使用 Palo Alto Networks 防火牆和 Exadata 雲服務部署 Oracle E-Business Suite
Oracle E-Business Suite 的雲端部署從技術與業務角度,都能提供許多優點。對成長、效能和可用性方面的支援,雲端運算在市場上經常被淘汰的最高優點,因而提升了業務靈活度。它也提供較低的成本和更安全的系統。
相較於其他雲端解決方案,Oracle Cloud Infrastructure (OCI) 解決方案和認證的資料庫服務,提供數項優點。例如,Oracle 提供 OCI 的 Oracle E-Business Suite 雲端自動化 (Oracle E-Business Suite 生命週期管理的雲端管理程式工具) 與其他廠商無法使用的相關資料庫服務 (例如虛擬機器資料庫系統、Exadata 雲服務或 Exadata Cloud@Customer)。
使用 Palo Alto Network VM 系列虛擬及新一代防火牆 (NGFWs) 在 Oracle Cloud 上使用 Oracle E-Business Suite 工作負載,搬移 Oracle E-Business Suite 工作負載或擴充目前的 OCI 租用戶,可增強 OCI 提供的原生安全選項。
架構
此參考架構說明 Oracle E-Business Suite 資料庫在 Oracle Exadata Cloud Services 上執行的高可用性多節點部署。
注意:
如果您剛開始 OCI 歷程,可以在 My Oracle Support (MOS) 注意事項 Oracle Cloud Infrastructure 上開始使用 Oracle E-Business Suite,文件 ID 2517025.1 (以下稱「瀏覽更多」主題) 中找到搬移 E-Business Suite 工作負載的進一步詳細資訊。在此架構中,Oracle E-Business Suite 工作負載已部署在集線器中,並且會呼叫透過中央集線器遞送流量的網路拓樸,以及連線至多個不同的網路 (呼叫 VCN)。中樞 VCN 透過動態路由閘道 (DRG) 連線至支點 VCN。在此情況下,中樞是 DRG 與防火牆 VCN 的組合。
在這裡,應用程式層包含應用程式的多個執行處理,以提供高可用性。資料庫層使用在 Oracle Exadata Cloud Services 上執行的 Oracle Real Application Clusters 資料庫。
下表顯示此架構:
為了強化租用戶的安全狀況,會部署 Palo Alto Networks VM 系列。這可讓您保護工作負載,並同時監控北南部 (進入雲端網路流量) 和東部 (VCN 之間在雲端環境移動流量) 流量。所有從網際網路到企業內部部署資料中心或 Oracle Services Network 之間的流量都會透過中樞 VCN 進行路由,並由 Palo Alto Networks VM 系列防火牆的多層威脅防護技術進行檢查。
邏輯流量如下所述:
北南交通流量入埠:
此圖說明從網際網路傳送到 OCI 區域的內送南北流量:
ns-inbound-inet-spoke.png 圖解說明
ns-inbound-inet-spoke-oracle.zip
此圖例描述從客戶內部部署資料中心發出的內送南北流量至 OCI 區域:
ns-inbound-prem-spoke.png 圖解說明
ns-inbound-prem-spoke-oracle.zip
北南交通流量出埠:
此圖說明從 OCI 區域到網際網路的出埠流量:
ns-outbound-spoke-prem.png 圖解說明
ns-outbound-spoke-prem-oracle.zip
此圖說明從 OCI 區域到客戶企業內部部署資料中心的出埠流量:
東西流量:
下圖說明 OCI VCN 中的東部流量:
- 用戶
當您註冊 Oracle Cloud Infrastructure 時,Oracle 會為您的公司建立租用戶,這是 Oracle Cloud Infrastructure 內安全且獨立的分割區,您可以在其中建立、組織及管理雲端資源。
-
區域
Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心的本地化地理區域,稱為可用性網域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。大部分的 Oracle Cloud Infrastructure 資源都是特定區域 (例如虛擬雲端網路) 或可用性網域特定 (例如運算執行處理)。
-
區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您的 Oracle Cloud 資源、控制資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。
-
可用性網域 (AD)
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
-
容錯域 (FD)
容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。
-
虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以是單一可用性網域,也可以跨區域中的所有可用性網域 (建議)。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
-
中樞 VCN
