1. 瞭解如何在 Oracle Cloud Infrastructure 上部署 JD Edwards EnterpriseOne
  2. 瞭解如何在 Oracle Cloud Infrastructure 上部署 JD Edwards EnterpriseOne

瞭解如何在 Oracle Cloud Infrastructure 上部署 JD Edwards EnterpriseOne

如果您想要在 Oracle Cloud Infrastructure 上佈建 JD Edwards EnterpriseOne,或是將 JD Edwards EnterpriseOne 環境從您的資料中心移轉至 Oracle Cloud Infrastructure,您可以規劃多重主機、安全、高可用性拓樸。

開始之前

Oracle Cloud Infrastructure 支援 JD Edwards EnterpriseOne 應用程式版本 9.0、9.1 和 9.2。開始規劃部署或移轉 JD Edwards EnterpriseOne 應用程式之前,請先識別 Oracle Cloud Infrastructure 是否支援 JD Edwards EnterpriseOne 應用程式版本、JD Edwards EnterpriseOne 工具版本,以及您要在其上執行應用程式的作業系統組合。

  • JD Edwards EnterpriseOne 應用程式版本 9.2 與 JD Edwards EnterpriseOne 工具版本 9.2.x。它支援在 Oracle Linux 和 Windows 作業系統上手動和自動安裝 JD Edwards EnterpriseOne 元件。

  • JD Edwards EnterpriseOne 應用程式 9.1 版與 JD Edwards EnterpriseOne 工具 9.1.x 或 9.2.x。它僅支援在 Oracle Linux 和 Windows 作業系統上手動安裝 JD Edwards EnterpriseOne 元件。

如需有關舊版 JD Edwards EnterpriseOne 應用程式的資訊,請聯絡 Oracle Advanced Consulting Services。

如需確定的證明資訊,請參閱 My Oracle Support。

在 Oracle Cloud Infrastructure 上部署的考量

Oracle 建議您為執行處理 (例如防禦主機、資料庫、應用程式和負載平衡器執行處理) 建立個別的子網路,以確保可以在不同的子網路實行適當的安全需求。

專用或公用子網路

您可以根據是否允許從網際網路存取執行處理,在專用子網路或公用子網路中建立執行處理。您在公用子網路中建立的執行處理會被指派一個公用 IP 位址,您可以從網際網路存取這些執行處理。您不能將公用 IP 位址指派給在專用子網路中建立的執行處理。因此,您無法透過網際網路存取這些執行處理。

下列影像顯示具有公用和專用子網路的虛擬雲端網路 (VCN)。VCN 包含兩個可用性網域,而每個可用性網域都包含一個公用和專用子網路。Web 伺服器會放置在此影像的公用子網路中,因此 Web 伺服器執行處理會有連附的公用 IP 位址。您可以透過網際網路閘道 (IGW) 啟用通訊,從網際網路存取公用子網路中的這些 Oracle Cloud 執行處理。您必須更新路由表,才能啟用 IGW 的流量。若要允許來自網際網路的 Web 伺服器流量,您必須在公用子網路中建立負載平衡器。若要從網際網路存取您的執行處理、您也需要在公用子網路中建立防禦主機、並從 IGW 存取防禦主機。

資料庫伺服器會置於此影像的專用子網路中。您可以透過動態路由閘道 (DRG) 連線,從您的資料中心存取專用子網路中的 Oracle Cloud 執行處理。DRG 會將企業內部部署網路連線至您的雲端網路。若要啟用 DRG 與客戶內部部署設備之間的通訊,請使用 IPSec VPN 或 Oracle Cloud Infrastructure FastConnect。您也必須更新路由表,才能啟用 DRG 的流量。


public_private_subnets_jde.png 描述如下
public_private_subnets_jde.png 圖解描述
案例 1:部署專用子網路中的所有執行處理

Oracle 建議您為沒有網際網路方面端點的生產環境,建置專用子網路中的所有執行處理。當您想要以混合式部署雲端作為現有資料中心的擴充功能時,此類型的部署非常有用。

在此部署中,所有執行處理 (包括應用程式和資料庫伺服器) 都會部署在專用子網路中。無法將公用 IP 位址指定給在專用子網路中建立的執行處理,因此您無法透過網際網路存取這些執行處理。若要從此組態中的內部部署環境存取您的應用程式伺服器,您可以:

  • 請先在資料中心與 Oracle Cloud Infrastructure DRG 之間設定一個 IPSec VPN 通道,再佈建應用程式伺服器。

  • 在此組態中建立防禦主機,然後從防禦主機存取專用子網路中的所有伺服器。

案例 2:在公用和專用子網路中部署執行處理

您可以部署公用子網路中的少數執行處理和專用子網路中的少數執行處理。此類型的部署在部署包括網際網路方面和非內部網路端點時非常有用。

在此組態中,部分應用程式執行處理會放置在公用子網路中,而其他應用程式執行處理則放置在專用子網路中。例如,您可以讓應用程式執行處理提供服務給內部使用者和另一組提供服務給外部使用者的應用程式執行處理。在此案例中,將提供服務給內部流量的應用程式執行處理置於專用子網路中,並將提供服務給外部流量的應用程式伺服器置於公用子網路中。您也可以在面對網際網路的應用程式執行處理上設定公用負載平衡器,而不是在公用子網路中放置提供服務給外部流量的應用程式伺服器。如果您將防禦主機置於公用子網路中,系統會將公用 IP 位址指派給防禦主機,讓您可以透過網際網路存取防禦主機。您可以透過防禦主機伺服器存取專用子網路中的執行處理。

案例 3:部署公用子網路中的所有執行處理

Oracle 建議使用此部署以進行快速示範,或針對沒有內部端點的生產等級部署。只有在您沒有自己的資料中心,或者無法透過 VPN 存取執行處理,而且想要透過網際網路存取基礎架構時,才適用此部署。

在此建置中,所有執行處理 (包括應用程式和資料庫執行處理) 都會建置在公用子網路中。

公用子網路中的每個執行處理都會有一個連附的公用 IP 位址。雖然您可以透過網際網路存取具有公用 IP 位址的執行處理,但是可以使用安全清單和安全規則來限制存取。對於執行管理作業,Oracle 建議您在此組態中放置防禦主機。在此情況下,您不會開啟公用網際網路的管理連接埠,而是只開啟防禦主機的管理連接埠以及設定安全清單和安全規則,以確保只能從防禦主機存取執行處理。

反相關性

在 Oracle Cloud Infrastructure 上的可用性網域中建立多個高可用性的執行處理時,可以使用容錯域來達到執行處理的反相關性。

容錯域是一組可用性網域內的硬體和基礎架構。每個可用性網域都會包含三個容錯域。容錯域可讓您分散執行處理,讓執行處理不會全都位於一個可用性網域內的同一個實體硬體上。因此,影響一個容錯域之硬體故障或 Oracle Compute 硬體維護不會影響其他容錯域內的執行處理。藉由使用容錯域,您可以保護執行處理免於未預期的硬體失敗和計畫的中斷。

若要取得資料庫的高可用性,您可以建立雙節點 Oracle Real Application Clusters (Oracle RAC) 資料庫系統。依照預設,Oracle RAC 的兩個節點一律會建立在個別的容錯域。因此,資料庫節點既不在相同的實體主機上,也不在相同的實體機架上。這可防止資料庫執行處理受到機架交換器失敗的相關實體主機和頂端的影響。

在單一區域中部署 JD Edwards EnterpriseOne 的架構

您可以在單一可用性網域中部署 JD Edwards EnterpriseOne,同時確保高可用性。

您可以將應用程式執行處理放在多個容錯域內來達到高可用性。當您想要確保即使應用程式執行處理在一個容錯域關閉時,也可以使用此架構。其他容錯域內的其他可用應用程式執行處理會繼續處理要求。您可以手動部署 JD Edwards EnterpriseOne,或使用 Oracle Cloud Infrastructure 上的 JD Edwards EnterpriseOne 自動化工具進行部署。

此架構顯示已在可用性網域的展示層和中間層建置冗餘的執行處理,以確保可用性網域內的高可用性。可用性網域中的所有執行處理均為作用中。將應用程式執行處理置於個別的容錯域,即可達成可用性網域內應用程式的這個高可用性。容錯域可讓您分散執行處理,讓執行處理不會全都位於一個可用性網域內的同一個實體硬體上。影響某個容錯域之硬體故障或 Oracle Cloud Infrastructure Compute 硬體維護不會影響其他容錯域內的執行處理。如果執行處理失敗,則流量會轉送給可用性網域中繼續處理要求的其他執行處理。不過,如果您連線至可用性網域失敗或整個可用性網域停止運作,則無法使用執行處理來處理要求。

