了解如何部署适用于 E-Business Suite 和 Cloud Manager 的 Terraform 堆栈
这些堆栈位于 Oracle Cloud Marketplace 中。您将转到 Oracle Cloud Infrastructure Resource Manager 以部署这些堆栈。OCI 资源管理器是 OCI 中的原生 Terraform 引擎,它提供了用于创建、运行和管理 Terraform 的图形界面。
关于部署 IAM 堆栈
如果要将 EBS 部署到新租户,请运行此堆栈。如果要部署到具有足够 IAM 结构的现有租户,则不必部署此堆栈。
在运行 IAM 堆栈时输入以下变量:
- IAM 和身份证明管理组:使用默认值。创建两个租户宽组。一个用户有权管理其他用户的身份证明,另一个用户对大多数其他身份操作具有权限。
- 创建一般策略:使用默认值。为任何用户创建权限,以检查和读取租户中的特定资源。在没有管理员权限的情况下运行 EBS Cloud Manager 堆栈所必需的。
- 登录区域前缀:对于在此登录区域中部署的每个 EBS 堆栈和任何其他应用程序都相同。
- 父区间:这可以是根区间,也可以是租户中的其他现有区间。
- EBS 工作量前缀:每个 EBS 堆栈保持不变。
- EBS 工作量环境类别:列出计划创建的 EBS 环境的每个类别(或集)。您可以直接在提示框中键入类别名称,然后从下拉菜单中选择添加以将其添加到列表中。
- 高级选项:您还可以定制网络和安全区间名称,或使用现有区间,而不是创建新区间。还可以定制 Vault、密钥和密钥。
注意:
如果要使用现有 Vault 或密钥,必须将其所在的区间指定为现有的安全区间。关于手动配置身份
在 Terraform 中无法执行某些身份操作,出于安全考虑,Oracle 不建议通过 Terraform 管理某些其他操作。
租户管理员或 IAM 管理员可以在控制台中手动配置这些资源。请执行以下步骤:
- 创建必需的用户帐户。
- 将用户帐户映射到相应的 IAM 组。
创建用户账户
您可以在 OCI 中创建不同类型的账户。如果您已经具有符合 SAML 2.0 的身份提供者,则可以将该提供者与 OCI 租户联合。您可以在其中将外部联合组直接映射到 OCI IAM 组。如果您还没有外部身份提供者,可以直接在 OCI 默认身份域或新身份域中创建用户。但是,您需要为默认身份域中的用户提供直接 IAM 用户,以确保 EBS Cloud Manager 用户权限在 EBS Cloud Manager 应用程序内正常工作。
将用户映射到 IAM 组
您必须确定哪些用户将负责哪些 OCI 资源类型。可以有一个用户负责多种资源类型,也可以有多个用户负责一种资源类型。租户管理员必须先将 IAM 管理员添加到其组。然后,IAM 管理员可以将其余用户添加到其各自的组中。他们必须为没有帐户的任何用户创建帐户,并将用户添加到相关组。
以下列表将用户映射到其各自的组:
- 将 IAM 用户映射到网络用户、安全用户和应用程序管理员/IDCS 管理员组。
- 将安全用户映射到安全管理员和网络用户组。
- 将网络用户映射到网络管理员和安全用户组。
- 将每个 EBS 环境类别(包括 Cloud Manager 用户)映射到 "Network Users and Security Users"(网络用户和安全用户)组、他们管理的 EBS 环境管理组以及 EBS CM 管理组。
注意:
用户必须是直接 OCI IAM 用户,而不是联合用户。
关于部署网络堆栈
运行网络堆栈时输入以下变量:
- 安全区间:从预填充的列表中查找在 IAM 堆栈中创建/使用的安全区间,或者提供其
OCID。此变量允许堆栈自动查找以前堆栈中存储为密钥的所有必需信息。 - 工作量身份密钥:选择与一般 EBS 工作负载对应的密钥,格式为:
identity-"lz prefix"-"workload prefix"。 - EBS 工作量前缀:每个 EBS 堆栈保持不变。
- 高级选项:允许您另外定制使用和创建的密钥。
- 创建 VCN :您可以选择创建新 VCN 或使用现有 VCN。对于 EBS 网络环境类别的后续部署,必须选择在初始部署中创建或使用的现有 VCN。
- True
- VCN CIDR :指定要用于 VCN 的 CIDR 块范围。
- False
- 网络区间:指定 VCN 所在的区间。
- 现有 VCN :从预填充列表中查找现有 VCN 或提供其
OCID。
- True
- 环境类别标识密钥:以名称格式选择与特定 EBS 工作负载环境类别对应的密钥:identity-"
lz prefix"-"workload prefix"-"environment name"。注意:
如果需要用于其他环境类别的网络,则必须部署网络堆栈的另一个副本。
下表列出了子网创建变量、子网配置访问网关、CIDR 变量以及何时使用它们:
| 子网创建变量 | 何时使用? | 子网配置和网关访问 | CIDR 变量 * |
|---|---|---|---|
Create Cloud Manager subnets or Select existing Cloud Manager subnet |
在创建的第一个网络环境堆栈中创建一次子网。在后续环境中,选择由第一个堆栈创建的现有 Cloud Manager 子网。 | 具有 NAT 网关访问的专用子网。
注意: 您可以选择将负载平衡器子网设为公共,然后通过互联网网关访问使用公共子网。这不是建议的流程。 |
|
Create subnets for an EBS environment (app and database) |
每个 EBS 环境类别子网配置和网关访问 | 具有 NAT 网关访问的专用子网 |
|
Create default Load balancer tier subnet |
默认情况下使用以提供通过专用网络访问 EBS 的权限 | 具有 NAT 网关访问权限的专用子网 | Load balancer subnet CIDR |
Create external load balancer and application tier subnets |
仅在需要通过 Internet 提供用户访问的 EBS 环境类别中 |
具有 Internet 访问的公共 LB 子网。 具有 NAT 网关访问的专用应用程序子网。 |
