甲骨文云OCI部署Oracle E-Business Suite：结合Palo Alto Networks防火墙和Exadata云服务的完美融合

Oracle E-Business Suite的云部署在技术和商业角度上提供了一系列好处。市场上常夸耀的云计算顶级好处包括支持增长、性能和可用性；因此增加了业务敏捷性。它还提供了更低的成本和更安全的系统。

Oracle Cloud Infrastructure（OCI）解决方案和认证的数据库服务相比其他云解决方案提供了若干明显优势。例如，Oracle为OCI及相关数据库服务（如虚拟机DB系统、Exadata云服务或Exadata Cloud@Customer）提供Oracle E-Business Suite云自动化（用于Oracle E-Business Suite生命周期管理的Cloud Manager工具），这些服务不是其他供应商可提供的。

将Oracle E-Business Suite工作负载迁移或在Oracle Cloud上扩展您当前的OCI租户，结合Palo Alto Network VM-Series虚拟下一代防火墙（NGFWs），增强了OCI提供的本地安全选项。

架构

本参考架构描述了一个高可用的多节点部署，其中Oracle E-Business Suite数据库运行在Oracle Exadata云服务上。

注意：如果您刚开始OCI之旅，可以在"My Oracle Support"（MOS）笔记“Oracle E-Business Suite在Oracle Cloud Infrastructure上的入门”，文档ID 2517025.1中找到更多关于移动您的E-Business Suite工作负载到OCI的细节，参考“探索更多”主题。

在这个架构中，一个Oracle E-Business Suite工作负载已经部署在一个中心枢纽和多个不同网络（辐射VCNs）连接的枢纽和辐射网络拓扑中，流量通过中心枢纽路由。中心枢纽VCN通过动态路由网关（DRG）连接到辐射VCN。在这个场景中，枢纽是DRG和防火墙VCN的结合。在这里，应用层包含多个应用实例，以提供高可用性。数据库层使用在Oracle Exadata云服务上运行的Oracle Real Application Clusters数据库。

以下图表展示了这个架构：

为加强租户的安全姿态，部署了Palo Alto Networks VM系列。这将使您能够保护您的工作负载，并监控南北向（进入您的云网络的流量）和东西向（在您的云环境内部VCN之间移动的流量）流量。所有流量，无论是在辐射VCN之间、来自互联网、来自本地数据中心，还是到Oracle服务网络的流量，都将通过枢纽VCN路由并由Palo Alto Networks VM系列防火墙的多层威胁预防技术检查。

下面展示了逻辑流量流向：

南北向流量流入：

此图解展示了从互联网到OCI区域的南北向入站流量流向：

此图解展示了从客户的本地数据中心到OCI区域的南北向入站流量流向：

南北向流量流出：

此图解展示了从OCI区域到互联网的南北向出站流量流向：

此图解展示了从OCI区域到客户本地数据中心的南北向出站流量流向：

东西向流量流动：

此图解展示了OCI VCN内部的东西向流量流动：

架构包含以下组件：

租户

• 当您注册Oracle Cloud Infrastructure时，Oracle为您的公司创建一个租户，这是Oracle Cloud Infrastructure中的一个安全且独立的分区，您可以在其中创建、组织和管理您的云资源。

区域

• Oracle Cloud Infrastructure区域是一个地理定位区域，包含一个或多个数据中心，称为可用性域。区域相互独立，彼此之间可能相隔很远（跨越国家甚至大洲）。大多数Oracle Cloud Infrastructure资源要么特定于区域，如虚拟云网络，要么特定于可用性域，如计算实例。

部门

• 部门是Oracle Cloud Infrastructure租户内跨区域的逻辑分区。使用部门来组织Oracle Cloud中的资源，控制对资源的访问，并设置使用配额。为控制对特定部门中的资源的访问，您需要定义策略，指定谁可以访问资源以及他们可以执行的操作。

可用性域（AD）

• 可用性域是区域内独立的、独立的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离，提供故障容忍性。可用性域不共享基础设施，如电力或冷却，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域中的其他可用性域。

故障域（FD）

• 故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个故障域，具有独立的电力和硬件。当您在多个故障域中分布资源时，您的应用程序可以容忍物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在Oracle Cloud Infrastructure区域内设置的可自定义、软件定义的网络。像传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改它们。您可以将VCN分割成子网，这些子网可以在单个可用性域内或跨越区域内的所有可用性域（推荐）。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

中心VCN

• 中心VCN是一个集中的网络，部署了Palo Alto Networks VM系列防火墙。它为所有辐射VCN、Oracle Cloud Infrastructure服务、公共端点和客户端以及本地数据中心网络提供安全连接。

