1. Informationen zur Bereitstellung von PeopleSoft auf Oracle Cloud Infrastructure
  2. PeopleSoft-Architektur

PeopleSoft-Architektur

Erfahren Sie mehr über die verschiedenen Tiers in einem PeopleSoft-Deployment.

Bastion-Host

Ein Bastion-Host ist eine optionale Komponente, die Sie mit Firewall-Policys verwenden können, um die Management-Schnittstellen von Datenbank- und Anwendungsservern vor dem externen Zugriff zu schützen. Ein Bastion-Host ist eine Oracle Cloud Infrastructure Compute-Instanz, die Linux als Betriebssystem verwendet.

Platzieren Sie den Bastion-Host in einem öffentlichen Subnetz, und weisen Sie ihm eine öffentliche IP-Adresse zu, um über das Internet darauf zuzugreifen.

Um eine zusätzliche Sicherheitsebene bereitzustellen, können Sie Sicherheitslisten einrichten, um nur von der öffentlichen IP-Adresse Ihres On-Premise-Netzwerks auf den Bastion-Host zuzugreifen. Sie können über den Bastion-Host auf Oracle Cloud Infrastructure-Instanzen im privaten Subnetz zugreifen. Dazu aktivieren Sie die SSH-Agent-Weiterleitung, mit der Sie sich bei dem Bastion-Host anmelden und dann auf den nächsten Server zugreifen können, indem Sie die Zugangsdaten von Ihrem Rechner weiterleiten. Sie können auch mit dynamischem SSH-Tunneling auf die Instanzen im privaten Subnetz zugreifen. Mit SSH-Tunneling können Sie auf eine Webanwendung oder einen anderen Listening Service zugreifen. Der dynamische Tunnel stellt einen SOCKS-Proxy auf dem lokalen Port bereit, die Verbindungen stammen jedoch von dem Remote-Host.

Load Balancer-Tier

Mit Oracle Cloud Infrastructure Load Balancing können Sie den Datenverkehr auf Ihre Anwendungsinstanzen über Availability-Domains in einem VCN verteilen. Dieser Service stellt eine Primär- und Standby-Instanz des Load Balancers bereit, um sicherzustellen, dass der Standby-Load Balancer die Anforderungen weiterleitet, wenn der primäre Load Balancer heruntergefahren wird. Der Load Balancer stellt sicher, dass Anforderungen an die fehlerfreien Anwendungsinstanzen weitergeleitet werden. Wenn bei einer Anwendungsinstanz ein Problem auftritt, entfernt der Load Balancer diese Instanz und startet Routing-Anforderungen an die restlichen fehlerfreien Anwendungsinstanzen.

Je nach Ihren Anforderungen können Sie Load Balancer in ein öffentliches oder privates Subnetz einfügen.

  • Verwenden Sie für interne Endpunkte, die vom Internet nicht zugänglich sind, einen privaten Load Balancer. Ein privater Load Balancer hat eine private IP-Adresse und kann nicht über das Internet aufgerufen werden. Sowohl die Primär-als auch die Standby-Instanzen eines Load Balancers befinden sich im selben privaten Subnetz. Über DRG können Sie auf private Load Balancer im VCN oder in Ihrem Data Center über das IPSec-VPN zugreifen. Der private Load Balancer akzeptiert Datenverkehr von Ihrem Data Center und verteilt den Datenverkehr an die zugrunde liegenden Anwendungsinstanzen.

  • Verwenden Sie für intern ausgerichtete Endpunkte einen öffentlichen Load Balancer. Ein öffentlicher Load Balancer hat eine öffentliche IP-Adresse und kann über das Internet aufgerufen werden. Über das Internetgateway können Sie auf die öffentlichen Load Balancer zugreifen.

  • Für den Zugriff auf interne Endpunkte und interne Endpunkte richten Sie private Load Balancer und öffentliche Load Balancer ein. Richten Sie private Load Balancer ein, um den internen Datenverkehr zu erfüllen, und richten Sie öffentliche Load Balancer ein, um den Datenverkehr vom Internet zu übermitteln.

Registrieren Sie die öffentliche oder private IP-Adresse von Oracle Cloud Infrastructure Load Balancing-Instanzen in Ihrem On-Premise- oder öffentlichen Domain Name Server (DNS) für die Domainauflösung Ihres Anwendungsendpunkts.

