1. 为 Oracle E-Business Suite 和 Cloud Manager 部署登录区域
  2. 了解如何为 Oracle E-Business Suite 和 Cloud Manager 部署设计登录区域

了解如何为 Oracle E-Business Suite 和 Cloud Manager 部署设计登录区域

必须先准备租户,才能将内部部署 Oracle E-Business Suite (EBS) 迁移到 Oracle Cloud Infrastructure (OCI)。您可以设计和部署登录区域以使此准备变得简单。

在此解决方案中,您将学习如何部署具有新租户的登录区域,这也满足部署 EBS 工作负载的特定要求。您可以使用三种不同的 Oracle Cloud Infrastructure Resource Manager 堆栈执行此操作:

  • Oracle E-Business Suite :着陆区域的租户管理员堆栈 (IAM Stack)
  • Oracle E-Business Suite :登录区域的网络管理员堆栈(网络堆栈)
  • Oracle E-Business Suite :登录区域的云管理器部署堆栈 (CM Stack)

然后,您可以使用 EBS Cloud Manager 自动执行此着陆区域中多个 EBS 环境的迁移、部署和生命周期管理。

开始之前

开始之前,请查看以下解决方案:

您还可以选择部署以下引用体系结构:

体系结构

下面的体系结构图显示了使用提供的 IAM、网络和云管理器堆栈的 EBS Cloud Manager 部署 Oracle E-Business Suite 的登录区域设置。

下面是 cis-landing-zone-ebs-arch.png 的说明
插图 cis-landing-zone-ebs-arch.png 的说明

cis-landing-zone-ebs-arch.zip

  1. 租户管理员组的成员必须运行租户管理员堆栈或 IAM 堆栈的初始部署。初始部署 IAM 堆栈后,租户管理员必须为每个用户创建账户并将 IAM 管理员添加到其组。
  2. 然后,IAM 管理员可以将其余用户添加到其组中。
    • 管理员组对其在特定区间中监视的资源具有管理权限。IAM 管理员可以管理 IAM 堆栈,包括区间、组和策略。此堆栈还将创建使用密钥在堆栈之间安全传递配置信息所需的 Vault 和密钥资源。IAM 管理员需要 IAM 管理员、网络用户和安全用户组的权限。

      注意:

      它们可以选择性地是“身份证明管理员”组的一部分。
    • 用户组提供对这些资源的读取或有限使用访问权限,以便能够访问管理员组创建的资源。
  3. 网络管理员管理网络堆栈,包括 VCN、子网和堡垒服务。一组子网与每个不同的 EBS 环境类别关联。此集需要内部应用程序层节点和数据库层节点的专用子网。它还可以包含内部负载平衡器、外部负载平衡器和外部应用层节点的专用子网。可以为堡垒、EBS Cloud Manager 应用程序、负载平衡器和文件存储挂载目标部署一次额外的共享子网。网络管理员必须具有网络管理员和安全用户组的权限。
  4. 管理员(IAM 或云经理)必须为 EBS Cloud Manager 创建机密应用程序。他们需要具有 IDCS 应用程序管理员或 OCI 身份域应用程序管理员角色(或者必须是租户管理员)的权限。
  5. EBS Cloud Manager 管理员管理云管理器堆栈,包括 Cloud Manager 实例和负载平衡器。EBS Cloud Manager 管理员需要对 EBS CM 组、网络用户组、安全用户组以及常规 EBS 工作负载组或特定 EBS 环境类别组的权限。
  6. EBS 环境类别管理员可以使用 Cloud Manager Web 门户管理 EBS 环境。

此体系结构包括以下组成部分:

  • Oracle E-Business Suite 云管理器

    Oracle E-Business Suite Cloud Manager 是一个基于 Web 的应用程序,用于驱动 Oracle Cloud Infrastructure (OCI) 上 Oracle E-Business Suite 的主要自动化流,包括从内部部署迁移基于 Linux 的环境、预配新环境以及执行生命周期管理活动。

  • 密钥

    使用 Oracle Cloud Infrastructure Vault ,可以集中管理加密密钥,这些密钥保护您的数据和用于保护对云中资源的访问的密钥凭证。可以使用 Vault 服务创建和管理 Vault、密钥和密钥。

