1. 设置基础结构以部署 Oracle Enterprise Performance Management
  2. 了解有关体系结构的信息

了解有关体系结构的信息

Oracle Cloud Infrastructure 上部署 Oracle Enterprise Performance Management (Hyperion)应用程序所需的基础结构包括计算实例、网络组件、存储资源和数据库。要有效地部署和管理云拓扑,请将基础结构定义为 Terraform 配置文件中的代码。

使用此解决方案中包含的 Terraform 配置来设置在云中的 Microsoft Windows 服务器上部署 Oracle Enterprise Performance Management 应用程序所需的基础结构资源。

使用须知

在您开始构建基础结构之前,请了解该架构选件,并查看设计注意事项。

有关所有建筑选件和设计注意事项的详细说明,请参阅设计基础设施以在云中部署 Oracle Enterprise Performance Management

本文档提供了支持的 HA 体系结构(单个可用性域和多个可用性域)的简要概览。

HA 体系结构:单个可用性域

在此体系结构中,应用程序和数据库部署在单个可用性域中的两个容错域之间。

拓扑中的所有应用程序实例均处于活动状态。应用程序的冗余实例在单独的容错域中托管。因此,这些实例未托管在同一物理硬件上。此体系结构可确保可用性域内的高可用性。影响一个容错域的硬件故障或维护事件不会影响其他容错域中的实例。

如果某个实例失败,则会将流量存在于可用性域中的其他实例,继续处理请求。失败实例正在处理的任何未完成任务必须由用户重新提交。

此多层体系结构中的所有组件位于单个区域中。每个层中的资源都与单独子网中的网络级别隔离。


后面是 hyperion-single-ad.png 的说明
插图 hyperion-single-ad.png 的说明

HA 体系结构:多个可用性域

在此体系结构中,Web 层、应用程序层和数据库层部署在指定为主(活动)环境的可用性域中。冗余拓扑在同一区域的其他可用性域中作为备用(非活动)环境部署。

此体系结构中的主环境和备用环境是对称的;即,这两个环境都提供了相同的计算和存储容量。

  • 当主环境处于活动状态时,负载平衡器会配置为仅将流量路由到主拓扑所在的可用性域。
  • 如果主环境由于某种原因不可用,您可以切换到备用环境,并更新负载平衡器的后端集,以便将流量路由到托管备用拓扑的可用性域。当主环境再次可用时,您可以切换回它并相应地更新负载平衡器。

    在切换或切换回的情况下,用户必须重新提交以前运行的环境中任何未完成的任务。

逻辑主机名将分配给数据库和应用程序实例。为了减少在切换或切换回期间重新配置实例的工作量,主环境和备用环境中将使用相同的逻辑主机名。

此多层体系结构中的所有组件都位于单个区域中。每个层中的资源都与单独子网中的网络级别隔离。每个子网都是区域性的;因此,可用性域中的停机不会影响任何子网。

后面是 hyperion-multi-ad.png 的说明
插图 hyperion-multi-ad.png 的说明

体系结构的组件

使用此解决方案中包含的 Terraform 代码部署体系结构时,将创建以下计算、数据库、网络和存储资源。

  • 虚拟云网络(VCN)和子网

    为 VCN 指定 CIDR 块和 DNS 标签。

    Terraform 代码计算基础主机、负载平衡器、Web 层、应用程序层和数据库资源所需的区域子网的 CIDR 块。

    该代码还预配所需的网络网关、路由表和安全规则。特定安全规则稍后在本文档中列出。

  • 基本主机

    基础主机是 Oracle Linux 计算实例,它充当来自云外部拓扑的安全受控入口点。

    此体系结构中的基础主机连接到公共子网,且具有公共 IP 地址。通过连接到 VCN 的互联网网关,从云流外部的管理员连接到基础主机。入站安全规则配置为允许通过公共互联网与主机建立 SSH 连接。要提供附加的安全级别,可以仅从特定的 IP 地址块限制 SSH 访问主机。

    您可以通过 bastion 主机访问专用子网中的计算实例。启用 ssh-agent 转发,使您可以连接到基础主机,然后通过转发本地计算机的身份证明来访问下一个服务器。

    您还可以通过使用动态 SSH 隧道访问专用子网中的实例。动态隧道在本地端口上提供了 SOCKS 代理;但是连接源自远程主机。

  • 负载平衡器

    负载平衡器的主节点和备用节点是在单独的容错域或可用性域中预配的。因此,确保负载平衡器层的高可用性。

    您可以预配公共或专用负载平衡器。

    • 如果您预配公共负载平衡器,则来自外部用户(例如 Hyperion Financial Reporting Web Studio 的用户)的 HTTPS 请求会通过互联网网关流向公共负载平衡器。您可以使用 Oracle Cloud Infrastructure Web Application Firewall 服务来保护应用免受恶意和不需要的互联网流量的影响。

