1. 部署 Oracle E-Business Suite 和 Cloud Manager 的登陸區域
  2. 瞭解如何設計 Oracle E-Business Suite 的登陸區域及雲端管理程式部署

瞭解如何設計 Oracle E-Business Suite 的登陸區域和雲端管理員部署

您必須先準備租用戶,才能將內部部署的 Oracle E-Business Suite (EBS) 移轉至 Oracle Cloud Infrastructure (OCI)。您可以設計及部署登陸區域,讓此準備變得簡單。

在本解決方案中,您將瞭解如何使用新租用戶部署登陸區域,此租用戶也符合部署 EBS 工作負載的特定需求。您可以使用三個不同的 Oracle Cloud Infrastructure Resource Manager 堆疊執行此操作:

  • Oracle E-Business Suite :登陸區域的租用戶管理員堆疊 (IAM 堆疊)
  • Oracle E-Business Suite :登陸區域的網路管理員堆疊 (網路堆疊)
  • Oracle E-Business Suite :登陸區域的雲端管理員部署堆疊 (CM 堆疊)

接著,您可以使用 EBS 雲端管理員,對此登陸區域中的多個 EBS 環境自動進行移轉、部署及生命週期管理。

開始之前

在您開始之前,請檢閱下列解決方案:

您也可以選擇部署下列參照架構:

架構

下列架構圖顯示使用 EBS 雲端管理程式使用提供的 IAM、網路和雲端管理程式堆疊部署 Oracle E-Business Suite 的登陸區域設定。

cis-landing-zone-ebs-arch.png 說明如下
cis-landing-zone-ebs-arch.png 圖解描述

cis-landing-zone-ebs-arch.zip

  1. 「租用戶管理員」群組的成員必須執行「租用戶管理員」堆疊或 IAM 堆疊的初始部署。初始部署 IAM 堆疊之後,租用戶管理員必須為每位使用者建立帳戶,並將 IAM 管理員新增至其群組。
  2. 然後 IAM 管理員就可以將其他使用者新增至其群組。
    • 管理員群組具有其在特定區間中監督之資源的管理權限。IAM 管理員可以管理 IAM 堆疊,包括區間、群組及原則。此堆疊也會建立使用加密密碼在堆疊之間安全地傳送組態資訊所需的保存庫和金鑰資源。IAM 管理員需要 IAM 管理員、網路使用者和安全使用者群組的權限。

      備註:

      它們可以選擇性地是「證明資料管理員」群組的一部分。
    • 使用者群組提供這些資源的讀取或有限使用存取權,以便能夠存取由管理員群組建立的資源。
  3. 網路管理員可管理網路堆疊,包括 VCN、子網路及堡壘主機服務。一組子網路與每個不同的 EBS 環境類別關聯。此集合需要用於內部應用程式層節點和資料庫層節點的專用子網路。它也可以包含用於內部負載平衡器、外部負載平衡器、外部應用程式層節點的專用子網路。堡壘主機、EBS Cloud Manager App、負載平衡器和檔案儲存掛載目標可部署一次額外的共用子網路。網路管理員必須具有網路管理員及安全使用者群組的權限。
  4. 管理員 (IAM 或雲端管理員) 必須為 EBS 雲端管理員建立機密應用程式。它們需要具備「IDCS 應用程式管理員」或「OCI 識別網域應用程式管理員」角色的權限 (或者必須是「租用戶管理員」)。
  5. EBS 雲端管理程式管理員可管理 Cloud Manager 堆疊,包括 Cloud Manager 執行處理和負載平衡器。EBS 雲端管理員必須具備 EBS CM 群組、網路使用者群組、安全性使用者群組,以及一般 EBS 工作負載群組或特定 EBS 環境類別群組的權限。
  6. EBS 環境類別管理員可以使用 Cloud Manager Web 入口網站來管理 EBS 環境。

此架構包括下列元件:

  • Oracle E-Business Suite 雲端管理員

    Oracle E-Business Suite Cloud Manager 是一個 Web 型應用程式,可驅動 Oracle Cloud Infrastructure (OCI) 上 Oracle E-Business Suite 的主要自動化流程,包括從企業內部部署移轉 Linux 環境、佈建新環境,以及執行生命週期管理活動。

  • 密碼

    Oracle Cloud Infrastructure Vault 可讓您集中管理加密金鑰,以保護您的資料及用於保護雲端資源存取的加密密碼證明資料。您可以使用保存庫服務來建立及管理保存庫、金鑰以及加密密碼。