專用子網路中的執行處理需要網際網路輸出連線才能下載修正程式,以及套用作業系統和應用程式更新。為了達到此目的,請在您的 VCN 中使用網路位址轉譯 (NAT) 閘道。透過 NAT 閘道,專用子網路中的主機可以起始網際網路連線並接收回應,但不會收到從網際網路起始的輸入連線。

Oracle 建議在 Oracle Cloud Infrastructure 上部署的資料庫和應用程式應具備強大的復原策略備份。建議您將資料庫和應用程式執行處理的備份儲存在 Oracle Cloud Infrastructure Object Storage 中。專用子網路中的資料庫和應用程式執行處理可以使用服務閘道備份至 Oracle Cloud Infrastructure Object Storage。服務閘道可讓您在不周遊網際網路的情況下存取 Oracle Cloud Infrastructure Object Storage

您可以使用 Oracle Cloud Infrastructure 主控台設定自動和隨選資料庫備份至 Oracle Cloud Infrastructure Object Storage。這需要使用 Swift 端點連線至 Oracle Cloud Infrastructure Object StorageOracle Cloud Infrastructure Object Storage 上的所有資料庫備份都會使用用於通透資料加密 (TDE) 公事包加密的相同主要金鑰來加密。自動資料庫備份服務使用每週增量備份策略來備份保留原則為 30 天的資料庫。您也可以根據特定需求執行資料庫的隨選完整備份。

您可以使用 Oracle Cloud Infrastructure Block Volumes 的原則式備份功能來設定應用程式的備份。Oracle Cloud Infrastructure Block Volumes 可讓您根據排程自動執行磁碟區備份,並根據選取的備份原則加以保留。這可讓您遵循您的資料規範和規範需求。有三個預先定義的備份原則:銅級、銀級以及金級。每個備份原則都有預先定義的備份頻率和保留期間。

架構包含防禦主機、負載平衡器層、展示層、中間層、管理層以及資料庫層的虛擬雲端網路 (VCN)。層會放置在單一可用性網域中 VCN 的單一子網路中。

在下列架構圖表中,防禦主機會建置在公用子網路中,而所有其他執行處理則會放置在專用子網路中。視您的業務需求而定,您可以在公用或專用子網路中放置執行處理。您可以透過防禦主機或動態路由閘道 (DRG),透過連接埠 22 存取專用子網路中的執行處理。若要啟用 DRG 與客戶內部部署設備之間的通訊,請使用 IPSec VPN 或 Oracle Cloud Infrastructure FastConnect。

「管理」層中的 Server Manager 會與「展示」層、「中間層」和「資料庫」層通訊,以提供程式碼建置、組態管理、程式實際執行測量結果存取以及日誌存取。「管理」層中的「建置伺服器」會與「中間層」和「資料庫層」通訊,以建置和建置程式碼。Development Client 會與「中間層」和「資料庫層」通訊。「應用程式開發架構 (ADF)」和 Oracle Business Intelligence Publisher 會與「展示」層中的 HTML 伺服器通訊。


single_availability_domain_jd_edwards_deployment.png 描述如下
single_availability_domain_jd_edwards_deployment.png 圖解描述
此架構分為下列幾個層:

  • 防禦主機:防禦主機是選擇性的元件,可作為存取專用子網路中執行處理的跳躍伺服器。防禦主機是一個 Oracle Cloud Infrastructure Compute 執行處理,使用 Linux 作為其作業系統。將防禦主機置於公用子網路中、然後指定公用 IP 位址、以便從網際網路存取。

    若要提供額外的安全性層次,您可以設定安全清單,只從企業內部部署網路的公用 IP 位址存取防禦主機。您可以透過防禦主機存取專用子網路中的 Oracle Cloud Infrastructure 執行處理。若要這麼做,請啟用 ssh-agent 轉送,這可讓您連線至防禦主機,然後從您的電腦轉送證明資料來存取下一個伺服器。您也可以使用動態 SSH 通道來存取專用子網路中的執行處理。SSH 通道是一種存取 Web 應用程式或其他監聽服務的方法。動態通道會在本機連接埠上提供 SOCKS 代理主機,但連線源自遠端主機。

