在云中部署 Oracle Financial Crime 和 Compliance Management 应用程序
Oracle 金融犯罪和合规性管理是一套全面的应用程序,可帮助金融机构在遵守相关法规的同时打击洗钱和其他金融犯罪。它支持从客户尽职调查到交易监测、调查、监管报告和管理见解等各种反金融犯罪使用案件。
- 将您的基础设施迁移到云端,以最小到零的需求来更改应用程序体系结构。
- 通过减少过度预测并从固定成本转变为可变成本,降低总拥有成本。
- 降低业务运营中断的风险,并提高您的响应能力和客户满意度。
体系结构
此引用体系结构显示了在云中部署 Oracle Financial Crime 和 Compliance Management 应用程序所需的基础结构。
中间件层、应用程序层和数据库层位于单独的专用子网中,可通过堡垒主机访问这些子网。外部访问应用程序是通过公共负载平衡器进行的。每个层都具有在不同的故障域中分配的冗余资源,从而确保堆栈中的高可用性应用程序环境。
插图 fccm_oci_architecture.png 的说明
体系结构包含以下组件:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,其距离很大(跨越国家或甚至大陆)可以分开。
- 可用性域
可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,这些资源提供故障容差。可用性域不共享基础设施,例如电源、冷却或内部可用性域网络。因此,一个可用性域的故障不可能影响该区域中的其他可用性域。
- 容错域
容错域是可用性域中的硬件和基础结构的分组。每个可用性域都有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,应用程序可以容许容纳容错域中的物理服务器故障、系统维护和电源故障。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可自定义、软件定义的网络。与传统的数据中心网络一样,VCN 为您提供了对网络环境的完全控制。VCN 可以有多个非重叠 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为子网,子网可以被限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供了从一个入口点到后端多个应用程序服务器的自动通信分配。负载平衡器为应用服务器提供前端,隔离并防止对内部层进行不必要或未经授权的访问。
在群集模式下创建应用程序层时,可以将负载平衡器配置为在 Oracle WebLogic Server 域中的服务器之间分配通信。
- 底座主机
堡垒主机是一个计算实例,用作云外部拓扑的安全受控入口点。堡垒主机通常预配在非军事区 (DMZ) 中。它使您可以通过将敏感资源放置在无法直接从云外部访问的专用网络中来保护敏感资源。拓扑有一个已知的单个入口点,您可以定期监视和审计。因此,可以避免公开拓扑的更敏感的组件,而不会影响对这些组件的访问。
- 应用程序层
Oracle Financial Crime and Compliance Management 服务器是托管产品二进制文件、元数据管理的多线程服务和批处理框架的节点。
- 中间件层中间件层包含以下组件:
- Oracle WebLogic Server
- Oracle Data Integrator:仅当使用 Oracle Financial Services Data Integration Hub 时才需要
- 数据库层数据库 (DB) 系统是具有以下组件最多三个可插入数据库 (PDB) 的 Oracle 数据库:
- 配置方案和应用程序方案
- Oracle Analytics:如果要在同一数据库中部署 Oracle Analytics 的资料档案库,则此为必需项
- Oracle OLAP(联机分析处理)和 Oracle Hyperion Essbase:仅适用于使用 Oracle Financial Services Analytical Applications OLAP 功能的部署
可以在计算实例上安装 Oracle Database,也可以设置 Oracle Cloud Infrastructure Database 系统,如体系结构中所示。使用高性能版本。
- NAT 网关
NAT 网关允许 VCN 中的专用资源访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。
- Internet 网关
Internet 网关允许 VCN 中的公共子网与公共 Internet 之间的通信。
考虑事项
- 性能
您可以根据需要扩展体系结构的性能。您可以使用更大的形状并添加更多实例来重新分布负载。
- 安全性
除了堡垒主机(如果存在)和负载平衡器之外,所有组件都应放置在专用子网中。
- 可用性
在此体系结构中,在每个层中预配冗余资源,以确保高可用性。您可以更改体系结构以在多个区域之间分配资源。要添加的数据保护,还可以使用 Oracle Cloud Infrastructure 的数据库备份和卷备份功能。
- 成本
可以调整计算实例和数据库系统,以便在负载增加时使用较大的形状,并在负载减少时收缩到较小的形状。
建议
您的要求可能不同于此处介绍的体系结构。使用以下建议案作为起点。
- VCN
创建 VCN 时,根据计划附加到 VCN 中子网的资源数确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择不与您要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
使用区域子网。
- 负载平衡器
负载平衡器的最小配置是 100 Mbps。根据所需的同步连接数和吞吐量,您可以使用更大的形状。建议您使用 DNS 名称,因为无法保留负载平衡器的 IP 地址。
- 计算实例
此体系结构在每个故障域中使用单个计算实例。但是,根据您的工作量,您可以选择在不同的计算实例上部署应用程序的组件。
- 数据库系统
对于小型部署,具有两个 OCPU 的单个数据库实例就足够了。此体系结构使用具有两个数据库系统的部署,其中一个是备用数据库系统。
- 存储
此体系结构中的计算实例使用常规块存储;不需要额外的性能。
- 网络连接
要使管理员能够管理环境,您可以使用站点到站点的 IPSec VPN 连接或专用 FastConnect 电路将云拓扑连接到现有内部部署基础结构。
如果需要将云拓扑与内部部署基础结构隔离,则可以部署堡垒主机以保护管理人员对专用子网中资源的访问。
- 安全性
-
使用 Oracle Cloud Guard 可以主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全弱点,以及监视操作员和用户是否有风险活动。检测到任何不正确的配置或不安全的活动时,Cloud Guard 会根据您可以定义的响应方配方建议更正操作并协助执行这些操作。
-
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于最佳做法的 Oracle 定义的安全策略配方关联的区间。例如,安全区域中的资源不能从公共 Internet 访问,并且必须使用客户管理的密钥对其进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
-