PayPal:Essbase 和 Oracle Cloud 上的分析部署
为了实现财务计划和分析系统的现代化,“摆脱数据中心业务”,PayPal 在线付款平台将其内部部署 Hyperion Essbase 应用迁移到 Oracle Cloud Infrastructure (OCI)。
PayPal 还部署了 Oracle Analytics Cloud,以为 Essbase 用户提供可视化工具,部署了 Oracle Autonomous Transaction Processing 数据库来记录 Essbase 方案,并部署了 Oracle Cloud Infrastructure Identity and Access Management 来管理用户访问。
自从迁移到 Oracle Cloud 以来,PayPal 的财务团队能够运行预测分析,对假设方案进行建模,并根据需要创建高级即席报告,并且加载和检索数据的速度提高 30%,运行计算脚本的速度提高 50%,并将 21 台内部部署服务器减少到仅 10 台云服务器。
体系结构
PayPal 在美国 - 菲尼克斯 Oracle Cloud 区域运行其主要生产环境,并在美国 - 阿什本 Oracle Cloud 区域运行其灾难恢复环境。
主环境和灾难恢复环境都使用远程对等连接进行通信,这样网络流量可以在两个环境之间快速流动。PayPal 通过 VPN FastConnect 将其所有网络流量从内部网络定向到其内部网络。
虽然 PayPal 的开发和质量保证 (QA) 环境与生产环境位于同一虚拟云网络 (Virtual Cloud Network, VCN) 和子网中,但只有开发人员才能访问开发环境。Oracle SQL Developer 实例查询 Oracle Autonomous Transaction Processing (ATP) 实例,该实例用于存放 Oracle Essbase 方案。主要 ATP 生产实例通过服务网关备份到对象存储。
PayPal 使用 DropZone(自主开发的安全 FTP 服务器)将数据从其内部部署数据仓库传输到 Oracle Cloud Infrastructure (OCI) 中的 Essbase,所有数据传输都将进行审计、检查进行加密并记录。Essbase 用户可以连接到 OCI 网络中提供的服务,并且可以使用 Oracle Analytics Cloud 运行自助可视化。Oracle Cloud Infrastructure 文件存储在所有应用和堡垒服务器之间共享。
下图说明了此参考体系结构。
paypal-essbase-oac-oci-oracle.zip
每个 OCI 区域中的实施属于一个不同的区间,每个区间都有自己的 VCN。生产 VCN 和故障转移 VCN 通过使用动态路由网关 (Dynamic Routing Gateway, DRG) 的远程对等连接。
每个 VCN 具有三个子网:
- 公共子网 1 包含 Oracle Cloud Infrastructure Load Balancing 和 Oracle Analytics Cloud (OAC)。OAC 仅在主 VCN 中运行。
- 公共子网 2 是堡垒服务器、ETL 服务器、Oracle Cloud Infrastructure 文件存储和 Oracle SQL Developer 服务器运行的位置。Oracle SQL Developer 服务器仅在主 VCN 中运行。
- 专用子网 1 是 PayPal 运行其 Essbase 服务器的位置,是 Oracle Autonomous Transaction Processing (ATP) 数据库,两者都复制到灾难恢复 (DR) 站点中。
PayPal 架构的核心是 Oracle Identity Cloud Service (IDCS),负责管理整个 OCI 占用空间的安全性、角色、访问和应用程序分配。
- 安全实施包括 IP 允许的列表、Oracle Cloud Infrastructure Web Application Firewall、Oracle IDCS 组、IDCS 应用程序以及在 Essbase 多维数据集级别进行筛选。
-
IP 允许列表是设计的关键部分,确保只有连接到 PayPal 网络的用户才能访问应用程序。
- 只能通过 SSO 访问 PayPal 的生产环境,并且每个子网都有自己的允许 IP 列表。
- 每月执行审核以验证角色和控制。当有人更改职务时,事件会触发用户确认角色和访问权限是否仍适用于新职务。
该体系结构具有以下组成部分:
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心(称为可用性域)。区域与其他区域无关,它们的距离可以分离(跨国家 / 地区甚至大陆)。
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定谁可以访问资源以及他们可以执行的操作。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 允许您控制谁可以访问 Oracle Cloud Infrastructure 中的资源以及他们可以对这些资源执行的操作。
- 监视