    密钥是您与 Oracle Cloud Infrastructure 服务一起使用的密码、证书、SSH 密钥或验证令牌等身份证明。将密钥存储在 Vault 中可提供比在其他位置(例如在代码或配置文件中)存储密钥更强的安全性。

  • 身份和访问管理 (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud 应用程序的访问控制层。使用 IAM API 和用户界面可以管理身份域和身份域内的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群。

  • 虚拟云网络 (VCN) 和子网

    VCN 是可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统数据中心网络一样,VCNs 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,创建 VCN 后您可以更改这些块。您可以将 VCN 细分到子网中,子网可以限定到某个区域或可用性域。每个子网都包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 堡垒服务

    Oracle Cloud Infrastructure 堡垒对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database Service自治事务处理 (Autonomous Transaction Processing,ATP)、Oracle Container Engine for Kubernetes (OKE) 以及允许安全 Shell 协议 (Secure Shell Protocol,SSH) 访问的任何其他资源提供有限的安全访问。使用 Oracle Cloud Infrastructure 堡垒服务,您可以允许访问专用主机,而无需部署和维护跳转主机。此外,您还可以使用基于身份的权限以及集中、审计和有时限的 SSH 会话来改善安全状况。Oracle Cloud Infrastructure 堡垒消除了使用公共 IP 进行堡垒访问的需求,消除了在提供远程访问时带来的麻烦和潜在攻击面。

部署 E-Business Suite 登录区域的注意事项

在部署基础结构之前,您必须就如何设置环境做出多项决定。

此解决方案手册假定您将部署所有三个 Terraform 堆栈。这些堆栈可以视为基础设施即代码 (IaC) 或协作式 IaC,具体取决于您的团队的沟通方式。您可以选择回滚到半自动操作模型,前提是您的团队之一不使用 Terraform 堆栈。还可以在初始堆栈部署后回滚到完全手动的方法。

一般决策

您必须为基础设施、信息共享、环境和命名惯例做出某些决策。

区域 注意事项 选项
基础结构管理操作模型 考虑您是致力于管理和维护 Terraform 堆栈,还是希望使用 Terraform 作为一次性脚本并使用控制台或 CLI 管理资源。这有助于确定您的团队所需的 Terraform 技能级别以及您将运行的特定堆栈代码。
  • 协作式基础设施即代码:支持
  • 基础设施即代码:默认值
  • 半自动:支持
  • 手动维护:支持
信息共享 确定如何在堆栈之间传递信息。Oracle 建议您使用 Oracle Cloud Infrastructure Vault 密钥。或者,您可以将 Hashicorps 保管库用于密钥。还可以选择不使用密钥并使用输入变量传递信息或使用状态文件共享输出。
  • OCI 密钥:默认值
  • 输入变量:受支持
  • 其他方法:需要自定义代码
E-Business Suite 环境

您可以在身份和网络级别创建多个相互隔离的 EBS 环境类别。身份隔离涉及创建单独的区间和 IAM 资源,这也限制了 CM UI 中的访问。网络隔离涉及在 VCN 内创建一组单独的子网。
  • 每个环境类别的唯一身份和网络:默认值
  • 共享单身份和网络:支持
  • 共享身份和唯一网络或反向组合:支持
区域 IAM 堆栈包含只能在主区域中创建的资源。因此,网络和云管理器堆栈的自动化仅限于主区域。
  • IAM 堆栈:主区域:必需
  • 网络堆栈:主区域:建议
  • 云管理器堆栈:主区域:建议

命名惯例

这些堆栈共享一个命名约定,有助于确保资源在租户中具有所需的唯一名称,并且您的组织可以轻松标识这些名称。默认情况下,您在 IAM 堆栈中设置这些名称,密钥将通过网络和云管理器堆栈传播命名约定。

注意:

如果将网络或云管理器堆栈部署为独立堆栈,则需要手动输入命名约定。

以下是前缀列表及其用途:

lz_prefix:用于标识正在使用的登录区域。多个工作负载可以共享一个登陆区域(网络和安全区间),也可以根据组织的内部结构使用不同的登陆区域。

ebs_workload_prefix:确定工作量或应用程序。每个负载都有自己的隔离区。

ebs_workload_environment_category(ies):标识要使用或创建的 EBS 环境类别。通过 IAM 堆栈,您可以为多个 EBS 环境类别创建资源。对于每个 EBS 类别,您将需要多次部署网络堆栈。