|
Create File Storage subnet or Select existing File Storage subnet |
仅当 EBS 实施使用共享文件存储时才使用。在第一个网络环境堆栈中创建一次。在后续堆栈中,选择在第一个堆栈中创建的现有子网。 | 具有 NAT 网关访问权限的专用子网 | File Storage subnet CIDR |
Create Bastion subnet |
在第一个网络环境堆栈中创建一次 | 当 Use Bastion Service 变量为 true 时,子网是专用的。否则,对 Internet 网关公开访问。
|
Bastion Subnet CIDR |
Additional ebs subnets |
创建新的云管理器或文件存储子网时,请在当前 VCN 中指定您已有的附加 EBS 子网,或者您计划在其他堆栈中创建。 | 向 Cloud Manager 和文件存储子网添加其他路由规则 |
注: 专用 LB 或默认 LB 是自己的选项。 |
脚注
* 为位于 VCN CIDR 范围内的每个子网指定一个唯一的 CIDR 块范围,该范围不与其他子网的 CIDR 范围冲突。
使用堡垒服务
您可以选择使用堡垒服务。
- True :将子网设置为专用以及堡垒服务。
- 堡垒允许列表:可以建立入站
SSH连接的以 CIDR 表示法表示的外部 IP 范围列表。 - 堡垒 TTL 限制:允许
SSH连接保持活动状态的最长时间(以秒为单位)。允许的值介于 30 分钟(1800 秒)和 3 小时(10800 秒)之间。
- 堡垒允许列表:可以建立入站
- 假:将子网预配为公共子网,但不预配传统堡垒虚拟机。
关于部署 Cloud Manager 堆栈
此 Terraform 堆栈创建云管理器 (Cloud Manager,CM) VM 和负载平衡器以及 CM 应用程序引导。
全球设计决策
运行 IAM 堆栈时,您必须做出决策并输入多个变量。
Environment category identity secret:以名称格式选择与 EBS 工作量的特定环境类别对应的密钥:identity-"lz prefix"-"workload prefix"-"environment name"。您选择的环境将用于创建默认网络配置文件。Security compartment:从预填充的列表中查找在 IAM 堆栈中创建或使用的安全区间,或者提供其OCID。此变量允许堆栈自动查找以前堆栈中存储为密钥的所有必需信息。Advanced options:允许您另外定制使用和创建的密钥。
DNS 和证书配置
建议使用 DNS 和证书,但它是可选的。
Cloud Manager CA cert (optional):提供用于将 Cloud Manager 证书生成为文件的签名证书颁发机构链。Cloud Manager key cert:提供生成的用于 EBS Cloud Manager 的私有密钥证书文件。Cloud Manager Public cert:提供用于将专用证书验证为文件的公共证书链。注:
如果您未提供私钥证书,将使用openSSL和提供的hostname生成证书。Server host for EBS Cloud Manager login URL:为 EBS Cloud Manager Web 门户输入hostname。输入格式应为myebscm.example.com并匹配您的 DNS 条目、签名证书和机密应用程序。EBS Cloud Manager 登录 URL 将为https://myebscm.example.com:443。- CM CA 证书
- CM 密钥证书
- CM 公共证书
创建机密应用程序
应用程序管理员必须先使用 OCI 控制台将 EBS CM 注册为机密应用程序,才能使用 Cloud Manager 管理 E-Business Suite 。这样,用户可以使用其 OCI 账户对云管理器进行验证和授权访问。
在创建机密应用程序之前,您必须知道计划用于 EBS 云管理器的 URL。此 URL 必须与 DNS 记录中的 hostname 和签名证书匹配。
运行 Cloud Manager 堆栈时,必须使用提供的 client ID 和 secret。
IDCS 或身份域配置
- IDCS 客户端 ID :配置身份时注册的 EBS 云管理器的机密应用程序的 ID。
- IDCS 客户端密钥:配置身份时注册的 EBS 云管理器的机密应用程序的密钥。
- IDCS 客户端租户:IDCS 或身份域租户的 ID。这可以视为浏览器地址栏中 URL 的一部分,位于
//之后,位于identity.oraclecloud.com之前。它以字符idcs-开头,后跟数字和字母的字符串,格式为idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx。
EBS CM 管理
- Cloud Manager 管理员用户 OCID :默认情况下,此堆栈将使用运行此堆栈的用户的帐户作为初始 Cloud Manager 管理员。(可选)您可以通过在此处提供其他用户的
OCID将其设置为初始管理员。此管理账户必须是本地非联合 IAM 用户。 - Cloud Manager 管理员用户专用 API 密钥:默认情况下,会创建新的 API 密钥并将其与所选 Cloud Manager 管理员账户关联。(可选)您可以输入已关联的专用 API 密钥。
云管理器虚拟机
- EBS Cloud Manager 配置:从列表中选择 EBS Cloud Manager VM 的配置。Oracle 建议使用
Standard2.x和Standard.E2.x配置。 SSH键:用于使用CLI访问云管理器的公共SSH键。- EBS 云管理器可用性域:从列表中选择您的可用性域。
- CM 密码:EBS CM 管理员的密码。
注:
密码至少应为 8 个字符,1 个大写字母,1 个小写字母,1 个数字,1 个特殊字符 (#?!@$%^&*-)。EBS Cloud Manager 管理员使用此密码连接到 Cloud Manager 实例,然后运行后续脚本。初始默认口令是 WElcome##12345。Oracle 建议您使用符合本说明中列出的密码要求的值更改密码。