  • 負載平衡器層:負載平衡器層包含將流量負載平衡至展示層中所有執行處理的 Oracle Cloud Infrastructure Load Balancing 執行處理。負載平衡器會接收使用者的要求,然後將這些要求遞送至展示層中的執行處理。

    使用 Oracle Cloud Infrastructure Load Balancing 將流量分送至 VCN 內的應用程式執行處理。此服務提供負載平衡器的主要和待命執行處理,以確保主要負載平衡器變成無法使用,待命負載平衡器會轉送要求。負載平衡器可確保要求會遞送至正常的應用程式執行處理。如果應用程式執行處理內發生問題,負載平衡器會將要求遞送至其餘狀況良好的應用程式執行處理。

    根據您的需求,您可以在公用或專用子網路中放置負載平衡器。

    • 對於無法從網際網路存取的內部端點,請使用專用負載平衡器。專用負載平衡器有一個專用 IP 位址,因此無法從網際網路存取。負載平衡器的主要和待命執行處理都位於相同的專用子網路中。您可以透過 DRG,在 VCN 或資料中心內透過 IPSec VPN 存取專用負載平衡器。專用負載平衡器會接受來自您資料中心的流量,並將流量分送至基礎應用程式執行處理。

    • 對於網際網路方面的端點,請使用公用負載平衡器。公用負載平衡器有一個公用 IP 位址,可從網際網路存取。您可以透過網際網路閘道從網際網路存取公用負載平衡器。

    • 若要存取內部端點和公用負載平衡器,請設定專用負載平衡器和公用負載平衡器。設定提供內部流量服務的專用負載平衡器,並設定公用負載平衡器提供服務給網際網路的流量。

    在內部部署或公用網域名稱伺服器 (DNS) 中註冊 Oracle Cloud Infrastructure Load Balancing 執行處理的公用或專用 IP 位址,以解析應用程式端點的網域。

    架構圖表中提供的連接埠只是一個範例。您可以使用任何可用的連接埠。

  • 管理層:管理層包含下列伺服器的單一執行處理。您不需要這些伺服器的備援執行處理來確保高可用性。

    • 啟動設定伺服器:您可以使用此伺服器將 Oracle Cloud InfrastructureJD Edwards EnterpriseOne 元件的端對端部署自動化。它會透過連接埠 22 與其他層中的所有執行處理 (包括資料庫層中的執行處理) 通訊。它代管「JD Edwards EnterpriseOne 簡易單鍵啟動設定主控台」和「JD Edwards EnterpriseOne Server Manager 主控台」。

    • 建置伺服器:在安裝處理作業期間,此伺服器會作為所有必要檔案和安裝套裝程式的中央儲存區域。軟體會分散至此伺服器的所有其他伺服器和從屬端,或部署到此伺服器的所有其他伺服器和從屬端。

    • 開發用戶端:JD Edwards EnterpriseOne 開發用戶端包含以標準 Microsoft Windows 應用程式(例如,Active Console、Forms Design Aid (FDA) 和 Report Design Aid (RDA) 執行的元件,以及在 Web 瀏覽器中執行的元件。

    • 應用程式開發架構 (ADF) 伺服器:JD Edwards EnterpriseOne ADF 伺服器是一個 Web 應用程式,建置在具有 ADF 程式實際執行的 Oracle WebLogic 伺服器上。它可用來執行使用 Oracle ADF 開發的 JD Edwards EnterpriseOne 應用程式。

    • Oracle Business Intelligence Publisher:Oracle Business Intelligence Publisher 會以報表形式呈現 JD Edwards EnterpriseOne 收集的資料。您可以使用 Oracle Business Intelligence Publisher,根據您的業務需求使用不同的樣板來呈現報表。您可以使用範本檔案來設計和控制報表輸出的呈現方式。

  • 展示層:展示層包含備援的「應用程式介面服務」和 Java Application Server 執行處理,以提供高可用性。這些伺服器會與中間層的伺服器通訊。所有執行處理均為作用中,且會從負載平衡器接收流量。每個執行處理都有一個關聯的區塊儲存磁碟區。此層也包含可用來在 JD Edwards EnterpriseOne 和外部系統之間建立整合的元件。您的實行可以包含一或多個這些元件。