Application Tier

Alle Instanzen in der Application Tier werden konfiguriert und mit Datenbankinstanzen verbunden, die sich im aktiven Status befinden. Die Application Tier enthält die folgenden PeopleSoft Internet Architecture-Komponenten:

  • PeopleSoft-Webserver: Die PeopleSoft-Webserver empfangen Anwendungsanforderungen aus der Webumgebung, dem Internet und dem Intranet über den Load Balancer. Eingehender Datenverkehr wird vom Load Balancer über Port 8000 verteilt. Er leitet die Anforderungen an den Oracle Tuxedo Jolt-Port auf dem Anwendungsserver weiter. Im Architekturdiagramm wurden mehrere Webserver bereitgestellt, um High Availability zu unterstützen.

  • ElasticSearch-Server : Das Such-Framework von Oracle PeopleSoft bietet eine Standardmethode zur Verwendung von Suchindexen für alle PeopleSoft-Anwendungen. Das Such-Framework hängt von ElasticSearch-Servern ab. Er kommuniziert mit den PeopleSoft-Webservern über Port 9200.

  • PeopleSoft-Anwendungsserver: PeopleSoft-Anwendungsserver verarbeiten den Bulk-Vorgang der Workload im PeopleSoft-System. Er führt die Geschäftslogik aus und verarbeitet alle Anwendungsanforderungen, die vom Webserver über die Oracle Tuxedo Jolt-Ports 9000 eingehen. Der Anwendungsserver ist außerdem für die Verwaltung der SQL-Verbindung mit der Datenbank über Port 1521 verantwortlich. Anwendungsanforderungen werden vom Webserver empfangen. Diese Anforderungen werden an die Application Server weitergeleitet, und die Application Server leiten die SQL an die Datenbank-Server weiter.

  • PeopleSoft Process Scheduler: Eine Instanz von PeopleSoft Process Scheduler ist erforderlich, um Windows-spezifische Prozesse oder Jobs wie NVision auszuführen. Diese Instanz wird auf dem Windows-Betriebssystem bereitgestellt.

  • PeopleTools-Client: PeopleTools-Clients sind Windows-basierte Clients. Sie werden auch als PeopleTools-Entwicklungsumgebung bezeichnet. Diese Clients, die auf unterstützten Microsoft Windows-Plattformen ausgeführt werden, können sich über die Client-Konnektivitätssoftware (eine Zwei-Tier-Verbindung) über Port 1521 oder über einen PeopleSoft-Anwendungsserver (eine dreistufige Verbindung) über Port 7000 bei der PeopleSoft-Datenbank anmelden. Der PeopleTools-Client ist ein integrierter Bestandteil der Internet-Architektur von PeopleSoft, weil er Administratoren beim Ausführen von Management- und Migrationsaufgaben unterstützt.

Richten Sie Oracle Cloud Infrastructure File Storage zur Bereitstellung der PeopleSoft-Software ein. Ein einzelnes Dateispeicherdateisystem kann erstellt werden, um Softwarebinärdateien über Anwendungsserver, Webserver und ElasticSearch-Server hinweg gemeinsam zu verwenden.

Mit Oracle Cloud Infrastructure Object Storage können Sie die PeopleSoft-Anwendungsinstanzen sichern.

Info zur Database Tier

Für High Availability-Anforderungen empfiehlt Oracle eine der folgenden Optionen, um die PeopleSoft-Datenbankinstanzen einzurichten:

  • Zwei-Knoten- Oracle Real Application Clusters- (Oracle RAC-) Datenbanksysteme auf einem virtuellen Rechner.

  • Oracle Database Exadata Cloud Service-Instanzen. Dieser Service stellt Oracle Database bereit, das auf Oracle Exadata Database Machine in Oracle Cloud gehostet wird.

Datenbanksysteme in einem separaten Subnetz speichern.

Die Datenbankinstanzen sind so eingerichtet, dass sie hochverfügbar sind, und beide Instanzen der Datenbank in einer Availability-Domain sind aktiv. Anforderungen, die von der Application Tier empfangen werden, werden über die Datenbankinstanzen hinweg ausgeglichen. Wenn eine Datenbankinstanz heruntergefahren ist, stellt die andere Datenbankinstanz die Anforderungen bereit. Mit Oracle Cloud Infrastructure Object Storage können Sie die PeopleSoft-Datenbank mit RMAN sichern.

Mit Sicherheitslisten können Sie den Zugriff auf die Datenbankserver nur von Bastion-Host, Anwendungsservern und On-Premise-Servern einschränken. Richten Sie Sicherheitslisten ein, um sicherzustellen, dass die Kommunikation nur über Port 22 über den Bastion-Host und über Port 1521 über den Anwendungsserver erfolgt. Stellen Sie außerdem sicher, dass nicht über das Internet auf die Datenbanksysteme zugegriffen werden kann.

