1. Configure a infraestrutura para implantar o Oracle Enterprise Performance Management
  2. Saiba Mais Sobre a Arquitetura

Saiba Mais Sobre a Arquitetura

A infraestrutura necessária para implantar aplicativos do Oracle Enterprise Performance Management (Hyperion) no Oracle Cloud Infrastructure inclui instâncias de computação, componentes de rede, recursos de armazenamento e bancos de dados. Para implantar e gerenciar sua topologia de nuvem de maneira eficiente, defina a infraestrutura como código nos arquivos de configuração do Terraform.

Use a configuração Terraform incluída nesta solução para configurar os recursos de infraestrutura necessários para implantar aplicativos Oracle Enterprise Performance Management em servidores Microsoft Windows na nuvem.

Antes de Começar

Antes de começar a criar a infraestrutura, saiba sobre as opções de arquitetura e revise as considerações de design.

Para obter uma descrição detalhada de todas as opções de arquitetura e das considerações de design, consulte Criar a infraestrutura para implantar o Oracle Enterprise Performance Management na nuvem.

Este documento fornece uma breve visão geral das arquiteturas HA suportadas: domínio de disponibilidade única e vários domínios de disponibilidade.

Arquitetura HA: Domínio de Disponibilidade Única

Nesta arquitetura, os aplicativos e os bancos de dados são implantados em dois domínios de falha em um único domínio de disponibilidade.

Todas as instâncias do aplicativo na topologia estão ativas. As instâncias redundantes do aplicativo são hospedadas em domínios de falha separados. Portanto, as instâncias não estão hospedadas no mesmo hardware físico. Essa arquitetura garante a alta disponibilidade dentro do domínio de disponibilidade. Um evento de falha ou manutenção de hardware que afeta um domínio de falha não afeta as instâncias nos outros domínios de falha.

Se uma instância falhar, o tráfego será desviado para as outras instâncias do domínio de disponibilidade, que continuam a processar as solicitações. Todas as tarefas incompletas que estavam sendo processadas pela instância com falha devem ser ressubmetidas pelos usuários.

Todos os componentes desta arquitetura de várias camadas estão em uma única região. Os recursos em cada camada são isolados no nível de rede em sub-redes separadas.


A descrição de hyperion-single-ad.png é exibida a seguir
Descrição da ilustração hyperion-single-ad.png

Arquitetura HA: Vários Domínios de Disponibilidade

Nesta arquitetura, a camada web, a camada de aplicações e a camada de banco de dados são implantadas em um domínio de disponibilidade designado como o ambiente principal (ativo). Uma topologia redundante é implantada como um ambiente stand-by (não ativo) em outro domínio de disponibilidade na mesma região.

Os ambientes principal e stand-by nesta arquitetura são simétricos; ou seja, ambos fornecem capacidade idêntica de computação e armazenamento.

  • Quando o ambiente principal está ativo, o balanceador de carga é configurado para rotear o tráfego apenas para o domínio de disponibilidade que hospeda a topologia principal.
  • Se o ambiente principal estiver indisponível por algum motivo, você poderá alternar para o ambiente stand-by e atualizar o conjunto de backend do balanceador de carga para rotear o tráfego para o domínio de disponibilidade que hospeda a topologia stand-by. Quando o ambiente principal for disponibilizado novamente, você poderá alternar de volta para ele e atualizar o balanceador de carga adequadamente.

    No caso de um switchover ou switchback, todas as tarefas incompletas no ambiente em execução anterior deverão ser ressubmetidas pelos usuários.

Os nomes de host lógico são designados aos bancos de dados e às instâncias da aplicação. Para reduzir o esforço para reconfigurar instâncias durante um switchover ou switchback, os mesmos nomes de hosts lógicos são usados nos ambientes principal e stand-by.

Todos os componentes dessa arquitetura de várias camadas estão em uma única região. Os recursos em cada camada são isolados no nível de rede em sub-redes separadas. Toda sub-rede é regional; portanto, as interrupções em um domínio de disponibilidade não afetam nenhuma sub-rede.

A descrição de hyperion-multi-ad.png é exibida a seguir
Descrição da ilustração hyperion-multi-ad.png

Componentes da Arquitetura

Quando você usa o código Terraform incluído nesta solução para implantar a arquitetura, os recursos de computação, banco de dados, rede e armazenamento a seguir são criados.

  • Rede virtual na nuvem (VCN) e sub-redes

    Você especifica o bloco CIDR e o label DNS da VCN.

    O código Terraform calcula os blocos CIDR para as sub-redes regionais necessárias para o host bastion, balanceador de carga, camada Web, camada de aplicativos e recursos de banco de dados.