应用层辐射VCN

• 应用层辐射VCN包含一个私有子网，用于托管Oracle E-Business Suite应用堆栈。它还有Exadata客户端和备份子网。

负载均衡器（LB）

• OCI负载均衡服务提供了从单个入口点到后端多个服务器的自动化流量分发。

安全列表（SL）

• 安全列表充当计算实例的虚拟防火墙。一个安全列表由一组入站（从互联网启动的连接）和出站（从VCN内部启动的连接）安全规则组成，这些规则适用于与安全列表关联的任何子网中的所有VNIC。

路由表（RT）

• 虚拟路由表包含将流量从子网路由到VCN外部目的地的规则，通常是通过VCN外部的网关（例如，到互联网、到您的本地网络或到对等VCN）。

服务网关（SG）

• 服务网关提供从VCN到其他服务（如Oracle Cloud Infrastructure对象存储）的访问。从VCN到Oracle服务的流量通过Oracle网络织物传输，不经过互联网。

互联网网关（IGW）

• 互联网网关是一个可选的虚拟路由器，您可以添加到VCN中，以允许VCN中的公共子网和公共互联网之间的流量。

动态路由网关（DRG）

• DRG是一个虚拟路由器，提供从VCN到区域外网络的私有网络流量路径，如另一个Oracle Cloud Infrastructure区域的VCN、本地网络或另一个云提供商的网络。
• 随着DRG的新增强功能，您现在可以附加以下资源：VCNs远程对等连接站点到站点VPN IPSec隧道OCI FastConnect虚拟电路
• 每个附件都带有一个独特的路由表，允许您定义在附件之间路由流量的路由策略。这种增强简化了连接性，并满足了更复杂的网络拓扑和路由需求。在这个参考架构中，使用枢纽和辐射网络拓扑，允许您在枢纽VCN中使用Palo Alto，一个网络虚拟设备，在客户的本地网络和应用负载辐射VCN之间过滤或检查流量。

虚拟网络接口卡（VNIC）

• OCI数据中心中的服务拥有物理网络接口卡（NIC）。虚拟机实例使用与物理NIC关联的虚拟NIC（VNIC）进行通信。每个实例都有一个在启动时自动创建并附加的主VNIC，在实例的整个生命周期中都可用。DHCP仅提供给主VNIC。您可以在实例启动后添加次级VNIC。您应为每个接口设置静态IP。

对象存储

• 对象存储提供快速访问大量结构化和非结构化数据，包括数据库备份、分析数据和丰富内容如图像和视频。您可以安全可靠地存储数据，然后直接从互联网或云平台内检索数据。您可以无缝扩展存储，而不会经历性能下降或服务可靠性降低。使用标准存储用于需要快速、立即和频繁访问的“热”存储。使用归档存储用于长时间保留且很少或几乎不访问的“冷”存储。

FastConnect（FC）

• Oracle Cloud Infrastructure FastConnect提供了一种简单的方式，用于在您的数据中心和Oracle Cloud Infrastructure之间创建专用、私有连接。FastConnect提供了比基于互联网的连接更高的带宽选项和更可靠的网络体验。

虚拟电路（VC）

• 虚拟电路是一种在一个或多个物理网络连接上运行的第2层或第3层以太网VLAN，用于在您网络边缘的路由器和Oracle路由器之间提供单一的逻辑连接。每个虚拟电路由客户与Oracle之间共享的信息组成，以及一个Oracle FastConnect合作伙伴（如果您通过Oracle FastConnect合作伙伴连接）。私有虚拟电路支持私有对等连接，而公共虚拟电路支持公共对等连接。

Palo Alto Networks VM系列防火墙

• 提供虚拟机形式的物理下一代防火墙的所有功能，为公共和私有云提供内联网络安全和威胁预防。
• 在OCI上的VM系列可以保护和分割您的工作负载，防止高级威胁，并在您迁移到云时改善对您应用程序的可视性。管理子网使用管理接口，允许最终用户连接到用户界面。不信任子网用于将外部流量导向或从Palo Alto Networks VM系列防火墙导出。信任子网用于将内部流量导向或从Palo Alto Networks VM系列防火墙导出。高可用性（HA）子网确保VM系列防火墙具有高可用性。

E-Business Suite应用层

• Oracle E-Business Suite应用由服务器和文件系统组成。在这个参考架构中，它部署了多个应用层节点，服务于应用。在部署具有多个节点的Oracle E-Business Suite应用层时，您可以使用共享或非共享的应用层文件系统。这个架构采用了共享的应用层文件系统，减少了磁盘空间需求，并消除了在环境中的每个节点上应用补丁的需要。

