跨租用戶管理多個 Oracle E-Business Suite 客戶
對於一般而言,管理雲端客戶需要跨租用戶或 MSP 工作的所有客戶而言,此案例也是相當有用的起點。
全球有數千個組織倚賴 Oracle EBS 執行關鍵業務營運。Oracle EBS 在 30 年的創新歷程中持續提供和投資這個套件,專注於功能進展、行動、UI 現代化和營運效率,同時協助客戶享有 Oracle Cloud 的所有優勢。Oracle EBS 支援現代化的業務模型、提高生產力,以及滿足現代化行動使用者的需求。
Oracle 的 EBS 客戶 (因為他們看重未來並考量雲端解決方案的優勢,經常尋求與所需特定技能和體驗相關的合作夥伴。Oracle 的合作夥伴生態系統對我們的客戶成功至關重要。我們的合作夥伴是值得信賴的顧問,具備經過實證的專業知識和工具,協助您邁向成功之路。他們差異化服務結合 Oracle 技術,協助 Oracle 客戶實現業務目標。有助於運用 Oracle Cloud 解決方案和服務提供端對端 Oracle Cloud 策略、諮詢及導入服務。
注意:
如果您剛開始使用 Oracle Cloud Infrastructure (OCI) 歷程,可以在 My Oracle Support (MOS) 參照中找到在 OCI 移動 E-Business Suite 工作負載的進一步詳細資訊:Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 入門,文件 ID 2517025.1,請參閱「瀏覽更多」主題。架構
此參照架構包括兩個租用戶:A 和租用戶 -B。用戶 A 針對客戶 A 的 EBS 工作負載包含一個 VCN,另一個 VCN 適用於 MSP。Tenancy-B 的單一 VCN 包含 Customer-B 的 EBS 工作負載。
客戶 -A 的工作負載是由應用系統層所組成,其中包含多個應用系統執行處理,可提供高可用性。使用的資料庫是虛擬機器 (VM) 上的 Oracle Base Database Service (單一節點資料庫系統)。
若為 Customer-A,會設定內部區域 (專用子網路) 和外部區域 (公用子網路)。內部使用者可以透過動態路由閘道 (DRG) 存取 VCN 中的專用區域。專用負載平衡器會將流量導向至內部區域中的應用程式節點。公用負載平衡器可讓外部使用者要求由網際網路閘道 (IGW) 傳送至 DMZ 中。資料庫建置在專用子網路中。
客戶 B 的工作負載是由單一應用系統層與虛擬機器 (VM) 上的 Oracle Base Database Service (單一節點資料庫系統),其中應用系統層和資料庫層都部署在專用子網路中。
- MSP 的 DRG 有兩個 RPC 連線,每個客戶都有一個 (RPC-1 for Customer-A 和 RPC-2 for Customer-B)。
- Customer-A 具有一個 RPC 連線:RPC-3 和 Customer-B 有一個 RPC 連線:RPC-4。
- RPC-1 已連線至客戶 A 的 RPC-3,RPC-2 已連線至客戶 B 的 RPC-4。
下圖說明此參考架構。
deployment-ebs-multi-tenancies.png 圖解說明
deployment-ebs-multi-tenancies-oracle.zip
架構具有下列元件:
- 用戶
當您註冊 OCI 時,Oracle 會為您的公司建立租用戶,這也是 OCI 內一個安全且隔離的分割區,您可以在其中建立、組織以及管理雲端資源。
- 區域
OCI 區域是包含一或多個資料中心 (稱為可用性網域) 的區域化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。
- 區間
區間是 OCI 租用戶內的跨區域邏輯分割區。使用區間組織您的 Oracle Cloud 資源、控制資源的存取,以及設定使用狀況配額。若要控制對指定區間中資源的存取,您需要定義可指定誰存取資源的原則,以及可執行哪些動作。
- 可用性網域 (AD)
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是一個可客製化的軟體定義網路,您在 OCI 區域中設定這些網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 負載平衡器 (LB)
