1. Implantar uma zona de destino para o Oracle E-Business Suite e o Cloud Manager
  2. Saiba mais sobre a Implantação de Pilhas do Terraform para E-Business Suite e Cloud Manager

Saiba Mais sobre a Implantação de Pilhas do Terraform para o E-Business Suite e o Cloud Manager

Implante essas pilhas na ordem fornecida. No entanto, elas são modulares o suficiente para que você possa escolher as pilhas que deseja usar desde que já tenha criado recursos que possam atender aos requisitos do E-Business Suite.

Essas pilhas estão disponíveis no Oracle Cloud Marketplace. Você será direcionado ao Oracle Cloud Infrastructure Resource Manager para implantar essas pilhas. O OCI Resource Manager é um mecanismo nativo do Terraform no OCI, que fornece uma interface gráfica para criar, executar e gerenciar seu Terraform.

Sobre a Implantação da Pilha do IAM

Esta pilha do Terraform cria os Recursos de Identidade necessários para o EBS. Ele cria compartimentos para Segurança, Rede, carga de trabalho EBS, Cloud Manager e cada categoria de ambiente EBS. Cada compartimento vem com pelo menos um grupo e uma política para facilitar o RBAC (Role-Based Access Control, Controle de acesso baseado em atribuição) simples. Você deve adicionar manualmente usuários a esses grupos ou mapeá-los de um provedor de identidades federado.

Execute esta pilha se quiser implantar o EBS em uma nova tenancy. Se você estiver implantando em uma tenancy existente com uma estrutura de IAM suficiente, não será necessário implantar essa pilha.

Informe as seguintes variáveis ao executar a pilha do IAM:

  • Grupos de administradores de credenciais e do IAM: Use valores padrão. Cria dois grupos em toda a tenancy. Um tem permissões para gerenciar credenciais de outro usuário e o outro tem permissões na maioria das outras ações de Identidade.
  • Criar política geral: Use valores padrão. Cria permissões para que qualquer usuário inspecione e leia determinados recursos na tenancy. Necessário para executar a pilha do EBS Cloud Manager sem permissões de administrador.
  • Prefixo de Zona de Destino: O mesmo para cada pilha EBS e qualquer outro aplicativo implantado nessa zona de destino.
  • Compartimento pai: Esse pode ser seu compartimento raiz ou outro compartimento existente em sua tenancy.
  • Prefixo da carga de trabalho do EBS: Permanece o mesmo para cada pilha do EBS.
  • Categorias de ambiente de carga de trabalho do EBS: Lista cada categoria (ou conjunto) de ambientes do EBS que você planeja criar. Você pode digitar seus nomes de categoria diretamente na caixa de prompt e, em seguida, selecionar Adicionar no menu drop-down para adicioná-lo à lista.
  • Opções avançadas: Você pode também personalizar nomes de compartimento de rede e segurança ou usar um compartimento existente em vez de criar um novo. Você também pode personalizar vault, chaves e segredos.

Observação:

Se você quiser usar um vault ou uma chave existente, especifique o compartimento no qual ele está localizado como compartimento de segurança existente.

Sobre a Configuração Manual da Identidade

Algumas ações de Identidade não são possíveis no Terraform, e a Oracle não recomenda o gerenciamento de outras ações por meio do Terraform para fins de segurança.

Um administrador da tenancy ou do IAM pode configurar manualmente esses recursos na console. Siga estas etapas:

  1. Crie as contas de usuário necessárias.
  2. Mapeie as contas de usuário para os grupos apropriados do IAM.

Criar Contas de Usuário

Você pode criar diferentes tipos de contas no OCI. Se você já tiver um provedor de identidades compatível com SAML 2.0, poderá federar esse provedor com sua tenancy do OCI. A partir daí, você pode mapear grupos federados externos diretamente para grupos do OCI IAM. Se você ainda não tiver um provedor de identidades externo, poderá criar usuários diretamente no domínio de identidades padrão do OCI ou em um novo. No entanto, você precisa de usuários diretos do IAM para usuários no domínio de identidades padrão para garantir que as permissões do usuário do EBS Cloud Manager funcionem corretamente dentro do aplicativo EBS Cloud Manager.