      可以将负载平衡器配置为终止SSL/TLS并将 HTTP 请求分配给专用 Web 层。

    • 如果您预配专用负载平衡器,则来自内部和内部部署用户的流量将通过 IPSec VPN 隧道或 FastConnect 虚拟电路流流流到连接到 VCN 的动态路由网关(DRG)。专用负载平衡器拦截请求并将其分配给专用 Web 层。

    注:

    要确保应用程序端点的域解析,您应在公共或内部部署 DNS 中注册公共或专用负载平衡器的 IP 地址。
  • Web 层

    Web 层托管在 Microsoft Windows Server 计算实例上,这些实例连接到专用子网。实例在单独的容错域或可用性域中分布,确保 Web 层的高可用性。

    您可以指定要为 Web 层创建的计算实例数、要使用的计算配置、监听端口号以及块存储卷的大小和性能属性。

  • 应用程序层
    应用程序层包括 Microsoft Windows Server 计算实例,您可以在这些实例上部署以下 Oracle Enterprise Performance Management 应用程序。

    注:

    对于每个应用程序,指定应创建的计算实例数、要使用的计算配置、监听端口号以及块存储卷的大小和性能属性。
    • Oracle Hyperion Foundation Services

      公用基础结构组件,可用于安装和配置 Enterprise Performance Management 系统的所有模块;以及管理用户、安全、元数据和应用程序的生命周期。

      无论您是要部署 Hyperion Financial Management 还是 Hyperion Planning,都需要 Foundation Services。

    • (可选)Oracle Hyperion Financial Management (HFM)

      RDBMS 上的多维联机分析处理服务器,为基于 Web 的合并、税预提、QMR、JSK 应用程序提供环境。

      该应用程序可以使用高度可扩展的全局财务合并、报表和分析功能。

    • (可选)Oracle Hyperion Tax Provision (ht)

      一个综合的全球税预提解决方案,用于在 US GAAP 或 IFRS 下进行跨国公司报告。

      应用程序包含公司税预提流程的所有阶段,包括税务自动化、数据收集、税预提计算、申报与预提差异调整自动化以及税务报告和分析。该应用程序是使用 Oracle Hyperion Financial Management 构建的,它利用 Financial Management 提供的所有功能。

    • (可选)Oracle Hyperion Planning

      集中、Excel 和基于 Web 的规划、预算和预测解决方案,它集成了财务和运营规划流程,可提高业务预测性。

    • (可选)Oracle Essbase

      一种联机分析处理(OLAP)服务器,它提供了一种环境,可用于部署预打包的应用程序或开发定制应用程序。

    • (可选)Oracle Hyperion Financial Data Quality Management, Enterprise Edition (FDMEE)

      一个打包的解决方案,可帮助财务用户通过基于 Web 的引导式工作流开发标准化的财务数据管理流程。

    • (可选)Oracle Hyperion Strategic Finance

      具有即时方案分析和建模功能的财务预测和建模解决方案,可帮助您快速对财务方案进行建模和评估,并且为复杂的负债和资本结构管理提供了现成的财政功能。

    • (可选)Oracle Hyperion Profitability and Cost Management

      该应用程序通过发现成本和获利能力的动因来提供具体可行的洞察,为用户提供可见性和灵活性,并改进资源调整。

    每个应用程序的计算实例分布在单独的容错域或可用性域中。因此,应用程序层中的每个组件都具有高可用性。

    应用层中的所有计算实例均附加到专用子网。因此,应用程序将从拓扑中的所有其他资源隔离在网络级别,并且可以避免未经授权的网络访问。
    • 通过 NAT 网关,应用层中的专用计算实例可以访问云外部的主机(例如,下载应用程序补丁程序或者用于任何外部集成)。通过 NAT 网关,专用子网中的计算实例可以启动与互联网的连接并接收响应,但不会接收从互联网上的主机启动的任何入站连接。
    • 使用服务网关,应用程序层中的专用 Oracle Linux 计算实例可以访问区域内的 Yum 服务器,从而获取操作系统更新和附加程序包。
    • 使用服务网关还可以将应用程序备份到区域中的 Oracle Cloud Infrastructure 对象存储,而无需遍历公共互联网。
  • 数据库层

    数据库层包含 Oracle Cloud Infrastructure Database 实例。为实现高可用性,请使用双节点虚拟机(VM)数据库系统或 Exadata DB 系统。

    您可以选择为 Oracle Hyperion Foundation Services 和应用程序预配单独的数据库。

    对于每个数据库,请指定版本,版本,许可证模型,节点数,CDB 和 PDB 名称,形状,大小和字符集。

    • 如果选择单个 AD 体系结构,则数据库节点在单独的容错域中分布,确保每个数据库集群在故障下容许出现故障。
    • 如果选择多 AD 体系结构,则会在单独的可用性域中预配主数据库和备用数据库,以确保数据库在可用性域级别出现故障。Oracle Data Guard 处于同步模式,可确保备用数据库是在事务处理上一致的主数据库副本。