    O código também provisiona os gateways de rede, tabelas de rota e regras de segurança necessários. As regras de segurança específicas são listadas posteriormente neste documento.

  • Host Bastion

    O host bastion é uma instância de computação do Oracle Linux que serve como um ponto de entrada seguro controlado para a topologia de fora da nuvem.

    O host bastion nesta arquitetura é anexado a uma sub-rede pública, e tem um endereço IP público. Conexões com o host bastion de administradores fora do fluxo de nuvem por meio do gateway de internet anexado à VCN. Uma regra de segurança de entrada está configurada para permitir que as conexões SSH com o host bastion da internet pública. Para fornecer um nível adicional de segurança, você pode limitar o acesso SSH ao host bastion a partir de apenas um bloco específico de endereços IP.

    Você pode acessar instâncias de computação em sub-redes privadas por meio do host bastion. Ative o encaminhamento ssh-agent, que permite que você se conecte ao host bastion e, em seguida, acesse o próximo servidor encaminhando as credenciais do computador local.

    Você também pode acessar as instâncias nas sub-redes privadas usando o tunelamento SSH dinâmico. O túnel dinâmico fornece um proxy SOCKS na porta local, mas as conexões se originam do host remoto.

  • Balanceador de Carga

    Os nós principal e stand-by do balanceador de carga são provisionados em domínios de falha ou domínios de disponibilidade separados. Portanto, a alta disponibilidade é garantida para a camada de balanceamento de carga.

    Você pode provisionar um balanceador de carga público ou privado.

    • Se você provisionar um balanceador de carga público, as solicitações HTTPS de usuários externos, como usuários do Hyperion Financial Reporting Web Studio, fluem pelo gateway de internet para o balanceador de carga público. Você pode usar o serviço Oracle Cloud Infrastructure Web Application Firewall para proteger os aplicativos contra tráfego malicioso e indesejado na internet.

      Você pode configurar o balanceador de carga para encerrar o SSL/TLS e distribuir solicitações HTTP para a camada web privada.

    • Se você provisionar um balanceador de carga privado, o tráfego dos seus usuários internos e locais fluirá por meio de túneis IPSec VPN ou circuitos virtuais FastConnect para o DRG (Dynamic Routing Gateway) anexado à VCN. Um balanceador de carga privado intercepta as solicitações e as distribui para a camada web privada.

    Observação:

    Para garantir a resolução de domínio dos pontos finais do seu aplicativo, você deve registrar o endereço IP do balanceador de carga público ou privado em seu DNS público ou local.
  • Camada Web

    A camada web é hospedada em instâncias de computação do Microsoft Windows Server que são anexadas a uma sub-rede privada. As instâncias são distribuídas em domínios de disponibilidade ou domínios de falha separados, garantindo alta disponibilidade da camada web.

    Especifique o número de instâncias de computação a serem criadas para a camada web, a forma de computação a ser usada, o número da porta de listening e os atributos de tamanho e desempenho dos volumes em blocos.

  • Camada de Aplicativos
    A camada de aplicações inclui instâncias de computação do Microsoft Windows Server nas quais você pode implantar as aplicações Oracle Enterprise Performance Management a seguir.

    Observação:

    Para cada aplicativo, especifique o número de instâncias de computação que devem ser criadas, a forma de computação a ser usada, o número da porta de listening e os atributos de tamanho e desempenho dos volumes em blocos.
    • Oracle Hyperion Foundation Services

      Componentes comuns de infraestrutura que permitem instalar e configurar todos os módulos do sistema Enterprise Performance Management; e para gerenciar usuários, segurança, metadados e o ciclo de vida dos aplicativos.

      O Foundation Services é necessário, independentemente de você querer implantar o Hyperion Financial Management ou o Hyperion Planning, ou ambos.

    • (Opcional) Oracle Hyperion Financial Management (HFM)

      Um servidor de processamento analítico on-line multidimensional no RDBMS que fornece um ambiente para consolidação baseada na Web, provisão de imposto, QMR, aplicativos JSK.

      O aplicativo permite a consolidação financeira global, geração de relatórios e análise em uma única solução de software altamente escalável.

    • (Opcional) Oracle Hyperion Tax Provision (HTP)

      Uma solução abrangente de provisionamento de imposto global para relatórios de empresas multinacionais em US GAAP ou IFRS.

      O aplicativo abrange todos os estágios do processo de provisionamento de imposto corporativo, incluindo automação de impostos, coleta de dados, cálculo de provisionamento de imposto, automação de devolução para provisão e relatório e análise de imposto. O aplicativo é criado usando o Oracle Hyperion Financial Management e aproveita toda a funcionalidade fornecida pelo Financial Management.