企业命令中心（ECC）

• 企业命令中心提供信息发现以及嵌入在Oracle E-Business Suite用户界面中的可视化和探索功能。Oracle企业命令中心框架允许您在不同功能领域创建业务仪表板。Oracle E-Business Suite用户使用交互式视觉组件和引导式发现能力导航交易信息，允许探索性数据分析。移动性和响应式设计内置在Oracle企业命令中心框架中，所有仪表板自动调整布局以更好地适应桌面或移动设备形式因素。
• Oracle企业命令中心框架，包括仪表板内容，自动遵循现有的Oracle E-Business Suite安全上下文和安全性。企业命令中心帮助Oracle E-Business Suite用户识别并处理优先事务，无需自定义运营报告。ECC版本V7包括32个命令中心，包括Oracle E-Business Suite中的121个仪表板。

Oracle E-Business Suite数据库层 - Exadata云服务

• Exadata云服务使您能够在云中利用Exadata的力量。您可以配置灵活的X8M系统，根据您的需求增加数据库计算服务器和存储服务器。X8M系统提供RoCE（RDMA over Converged Ethernet）网络，以实现高带宽和低延迟，持久性内存（PMEM）模块和智能Exadata软件。您可以使用等同于四分之一机架X8系统的形状配置X8M系统，并在配置后的任何时候添加数据库和存储服务器。
• 为了配置Exadata云服务数据库，首先您必须分别配置Exadata云服务基础设施和VM集群资源。与基础设施一起，创建VM集群、初始数据库主目录和数据库。您可以随时使用控制台或Oracle Cloud Infrastructure API创建额外的数据库主目录和数据库。

建议

• 在OCI上使用E-Business Suite时，以下建议可能有用，尽管它们可能因您的实施情况而有所不同。

VCN

• 创建VCN时，根据您计划附加到VCN子网中的资源数量确定所需的CIDR块数量和每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与任何其他网络重叠的CIDR块（在Oracle Cloud Infrastructure、您的本地数据中心或您打算建立私有连接的其他云提供商）。
• 创建VCN后，您可以更改、添加和移除其CIDR块。设计子网时，考虑您的流量流向和安全要求。将特定层或角色内的所有资源附加到同一子网，这可以作为安全边界。
• Oracle建议使用区域子网，因为它们更灵活。它们使得在设计可用性域故障时，更容易有效地将VCN划分为子网。

安全性

• 为了加强您的OCI租户的安全姿态，Oracle建议使用Cloud Guard和安全区。您必须在创建安全区之前启用Cloud Guard。Cloud Guard有助于检测在创建安全区之前创建的现有资源中的策略违规。

Cloud Guard

• Cloud Guard是一项云原生服务，帮助客户在Oracle Cloud上监控、识别、实现和维护强大的安全姿态。使用该服务检查您的OCI资源在配置方面的安全弱点，以及您的OCI操作者和用户的风险活动。检测到后，Cloud Guard可以根据您的配置建议、协助或采取纠正措施。以下列表总结了开始规划Cloud Guard所需了解的内容：目标：定义Cloud Guard检查的范围。所有目标内的部门以相同方式检查，并且您对检测到的问题有相同的处理选项。检测器：执行检查以根据活动或配置识别潜在的安全问题。识别问题的规则对目标中的所有部门都是相同的。响应者：指定当检测器识别问题时Cloud Guard可以采取的行动。如何处理识别的问题的规则对目标中的所有部门都是相同的。

安全区

• 对于需要最大安全性的资源，Oracle建议您使用安全区。安全区是与Oracle定义的基于最佳实践的安全策略配方相关联的部门。例如，安全区中的资源不得从公共互联网访问，且必须使用客户管理的密钥加密。
• 在安全区中创建和更新资源时，OCI会根据安全区配方中的策略验证操作，并拒绝违反任何策略的操作。

网络安全组（NSGs）

• 您可以使用NSGs定义一组适用于特定VNIC的入站和出站规则。我们建议使用NSGs而不是安全列表，因为NSGs允许您将VCN的子网架构与应用程序的安全要求分开。
• 您可以使用NSGs定义一组适用于特定VNIC的入站和出站规则。我们建议使用NSGs而不是安全列表，因为NSGs允许您将VCN的子网架构与应用程序的安全要求分开。

负载均衡器带宽

• 创建负载均衡器时，您可以选择提供固定带宽的预定义形状，或指定自定义（灵活）形状，您设置带宽范围并让服务根据流量模式自动扩展带宽。无论采用哪种方法，您都可以在创建负载均衡器后随时更改形状。

E-Business Suite Cloud Manager工具

• Oracle E-Business Suite Cloud Manager是一个基于Web的应用程序，驱动OCI上Oracle E-Business Suite的所有主要自动化流程，包括配置新环境、对这些环境执行生命周期管理活动，以及从本地恢复环境。
• Oracle强烈建议所有打算将其Oracle E-Business Suite工作负载迁移到OCI的客户使用此自动化工具进行提升和转移、配置和生命周期管理。然而，如果我们当前的自动化产品不满足您的特定需求，您可以使用手动程序。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。