環境の計画

このトピックでは、環境を作成する前に考慮する必要がある環境の機能について説明します。環境は環境ファミリに作成します。

環境ファミリの環境は、特定の特性を共有します。環境を計画する前に、環境ファミリの計画を参照してください。

環境タイプについて

環境ファミリでは、本番環境と非本番環境(テストと開発)の両方を作成できます。各Fusion Applicationsサブスクリプションでは、1つの本番環境と1つのテスト環境を使用できます。また、非本番開発環境をオーダーできます。

本番環境

本番環境では、認可されたユーザーによる日常のリアルタイム・ビジネス業務をサポートします。環境ファミリには、プロビジョニングする本番環境が1つ割り当てられます。

非本番環境

テスト環境
通常、テスト環境は、本番環境へのアプリケーション・デプロイメント前のステージング、および同じメンテナンスが本番環境に適用される前のメンテナンス更新の検証に使用されます。環境ファミリには、プロビジョニングするテスト環境が1つ割り当てられます。
開発(追加のテスト環境またはATEとも呼ばれる)
開発環境は通常、拡張(レポート、ページ、インタフェースなど)を開発したり、他のアプリケーションとの統合を開発するための個別または共同の開発サンドボックスとして使用されます。組織で必要な開発環境の数をオーダーする必要があります。

次の表に、3つの環境タイプの特性をまとめます:

機能	本番	テスト	開発/ATE
ワークロード・タイプ	本番	非本番	非本番
一般的な使用方法	ビジネス・ユーザー向けの本番ワークロード	システム統合テスト変換およびデータ移行のテストユーザー受入れテスト	開発、構成およびユニットのテストトレーニング、習熟低ボリュームのユーザー受入れテスト
一般的なユーザー	ビジネス・ユーザー	開発ユーザー	開発ユーザー
購入要件	Fusion Applicationsの購入に含まれます	1つのテスト環境(1つのテスト環境のみ)がすべてのFusion Applications本番環境に含まれます	個別に購入各ATE購入単位は1つの環境
制限	環境ファミリごとに1つ	環境ファミリごとに1つ	購入数に基づく制限
プロビジョニング動作および依存性	依存性のないセルフサービスファミリ内でプロビジョニングされる最初の環境に指定できます本番の稼働開始は、テスト環境の正常なプロビジョニングに依存します	依存性のないセルフサービスファミリ内の最初の環境に指定できます本番環境が稼働開始する前にプロビジョニングする必要があります	依存性のないセルフサービスファミリ内の最初の環境に指定できます
デフォルトのメンテナンス・ケイデンス	本番ケイデンス本番ケイデンスと非本番ケイデンスの定義については、メンテナンスおよびスケジュールのタイプを参照してください。	非本番ケイデンス	非本番ケイデンス
同時アップグレード動作	カスタム選択に基づく第1週末または第3週末	カスタム選択に基づく第1週末または第3週末	カスタム選択に基づく第1週末または第3週末
環境のリフレッシュ	セルフサービス・リフレッシュはサポートされていません	環境ファミリ内の任意のソース環境からサポートされるセルフサービス・リフレッシュ(環境のリフレッシュを参照)	環境ファミリ内の任意のソース環境からサポートされるセルフサービス・リフレッシュ(環境のリフレッシュを参照)
統合サービス	プロビジョニング済	一部のサービスがプロビジョニング済	一部のサービスがプロビジョニング済
終了	環境が稼働した後は、セルフサービス終了は許可されません。終了するには、サービス・リクエストを提出します。	本番が稼働した後は、セルフサービス終了は許可されません。終了するには、サービス・リクエストを提出します。	セルフサービス終了は許可されます

コンパートメントの選択

コンパートメントは、それらのリソースへのアクセスを制御するためのリソースの論理グループです。リソースをコンパートメントに配置すると、アクセスを必要に応じてきめ細かいレベルに制限できます。