Mapear Usuários para Grupos do Serviço IAM

Você deve determinar quais usuários serão responsáveis por quais tipos de recursos do OCI. Pode haver um usuário responsável por vários tipos de recursos ou vários usuários responsáveis por um único tipo de recurso. Um administrador de tenancy deve primeiro adicionar os administradores do IAM aos seus grupos. Os administradores do IAM podem adicionar o restante dos usuários aos respectivos grupos. Eles devem criar contas para os usuários que não têm uma conta e também adicionar os usuários aos grupos relevantes.

A lista a seguir mapeia os usuários para seus respectivos grupos:

  • Mapeie usuários do IAM para os grupos Usuários de Rede, Usuários de Segurança e Administrador de Aplicativos/Administrador do IDCS.
  • Mapeie Usuários de Segurança para os grupos Administradores de Segurança e Usuários de Rede.
  • Mapeie Usuários de Rede para os grupos Administradores de Rede e Usuários de Segurança.
  • Mapeie cada categoria de ambiente EBS (incluindo o usuário do Cloud Manager) para os grupos Usuários de Rede e Usuários de Segurança, os grupos administrativos do ambiente EBS que eles gerenciam, bem como o grupo administrativo EBS CM.

    Observação:

    Um usuário deve ser um usuário direto do OCI IAM e não um usuário federado.

Sobre a Implantação da Pilha de Rede

Esta pilha do Terraform cria uma VCN e as sub-redes públicas e privadas necessárias para o EBS Cloud Manager. Você deve executar uma cópia desta pilha por cada categoria de ambiente EBS definida na pilha do IAM.

Digite as seguintes variáveis ao executar a pilha de Rede:

  • Compartimento de segurança: Localize o compartimento de segurança criado/usado na pilha do IAM na lista pré-preenchida ou forneça seu OCID. Essa variável permite que a pilha localize automaticamente todas as informações necessárias das pilhas anteriores que foram armazenadas como segredos.
  • Segredo de identidade da carga de trabalho: Selecione o segredo correspondente à carga de trabalho geral do EBS no formato de nome: identity-"lz prefix"-"workload prefix".
  • Prefixo da carga de trabalho do EBS: Permanece o mesmo para cada pilha do EBS.
  • Opções avançadas: Permite personalizar adicionalmente os segredos consumidos e criados.
  • Criar VCN: Você tem a opção de criar uma nova VCN ou usar uma VCN existente. Para implantações subsequentes de categorias de ambiente de rede EBS, você deve selecionar a VCN existente criada ou usada na implantação inicial.
    • Verdadeiro
      • CIDR da VCN: Especifique a faixa de blocos CIDR a ser usada para sua VCN.
    • False
      • Compartimento de rede: Especifique o compartimento no qual a sua VCN reside.
      • VCN Existente: Localize a VCN existente na lista pré-preenchida ou forneça seu OCID.
  • Segredo de identidade da categoria do ambiente: Selecione o segredo correspondente à categoria de ambiente de carga de trabalho EBS específica no formato de nome: identity-"lz prefix"-"workload prefix"-"environment name".

    Observação:

    Se precisar de uma rede para categorias de ambiente adicionais, você deverá implantar outra cópia da pilha de Rede.

A tabela a seguir lista as variáveis de criação de sub-rede, o gateway de acesso de configuração de sub-rede, as variáveis de CIDR e quando usá-las:

Variável de Criação de Sub-rede Quando usar? Configuração de Sub-rede e Acesso ao Gateway Variáveis de CIDR*
Create Cloud Manager subnets or Select existing Cloud Manager subnet Crie sub-redes uma vez na primeira pilha do ambiente de rede criada. Em ambientes subsequentes, selecione a sub-rede existente do Cloud Manager criada pela primeira pilha. Sub-redes Privadas com acesso ao gateway NAT.