Oracle Cloud Infrastructure Monitoring 服务使用度量主动和被动监视云资源,以监视资源和预警,以便在这些度量符合警报指定的触发器时通知您。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,以提供容错功能。可用性域不共享基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。
- 容错域
容错域是可用性域内的一系列硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。当您在多个容错域中分配资源时,应用可以承受容错域中的物理服务器故障、系统维护和电源故障。
- Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是与实施点(例如负载平衡器或 Web 应用程序域名)连接的符合支付卡行业 (Payment card industry, PCI) 标准的基于区域和边缘实施服务。WAF 可保护应用免受恶意和不需要的互联网流量干扰。WAF 可以保护任何面向互联网的端点,并在客户应用之间提供统一的规则实施。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的自定义软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分到子网,从而限定在区域或可用性域范围内。每个子网都包含不与 VCN 中的其他子网重叠的连续地址范围。创建子网后可以更改子网的大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许进出子网的源、目的地和流量类型。
- VPN 连接
VPN Connect 可以在您的内部部署网络和 Oracle Cloud Infrastructure 中的 VCN 之间提供站点到站点的 IPSec VPN 连接。IPSec 协议套件在数据包从源传输到目标之前加密 IP 通信,并在数据包到达时解密流量。
- 网络地址转换 (NAT) 网关
NAT 网关允许 VCN 中的专用资源访问互联网上的主机,同时不会向传入的互联网连接公开这些资源。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,并且从不穿过互联网。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,用于为 VCN 与区域外网络之间的专用网络通信提供路径,例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络。
- 远程对等连接
通过远程对等连接,VCN 的资源可以使用专用 IP 地址进行通信,而无需通过互联网或内部部署网络来路由流量。使用远程对等连接,可以避免不同区域中需要与其他 VCN 通信的实例需要互联网网关和公共 IP 地址。
- 计算
Oracle Cloud Infrastructure Compute 服务允许您在云中预配和管理计算主机。您可以通过配置启动计算实例,以满足 CPU、内存、网络带宽和存储的资源需求。创建计算实例后,您可以安全地访问它,重新启动它,连接和分离卷,并在不再需要时终止它。
- 堡垒主机
堡垒主机是一个计算实例,用作从云端到拓扑的安全受控入口点。堡垒主机通常在非军事区 (demilitarized zone, DMZ) 中进行预配。它使您可以将敏感资源放在无法直接从云外部访问的专用网络中,以保护这些资源。拓扑具有一个已知的入口点,您可以定期监视和审计。因此,您可以避免暴露更敏感的拓扑组件而不会影响对它们的访问。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会导致性能或服务可靠性降低。对于需要快速、立即和频繁访问的“热”存储,使用标准存储。将归档存储用于“冷”存储,您长时间保留这些存储并且很少或很少访问。
- 文件存储
Oracle Cloud Infrastructure 文件存储服务提供了持久、可扩展、安全的企业级网络文件系统。您可以从 VCN 中的任何裸金属、虚拟机或容器实例连接到文件存储服务文件系统。您还可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 从 VCN 外部访问文件系统。
- 分析
Oracle Analytics Cloud 是一种可扩展且安全的公共云服务,可为业务分析师提供现代、人工智能支持的自助分析功能,以支持数据准备、可视化、企业报告、增强分析以及自然语言处理和生成。借助 Oracle Analytics Cloud,您还可以获得灵活的服务管理功能,包括快速设置、轻松扩展和打补丁以及自动化生命周期管理。
- 自治事务处理
Oracle Autonomous Transaction Processing 是一款针对事务处理工作负载进行了优化的自主运行、自我保护和自我修复数据库服务。您无需配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 用于处理数据库创建以及备份、打补丁、升级和优化数据库。
精选构建和部署
想要显示您在 Oracle Cloud Infrastructure 上构建的内容?想要与我们的全球云架构师社区分享您学到的经验、优秀实践和参考架构让我们帮助您开始。
- 下载模板 (PPTX)
通过将图标拖放到示例线框,说明您自己的参考体系结构。
- 观看架构教程
获取有关如何创建引用体系结构的分步说明。
- 提交图表
请向我们发送一封包含您图表的电子邮件。我们的云架构师将回顾您的图表,并与您联系讨论您的架构。