たとえば、テナンシに複数の環境がある場合、異なるコンパートメントに配置することで、各ファミリへのアクセスを異なるユーザー・グループに制限できます。次に、グループおよびコンパートメントに基づいてアクセスを許可するポリシーを記述します。コンパートメントを明示的に選択しない場合(または組織が複数のコンパートメントを設定していない場合)、環境ファミリはテナンシ(ルート・コンパートメントとも呼ばれる)に直接作成されます。組織が後でコンパートメントの設定を選択した場合は、環境ファミリを別のコンパートメントに移動できます。

また、環境ファミリと環境に異なる管理者を指定する予定の場合は、それぞれを異なるコンパートメントに配置して、それぞれに異なるアクセス・ポリシーを作成できます。コンパートメントの計画の詳細は、テナンシを設定するためのベスト・プラクティスについて学習を参照してください。

コンパートメントを作成する際には、次の2つのオプションがあります:

環境を作成する前にコンパートメントを作成します。
最初にコンパートメントを作成する場合は、コンパートメントにFusion Applications環境を作成できます。このアプローチの利点は、Oracle Digital Assistantインスタンスなどの環境で作成されるサポート・リソースもコンパートメントに作成されることです。
コンパートメントに環境を作成するには、環境の作成中に選択します。
環境を作成した後でコンパートメントを作成します。
環境をすでに作成している場合は、それを別のコンパートメントに簡単に移動できます。環境を別のコンパートメントに移動するにはを参照してください。統合アプリケーションおよびその他の関連リソースのインスタンスを同じコンパートメントに移動する必要もあります。

コンパートメントを作成するための基本的な手順を次に示します。コンパートメントの操作の詳細は、コンパートメントの管理を参照してください。

コンパートメントを作成するには

ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「アイデンティティ」で、「コンパートメント」を選択します。コンパートメントのリストが表示されます。
新規コンパートメントを作成するコンパートメントにナビゲートします:
- テナンシ(ルート・コンパートメント)にコンパートメントを作成するには、「コンパートメントの作成」をクリックします。
- または、コンパートメントを作成するコンパートメントの詳細ページに到達するまで、コンパートメントの階層をクリックします。「コンパートメントの詳細」ページで、「コンパートメントの作成」をクリックします。
次を入力します:
- 名前: コンパートメントの一意の名前(文字、数字、期間、ハイフン、アンダースコアなど、最大100文字)。名前は、テナンシ内のすべてのコンパートメントで一意である必要があります。機密情報を入力しないでください。
- 説明: わかりやすい説明。これは、必要に応じて後で変更できます。
- 親コンパートメント: 現在のコンパートメントが表示されます。このコンパートメントを作成するために別のコンパートメントを選択する場合は、リストから選択します。
- タグ:リソースを作成する権限がある場合、フリーフォーム・タグをそのリソースに適用する権限もあります。definedタグを適用するには、タグnamespaceを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用するかどうかがわからない場合は、このオプションをスキップするか、管理者に問い合せてください。タグは後で適用できます。
「コンパートメントの作成」をクリックします。

言語パックの理解

環境を作成すると、デフォルトで英語がインストールされます。言語を追加する場合は、環境のプロビジョニング時に最大2つの言語を選択するか、後で追加できます。言語パックを追加しても、環境の可用性には影響しません。環境にインストールされる各言語パックによって、更新時間がわずかに長くなる可能性があります。言語パックを追加すると、削除できなくなります。

環境ネットワーク・アクセス制御ルールの理解

ネットワーク・アクセス制御ルールを設定して、環境へのアクセスを許可されるネットワーク・トラフィックを制限できます。ルールは次の目的で作成できます:

指定されたCIDRブロック範囲からのトラフィックのみを許可します。
指定されたOracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)からのトラフィックのみを許可します。
指定されたOCI VCN内の指定されたCIDRブロック範囲からのトラフィックのみを許可します。

ルールを設定すると、指定された許可ソース外で発生したトラフィックはブロックされます。環境に対してルールを設定しない場合、すべてのネットワーク・トラフィックが環境へのアクセスを許可されます。ネットワーク・アクセス制御ルールでは、許可されたトラフィックの定義のみがサポートされます。ブロック・リストは設定できません。ネットワーク・アクセス制御リストは、環境の作成時に設定することも、環境の作成後に編集することもできます。