    • (Opcional) Oracle Hyperion Planning

      Uma solução centralizada, de planejamento, orçamento e previsão baseada na Web do Excel que integra processos de planejamento financeiro e operacional e melhora a previsibilidade dos negócios.

    • (Opcional) Oracle Essbase

      Um servidor OLAP (Online Analytical Processing) que fornece um ambiente para implantar aplicações predefinidas ou desenvolver aplicações personalizadas.

    • (Opcional) Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)

      Uma solução compactada que ajuda os usuários financeiros a desenvolver processos padronizados de gerenciamento de dados financeiros usando um workflow orientado pela Web.

    • (Opcional) Oracle Hyperion Strategic Finance

      Uma solução de previsão e modelagem financeira com recursos de modelagem e análise de cenários atuais, o que ajuda a modelar e avaliar rapidamente cenários financeiros e oferece recursos de tesouraria predefinidos para gerenciamento sofisticado de estrutura de capital e dívida e capital.

    • (Opcional) Oracle Hyperion Profitability and Cost Management

      Um aplicativo que fornece insights acionáveis, descobrindo drivers de custo e lucratividade, capacitando os usuários a visibilidade e flexibilidade, além de melhorar o alinhamento de recursos.

    As instâncias de computação para cada aplicativo são domínios de falha ou domínios de disponibilidade separados distribuídos. Dessa forma, todos os componentes da camada de aplicações estão altamente disponíveis.

    Todas as instâncias de computação na camada de aplicações são anexadas a uma sub-rede privada. Portanto, os aplicativos são isolados no nível de rede a partir de todos os outros recursos da topologia e eles são processados a partir do acesso de rede não autorizado.
    • O gateway NAT permite que as instâncias de computação privadas na camada de aplicativos acessem hosts fora da nuvem (por exemplo, para fazer download de patches de aplicativos ou de qualquer integração externa). Por meio do gateway NAT, as instâncias de computação na sub-rede privada podem iniciar conexões com a internet e receber respostas, mas não receberão conexões de entrada iniciadas dos hosts na internet.
    • O gateway de serviço permite que as instâncias de computação privadas do Oracle Linux na camada de aplicações acessem um servidor Yum na região para obter atualizações do sistema operacional e pacotes adicionais.
    • O gateway de serviço também permite que você faça backup dos aplicativos no Oracle Cloud Infrastructure Object Storage dentro da região, sem passar pela internet pública.
  • Camada do Banco de Dados

    A camada do banco de dados contém instâncias do Oracle Cloud Infrastructure Database. Para alta disponibilidade, use os sistemas de BD da VM (máquina virtual) do nó 2-ou sistemas de BD do Exadata.

    Você pode optar por provisionar bancos de dados separados para o Oracle Hyperion Foundation Services e para os aplicativos.

    Para cada banco de dados, especifique a edição, a versão, o modelo de licença, o número de nós, os nomes do CDB e do PDB, a forma, o tamanho e o conjunto de caracteres.

    • Se você escolher a arquitetura de AD única, os nós do banco de dados serão distribuídos em domínios de falha separados, garantindo que cada cluster do banco de dados seja tolerante a falhas no nível de domínio com falha.
    • Se você escolher a arquitetura de vários AD, os bancos de dados principal e stand-by serão provisionados em domínios de disponibilidade separados, garantindo que os bancos de dados sejam tolerantes a falhas no nível de domínio de disponibilidade. O Oracle Data Guard no modo síncrono garante que o banco de dados stand-by seja uma cópia transacionalmente consistente do banco de dados principal.

    Todos os nós do banco de dados são anexados a uma sub-rede privada. Portanto, os bancos de dados são isolados no nível de rede de todos os outros recursos da topologia e são protegidos contra o acesso não autorizado à rede.

    O gateway de serviço permite que você faça backup dos bancos de dados para o Oracle Cloud Infrastructure Object Storage dentro da região, sem passar pela internet pública.

  • Armazenamento de Arquivos

    Os componentes na camada de aplicações têm acesso ao Oracle Cloud Infrastructure File Storage compartilhado para armazenar binários compartilhados e dados gerados pelas aplicações. Você especifica o caminho de montagem e o limite de tamanho para o sistema de arquivos.

Regras de Segurança

O código Terraform cria uma lista de segurança separada para cada sub-rede.

Cada lista de segurança contém uma ou mais regras de segurança com informações de estado, com base nos requisitos do fluxo de tráfego dos recursos da sub-rede.

