瞭解如何部署 E-Business Suite 與 Cloud Manager 的 Terraform 堆疊
Oracle Cloud Marketplace 提供這些堆疊。系統會將您導向至 Oracle Cloud Infrastructure Resource Manager 以部署這些堆疊。OCI Resource Manager 是 OCI 中的原生 Terraform 引擎,提供建立、執行以及管理 Terraform 的圖形介面。
關於部署 IAM 堆疊
若要將 EBS 部署到新的租用戶,請執行此堆疊。如果您部署到具有足夠 IAM 結構的現有租用戶,便無須部署此堆疊。
執行 IAM 堆疊時,請輸入下列變數:
- IAM 和證明資料管理員群組:使用預設值。建立兩個整個租用戶群組。某位使用者具有管理其他使用者憑證的權限,而另一位使用者則擁有大多數其他識別動作的權限。
- 建立一般原則:使用預設值。建立任何使用者在租用戶中檢查及讀取特定資源的權限。無需管理員權限即可執行 EBS Cloud Manager 堆疊。
- 登錄區域前置碼:每個 EBS 堆疊和在此登錄區域中部署的任何其他應用程式均相同。
- 父項區間:這可以是您的根區間或您租用戶中的另一個現有區間。
- EBS 工作負載前置碼:每個 EBS 堆疊都保持相同。
- EBS 工作負載環境類別:列出您計畫建立的每個 EBS 環境類別 (或一組)。您可以直接在提示方塊中輸入類別名稱,然後從下拉式功能表中選取新增,將其新增至清單中。
- 進階選項:您可以另外自訂網路和安全區間名稱,或使用現有的區間,而不要建立新的區間。您也可以自訂保存庫、金鑰以及加密密碼。
備註:
若要使用現有保存庫或金鑰,必須將它所在的區間指定為現有的安全區間。關於手動配置識別
Terraform 中無法執行某些識別動作,因此 Oracle 不建議透過 Terraform 管理某些其他動作以提供安全保護。
租用戶管理員或 IAM 管理員可以在主控台中手動設定這些資源。請執行下列步驟:
- 建立必要的使用者帳號。
- 將使用者帳戶對應至適當的 IAM 群組。
建立使用者帳戶
您可以在 OCI 中建立不同類型的帳戶。如果您已經擁有符合 SAML 2.0 規範的身分識別提供者,就可以將該提供者與您的 OCI 租用戶建立同盟。您可以從該處將外部同盟群組直接對應至 OCI IAM 群組。如果您沒有外部身分識別提供者,可以直接將使用者建立到 OCI 預設識別網域或新的識別網域。不過,您需要將 IAM 使用者導向預設識別網域中的使用者,以確保 EBS 雲端管理程式使用者權限能夠在 EBS 雲端管理程式應用程式內正常運作。
將使用者對應至 IAM 群組
您必須決定由哪些使用者負責哪些 OCI 資源類型。可能會有一位負責多種資源類型的使用者,或是負責單一資源類型的多位使用者。租用戶管理員必須先將 IAM 管理員新增至其群組。IAM 管理員接著可以將其他使用者新增至其個別群組。它們必須為任何沒有帳戶的使用者建立帳戶,並且將使用者新增至相關群組。
下列清單將使用者對應至其各自的群組:
- 將 IAM 使用者對應至網路使用者、安全使用者以及應用程式管理員 /IDCS 管理員群組。
- 將安全使用者對應至安全管理員和網路使用者群組。
- 將網路使用者對應至網路管理員和安全使用者群組。
- 將每個 EBS 環境類別 (包括雲端管理員使用者) 對應到網路使用者和安全使用者群組、他們管理的 EBS 環境管理群組,以及 EBS CM 管理群組。
備註:
使用者必須是直接 OCI IAM 使用者,而不是同盟使用者。
關於部署網路堆疊
執行網路堆疊時,請輸入下列變數:
- 安全區間:從預先填入的清單尋找 IAM 堆疊中建立 / 使用的安全區間,或提供其
OCID。此變數可讓堆疊自動尋找先前堆疊中儲存為加密密碼的所有必要資訊。 - 工作負載識別加密密碼:選取與一般 EBS 工作負載對應的加密密碼,其名稱格式為:
identity-"lz prefix"-"workload prefix"。 - EBS 工作負載前置碼:每個 EBS 堆疊都保持相同。
- 進階選項:可讓您額外自訂已使用並建立的加密密碼。
- 建立 VCN :您可以選擇建立新的 VCN 或使用現有的 VCN。對於 EBS 網路環境類別的後續部署,您必須選取在初始部署中建立或使用的現有 VCN。