Observação:

Opcionalmente, você pode tornar pública a sub-rede do Balanceador de Carga, que usará a Sub-rede Pública com acesso ao Gateway de Internet. Este não é o processo recomendado.
  • Cloud Manager Load Balancer subnet CIDR
  • Cloud Manager Instance subnet CIDR
Create subnets for an EBS environment (app and database) Cada configuração de sub-rede de categoria de ambiente EBS e acesso de gateway Sub-redes privadas com acesso ao gateway NAT
  • Application tier subnet CIDR
  • Database tier subnet CIDR
Create default Load balancer tier subnet Use por padrão para fornecer acesso ao EBS em redes privadas Sub-redes Privadas com acesso ao gateway NAT Load balancer subnet CIDR
Create external load balancer and application tier subnets Somente em categorias de ambiente EBS que precisam fornecer acesso do usuário pela internet

Sub-rede LB pública com acesso à internet.

Sub-rede de Aplicativo Privado com acesso ao Gateway NAT.
  • External Load Balancer subnet CIDR
  • External App subnet CIDR
Create File Storage subnet or Select existing File Storage subnet Só use se a implementação do EBS usar o armazenamento de arquivos compartilhados. Crie uma vez na primeira pilha do ambiente de rede. Em pilhas subsequentes, selecione a sub-rede existente que você criou na primeira pilha. Sub-redes Privadas com acesso ao gateway NAT File Storage subnet CIDR
Create Bastion subnet Uma vez na primeira pilha do ambiente de rede criada Quando a variável Use Bastion Service é true, a sub-rede é privada. Caso contrário, ele será público com acesso ao Gateway de Internet. Bastion Subnet CIDR
Additional ebs subnets Ao criar novas sub-redes do Cloud Manager ou do File Storage, especifique qualquer sub-rede EBS adicional na VCN atual que você já tenha ou que planeje criar em pilhas diferentes. Adiciona regras de roteamento adicionais às sub-redes do Cloud Manager e do File Storage
  • Additional application tier subnet CIDRs
  • Additional database tier subnet CIDRs

Observação:

O LB privado ou padrão é sua própria opção.

Notas de Rodapé

* Especifique um intervalo de blocos CIDR exclusivo para cada sub-rede que esteja dentro do seu intervalo CIDR da VCN e não entre em conflito com qualquer intervalo CIDR da sub-rede.

Usar Serviço Bastion

Opcionalmente, você pode usar o serviço Bastion.

  • Verdadeiro: Provisiona a sub-rede como Privada junto com o serviço Bastion.
    • Lista de permissões do Bastion: Lista de faixas de IP externo em notação CIDR que podem fazer conexões SSH de entrada.
    • Limite de TTL do Bastion: Tempo máximo permitido para uma conexão SSH permanecer ativa, medido em segundos. Os valores permitidos estão entre 30 minutos (1800 segundos) e 3 horas (10800 segundos).
  • Falso: Provisiona a sub-rede como Pública, mas não provisiona uma máquina virtual Bastion tradicional.

Sobre a Implantação da Pilha do Cloud Manager

Esta pilha do Terraform cria a VM e o Balanceador de Carga do Cloud Manager (CM), bem como bootstrap de aplicativos CM.

Decisões Globais de Design

Você terá que tomar decisões e informar diversas variáveis ao executar a pilha do IAM.

  • Environment category identity secret: Selecione o segredo correspondente à categoria de ambiente específica da carga de trabalho do EBS no formato de nome: identity-"lz prefix"-"workload prefix"-"environment name". O ambiente selecionado será usado para criar o perfil de rede padrão.
  • Security compartment: Localize o compartimento de segurança criado ou usado na pilha do IAM na lista pré-preenchida ou forneça seu OCID. Essa variável permite que a pilha localize automaticamente todas as informações necessárias das pilhas anteriores que foram armazenadas como Segredos.
  • Advanced options: Permite personalizar adicionalmente os segredos consumidos e criados.