    此層包含下列伺服器:

    • 應用程式介面服務 (AIS) 伺服器:應用程式介面服務伺服器提供 JD Edwards EnterpriseOne 行動企業應用程式與 JD Edwards EnterpriseOne 之間的通訊介面。

    • 標準 Java Application Server (標準 JAS):它會從負載平衡器接收要求,並執行簡單的商業邏輯。對於需要複雜商業邏輯的工作,標準 JAS 會將要求傳遞至邏輯伺服器。在某些情況下,它也會將要求傳遞至 AIS 伺服器。不過,它設定 AIS 執行時期的 AIS 伺服器。

    • 專用 Java Application Server (專用 JAS):它會從 AIS 伺服器接收要求。它會將要求傳送至邏輯伺服器,以執行需要複雜商業邏輯的工作。它是使用 AIS 執行時期的 AIS 伺服器來設定。

    若要確保可用性網域內的高可用性,請部署每個元件的多餘執行處理。所有執行處理均為作用中,而且會從負載平衡器和中間層接收流量。

  • 中間層:中間層包含邏輯伺服器和批次伺服器。它們並非直接負載平衡,而是與展示層中的伺服器具有一對一的對應。您可以在同一企業伺服器執行處理上主控邏輯伺服器與批次伺服器。不過,建議您在不同的企業伺服器執行處理上設定邏輯伺服器和批次伺服器。

    中間層會接收來自展示層的要求。處理要求之後,它會將要求轉送給資料庫伺服器。伺服器的所有執行處理都是作用中和處理要求。

    此層包含下列伺服器:

    • 邏輯伺服器或企業伺服器:這些伺服器包含商業邏輯或商業功能。

    • 批次伺服器:這些伺服器用於批次處理。

  • 資料庫層:資料庫層包含 JD Edwards EnterpriseOne 資料庫伺服器執行處理。基於高可用性需求,Oracle 建議您使用 Oracle Cloud Infrastructure 中的雙節點、Oracle Real Application Clusters (Oracle RAC) 資料庫系統或 Oracle Database Exadata Cloud Service 系統來設定 JD Edwards EnterpriseOne 資料庫伺服器例項。

    您可以設定備援的資料庫執行處理以提供高可用性。對於 Oracle RAC 和 Oracle Database Exadata Cloud Service 資料庫系統,從應用程式子網路接收的要求會在資料庫伺服器之間進行負載平衡。如果其中一個資料庫執行處理變成無法使用,另一個資料庫執行處理就會處理要求。您可以使用 Oracle Cloud Infrastructure Object Storage,利用 Oracle Recovery Manager (RMAN) 來備份 JD Edwards EnterpriseOne 資料庫。若要將 JD Edwards EnterpriseOne 資料庫備份或修正至 Oracle Cloud Infrastructure Object Storage,資料庫系統的 VCN 必須設定服務閘道或網際網路閘道。建議您使用服務閘道,而非網際網路閘道進行備份與修正。

    您可以使用安全清單來限制只從防禦主機、應用程式層和內部部署伺服器存取資料庫伺服器。您可以設定安全清單,以確保只透過防禦主機和連接埠 1521 透過連接埠 22 進行通訊。此外,也請確定無法透過網際網路存取資料庫系統。

您可以使用 Oracle Cloud Infrastructure Object Storage 來備份展示層和中間層的執行處理。

使用災難復原部署 JD Edwards EnterpriseOne 的架構

此架構顯示部署具有災害復原的 JD Edwards EnterpriseOne 應用程式伺服器。它顯示 VCN,其中防禦主機位於公用子網路中,而所有其他伺服器位於專用子網路中。

生產伺服器放置在兩個不同的區域中。一個區域中的伺服器處於作用中模式,第二個區域中的伺服器 (「災害復原」區域) 處於待命模式。

在架構圖表中,防禦主機會建置在公用子網路中,所有其他執行處理則會建置在專用子網路中。您可以根據業務需求,將執行處理置於公用或專用子網路中。您可以透過防禦主機或 DRG,透過連接埠 22 存取專用子網路中的執行處理。若要啟用 DRG 與客戶端設備之間的通訊,請使用 IPSec VPN 或 Oracle Cloud Infrastructure FastConnect。