- True
- VCN CIDR :指定要用於 VCN 的 CIDR 區塊範圍。
- 偽
- 網路區間:指定 VCN 所在的區間。
- 現有的 VCN :從預先填入的清單中尋找現有的 VCN,或提供其
OCID。
- True
- 環境類別識別加密密碼:以下列名稱格式選取對應至特定 EBS 工作負載環境類別的加密密碼:identity-"
lz prefix"-"workload prefix"-"environment name"。備註:
如果您需要網路作為其他環境類別,就必須部署另一個網路堆疊複本。
下表列出子網路建立變數、子網路組態存取閘道、CIDR 變數及何時使用這些變數:
| 子網路建立變數 | 使用時機? | 子網路組態和閘道存取 | CIDR 變數 * |
|---|---|---|---|
Create Cloud Manager subnets or Select existing Cloud Manager subnet |
在第一個建立的網路環境堆疊中建立子網路一次。在後續的環境中,選取第一個堆疊所建立的現有雲端管理程式子網路。 | 具有 NAT 閘道存取的專用子網路。
備註: 您可以視需要將負載平衡器子網路設為公用,然後以網際網路閘道存取方式使用公用子網路。這不是建議的程序。 |
|
Create subnets for an EBS environment (app and database) |
每個 EBS 環境類別子網路組態和閘道存取權 | 具有 NAT 閘道存取的專用子網路 |
|
Create default Load balancer tier subnet |
預設使用以提供透過專用網路的 EBS 存取 | 含有 NAT 閘道存取的專用子網路 | Load balancer subnet CIDR |
Create external load balancer and application tier subnets |
僅在需要透過網際網路提供使用者存取的 EBS 環境類別中 |
可存取網際網路的公用 LB 子網路。 可存取 NAT 閘道的專用 App 子網路。 |
|
Create File Storage subnet or Select existing File Storage subnet |
僅在您的 EBS 實作使用共用檔案儲存時使用。在第一個網路環境堆疊中建立一次。在後續的堆疊中,選取您在第一個堆疊中建立的現有子網路。 | 含有 NAT 閘道存取的專用子網路 | File Storage subnet CIDR |
Create Bastion subnet |
在第一個網路環境堆疊中建立一次 | 當 Use Bastion Service 變數為 true 時,子網路為專用子網路。否則,網際網路閘道會公開存取。
|
Bastion Subnet CIDR |
Additional ebs subnets |
建立新的雲端管理程式或檔案儲存子網路時,請在目前的 VCN 中指定任何額外的 EBS 子網路,或指定要在不同的堆疊中建立這些子網路。 | 新增其他路由規則至 Cloud Manager 和 File Storage 子網路 |
注意: 專用或預設 LB 是它自己的選項。 |
註腳
* 為每個落在 VCN CIDR 範圍內的子網路指定唯一的 CIDR 區塊範圍,不會與任何其他子網路的 CIDR 範圍衝突。
使用堡壘主機服務
您可以視需要使用堡壘主機服務。
- 真:佈建子網路作為專用子網路與堡壘主機服務。
- 堡壘主機允許清單:以 CIDR 表示法表示的外部 IP 範圍清單,可以建立內送
SSH連線。 - 堡壘主機 TTL 限制:允許
SSH連線維持作用中的時間上限 (以秒為單位)。允許的值介於 30 分鐘 (1800 秒) 到 3 小時 (10800 秒) 之間。
- 堡壘主機允許清單:以 CIDR 表示法表示的外部 IP 範圍清單,可以建立內送
- 否:佈建子網路作為公用,但不會佈建傳統的堡壘主機虛擬機器。
關於部署 Cloud Manager 堆疊
此 Terraform 堆疊會建立雲端管理程式 (CM) VM 和負載平衡器,以及 CM App 啟動安裝。
全球設計決策
您必須在執行 IAM 堆疊時做出決策並輸入數個變數。