Configuração DNS e Certificado

O DNS e os Certificados são recomendados, mas opcionais.

  • Cloud Manager CA cert (optional): Forneça a cadeia de autoridade de certificação assinada usada para gerar seu certificado do Cloud Manager como um arquivo.
  • Cloud Manager key cert: Forneça o arquivo de certificado da chave privada que você gerou para usar no EBS Cloud Manager.
  • Cloud Manager Public cert: Forneça a cadeia de certificados públicos usada para validar seu certificado privado como um arquivo.

    Observação:

    Se você não fornecer o certificado de chave privada, um certificado será gerado para você usando openSSL e o hostname fornecido.
  • Server host for EBS Cloud Manager login URL: Informe um hostname para o portal Web do EBS Cloud Manager. O formato de entrada deve ser myebscm.example.com e corresponder à sua entrada de DNS, certificado assinado e Aplicativo Confidencial. O URL de log-in do EBS Cloud Manager será https://myebscm.example.com:443.
    • Certificado da CA do CM
    • Certificado da chave CM
    • Certificado público CM

Criar um Aplicativo Confidencial

Um administrador de aplicativos deve primeiro registrar o EBS CM como um Aplicativo Confidencial usando a Console do OCI para gerenciar o E-Business Suite usando o Cloud Manager. Isso permite que os usuários autentiquem e autorizem o acesso ao Cloud Manager usando sua conta do OCI.

Antes de criar o Aplicativo Confidencial, você deve saber o URL que planeja usar para o EBS Cloud Manager. Esse URL deve corresponder ao hostname no registro DNS e ao certificado assinado.

Use client ID e secret fornecidos ao executar a pilha do Cloud Manager.

Configuração do IDCS ou de Domínio de Identidade

  • ID do Cliente IDCS: ID do Aplicativo Confidencial do EBS Cloud Manager que foi registrado ao configurar a identidade.
  • Segredo do Cliente do IDCS: Segredo do Aplicativo Confidencial do EBS Cloud Manager que você registrou ao configurar a identidade.
  • Tenant do Cliente IDCS: ID do IDCS ou do tenant do Domínio de Identidades. Isso pode ser visto como parte do URL na barra de endereços do browser, após // e antes de identity.oraclecloud.com. Ele começa com os caracteres idcs-, seguido por uma string de números e letras no formato idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx.

Admin. CM EBS

  • OCID do Usuário Admin do Cloud Manager: Por padrão, essa pilha usará a conta do usuário que está executando essa pilha como administrador inicial do Cloud Manager. Opcionalmente, você pode tornar outro usuário o administrador inicial fornecendo seu OCID aqui. Esta conta de administrador deve ser um usuário local do IAM não federado.
  • Chave de API Privada do Usuário Admin do Cloud Manager: Por padrão, uma nova chave de API é criada e associada à conta administrativa do Cloud Manager escolhida. Opcionalmente, você pode informar uma chave de API privada já associada.

Máquina Virtual do Cloud Manager

  • Forma do EBS Cloud Manager: Selecione uma forma na lista da VM do EBS Cloud Manager. A Oracle recomenda as formas Standard2.x e Standard.E2.x.
  • Chave SSH: Chave pública SSH usada para acessar o Cloud Manager usando o CLI.
  • Domínio de Disponibilidade do EBS Cloud Manager: Selecione seu Domínio de Disponibilidade na lista.
  • Senha do CM: A senha do Administrador do CM do EBS.

Observação:

A senha deve ter no mínimo 8 caracteres, uma letra maiúscula, uma minúscula, um número, um caractere especial (#?!@$%^&*-). A senha é usada pelo administrador do EBS Cloud Manager para se conectar à instância do Cloud Manager e, em seguida, executar scripts subsequentes. A senha padrão inicial é WElcome##12345. A Oracle recomenda que você altere a senha com um valor que atenda aos requisitos de senha listados nesta observação.