Wenn Sie PeopleSoft in mehreren Availability-Domains bereitgestellt haben, verwenden Sie Oracle Active Data Guard im synchronen Modus, um die Datenbank über die Availability-Domains hinweg zu replizieren. Port 1521 ist für die Kommunikation mit Oracle Active Data Guard geöffnet. Data Guard Transport-Services verwenden Port 1521, um Redo-Logdateien von Oracle Active Data Guard zu übertragen.

Informationen zu Sicherheitslisten

In Oracle Cloud Infrastructure werden Firewallregeln über Sicherheitslisten konfiguriert. Für jedes Subnet wird eine separate Sicherheitsliste erstellt.

Oracle empfiehlt, dass Sie separate Subnetze für die Datenbank-, Anwendungs-, Load Balancer- und Bastion-Hosts erstellen, um sicherzustellen, dass die entsprechende Sicherheitsliste den Instanzen in jedem Subnetz zugewiesen wird. Mit Sicherheitslisten können Sie Datenverkehr zwischen verschiedenen Tiers und zwischen dem Bastion-Host und externen Hosts zulassen. Sicherheitslisten enthalten Ingress- und Egress-Regeln, um den Datenverkehr auf Subnetzebene zu filtern. Sie enthalten außerdem Informationen über Kommunikationsports, über die der Datentransfer zulässig ist. Diese Ports (oder in einigen Fällen werden die Protokolle, die offene Ports in den Sicherheitsregeln benötigen) in den Architekturdiagrammen auf jeder Sicherheitsregelzeile angezeigt.

Jede Sicherheitsliste wird auf Instanzebene durchgesetzt. Wenn Sie jedoch die Sicherheitslisten auf Subnetzebene konfigurieren, werden alle Instanzen in einem bestimmten Subnetz denselben Regeln unterliegen. Mit jedem Subnetz können mehrere Sicherheitslisten verknüpft sein. Jede Liste kann mehrere Regeln aufweisen. Die Übertragung eines Datenpakets ist zulässig, wenn eine Regel in einer der Listen Datenverkehr zulässt (oder wenn der Datenverkehr Teil einer vorhandenen Verbindung ist, die überwacht wird). Zusätzlich zu Sicherheitslisten verwenden Sie iptables, um eine weitere Sicherheitsschicht auf Instanzebene zu implementieren.

Für Deployments in einem öffentlichen Subnetz können Sie eine zusätzliche Sicherheitsebene bieten, indem Sie den Zugriff auf die Anwendungs- und Datenbankinstanzen aus dem Internet verhindern. Verwenden Sie eine benutzerdefinierte Sicherheitsliste, um den Zugriff auf die Anwendungs- und Datenbankinstanzen aus dem Internet zu verhindern und den Zugriff auf die Datenbank- und Anwendungshosts über Port 22 aus dem Bastion-Host zu Administrationszwecken zu ermöglichen. Aktivieren Sie den SSH-Zugriff auf die Anwendung und die Datenbankinstanzen aus dem Internet nicht, aber Sie können SSH-Zugriff auf diese Instanzen über das Subnetz zulassen, das den Bastion-Host enthält.

Sie können über den Bastion-Server auf Ihre Instanzen im privaten Subnetz zugreifen.

Bei der Architektur mehrerer Availability-Domains verwenden Sie über die Subnetze in allen Availability-Domains hinweg dieselbe Sicherheitsliste.

Sicherheitsliste für den Bastion-Host

Mit der Bastion-Sicherheitsliste kann der Bastion-Host von dem öffentlichen Internet über Port 22 zugänglich sein.

  • So lassen Sie SSH-Datenverkehr vom On-Premise-Netzwerk zum Bastion-Host über Internet zu:

    Stateful ingress: TCP-Verkehr von C0.0IDR.0/0 und allen Quell-Ports zu Ziel-Port 22 (SSH) zulassen.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    Sie können auch den Bastion-Host auf das Internet auf Port 22 über Ihr Data Center anstatt über das öffentliche Internet (0.0.0.0/0) einschränken. Um dies zu erreichen, verwenden Sie die Edge-Router-IP anstelle der Quell-CIDR als 0.0.0/0 in der zustandsbehafteten Ingress-Regel.

  • So lassen Sie SSH-Datenverkehr vom Bastion-Host zu Oracle Cloud Infrastructure Compute-Instanzen zu:

    Stateful egress: Gewährt TCP-Verkehr zu C0.0IDR.0/0 von allen Quell-Ports zu allen Ziel-Ports.

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Sicherheitsliste für die Load Balancer-Tier

Die Architekturdiagramme zeigen private Load Balancer an, die in privaten Subnetzen platziert werden. Wenn Sie die Load Balancer-Instanzen in einem öffentlichen Subnetz ablegen, erlauben Sie den Datenverkehr vom Internet (0.0.0.0/0) auf die Load Balancer-Instanzen.