IAM 堆栈决策

考虑确定租户和身份域的各种因素。

区域 注意事项 选项
租户

考虑是否需要新租户或计划使用现有租户。

新租户:必须配置建议的身份和监管系统,包括创建用户账户和设置租户级别角色以管理 IAM、身份证明、审计者、公告和成本。

现有租户:Oracle 建议为网络、EBS 应用程序和安全性设置身份资源。您可以使用 IAM 堆栈创建新资源,或者在满足您的需求和 EBS 要求时重用现有资源。

新租户
  • 部署 IAM 堆栈。
  • Oracle 建议部署在登录区域中定义的其他管理资源。
现有租户
  • 部署 IAM 堆栈:默认值
  • 重用现有资源:支持
IDCS 或身份域 验证您的租户中是否启用了身份域,因为这些服务的设置略有不同。
  • IDCS :按照手动 IDCS 设置说明进行操作。
  • 身份域:按照手动身份域设置说明进行操作。

网络堆栈决策

您必须根据业务需求对网络需求做出特定决策。

区域 注意事项 选项
虚拟云网络 (VCN) 考虑您是需要新的 VCN 还是现有的 VCN。 新 VCN

网络堆栈可以为您部署新的 VCN。如果要将此网络与另一个 VCN、云或内部部署数据中心对等,则必须在此 Terraform 堆栈外部执行该操作。

现有 VCN
您可以使用输入变量传递现有 VCN。这将在现有 VCN 中创建所需的子网、安全列表和路由表。

注意:

此方法假定 VCN 中已存在所需的网关。
多个 E-Business Suite 环境类别 如果创建多个 EBS 环境类别,则可以通过多次部署网络堆栈来创建隔离网络。在后续部署中,必须将现有 VCN 指定为您在第一个部署中创建或使用的 VCN。您还需要部署必需的 EBS 子网。您不需要另一组云管理器或堡垒子网。 初始堆栈:用于选择现有或新 VCN 的选项:
  • 除此之外,云管理器和/或文件存储子网还需要在此堆栈外部创建的任何 EBS 类别子网的 CIDR 块才能正常网络
  • (可选)部署堡垒子网

其他环境类别堆栈

  • 选择现有 VCN 并确保它与您在第一个堆栈中使用的 VCN 相同
  • 不创建新的云管理器、文件存储或堡垒子网

对于在初始堆栈中生成的任何 Cloud Manager 和/或文件存储子网,此堆栈都需要 CIDR 块才能正确建立网络。
网络访问 您的员工需要通过专用网络对等连接和/或堡垒访问对 OCI 进行网络访问。如果您的员工需要在专用网络外部进行远程 SSH 访问,或者您的专用连接断开,则可能需要设置堡垒子网。

您还可以直接将 OCI VCN 与专用网络对等,以允许 SSH 访问和内部 EBS Web 流量。将两个网络配对不是这些 Terraform 堆栈的一部分,您可以使用 CIS 登录区域执行此操作。

堡垒子网(一次部署):

  • 专用堡垒子网和堡垒服务:默认值
  • 公共堡垒子网和堡垒 VM:部分支持
  • 创建和管理您自己的堡垒 VM:部分支持
专用网络对等连接:在 CIS 登录区域支持
Cloud Manager 子网 必须部署一组 Cloud Manager 子网才能使用 EBS Cloud Manager 应用程序管理 EBS 环境。您只需部署此 CM 子网集一次。 Cloud Manager 子网(一次部署):
  • 默认负载平衡器和应用程序子网:EBS 的默认子网,这些子网是专用的且具有 NAT 访问权限。
  • 外部负载平衡器和应用程序子网:仅当希望通过 Internet 访问 EBS 应用程序时才使用这些外部子网。外部 LB 子网是公共的,并且可以访问 Internet。

    注意:

    外部应用程序子网是专用的。这些子网可以与默认负载平衡器和应用子网一起使用,也可以不与默认负载平衡器和应用子网一起使用,具体取决于您的需求。
EBS 子网 按照以下建议根据环境需求配置 EBS 子网:
  • 为每个环境创建数据库和应用程序子网。
  • 默认情况下,还会预配专用负载平衡器子网,以提供对 VCN 和任何对等网络中 EBS 的访问。
  • 如果需要通过 Internet 提供对 EBS 的访问,可以使用外部负载平衡器和应用程序子网。仅当绝对需要公共互联网接入并且您的团队了解向公共互联网开放应用的风险时才选择此选项。
  • 仅当 EBS 环境使用共享文件系统时,才需要文件存储子网。
  • 应用程序子网和数据库子网:建议(必需)
  • 默认 LB 子网:建议
  • 外部 LB 和应用程序子网(可选):公共 Internet 访问
  • 文件存储子网(可选):共享文件系统
CIDR 块

如果您选择创建新 VCN,则必须为网络指定单个 CIDR 块范围。

 对于计划部署的每个子网,您需要指定一个未使用的 CIDR 块范围,该范围位于 VCN CIDR 块范围内。

云管理器堆栈决策

必须做出有关部署 Cloud Manager 堆栈的特定决策。

区域 考虑事项 选项
DNS

考虑您当前如何将 DNS 用于 EBS。您必须更新 DNS 条目才能指向新的 EBS IP 地址。按照您组织的现有流程来更新 DNS 条目。除了适用于 EBS 环境的 DNS 外,Cloud Manager 应用程序本身还需要一个新的 DNS 条目,它应该与您给定的 hostname 匹配。

  • 外部 DNS 系统:建议
  • 无 DNS :可选
证书 考虑您当前如何将证书用于 EBS。您必须使用外部证书服务创建证书,然后才能将证书作为堆栈中的文件上载。您应遵循组织的现有过程来生成证书。除了 EBS 环境的证书外,Cloud Manager 应用程序本身还需要证书。
  • 外部管理的证书:默认(建议)
  • 未提供证书:可选

关于必需的服务和角色

此解决方案需要以下服务和角色:

  • Oracle Cloud Infrastructure

  • Oracle Cloud Infrastructure Identity and Access Management

  • Oracle Cloud Infrastructure 网络服务
  • Oracle Cloud Infrastructure 安全服务
  • Oracle E-Business Suite 云管理器

部署 Terraform 堆栈需要以下角色:

服务名称:角色 需要 ...
OCI:租户管理员 执行 IAM 堆栈的初始部署。

注:

租户管理员有权部署所有堆栈。Oracle 建议您根据组织需求使用专用角色来执行各个部署。

IDCS:应用程序管理员

或者

OCI 身份域:应用程序管理员

 在 IDCS 或 OCI 身份域中注册 E-Business Suite Cloud Manager 机密应用程序。

以下是 IAM 堆栈自动生成的角色:

服务名称:角色 需要 ...
OCI:IAM 管理员 管理 IAM 堆栈,包括区间、组和策略。
OCI:身份证明管理员 管理用户身份证明。
OCI:<lz-prefix>-Network-Administrators 管理网络堆栈,包括 VCN、子网、安全规则和堡垒。
OCI:<lz-prefix>-Network-Users 允许其他团队使用提供的网络资源。
OCI:<lz-prefix>-Security-Administrators 监视安全区间。
OCI:<lz-prefix>-Security-Users 允许其他团队使用提供的安全资源。
OCI:<lz-prefix>-<ebs-workload-prefix>- 管理员 访问 EBS Cloud Manager UI 以预配环境并为所有环境类别执行生命周期管理活动。这些用户通常称为 EBS DBA。

注:

它们必须是直接 IAM 用户。
<lz-prefix>-<ebs-workload-prefix>-cm- 管理员
  • 创建 EBS Cloud Manager 计算实例。
  • 配置 EBS Cloud Manager 应用程序。

EBS Cloud Manager 管理员组的成员必须:

  • 在 EBS Cloud Manager UI 中定义网络配置文件。
  • 管理 EBS 管理员组的网络概要信息分配。

注:

它们必须是直接 IAM 用户。
OCI:<lz-prefix>-<ebs-workload-prefix>-<ebs-workload-environment-category>- 管理员 访问 EBS Cloud Manager UI,为特定环境类别预配环境并执行生命周期管理活动。这些用户通常称为 EBS DBA。

注:

它们必须是直接 IAM 用户。
OCI:一般信息 允许用户查看对各种 IAM 和核心资源的访问权限。还可以使用它访问 Oracle 标记。

要获得所需资源,请参阅 Oracle 产品、解决方案和服务