瞭解 Oracle E-Business Suite 拓樸

開始之前

開始規劃部署或移轉 Oracle E-Business Suite 應用程式之前，請先識別 Oracle Cloud Infrastructure 是否支援您要部署的 Oracle E-Business Suite 應用程式版本。Oracle Cloud Infrastructure 支援 Oracle E-Business Suite 版本 12.2 和 12.1.3。

關於邏輯主機名稱

當您設定 Oracle E-Business Suite 資料庫層和應用程式層時，Oracle 建議您使用邏輯主機名稱 (而非實體主機名稱)。使用邏輯主機名稱的優點如下：

提供在不執行複製並重新設定組態的情況下，將資料庫和應用程式層移至其他機器或資料中心的功能。
在作用中和待命網站上使用相同的主機名稱，減少容錯移轉所需的重新設定組態大小。
請避免因網路組態變更 (例如主機名稱變更) 而重新聯結或複製資料庫和應用程式層。

關於防禦主機

防禦主機是一個選擇性元件，可與防火牆原則搭配使用，以保護資料庫和應用程式伺服器的管理介面免於外部存取。防禦主機是一個 Oracle Cloud Infrastructure Compute 執行處理，使用 Linux 或 Windows 作為其作業系統。

將防禦主機置於公用子網路中、然後指定一個公用 IP 位址、以便從網際網路存取。

若要提供額外的安全性層次，您可以設定安全清單，只從企業內部部署網路的公用 IP 位址存取防禦主機。您可以透過防禦主機存取專用子網路中的 Oracle Cloud Infrastructure 執行處理。若要這麼做，請啟用 ssh-agent 轉送，這可讓您連線至防禦主機，然後從您的電腦轉送證明資料來存取下一部伺服器。您也可以使用動態 SSH 通道來存取專用子網路中的執行處理。SSH 通道是一種存取 Web 應用程式或其他監聽服務的方法。動態通道會在本機連接埠上提供 SOCKS 代理主機，但連線源自遠端主機。

關於負載平衡器層

您可以使用 Oracle Cloud Infrastructure Load Balancing 將流量分送至 VCN 內所有可用性網域的應用程式執行處理。此服務提供負載平衡器的主要和待命執行處理、以確保主要負載平衡器停止作用時、待命負載平衡器會轉送要求。負載平衡器可確保要求會遞送至正常的應用程式執行處理。如果應用程式執行處理發生問題，負載平衡器就會移除該執行處理，並開始將要求路由至其餘狀況良好的應用程式執行處理。

根據您的需求，您可以在公用或專用子網路中放置負載平衡器。

對於無法從網際網路存取的內部端點，請使用專用負載平衡器。專用負載平衡器有一個專用 IP 位址，無法從網際網路存取。負載平衡器的主要和待命執行處理都位於相同的專用子網路中。您可以透過 DRG，在 VCN 或資料中心透過 IPSec VPN 存取專用負載平衡器。專用負載平衡器會接受來自您資料中心的流量，並將流量分送至基礎應用程式執行處理。
對於面對網路的端點，請使用公用負載平衡器。公用負載平衡器有一個公用 IP 位址，可從網際網路存取。您可以透過網際網路閘道從網際網路存取公用負載平衡器。
若要存取內部端點和公用負載平衡器，請設定專用負載平衡器和公用負載平衡器。設定專用負載平衡器提供服務給內部流量，並設定公用負載平衡器提供服務給網際網路的流量。

在內部部署或公用網域名稱伺服器 (DNS) 中註冊 Oracle Cloud Infrastructure Load Balancing 執行處理的公用或專用 IP 位址，以解析應用程式端點的網域。

關於應用程式層

應用程式層位於子網路中，與負載平衡器和資料庫執行處理的子網路不同。您至少必須在可用性網域中建置兩個應用程式執行處理，以確保可用性網域中的應用程式執行處理具有高可用性。

您可以使用 Oracle E-Business Suite 資料庫，在多個應用程式層節點建置 Oracle E-Business Suite。Oracle 建議您使用共用應用程式二進位檔案建置 Oracle E-Business Suite 多層設定。當您使用共用應用程式層檔案系統時，Oracle E-Business Suite 應用程式層檔案系統會與多重節點環境中的每個節點共用。您可以使用 Oracle Cloud Infrastructure File Storage 來建立共用檔案系統，以便在多個應用程式主機之間共用及同步 Oracle E-Business Suite 應用程式二進位檔案。當您針對多個應用程式主機使用共用檔案系統時，它會降低磁碟空間需求，並且不需要將修正程式套用至環境中的每個應用程式主機。