中心 VCN 是部署 Palo Alto Networks VM 系列防火牆的集中式網路。它可安全連線至所有支點 VCN、Oracle Cloud Infrastructure 服務、公用端點和從屬端,以及企業內部部署資料中心網路。
-
應用程式層支點 VCN
應用程式層支點 VCN 包含代管 Oracle E-Business Suite 應用程式堆疊的專用子網路。它也具有 Exadata 從屬端和備份子網路。
-
負載平衡器 (LB)
OCI 負載平衡服務可將單一進入點到後端的多部伺服器,間的流量自動分配。
-
安全清單 (SL)
「安全清單」可作為運算執行處理的虛擬防火牆。安全清單包含一組輸入 (從網際網路起始的連線) 和輸出 (從 VCN 內部起始的連線) 安全規則,這些規則可套用至安全清單所關聯之任何子網路中的所有 VNIC。
-
路由表 (RT)
虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地,通常是透過 VCN 以外的閘道 (例如透過網際網路、企業內部部署網路或對等互連 VCN)。
-
服務閘道 (SG)
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage。VCN 到 Oracle Services 的流量會透過 Oracle 網路架構移動,而一律不會周遊網際網路。
-
網際網路閘道 (IGW)
網際網路閘道是您可以新增至 VCN 的選擇性虛擬路由器,允許 VCN 和公用網際網路中公用子網路之間的流量。
-
動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可為 VCN 與區域外部網路之間的專用網路流量提供路徑,例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路,或其他雲端提供者中的網路。
有了 DRG 的新增強功能,您現在可以附加下列資源:- VCN
- 遠端對等互連連線
- 站對站 VPN IPSec 通道
- OCI FastConnect 虛擬迴路
-
虛擬網路介面卡 (VNIC)
OCI 資料中心的服務有實體網路介面卡 (NIC)。虛擬機器執行處理使用與實體 NIC 關聯的虛擬 NIC (VNIC) 進行通訊。每個執行處理都有在啟動期間自動建立並連附的主要 VNIC,可在執行處理的存留期間使用。DHCP 只能提供給主要 VNIC。您可以在執行處理啟動後新增次要 VNIC。您應該為每個介面設定靜態 IP。
-
物件儲存
物件儲存可讓您快速存取任意內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。順暢調整儲存體,不會發生任何效能或服務可靠性的降低情形。使用標準的「熱門」儲存空間,快速、立即、經常存取。將封存儲存體用於您長期保留的「冷」儲存體,極少或罕見地存取。
-
FastConnect (Fc)
Oracle Cloud Infrastructure FastConnect 可讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專屬專用連線簡單的方式。與網際網路連線相比,FastConnect 提供更高的頻寬選項和更可靠的網路體驗。
- 虛擬迴路 (VC)
虛擬迴路是 layer-2 或 layer-3 乙太網路 VLAN,會在您網路邊緣的路由器與 Oracle 路由器之間提供單一邏輯連線。每個虛擬迴路是由客戶與 Oracle 之間共用的資訊,以及 Oracle FastConnect 合作夥伴 (如果您是透過 Oracle FastConnect 合作夥伴進行連線) 所組成。專用虛擬迴路支援專用對等互連,而公用虛擬迴路支援公用對等互連。
-
Palo Alto Networks VM 系列防火牆
提供虛擬機器形式提供實體新一代防火牆的所有功能,提供內嵌的網路安全和威脅防護,以一致地保護公有和私有雲。
有了 OCI 的 VM 系列功能,您可以保護及區隔工作負載、防止進階威脅,以及隨著您搬移至雲端時提升應用程式的可見性。- 管理子網路使用管理介面,讓一般使用者能夠連線至使用者介面。
- untrust 子網路是用來將外部流量導向至 Palo Alto Networks VM 系列防火牆或來自 Palo Alto Networks。
- 信任子網路是用來將內部流量導向至 Palo Alto Networks VM 系列防火牆或傳送。
- 高可用性 (HA) 子網路可確保 VM-Series 防火牆處於高可用性。
-
E-Business Suite 應用程式層
Oracle E-Business Suite 應用程式是由伺服器與檔案系統所組成。在此參照架構中,部署在多個應用程式層節點並封裝應用程式,在多個節點部署 Oracle E-Business Suite 應用程式層時,您可以使用共用或非共用應用程式層檔案系統。此架構採用共用的應用程式層檔案系統,可降低磁碟空間需求,避免在環境中每個節點套用補丁。
-
企業主控中心 (ECC)
企業主控中心除了提供 Oracle E-Business Suite 使用者介面中內嵌的視覺化和探索功能之外,也提供資訊探索功能。Oracle Enterprise Command Center Framework 可讓您在不同的功能區域中建立業務儀表板。Oracle E-Business Suite 使用者可使用互動式視覺元件和引導式探索功能,以瀏覽交易資訊,並允許進行資料分析。行動與回應式設計內建於 Oracle Enterprise Command Center Framework 中,所有儀表板都會自動調整版面配置,以更符合桌面或行動裝置表單因子。