OCI 負載平衡服務可將單一進入點到後端的多部伺服器,間的流量自動分配。
- 安全清單 (SL)
「安全清單」可作為運算執行處理的虛擬防火牆。安全清單包含一組輸入 (從網際網路起始的連線) 和輸出 (從 VCN 內部起始的連線) 安全規則,這些規則可套用至安全清單所關聯之任何子網路中的所有 VNIC。
- 路由表格 (RT)
虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地,通常是透過 VCN 以外的閘道 (例如透過網際網路、企業內部部署網路或對等互連 VCN)。
- 服務閘道 (SG)
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage。VCN 到 Oracle Services 的流量會透過 Oracle 網路架構移動,而一律不會周遊網際網路。
- 網際網路閘道 (IGW)
網際網路閘道是您可以新增至 VCN 的選擇性虛擬路由器,允許 VCN 和公用網際網路中公用子網路之間的流量。
- 動態路由閘道 (DRG)DRG 是一個虛擬路由器,可為 VCN 與區域外部網路之間的專用網路流量提供路徑,例如另一個 OCI 區域中的 VCN、內部部署網路,或其他雲端提供者中的網路。有了 DRG 的新增強功能,您現在可以附加下列資源:
- VCN
- RPC
- 網站至網站 VPN IPSec 通道
- OCI FastConnect 虛擬迴路
- 物件儲存
物件儲存可讓您快速存取任意內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。順暢調整儲存體,不會發生任何效能或服務可靠性的降低情形。使用標準的「熱門」儲存空間,快速、立即、經常存取。針對您長期保留並極少存取的「冷」儲存,使用封存儲存。
- FastConnect (FC)
Oracle Cloud Infrastructure FastConnect 提供一個在您的資料中心和 OCI 之間建立專屬私有連線的方式。與網際網路型連線相比,FastConnect 提供更大的頻寬選項和更可靠的網路體驗。
- 虛擬迴路 (VC)
虛擬迴路是 layer-2 或 layer-3 乙太網路 VLAN,會在您網路邊緣的路由器與 Oracle 路由器之間提供單一邏輯連線。每個虛擬迴路是由客戶與 Oracle 之間共用的資訊,以及 Oracle FastConnect 合作夥伴 (如果您是透過 Oracle FastConnect 合作夥伴進行連線) 所組成。專用虛擬迴路支援專用對等互連,而公用虛擬迴路支援公用對等互連。
- E-Business Suite 應用程式層
Oracle E-Business Suite 應用程式是由伺服器與檔案系統所組成。在此參考架構中,對於 Customer-A,會部署在多個應用系統層節點和應用系統層。在多個節點部署 Oracle E-Business Suite 應用程式層時,您可以使用共用或非共用應用程式層檔案系統。此架構採用共用的應用程式層檔案系統,可降低磁碟空間需求,避免在環境中每個節點套用補丁。
- Oracle E-Business Suite 資料庫層
在此參照架構中,兩位客戶都使用 OCI 的基礎資料庫服務。您可以使用這項服務,絕對控制您的資料,同時運用由 Oracle 管理的 Oracle Database 和 OCI 結合的功能。
建議
- VCN
建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取要設定專用連線的 CIDR 區塊,與任何其他網路 (OCI、企業內部部署資料中心或其他雲端提供者) 不重疊。
建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。
Oracle 建議使用區域子網路,因為這些子網路較具彈性。這樣一來,設計可用性網域失敗時,也能更輕鬆有效率地將 VCN 分割成子網路。
- 安全
為了強化 OCI 租用戶的安全態勢,Oracle 建議使用雲端保全和安全區域。您必須先啟用雲端保全,才能建立安全區域。「雲端保全」可協助您偵測在安全區域之前建立的現有資源中是否違規。