    加密密碼是您在 Oracle Cloud Infrastructure 服務中使用的證明資料,例如密碼、憑證、SSH 金鑰或認證權杖。將加密密碼儲存在保存庫中提供的安全性比您在其他地方 (例如在程式碼或組態檔中) 儲存加密密碼還要高。

  • 身分識別與存取管理 (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud 應用系統的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域都代表獨立的身分識別和存取管理解決方案,或是其他使用者群體。

  • 虛擬雲端網路 (VCN) 和子網路

    VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統資料中心網路相同,VCN 可讓您完整控制網路環境。一個 VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 後進行變更。您可以將 VCN 分割成子網路,範圍可至區域或可用性網域。每個子網路均包含一系列不與 VCN 中其他子網路重疊的連續位址。您可以在建立子網路後變更其大小。子網路可以是公用或專用子網路。

  • 堡壘主機服務

    Oracle Cloud Infrastructure Bastion 對沒有公用端點且需要嚴格資源存取控制的資源提供受限且時間限制的安全存取,例如裸機和虛擬機器、Oracle MySQL Database ServiceAutonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE) 以及任何其他允許 Secure Shell Protocol (SSH) 存取的資源。您可以使用 Oracle Cloud Infrastructure 堡壘主機服務來存取專用主機,無須部署和維護蹦現面板主機。此外,您還可以透過識別權限與集中式、稽核及時間導向 SSH 階段作業來改善安全狀態。Oracle Cloud Infrastructure Bastion 可消除存取堡壘主機所需的公用 IP,在提供遠端存取時消除麻煩和潛在攻擊面。

部署 E-Business Suite 登陸區域的考量

在部署基礎架構之前,您必須決定要如何設定環境。

此解決方案手冊假設您將部署這三個 Terraform 堆疊。視您的團隊溝通方式而定,這些堆疊可視為基礎架構即程式碼 (IaC) 或協同合作 IaC。您可以選擇將其中一個小組不使用 Terraform 堆疊倒回至半自動作業模型。您也可以在起始堆疊部署之後,倒回至完全手動的方法。

一般決策

您必須針對基礎架構、資訊共用、環境和命名慣例做出特定決策。

區域 考量 選項
基礎架構管理作業模型 請考慮您確認管理和維護 Terraform 堆疊,還是要使用 Terraform 作為單次命令檔,然後使用主控台或 CLI 管理資源。這可協助您判斷團隊所需的 Terraform 技能等級,以及您所要執行的特定堆疊程式碼。
  • 協同合作基礎架構即程式碼:支援
  • 基礎架構即代碼:預設值
  • 半自動:支援
  • 手動維護:支援
資訊共用 決定堆疊之間資訊的傳送方式。Oracle 建議您使用 Oracle Cloud Infrastructure Vault 加密密碼。或者,您也可以使用 Hashicorps 加密密碼。您也可以選擇不使用輸入變數的加密密碼和密碼資訊,或使用狀態檔共用輸出。
  • OCI 加密密碼:預設
  • 輸入變數:支援
  • 其他方法:需要自訂程式碼
E-Business Suite 環境

您可以為「識別與網路」層次的每個環境建立多個不同的「EBS 環境」類別。「識別隔離」包含建立個別區間和 IAM 資源,這也限制了 CM UI 中的存取。網路隔離包含在 VCN 內建立一組個別的子網路。
  • 每個環境類別的唯一識別和網路:預設
  • 共用單一身分識別和網路:支援
  • 共用身分識別和獨特網路或反向的組合:支援
區域 IAM 堆疊包含只能在主要區域中建立的資源。因此,網路和雲端管理員堆疊的自動化功能僅限於主要區域。
  • IAM 堆疊:主要區域:必要
  • 網路堆疊:主要區域:建議
  • 雲端管理程式堆疊:主要區域:建議

命名慣例

這些堆疊共用命名慣例,可協助確保資源在整個租用中擁有所需的唯一名稱,並可讓組織輕鬆識別。依照預設,您將在 IAM 堆疊中設定這些名稱,加密密碼將會透過網路和雲端管理程式堆疊傳輸命名慣例。

備註:

如果您以獨立方式部署 Network 或 Cloud Manager 堆疊,則需要手動輸入命名慣例。

下列是前置碼清單及其用途:

lz_prefix:用來識別您所使用的登陸區域。多個工作負載可共用著陸區域 (網路和安全隔間) 或根據組織的內部結構,使用不同的著陸區域。

ebs_workload_prefix:識別工作負載或應用程式。每個工作負載都有自己的隔離區間。

ebs_workload_environment_category(ies):識別要使用的或建立的 EBS 環境類別。IAM 堆疊可讓您建立多個 EBS 環境類別的資源。每個 EBS 類別都必須多次部署網路堆疊,一次。