Oracle Enterprise Command Center Framework (包括儀表板內容) 會自動遵循現有的 Oracle E-Business Suite 安全相關資訊環境及安全性。企業主控中心可協助 Oracle E-Business Suite 使用者識別並處理優先順序交易,而不需進行客製化作業報告。ECC 版本 V7 包含 32 個指令中心,其中包含 121 個跨 Oracle E-Business Suite 的儀表板。
-
Oracle E-Business Suite 資料庫層 - Exadata Cloud Service
Exadata 雲服務可讓您運用雲端 Exadata 的強大功能。您可以佈建彈性的 X8M 系統,隨著需求成長,將資料庫運算伺服器和儲存體伺服器加入您的系統。X8M 系統提供 RoCE (RDMA over Converged Ethernet) 網路以進行高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用等同於四分之一機架 X8 系統的資源配置來佈建 X8M 系統,然後在佈建之後隨時新增資料庫和儲存體伺服器。
為了佈建 Exadata 雲服務資料庫,您必須先個別佈建 Exadata 雲端服務基礎架構和 VM 叢集資源。除了基礎架構、VM 叢集、初始資料庫本位目錄以及資料庫之外,也會建立。您可以透過主控台或 Oracle Cloud Infrastructure API,隨時建立其他資料庫本位目錄和資料庫。
建議
- VCN
建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與任何其他網路 (在 Oracle Cloud Infrastructure、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊,以設定專用連線。
建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。
Oracle 建議使用區域子網路,因為這些子網路較具彈性。這樣一來,設計可用性網域失敗時,也能更輕鬆有效率地將 VCN 分割成子網路。
- 安全
為了強化 OCI 租用戶的安全態勢,Oracle 建議使用雲端保全和安全區域。您必須先啟用雲端保全,才能建立安全區域。「雲端保全」可協助您偵測在安全區域之前建立的現有資源中是否違規。
雲端保全
「雲端保全」是一個雲端原生服務,可協助客戶在 Oracle Cloud 上監督、識別、達成以及維持強健的安全態勢。此服務可用來檢查 OCI 資源以找出與組態相關的安全弱點,以及您的 OCI 運算子和使用者是否發生風險活動。Cloud Guard 在偵測時,可以根據您的組態提出建議、協助或採取更正動作。下列清單簡要說明開始進行雲端保全規劃所需的事項:- 目標:定義 Cloud Guard 檢查的範圍。目標內的所有區間都會以相同方式檢查,而且您對於偵測到的問題有相同的選項。
- 偵測器:執行檢查,根據活動或組態識別潛在的安全問題。目標中所有區間的規則皆相同。
- 回應器:指定偵測器識別問題時,「雲端保全」可採取的動作。目標中所有區間如何處理識別之問題的規則相同。
安全區域
對於需要最高安全性的資源,Oracle 建議您使用「安全」區域。安全區域是與基於最佳做法之 Oracle 定義安全原則處方關聯的區間。例如,安全區域中的資源不能從公用網際網路存取,因此必須使用客戶管理的金鑰加密。您在安全區域中建立及更新資源時,OCI 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用系統的安全需求分開。
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用系統的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取預先定義的資源配置以提供固定頻寬,或指定自訂 (彈性) 資源配置供您設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。有了其中一種方法,您便可以在建立負載平衡器之後,隨時變更資源配置。
- E-Business Suite 雲端管理員工具
Oracle E-Business Suite Cloud Manager 是一個 Web 型應用程式,可驅動 OCI 上 Oracle E-Business Suite 的所有主要自動化流程,包括佈建新環境、在這些環境中執行生命週期管理活動,以及從內部部署回復環境。
Oracle 強烈建議所有打算將 Oracle E-Business Suite 工作負載搬移至 OCI 的客戶,將此自動化工具用於原封不動搬移、佈建及生命週期管理。不過,如果我們目前的自動化方案不符合特定需求,您可以使用手動程序。
探索更多
歡迎您深入瞭解如何使用 Palo Alto Networks 防火牆和 Exadata 雲服務部署 Oracle E-Business Suite。
複查下列額外資源:
- 產品和產品相關文件:
- My Oracle Support 注意事項:
- Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 入門 (文件 ID 2517025.1)
- 安裝 Oracle Enterprise Command Center Framework,版本 12.2 (文件 ID 2495053.1)
- Oracle E-Business Suite Cloud Manager 用於在 Oracle Cloud Infrastructure 上佈建 Oracle E-Business Suite 的標準 (文件 ID 2656874.1)