  • Lista de segurança do host bastion
    Tipo de Regra de Segurança Origem ou Destino Porta
    Saída VCN 3389
    Saída VCN 22
    Entrada 0.0.0.0/0 22
  • Lista de segurança do balanceador de carga
    Tipo de Regra de Segurança Origem ou Destino Porta/s
    Saída 0.0.0.0/0 Todos
    Entrada 0.0.0.0/0 As portas de listener especificadas para o balanceador de carga
  • Lista de segurança dos servidores Web
    Tipo de Regra de Segurança Origem ou Destino Porta/s
    Saída 0.0.0.0/0 Todos
    Entrada VCN As portas de listening especificadas para a camada web.
  • Lista de segurança dos bancos de dados
    Tipo de Regra de Segurança Origem ou Destino Porta/s
    Saída 0.0.0.0/0 TCP: Todos
    Entrada VCN TCP: 22
    Entrada VCN TCP: 1521
  • Lista de segurança dos servidores de aplicativos

    Esta lista de segurança contém as seguintes regras de segurança:

    • Uma regra de saída para permitir que todo o tráfego TCP seja vinculado a qualquer host fora da sub-rede.
    • Uma regra de entrada para permitir o tráfego TCP de qualquer host da VCN para a porta 3389 do RDP.
    • Regras de entrada para permitir o tráfego TCP de qualquer host da VCN para as seguintes portas:
      Aplicação Porta/s
      Oracle Hyperion Foundation Services: servidores WebLogic 7001, 9000
      Oracle Hyperion Foundation Services: Servidores de dimensões 5251, 5255
      Oracle Hyperion Foundation Services: Agente do Reporting and Analysis Framework 6860, 6861
      Servidores Oracle Hyperion Planning: servidores WebLogic 7001
      Servidores Oracle Hyperion Planning: aplicativo Java Web 8300
      Servidores Oracle Hyperion Planning: RMI 11333
      Servidores Oracle Essbase: Agente 1423
      Servidores Oracle Essbase: aplicativos 32768-33768
      Servidores Oracle Essbase: portas OPMN 6711, 6712
      Oracle Hyperion Financial Management: servidores WebLogic 7001, 7363
      Oracle Hyperion Financial Management: servidores 9091
      Servidores Oracle Hyperion Tax Provision 22200
      Servidores Oracle Hyperion Profitability and Cost Management 6756
      Servidores Oracle Hyperion Strategic Finance 8900
      Servidores Oracle Hyperion Financial Data Quality Management, Enterprise Edition 6550
  • Regras de segurança do Oracle Cloud Infrastructure File Storage
    • Uma regra de entrada para permitir o tráfego TCP de qualquer host da VCN para as portas 111 e 2048-2050
    • Uma regra de entrada para permitir o tráfego UDP de qualquer host da VCN para as portas 111 e 2048
    • Uma regra de saída que permite o tráfego TCP de portas 111 e 2048-2050 para qualquer host da VCN
    • Uma regra de saída para permitir o tráfego UDP da porta 111 para qualquer host da VCN

Serviços e Permissões Necessários

Você precisa dos seguintes serviços para esta solução:
  • Oracle Cloud Infrastructure Compute
  • Oracle Cloud Infrastructure Database
  • Rede Oracle Cloud Infrastructure
  • Oracle Cloud Infrastructure Load Balancing
  • (Opcional) Oracle Cloud Infrastructure FastConnect
  • Oracle Cloud Infrastructure Identity and Access Management
  • Oracle Cloud Infrastructure Object Storage
  • Oracle Cloud Infrastructure File Storage
  • Oracle Cloud Infrastructure Block Volumes
Peça ao administrador da tenancy para criar uma política do Oracle Cloud Infrastructure Identity and Access Management que inclua as seguintes permissões:
Allow group your.group to manage instance-family in compartment your.compartment
Allow group your.group to manage virtual-network-family in compartment your.compartment
Allow group your.group to manage database-family in compartment your.compartment
Allow group your.group to manage object-family in compartment your.compartment
Allow group your.group to manage volume-family in compartment your.compartment
Allow group your.group to manage load-balancers in compartment your.compartment
Allow group your.group to read compartments in compartment your.compartment
Allow group your.group to manage file-family in compartment your.compartment
Allow group your.group to read all-resources in tenancy
  • Substitua your.group pelo nome do grupo ao qual o usuário que provisiona os recursos da infraestrutura pertence.
  • Substitua your.compartment pelo OCID do compartimento no qual você deseja provisionar a infraestrutura.