoramento de estado: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Para permitir tráfego para backup do banco de dados no Oracle Cloud Infrastructure Object Storage:

    Saída com monitoramento de estado:   Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Para várias arquiteturas de domínio de disponibilidade, para permitir o tráfego entre as camadas do banco de dados nos domínios de disponibilidade do Oracle Active Data Guard:

    • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Para o provisionamento do sistema Oracle Database Exadata Cloud Service, são necessárias as seguintes regras adicionais:

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Entrada com monitoramento de estado: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Saída com monitoramento de estado: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Saída com monitoramento de estado: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All