  • So lassen Sie Datenverkehr vom Internet zum Load Balancer zu:

    Stateful ingress: TCP-Verkehr von CIDR (Internet) 0.0.0.0/0 und allen Quell-Ports zu Ziel-Port 8000/8448 (HTTP) oder 443 (HTTPS) zulassen.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • So lassen Sie Datenverkehr vom On-Premise-Netzwerk zum Load Balancer zu:

    Stateful ingress: TCP-Datenverkehr aus dem On-Premise-Netzwerk-CIDR-Block und allen Quell-Ports an den Ziel-Port 8000/8448 (HTTP) oder 443 (HTTPS) zulassen.

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • So lassen Sie Datenverkehr von den Load Balancer-Tiers zu den Application Tiers zu:

    Stateful egress: TCP-Verkehr auf Ziel C0.0IDR.0/0 von allen Quell-Ports zu Ziel-Port 8000/8448 (HTTP) zulassen.

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

Sicherheitsliste für die Application Tier

  • So lassen Sie den Datenverkehr vom Bastion-Host zur Application Tier zu:

    Stateful ingress: TCP-Verkehr von CIDR-Quellblock des Bastion-Hosts auf TCP zu Ziel-Port 22 zulassen.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • So lassen Sie den Datenverkehr vom Load Balancer-Subnetz zum Webserver-Subnetz auf der Anwendungsebene zu:

    Stateful ingress: TCP-Verkehr von CIDR-Quellblock der Load Balancer-Tiers an Ziel-Port 8000 oder 8443 zulassen.

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000 oder 8443

  • So lassen Sie den Datenverkehr vom Subnetz des Webservers zum Subnetz des Anwendungsservers zu:

    Stateful ingress: TCP-Verkehr von CIDR-Quellblöcken der PeopleSoft-Webserver zu Ziel-Ports 9033 bis 9039 zulassen.

    Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 9033 in 9039

  • So lassen Sie den Datenverkehr vom Subnetz des Webservers zu ElasticSearch-Servern zu:

    Stateful egress: TCP-Verkehr von CIDR-Quellblöcken der Webserver auf Ziel-Port 9200 zulassen.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • So lassen Sie Datenverkehr von ElasticSearch-Servern zu Process Scheduler-Servern zu:

    Stateful egress: TCP-Verkehr von CIDR-Quellblöcken der Webserver auf Ziel-Port 3389 zulassen.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • So lassen Sie den Datenverkehr vom Subnetz des Anwendungsservers zum PeopleTools-Client zu:

    Stateful egress: TCP-Verkehr von CIDR-Quellblöcken von PeopleTools-Client-Subnetz zu Ziel-Port 3389 zulassen.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • So lassen Sie den Datenverkehr von der Application Tier zur Database Tier zu:

    Stateful egress: CIDR-Blöcke der TCP-Datenverkehrsquelle des Application Server-Subnetzes an Ziel-Port 1521 zulassen.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Sicherheitsliste für den PeopleTools-Client

Der PeopleTools-Client verwendet das Windows-Betriebssystem, sodass Sie RDP zu dieser Instanz erstellen müssen.

  • So lassen Sie den Datenverkehr vom Bastion-Host zum PeopleTools-Client zu:

    Stateful ingress: TCP-Verkehr von CIDR-Quellblöcken des Bastion-Hosts auf TCP zu Ziel-Port 3389 mit RDP zulassen.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • So lassen Sie den Datenverkehr vom PeopleTools-Client zum Datenbankserver-Subnetz zu:

    Stateful egress: TCP-Verkehr von CIDR-Quellblöcken von PeopleTools-Client-Subnetz zu Ziel-Port 1521 zulassen.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Sicherheitsliste für die Database Tier

  • So lassen Sie den Datenverkehr vom Bastion-Host zur Datenbankebene zu:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • So lassen Sie Datenverkehr von den Application Tiers zur Database Tier zu:

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • So lassen Sie den Datenverkehr von der Database Tier zur Application Tier zu:

    Stateful egress: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • So lassen Sie ein Backup der Datenbank in Oracle Cloud Infrastructure Object Storage zu:

    Stateful egress:  Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Für die Architektur mehrerer Availability-Domains: So lassen Sie den Datenverkehr zwischen den Datenbankebenen für alle Availability-Domains für Oracle Active Data Guard zu:

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Für das Oracle Database Exadata Cloud Service-System-Provisioning sind die folgenden zusätzlichen Regeln erforderlich:

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Stateful egress: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Stateful egress: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All