雲端保全
「雲端保全」是一個雲端原生服務,可協助客戶在 Oracle Cloud 上監督、識別、達成以及維持強健的安全態勢。此服務可用來檢查 OCI 資源以找出與組態相關的安全弱點,以及您的 OCI 運算子和使用者是否發生風險活動。Cloud Guard 在偵測時,可以根據您的組態提出建議、協助或採取更正動作。下列清單簡要說明開始進行雲端保全規劃所需的事項:- 目標:定義 Cloud Guard 檢查的範圍。目標內的所有區間都會以相同方式檢查,而且您對於偵測到的問題有相同的選項。
- 偵測器:執行檢查,根據活動或組態識別潛在的安全問題。目標中所有區間的規則皆相同。
- 回應器:指定偵測器識別問題時,「雲端保全」可採取的動作。目標中所有區間如何處理識別之問題的規則相同。
安全區域
對於需要最高安全性的資源,Oracle 建議您使用「安全」區域。安全區域是與基於最佳做法之 Oracle 定義安全原則處方關聯的區間。例如,安全區域中的資源不能從公用網際網路存取,因此必須使用客戶管理的金鑰加密。您在安全區域中建立及更新資源時,OCI 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用系統的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取預先定義的資源配置以提供固定頻寬,或指定自訂 (彈性) 資源配置供您設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。有了其中一種方法,您便可以在建立負載平衡器之後,隨時變更資源配置。
- E-Business Suite 雲端管理員工具
Oracle E-Business Suite Cloud Manager 是一個 Web 型應用程式,可驅動 OCI 上 Oracle E-Business Suite 的所有主要自動化流程,包括佈建新環境、在這些環境中執行生命週期管理活動,以及從內部部署回復環境。
Oracle 強烈建議所有打算將 Oracle E-Business Suite 工作負載搬移至 OCI 的客戶,將此自動化工具用於原封不動搬移、佈建及生命週期管理。不過,如果我們目前的自動化方案不符合特定需求,您可以使用手動程序。
- Web 應用程式防火牆
客戶與合作夥伴需要公開一些應用程式模組的部署 (例如客戶 A)。某些一般使用者可能必須從企業防火牆外部進行連線。為了滿足這些需求,您必須透過分散式區域 (DMZ) 向網際網路公開某些應用程式端點。Web 用戶端 / 瀏覽器與伺服器透過 HTTP、HTTPS、FTP 等協定進行通訊,而惡意動作者可利用這些協定的弱點。
協定堆疊位於不同層。雖然應用程式層 (第 7 層) 發生 Web 漏洞,但它可以透過封包洪水 (資料連結層) 或 SYN 洪水式 (網路層) 影響其他層。但是,應用程式層的 Web 攻擊比 Web 伺服器上的網路層攻擊更為常見。如果沒有處理這些 Web 攻擊 (例如 SQL 資料隱碼、跨網站指令碼編寫、安全組態等),可能會危害安全性並影響應用程式的可用性。OCI 的 Web 應用系統防火牆 (WAF) 可透過監控和篩選潛在的惡意流量,協助您讓端點變得更安全。這是符合雲端規範的支付卡產業 (PCI) 規範全球安全性服務,可保護應用系統免於惡意和非必要網際網路流量的危害。
探索更多
深入瞭解如何在多個租用戶部署 Oracle E-Business Suite。
- 產品和產品相關文件:
- My Oracle Support 注意事項:
- Oracle Cloud Infrastructure 上的 Oracle E-Business Suite 入門 (文件 ID 2517025.1)
- Oracle E-Business Suite Cloud Manager 用於在 Oracle Cloud Infrastructure 上佈建 Oracle E-Business Suite 的標準 (文件 ID 2656874.1)
- DMZ 中的 Oracle E-Business Suite 版本 12.2 組態 (文件 ID 1375670.1)
- DMZ 中的 Oracle E-Business Suite R12 組態 (文件 ID 380490.1)