Fusion Applicationsでロケーション・ベースのアクセスを設定することもできます。詳細は、ロケーション・ベースのアクセスを参照してください。

Fusion Applications環境へのネットワーク・アクセスの保護

ユーザーは、有効なユーザー資格証明があるかぎり、インターネットからFusion Applicationsにアクセスできます。ただし、これを行うには、ローカル・ネットワーク設定を更新して、環境がプロビジョニングされているOCIリージョンのIPアドレス範囲へのトラフィックを許可する必要があります。プライマリOCIリージョンへのトラフィックの許可に加えて、障害状況で本番環境がフェイルオーバーされるディザスタ・リカバリOCIリージョンの許可リストIPアドレス範囲も必要になる場合があります。次に注意してください:

ディザスタ・リカバリ(DR)リージョンを特定するには、ディザスタ・リカバリのサポートを参照してください。
Oracle Cloud InfrastructureにデプロイされるサービスのパブリックIPアドレス範囲の詳細は、IPアドレス範囲を参照してください。IPアドレス・ファイルを使用して、環境のプライマリおよびDRリージョンのCIDRブロック範囲を検索します。
ヒント

IPアドレス・ファイルには、いくつかのタイプのCIDR IPが含まれています。CIDR IPを追加する必要があるのは、「OSN」タグのみです。

プライマリ・リージョンとDRリージョンのIPアドレス範囲を特定したら、次のオンプレミス構成を更新します。

エグレスのファイアウォール・ルール
ネットワーク・ルーティング構成(VPN構成など)

また、他のサービスとのアウトバウンド統合用にFusion Applicationsを設定した場合(たとえば、ファイルとレポートを外部宛先に送信する場合や、Oracle Integration Cloudなどの外部統合)、次のネットワーク構成を実行する必要がある場合があります。

ファイルおよび外部統合の転送の許可リストの更新:

外部統合の宛先ネットワークまたはサーバーがIP許可リストを使用して、信頼できるソースからのアクセスのみを制限している場合は、宛先サーバーの設定を更新して、OracleのDRリージョン・ゲートウェイIPがこれらの伝送を引き続き受信できるようにする必要があります。Oracle IP許可リストがある一般的なアプリケーション・フローには、次のものがあります。
- Oracle Fusion Payments支払および正支払ファイル配信(SFTP/HTTPS)
- Oracle Cash Management銀行取引明細書ダウンロード(SFTP/HTTPS)
- Oracle Fusion Expensesコーポレート・カード・トランザクション・ファイルのアップロード(SFTP / HTTPS)
- Oracle Fusion Payments小切手印刷(HTTPS)
- ERP統合コールバック・サービス(HTTPS)
- BI Publisherプリンタ配信オプション(HTTPS)
- BI Publisherレポート配信オプション(SFTP)
- HCM抽出提供(SFTP)
送信ファイルのポートの更新:

前述のいずれかのシナリオでファイルを外部宛先に送信する場合は、これらの伝送のポート設定も確認する必要があります。ポートが22、80、443、631、993のリスト内にあることを確認します。

環境へのアクセスをさらに制御するために、Fusion Applicationでは次のオプションがサポートされています。これらのユースケースは相互に排他的ではなく、相互にサポートできます。

アクセス制御リスト(ACL): アクセス制御リスト(ACL)を使用して、選択したパブリックIP (CIDR)または仮想クラウド・ネットワーク(VCN)からのみ環境へのアクセスを許可します。ネットワーク・アクセス制御ルールは、環境の作成時に設定することも、後で編集することもできます。
オンプレミス・ネットワークからプライベートにアクセス: インターネットを介さずにオンプレミス・ネットワークから環境にアクセスできます。このオプションでは、オンプレミス・ネットワークとテナンシ内のVCN間にセキュアなVPN接続を設定する必要があります。詳細は、Fusion Applicationsへのセキュアなアクセスを参照してください。
ロケーション・ベース・アクセス制御(LBAC): ロールに基づいてタスクおよびデータにアクセスし、指定されたコンピュートIPを使用できます。このオプションは、実行中のアプリケーションで構成されます。詳細は、「事業所ベースのアクセスの概要」を参照してください。