Environment category identity secret:選取與名稱格式為identity-"lz prefix"-"workload prefix"-"environment name"之 EBS 工作負載特定環境類別對應的加密密碼。您選取的環境將用來建立預設網路設定檔。Security compartment:從預先填入的清單中找出在 IAM 堆疊中建立或使用的安全區間,或提供其OCID。此變數可讓堆疊自動尋找先前堆疊中儲存為「加密密碼」的所有必要資訊。Advanced options:可讓您另外自訂已使用並建立的加密密碼。
DNS 和憑證組態
建議使用 DNS 和憑證,但可選擇是否使用。
Cloud Manager CA cert (optional):提供簽署的憑證授權機構鏈,以用來將 Cloud Manager 憑證產生為檔案。Cloud Manager key cert:提供針對 EBS Cloud Manager 所產生使用的私密金鑰憑證檔案。Cloud Manager Public cert:提供用來驗證您私人憑證為檔案的公用憑證鏈。注意:
如果您未提供私密金鑰憑證,則會使用openSSL和提供的hostname為您產生憑證。Server host for EBS Cloud Manager login URL:輸入hostname作為 EBS Cloud Manager Web 入口網站。輸入格式應為myebscm.example.com,並且符合您的 DNS 輸入項、簽署的憑證及機密應用程式。EBS 雲端管理員登入 URL 將是https://myebscm.example.com:443。- CM CA 憑證
- CM 金鑰憑證
- CM 公用憑證
建立機密應用程式
應用程式管理員必須先使用 OCI 主控台將 EBS CM 註冊為機密應用程式,才能使用 Cloud Manager 管理 E-Business Suite 。這可讓使用者使用其 OCI 帳戶認證及授權存取雲端管理程式。
建立「機密應用程式」之前,您必須先瞭解計畫用於 EBS Cloud Manager 的 URL。此 URL 必須與 DNS 記錄和已簽署憑證中的 hostname 相符。
執行 Cloud Manager 堆疊時,您必須使用提供的 client ID 和 secret。
IDCS 或識別網域組態
- IDCS 從屬端 ID :設定識別時註冊之 EBS Cloud Manager 的機密應用程式 ID。
- IDCS 從屬端加密密碼:您在設定識別時註冊之 EBS 雲端管理員的機密應用程式加密密碼。
- IDCS 從屬端租用戶:IDCS 或識別網域租用戶的 ID。這可在瀏覽器的網址列中,於
//之後與identity.oraclecloud.com之前看到。開頭為字元idcs-,後面接著數字字串和字母,格式為idcs-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx。
EBS CM 管理
- 雲端管理程式管理員使用者 OCID :此堆疊預設會使用執行此堆疊之使用者的帳戶作為最初的雲端管理程式管理員。您可以在此處提供其他使用者的
OCID,讓其他使用者成為初始管理員。此管理帳戶必須是本機非同盟 IAM 使用者。 - 雲端管理程式管理員使用者專用 API 金鑰:預設會建立新的 API 金鑰,並與選擇的雲端管理程式管理員帳戶關聯。您可以視需要輸入已經關聯的私密 API 金鑰。
Cloud Manager 虛擬機器
- EBS 雲端管理程式資源配置:從 EBS 雲端管理程式 VM 的清單中選取資源配置。Oracle 建議使用
Standard2.x和Standard.E2.x資源配置。 SSH金鑰:用來使用CLI存取雲端管理員的公用SSH金鑰。- EBS Cloud Manager 可用性網域:從清單中選取您的可用性網域。
- CM 密碼:EBS CM 管理員的密碼。
注意:
密碼至少應有 8 個字元、1 個大寫字母、1 個小寫字母、1 個數字、1 個特殊字元 (#?!@$%^&*-)。EBS Cloud Manager 管理員使用此密碼連線至 Cloud Manager 執行處理,然後執行後續命令檔。起始預設密碼為 WElcome##12345。Oracle 建議您以符合此注意事項所列密碼需求的值來變更密碼。