IAM 堆疊決策

請考量各種因素來決定您的租用戶和識別網域。

區域 考量 選項
租用戶

請考慮您需要新的租用戶或計畫使用現有的租用戶。

新租用戶:您必須設定建議的身分識別和治理系統,包括建立使用者帳戶及設定租用戶層級角色,以管理 IAM、證明資料、稽核者、公告以及費用。

現有租用戶:Oracle 建議您設定網路、EBS 應用程式及安全性的識別資源。您可以使用 IAM 堆疊建立新的資源,或視需要重複使用現有的資源與 EBS 需求。

新租用戶
  • 部署 IAM 堆疊。
  • Oracle 建議您依照登陸區域中的定義來部署其他管理資源。
現有租用戶
  • 部署 IAM 堆疊:預設
  • 重複使用現有資源:支援
IDCS 或識別網域 請檢查租用戶中是否啟用識別網域,因為這些服務的設定是否略有不同。
  • IDCS :遵循手動 IDCS 設定指示。
  • 識別網域:請依照手動的「識別網域」設定指示進行。

網路堆疊決策

您必須針對您的業務需求做出特定決定。

區域 考量 選項
虛擬雲端網路 (VCN) 請考慮您需要新的或現有的 VCN。 新 VCN

網路堆疊可為您部署新的 VCN。若要將此網路對等互連至另一個 VCN、雲端或企業內部部署資料中心,您必須在此 Terraform 堆疊之外進行該操作。

現有 VCN
您可以使用輸入變數來傳送現有的 VCN。這會在您的現有 VCN 內建立必要的子網路、安全清單及路由表。

備註:

此方法會假設 VCN 中已經有必要的閘道。
多個 E-Business Suite 環境類別 如果您建立多個 EBS 環境類別,可以多次部署網路堆疊來建立隔離網路。在後續的部署中,您必須指定現有的 VCN 作為您建立或用於第一個部署的 VCN。您也只需要部署所需的 EBS 子網路。您不需要另一組雲端管理程式或堡壘主機子網路。 起始堆疊:選擇現有或新的 VCN 的選項:
  • 此外,雲端管理程式和 (或) 檔案儲存子網路也需要此堆疊以外之任何 EBS 類別子網路的 CIDR 區塊,才能正確網路
  • 選擇性部署堡壘主機子網路

其他環境類別堆疊

  • 選取現有的 VCN,並確定它與您在第一個堆疊中使用的相同
  • 請勿建立新的雲端管理程式、檔案儲存或堡壘主機子網路

此堆疊將需要在起始堆疊中所建立任何雲端管理程式和 (或) 檔案儲存子網路的 CIDR 區塊,才能正確網路。
網路存取 您的員工將需要透過專用網路對等互連、堡壘主機存取或二者存取 OCI 的網路。如果員工需要專用網路以外的遠端存取 SSH,或您的專用連線停止運作,您可能需要設定堡壘主機子網路。

您也可以直接將 OCI VCN 對等到專用網路,以允許 SSH 存取和內部 EBS Web 流量。配對兩個網路不屬於這些 Terraform 堆疊的一部分,您可以使用「客戶資訊系統著陸區域」。

堡壘主機子網路 (部署一次):

  • 專用堡壘主機子網路和堡壘主機服務:預設
  • 公用堡壘主機子網路和堡壘主機:部分支援
  • 建立及管理您自己的堡壘主機 VM:部分支援
專用網路對等互連:支援 CIS 登陸區域
雲端管理程式子網路 您必須部署一組 Cloud Manager 子網路,才能使用 EBS Cloud Manager 應用程式管理您的 EBS 環境。您只需要部署此組 CM 子網路一次。 Cloud Manager 子網路 (部署一次):
  • 預設 LB 和 App 子網路:EBS 的預設子網路,這些子網路為專用,且可存取 NAT。
  • 外部 LB 和 App 子網路:只有當您要透過網際網路存取 EBS 應用程式時,才會使用這些外部子網路。外部 LB 子網路為公用,可存取網際網路。

    備註:

    外部 App 子網路為專用。這些子網路可與預設 LB 和 App 子網路搭配使用 (視您的需求而定)。
EBS 子網路 請依照下列建議根據環境需求設定 EBS 子網路:
  • 為每個環境建立資料庫和 App 子網路。
  • 預設也會佈建專用 LB 子網路,以提供跨 VCN 與任何對等網路的 EBS 存取權。
  • 如果您需要透過網際網路提供 EBS 存取權,可以使用外部 LB 和應用程式子網路。請在絕對需要公用網際網路存取時才選取此選項,您的小組會瞭解開啟應用程式到公用網際網路的風險。
  • 如果 EBS 環境使用共用檔案儲存系統,則只需要檔案儲存子網路。
  • App 和資料庫子網路:建議 (必要)
  • 預設 LB 子網路:建議
  • 外部 LB 和 App 子網路 (選擇性):公用網際網路存取
  • 檔案儲存子網路 (選擇性):共用檔案系統
CIDR 區塊

如果您選擇建立新的 VCN,就必須為您的網路指定單一 CIDR 區塊範圍。

 您必須為計畫部署的每個子網路指定一個未使用的 CIDR 區塊範圍,此範圍來自您的 VCNs CIDR 區塊範圍。

Cloud Manager 堆疊決策

您必須決定部署雲端管理程式堆疊的方式。

區域 注意事項 選項
DNS

請考慮您目前針對 EBS 使用 DNS 的方式。您必須更新 DNS 輸入項以指向新的 EBS IP 位址。遵循您組織的現有處理作業以更新 DNS 項目。除了 EBS 環境的 DNS 之外,雲端管理程式 App 本身需要新的 DNS 項目,這與提供的 hostname 相符。

  • 外部 DNS 系統:建議
  • 無 DNS :選擇性
憑證 請考量您目前如何使用 EBS 憑證。您必須使用外部憑證服務建立憑證,然後將憑證上傳為堆疊中的檔案。您應該依照貴組織的現有程序來產生憑證。除了 EBS 環境憑證之外,Cloud Manager App 本身還需要憑證。
  • 外部管理憑證:預設 (建議)
  • 未提供憑證:選擇性

關於必要的服務與角色

此解決方案需要下列服務與角色:

  • Oracle Cloud Infrastructure

  • Oracle Cloud Infrastructure Identity and Access Management

  • Oracle Cloud Infrastructure 網路服務
  • Oracle Cloud Infrastructure 安全性服務
  • Oracle E-Business Suite 雲端管理員

部署 Terraform 堆疊時需要下列角色:

服務名稱:角色 需要 ...
OCI:租用戶管理員 執行 IAM 堆疊的初始部署。

注意:

租用戶管理員具備部署所有堆疊的權限。Oracle 建議您使用專屬角色,根據您的組織需求來執行個別部署。

IDCS:應用程式管理員

或者

OCI 識別網域:應用程式管理員

 在 IDCS 或 OCI 識別網域中註冊 E-Business Suite 雲端管理程式機密應用程式。

下列為 IAM 堆疊自動產生的角色:

服務名稱:角色 需要 ...
OCI:IAM- 管理員 管理 IAM 堆疊,包括區間、群組及原則。
OCI:證明資料管理員 管理使用者憑證。
OCI:<lz-prefix>- 網路管理員 管理網路堆疊,包括 VCN、子網路、安全規則和堡壘主機。
OCI:<lz-prefix>- 網路使用者 允許其他團隊使用提供的網路資源。
OCI:<lz-prefix>- 安全 - 管理員 監控安全區間。
OCI:<lz-prefix>- 安全使用者 允許其他團隊使用提供的安全性資源。
OCI:<lz-prefix>-<ebs-workload-prefix>- 管理員 存取 EBS Cloud Manager UI,以佈建環境並執行所有環境類別的生命週期管理活動。這些使用者通常稱為 EBS DBA。

注意:

必須是直接的 IAM 使用者。
<lz-prefix>-<ebs-workload-prefix>-cm- 管理員
  • 建立 EBS Cloud Manager 運算執行處理。
  • 設定 EBS 雲端管理程式應用程式。

EBS Cloud Manager 管理員群組的成員必須:

  • 定義 EBS 雲端管理員 UI 中的網路設定檔。
  • 管理 EBS 管理員群組的網路設定檔指定。

注意:

必須是直接的 IAM 使用者。
OCI:<lz-prefix>-<ebs-workload-prefix>-<ebs-workload-environment-category>- 管理員 存取 EBS Cloud Manager UI,以佈建環境並執行特定環境類別的生命週期管理活動。這些使用者通常稱為 EBS DBA。

注意:

必須是直接的 IAM 使用者。
OCI:一般 允許使用者檢視各種 IAM 和核心資源的存取權。它也提供對 Oracle 標記的使用存取權。

請參閱 Oracle 產品、解決方案和服務,以取得您需要的內容。