    所有数据库节点均附加到专用子网。因此,数据库将与拓扑中的所有其他资源隔离在网络级别,并且避免未经授权的网络访问。

    使用服务网关可以在区域中将数据库备份到 Oracle Cloud Infrastructure 对象存储,而无需遍历公共 Internet。

  • 文件存储

    应用程序层中的组件具有共享 Oracle Cloud Infrastructure File Storage 的访问权限,用于存储应用程序生成的共享二进制文件和数据。可指定文件系统的挂载路径和大小限制。

安全规则

Terraform 代码为每个子网创建单独的安全列表。

每个安全列表都包含一个或多个有状态的安全规则,这些安全规则基于子网中资源的流量要求。

  • Bastion 主机的安全列表
    安全规则类型 源或目标 端口
    出站 VCN 3389
    出站 VCN 22
    入站 0.0.0.0/0 22
  • 负载平衡器的安全列表
    安全规则类型 源或目标 端口
    出站 0.0.0.0/0 全部
    入站 0.0.0.0/0 为负载平衡器指定的监听端口
  • Web 服务器的安全列表
    安全规则类型 源或目标 端口
    出站 0.0.0.0/0 全部
    入站 VCN 为 Web 层指定的监听端口。
  • 数据库的安全列表
    安全规则类型 源或目标 端口
    出站 0.0.0.0/0 TCP: 全部
    入站 VCN TCP: 22
    入站 VCN TCP: 1521
  • 应用程序服务器的安全列表

    此安全列表包含以下安全规则:

    • 出站规则,允许为子网外部的任何主机绑定所有 TCP 通信。
    • 入站规则,允许从 VCN 中的任何主机到 RDP 端口 3389 的 TCP 流量。
    • 入站规则,允许来自 VCN 中任何主机的 TCP 流量到以下端口:
      Application 端口
      Oracle Hyperion Foundation Services:WebLogic 服务器 7001, 9000
      Oracle Hyperion Foundation Services:维服务器 5251, 5255
      Oracle Hyperion Foundation Services: Reporting and Analysis Framework 代理 6860, 6861
      Oracle Hyperion Planning 服务器:WebLogic 服务器 7001
      Oracle Hyperion Planning 服务器:Java Web 应用程序 8300
      Oracle Hyperion Planning 服务器:RMI 11333
      Oracle Essbase 服务器:代理 1423
      Oracle Essbase 服务器:应用程序 32768-33768
      Oracle Essbase 服务器:OPMN 端口 6711, 6712
      Oracle Hyperion Financial Management:WebLogic 服务器 7001, 7363
      Oracle Hyperion Financial Management:服务器 9091
      Oracle Hyperion Tax Provision 服务器 22200
      Oracle Hyperion Profitability and Cost Management 服务器 6756
      Oracle Hyperion Strategic Finance 服务器 8900
      Oracle Hyperion Financial Data Quality Management, Enterprise Edition 服务器 6550
  • Oracle Cloud Infrastructure File Storage 的安全规则
    • 入站规则,允许 VCN 中任何主机的 TCP 流量对端口 111 和 2048-2050 进行 TCP 流量
    • 入站规则,允许从 VCN 中的任何主机到端口 111 和 2048 的 UDP 流量
    • 出站规则允许来自端口 111 和 2048-2050 的 TCP 流量访问 VCN 中的任何主机
    • 出站规则,允许从端口 111 到 VCN 中的任何主机的 UDP 流量

所需服务和权限

此解决方案需要以下服务:
  • Oracle Cloud Infrastructure Compute
  • Oracle Cloud Infrastructure Database
  • Oracle Cloud Infrastructure 网络
  • Oracle Cloud Infrastructure 负载平衡
  • (可选)Oracle Cloud Infrastructure FastConnect
  • Oracle Cloud Infrastructure Identity and Access Management
  • Oracle Cloud Infrastructure 对象存储
  • Oracle Cloud Infrastructure File Storage
  • Oracle Cloud Infrastructure Block Volumes
请要求租户管理员创建包含以下权限的 Oracle Cloud Infrastructure Identity and Access Management 策略:
Allow group your.group to manage instance-family in compartment your.compartment
Allow group your.group to manage virtual-network-family in compartment your.compartment
Allow group your.group to manage database-family in compartment your.compartment
Allow group your.group to manage object-family in compartment your.compartment
Allow group your.group to manage volume-family in compartment your.compartment
Allow group your.group to manage load-balancers in compartment your.compartment
Allow group your.group to read compartments in compartment your.compartment
Allow group your.group to manage file-family in compartment your.compartment
Allow group your.group to read all-resources in tenancy
  • 使用用户预配基础结构资源所属的组的名称替换 your.group
  • your.compartment 替换为要预配基础结构的区间的 OCID。