從負載平衡器流量至應用程式執行處理 (透過您在安全規則中定義的特定連接埠)。設定安全規則，只允許連接埠 8000 的負載平衡器以及連接埠 22 的防禦主機的流量。

您可以使用 Oracle Cloud Infrastructure Block Volumes 的原則式備份功能來備份 Oracle E-Business Suite 應用程式執行處理。

關於資料庫層

Oracle Cloud Infrastructure 提供數個選項來設定 Oracle Database 系統 (資料庫系統)。將資料庫系統置於個別的子網路中。Oracle 建議在 Oracle Cloud Infrastructure 上建立專用子網路中的資料庫服務。您可以使用安全清單來限制只從防禦主機、應用程式伺服器和內部部署伺服器存取資料庫伺服器。

您可以使用單一節點 Oracle Compute 虛擬機器、單一節點虛擬機器資料庫系統、兩個節點 Oracle Real Application Clusters (RAC) 虛擬機器資料庫系統或 Oracle Exadata DB 系統來建置資料庫。為了在可用性網域內提供高可用性，Oracle 建議您使用雙節點虛擬機器資料庫系統或 Oracle Exadata DB 系統。雙節點虛擬機器資料庫系統或 Oracle Exadata DB 系統都會利用 Oracle RAC 並建置雙節點叢集以提供高可用性。在任一種情況下，可用性網域中的兩個資料庫執行處理皆為作用中。從應用程式層收到的要求會跨資料庫執行處理進行負載平衡。即使一個資料庫執行處理已關閉，另一個資料庫執行處理仍會服務要求。

對於資料庫層，建議您透過應用程式伺服器設定安全清單，以確保只透過連接埠 22、防禦主機以及透過連接埠 1521 進行通訊。您可以使用 Oracle Cloud Infrastructure Object Storage，利用 Oracle Recovery Manager (RMAN) 來備份 Oracle E-Business Suite 資料庫。

如果您在多個可用性網域中部署 Oracle E-Business Suite 以獲得高可用性，您必須在同步模式下設定 Oracle Data Guard 或 Oracle Active Data Guard，才能在兩個可用性網域中跨資料庫複製資料庫變更。

關於安全清單

在 Oracle Cloud Infrastructure 中，防火牆規則是透過安全清單設定的。系統會為每個子網路建立個別的安全清單。

Oracle 建議您為資料庫、應用程式、負載平衡器和防禦主機建立個別的子網路，以確保將適當的安全清單指派給每個子網路中的執行處理。使用安全清單可允許不同層之間、防禦主機與外部主機之間的流量。安全清單包含輸入和輸出規則，以篩選子網路層次的流量。它們也包含允許資料傳輸的通訊連接埠相關資訊。架構圖中的每個安全規則行都會顯示這些連接埠 (或在某些情況下，需要在安全規則中開啟連接埠的協定)。

每個安全清單都會在執行處理層次強制實行。不過，當您在子網路層次設定安全清單時，特定子網路中的所有執行處理都會受限於同一組規則。每個子網路可以有多個關聯的安全清單，而每個清單可以有多個規則。如果任何清單中的規則允許流量 (或流量為正在追蹤之現有連線的一部分)，則允許傳輸資料封包。除了安全清單之外，還可以使用 iptables 在執行處理層次實行另一層安全。

對於公用子網路中的建置，您可以透過防止從網際網路存取應用程式和資料庫執行處理，提供額外的安全層次。使用自訂安全清單可避免從網際網路存取應用程式和資料庫執行處理，並允許從防禦主機透過連接埠 22 從防禦主機存取資料庫和應用程式主機以進行管理。不允許透過 SSH 從網際網路存取應用程式和資料庫執行處理，但是您可以從包含防禦主機的子網路存取這些執行處理。

您可以透過防禦主機伺服器存取專用子網路中的執行處理。

防禦主機的安全清單

防禦主機可透過連接埠 22 從公用網際網路存取防禦主機。

允許透過網際網路從企業內部部署網路到防禦主機的 SSH 流量：

狀態性傳入：允許從來源 CIDR 0.0.0.0/0 和所有來源連接埠到目的地連接埠 22 (SSH) 的 TCP 流量。

Source Type = CIDR、Source CIDR = 0.0.0.0/0、IP Protocol = TCP、Source Port Range = All、Destination port range = 22

您也可以限制防禦主機只能從您的資料中心(而不是公用網際網路)透過網際網路(連接埠22)存取。若要達到此目的，請在狀態性傳入規則中使用邊緣路由器 IP，而不要使用來源 CIDR 作為 0.0.0.0/0。
允許從防禦主機到 Oracle Cloud Infrastructure Compute 執行處理的 SSH 流量：

狀態性傳出：允許從所有來源連接埠到目的地連接埠 22 (SSH) 的 TCP 流量傳送至目的地 CIDR 0.0.0.0/0.