在此架構中,會在多個容錯域部署多個應用程式執行處理,以確保高可用性。這可確保即使其中一個可用性網域無法使用,仍可使用您的應用程式。其他可用性網域中可用的應用程式執行處理會繼續處理要求。

這兩個區域中的防禦主機都是作用中狀態,可以隨時為這兩個區域提供 SSH 要求服務。內部部署 DNS 或外部 DNS 服務會收到 JD Edwards EnterpriseOne 應用程式的要求。這些要求會進行遞迴負載平衡作用中區域中的負載平衡器。負載平衡器接著會將要求遞送至展示層和中間層的執行處理。中間層中的執行處理會將要求路由至作用中資料庫執行處理進行處理。管理層的開發從屬端也會與資料庫通訊。管理層中的啟動設定伺服器會與所有層中的執行處理進行通訊。

如果主要區域無法使用,您必須手動切換至「災難復原」區域中執行的資料庫伺服器,然後使用防禦主機或「災害復原」區域中執行的負載平衡器啟動。

專用子網路中的資料庫和應用程式執行處理可以使用服務閘道備份到 Oracle Cloud Infrastructure 物件儲存體。服務閘道可讓您在不周遊網際網路的情況下存取物件儲存體。


jde2.png 的描述如下
jde2.png 圖解描述

  • 防禦主機:防禦主機是一個選擇性元件,您可以在每個區域中佈建,作為存取應用程式和資料庫執行處理的跳躍主機。兩個區域中的防禦主機均處於作用中狀態。

  • 負載平衡器執行處理:Oracle Cloud Infrastructure Load Balancing 執行處理會在應用程式伺服器之間分配流量。作用中/主要區域中的負載平衡器執行處理為作用中。內部部署或外部 DNS 服務會將 JD Edwards EnterpriseOne URL 收到的要求傳送至作用中區域中的負載平衡器。

  • 展示層:展示層包含多餘的「應用程式介面服務 (AIS)」和「Java 應用程式伺服器 (JAS)」執行處理,以提供高可用性。這些伺服器會與中間層的伺服器通訊。所有執行處理均為作用中,而且會從負載平衡器接收流量。每個執行處理都有一個關聯的區塊儲存磁碟區。此層也包含可用來在 JD Edwards EnterpriseOne 和外部系統之間建立整合的元件。您的實行可以包含一或多個這些元件。

  • 中間層:中間層包含邏輯伺服器和批次伺服器。它們並非直接負載平衡,而是與展示層中的伺服器具有一對一的對應。

  • 資料庫層:在兩個區域中設定高可用性的資料庫執行處理。在作用中/主要區域中執行的資料庫伺服器為作用中狀態。在每個區域中,至少會設定兩個資料庫執行處理,以確保區域中的高可用性。如果作用中/主要區域沒有可用的資料庫執行處理,請切換至「災害復原」區域中的資料庫執行處理,然後使用「災害復原」區域中的負載平衡器開始存取環境。

    以同步模式使用 Oracle Active Data Guard,跨區域複製資料庫。

關於網路安全群組

Oracle Cloud Infrastructure 中,防火牆規則是透過網路安全群組來設定。系統會為每個層建立個別的網路安全群組。

使用安全清單可允許不同層之間、防禦主機與外部主機之間的流量。安全規則包含傳入和傳出規則,以篩選層層次的流量。它們也包含允許資料傳輸的通訊連接埠相關資訊。架構圖中的每個網路安全群組行都會顯示這些連接埠 (或在某些情況下,需要在安全規則中開啟連接埠的協定)。

系統會在 VNIC 層次強制實行每個網路安全群組。如果任何清單中的規則允許流量 (或流量為正在追蹤之現有連線的一部分),則允許傳輸資料封包。除了網路安全群組之外,還可以使用 iptables 在執行處理層次實行另一層安全。

對於公用子網路中的建置,您可以透過防止從網際網路存取應用程式和資料庫執行處理,提供額外的安全層次。使用自訂網路安全群組可避免從網際網路存取應用程式和資料庫執行處理,並允許從防禦主機透過連接埠 22 從防禦主機存取資料庫和應用程式主機以進行管理。不允許透過 SSH 從網際網路存取應用程式和資料庫執行處理,但是您可以從包含防禦主機的子網路存取這些執行處理。

您可以透過防禦主機伺服器存取專用子網路中的執行處理。

防禦主機的網路安全群組

防禦主機安全群組可讓防禦主機透過連接埠 22 從公用網際網路存取。

  • 允許透過網際網路從內部部署網路到防禦主機的 SSH 流量:

    狀態性傳入:允許從來源 CIDR 0.0.0.0/0 和所有來源連接埠到目的地連接埠 22 (SSH) 的 TCP 流量。

    Source Type = CIDR、Source CIDR = 0.0.0.0/0、IP Protocol = TCP、Source Port Range = All、Destination port range = 22

    您也可以限制防禦主機只能透過網際網路從您的資料中心(而不是公用網際網路)透過連接埠22存取。若要達到此目的,請在狀態性傳入規則中,使用邊緣路由器 IP 取代來源 CIDR 作為 0.0.0.0/0。

  • 允許從防禦主機到 Oracle Cloud Infrastructure 的所有流量:

    狀態性傳出:允許從所有來源連接埠到所有目的地連接埠的 TCP 目的地 CIDR 0.0.0.0/0 流量。

    Destination Type = CIDR,Destination CIDR = <CIDR block of VCN >、IP Protocol = TCP、Source Port Range = All、Destination port range = All

您可以根據您的需求,新增或移除網路安全群組的規則。此外,請指定您要存取 Java 應用程式伺服器和應用程式介面服務伺服器的連接埠。

管理層的網路安全群組

  • 狀態性傳入:允許來自 VCN 之來源 CIDR 區塊的目的地連接埠 22 (SSH) 和任何來源連接埠的 TCP 流量。

  • 狀態性傳入:TCP 上 VCN 的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 445、5985、14501-14510、3000、8998–8999、5150

  • 狀態性傳出:允許所有流量。

負載平衡器層的網路安全群組

架構包含專用負載平衡器,這些專用負載平衡器位於專用子網路中。如果您將負載平衡器執行處理置於公用子網路中,則表示允許從網際網路傳輸至負載平衡器執行處理的流量。

  • 狀態性傳入:VCN 的來源 CIDR 區塊和 TCP 上的內部部署網路、來源連接埠=全部、目的地連接埠=您已在負載平衡器執行處理中建立監聽器的連接埠

  • 狀態性傳出:允許所有流量。

展示層的網路安全群組

  • 允許從內部部署環境和 VCN 到展示層子網路的流量:

    狀態性傳入:TCP 上 VCN 和內部部署網路的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 14501–14510、5150、Weblogic 管理伺服器連接埠、Web 伺服器連接埠

  • 狀態性傳入:TCP 上 VCN 的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 22 (SSH)

  • 允許從展示層子網路到中間層子網路的流量:

    狀態性傳出:TCP 上的來源 0.0.0.0/0、來源連接埠=全部、目的地連接埠=全部

此外,請指定您要存取 Java Application Server 和 Application Interface Services 伺服器的連接埠,以及您要用來存取 Oracle Business Intelligence Publisher 伺服器的連接埠。

中間層的網路安全群組

  • 允許從內部部署環境和 VCN 到中間層子網路的流量:

    狀態性傳入:TCP 上 VCN 和內部部署網路的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 6017-6023、14502-14510、5150

  • 狀態性傳入:TCP 上 VCN 的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 22 (SSH)

  • 允許從中間層子網路到展示層子網路的流量:

    狀態性傳出:TCP 上的來源 0.0.0.0/0、來源連接埠=全部、目的地連接埠=全部

資料庫層的安全清單

  • 允許從防禦主機到資料庫層的流量:

    狀態性傳入:TCP 上防禦主機的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 22

  • 允許從中間層到資料庫層的流量:

    狀態性傳入:TCP 之中間層的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 1521

  • 允許從內部部署環境和 VCN 到展示層子網路的流量:

    狀態性傳入:TCP 上 VCN 的來源 CIDR 區塊、來源連接埠=全部、目的地連接埠= 14502–14510、5150

  • 允許從資料庫層到中間層的流量:

    狀態性傳出:TCP 的目的地 0.0.0.0/0、來源連接埠=全部、目的地連接埠=全部