Destination Type = CIDR，Destination CIDR = <CIDR block of VCN >、IP Protocol = TCP、Source Port Range = All、Destination port range = 22

負載平衡器層的安全清單

架構圖顯示放置在專用子網路中的專用負載平衡器。如果您將負載平衡器執行處理置於公用子網路中，則允許從網際網路 (0.0.0.0/0) 到負載平衡器執行處理的流量。

允許從網際網路到負載平衡器的流量：

狀態性傳入：允許從來源 CIDR (網際網路)0.0.0.0/0 到目的地連接埠 8888 (HTTP) 或 443 (HTTPS) 的 TCP 流量。

Source Type = CIDR、Source CIDR = 0.0.0.0/0、IP Protocol = TCP、Source Port Range = All、Destination port range = 8888 or 443
允許從內部部署網路到負載平衡器的流量：

狀態性傳入：允許從內部部署網路 CIDR 區塊和所有來源連接埠至目的地連接埠 8888 (HTTP) 或 443 (HTTPS) 的 TCP 流量

Source Type = CIDR，Source CIDR = <CIDR block for onpremises network >、IP Protocol = TCP、Source Port Range = All、Destination port range = 8888 or 443
允許從負載平衡器層到應用程式層的流量：

狀態性傳出：允許從所有來源連接埠到目的地連接埠 8000 (HTTP) 的 TCP 流量到目的地 CIDR 0.0.0.0/0

Destination Type = CIDR，Destination CIDR = <CIDR block for application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 8000

應用程式層的安全清單

應用程式層的安全清單允許從負載平衡器層到應用程式層的流量。

允許從防禦主機到應用程式層的流量：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of bastion subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 22
允許從負載平衡器層到應用程式層的流量：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of load balancer subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 8000
允許應用程式層中跨應用程式執行處理的流量：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = All
允許從應用程式層到資料庫層以及跨應用程式層之應用程式執行處理的流量：

狀態性傳出：Destination Type = CIDR，Destination CIDR = 0.0.0.0/0、IP Protocol = TCP、Source Port Range = All、Destination port range = All

對於多個應用程式層組態中應用程式層之間的通訊 (只有 Oracle E-Business Suite EBS 12.2 才需要)：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 7001-7002
狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 7201-7202
狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 7401-7402
狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 7601-7602

資料庫層的安全清單

允許從防禦主機到資料庫層的流量：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of bastion subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = 22
允許從應用程式層到資料庫層的流量：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of application subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range =1521
允許從資料庫層到應用程式層的流量：

狀態性傳出：Destination Type = CIDR，Destination 0.0.0.0/0 on TCP、source port = All、destination port = All
允許將資料庫備份至 Oracle Cloud Infrastructure Object Storage 的流量：

狀態性傳出： Destination Type = Service，Destination OCI <region > Object Storage、source port = All、destination port = 443

對於多個可用性網域架構，若要允許 Oracle Active Data Guard 所有可用性網域之間的資料庫層之間的流量：
- 狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of database subnet in availability domain 1>、IP Protocol = TCP、Source Port Range = All、Destination port range =1521
- 狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of database subnet in availability domain 2>、IP Protocol = TCP、Source Port Range = All、Destination port range =1521

對於 Oracle Database Exadata Cloud Service 系統提供，需要下列其他規則：

狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of exadata client subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range =All
狀態性傳入：Source Type = CIDR，Source CIDR = <CIDR block of exadata client subnet >、IP Protocol = ICMP、Type and Code = All
狀態性傳出：Destination Type = CIDR，Destination CIDR = <CIDR block of exadata client subnet >、IP Protocol = TCP、Source Port Range = All、Destination port range = All
狀態性傳出：Destination Type = CIDR，Destination CIDR = <CIDR block of exadata client subnet >、IP Protocol = ICMP、Type and Code = All