Oracle PeopleSoft Suite mit Fortinet Security Fabric sichern
Fortinet stellt eine Cloud-Sicherheitslösung der Enterprise-Klasse bereit, die Fortinet Security Fabric mit nativer Integration mit Oracle Cloud Infrastructure erweitert, um Anwendungen über On-Premise-Data Center und Cloudumgebungen zu schützen. Sie bietet eine skalierbare Performance und bietet erweiterte Sicherheitsorchestrierung und einheitlichen Schutz.
Unternehmen, die ihre Peoplesoft-Workloads von On Premise zu Oracle Cloud Infrastructure verschieben oder erweitern, können Fortinet Security Fabric-Cloud-Lösung auswählen, um ihre Data Center-Netzwerke zu verbinden und zu erweitern und ihre Workloads über die nativen Oracle Cloud-Sicherheitsoptionen hinaus zu schützen, ohne dass umfangreiche Konfigurations-, Integrations- oder Geschäftsprozessänderungen erforderlich sind.
Diese Referenzarchitektur stellt Empfehlungen für das Netzwerk- und Sicherheitsdesign für Organisationen bereit, die zur Erweiterung der Standard-Oracle PeopleSoft-Anwendungsreferenzarchitektur, Implementierung der Fortinet Security Fabric-Lösung in einer hochverfügbaren Konfiguration zur Bereitstellung von Failover-Schutz interessiert sind.
Architektur
Die Hub-Spoke-Topologie ist ein herkömmliches Netzwerkmuster, das ein zentrales Netzwerk (den Hub) mit mehreren gerichteten Netzwerken (den Spokes) verbindet. Der Verkehr zwischen diesen Netzwerken durchläuft eine hochverfügbare FortiGate next-generation-Firewall und bietet einen zentralisierten Speicherort, um Sicherheits- und Datenverkehrsprüfungen durchzusetzen. Das virtuelle Hub-Cloud-Netzwerk (VCN) ist der zentrale Konnektivitätspunkt für den Datenverkehr North-South und East-West. Jede Stufe der PeopleSoft-Architektur wird in einem eigenen Spoke VCN bereitgestellt, sodass die Mikrosegmentierung mit mehr Schutzebenen ermöglicht wird, weil jede Paketverschiebung zwischen verschiedenen Tiers untersucht und gesichert ist.
Diese Architektur kann ein hochskalierbares und modulares Design für die Verbindung mehrerer Spokes bereitstellen, wobei jedes Spoke-Netzwerk die Tier einer Anwendung (wie Web, Anwendung und Datenbank) darstellt. Sie funktioniert in einer bestimmten Umgebung, wie Produktion, Test und Entwicklungsumgebung und in verschiedenen Infrastrukturen, wie Regionen, On-Premise-Data Center und Multi-Cloud.
FortiAnalyzer und FortiManager sind optionale Komponenten, die Sie in demselben Subnet von FortiGate bereitstellen können. FortiADC bietet Load Balancing Services und leitet Anforderungen an PeopleSoft Web Tier weiter.
Das folgende Diagramm veranschaulicht diese Referenzarchitektur.
Beschreibung der Abbildung Architect-peoplesoft-fortinet-oci.png
Hub-Spoke-Topologie kann über die folgenden Szenarios implementiert werden:
- Verwenden des Transit-Routings mit lokalen Peering-Gateways (LPG) zur Verbindung von Spoke-VCNs mit dem Hub-VCN.
- Jedem Spoke VCN einzeln eine virtuelle FortiGate-Netzwerkschnittstellenkarte (VNIC) zuordnen.
Für das Szenario des VNIC-Anhangs muss jede Spoke-VCN über eine Weiterleitungsregel verfügen, um den gesamten Datenverkehr an die private IP-Adresse der FortiGate VNIC weiterzuleiten, die an den Spoke VCN angehängt ist.
Für das LPG-Szenario muss jede Spoke-VCN über eine Weiterleitungsregel verfügen, um den gesamten Datenverkehr an den LPG weiterzuleiten. In LPG sollte eine weitere Routingregel vorhanden sein, die den Datenverkehr an die nicht vertrauenswürdige IP-Adresse oder die unverankerte IP-Adresse von FortiGate weiterleitet, die an den Hub VCN angehängt ist.
Beachten Sie, dass FortiGate keinen Datenverkehr innerhalb jeder VCN (Ziel-IP innerhalb des VCN CIDR-Bereichs) untersuchen darf, da Oracle Cloud Infrastructure automatisch alle Pakete, die für die VCN selbst bestimmt sind, an die Ziel-IP direkt über das interne Standard-Gateway des Oracle Cloud-Subnetzes weiterleitet.
Nord - Süddatenverkehr
Eingehender Datenverkehr, der aus dem Internet oder aus einem On-Premise-Netzwerk eine Verbindung zu einer öffentlichen IP-Adresse herstellt, die auf der nicht vertrauenswürdigen oder wandsSchnittstelle der FortiGate-Firewall gehostet wird. Die öffentliche IP-Adresse (reserviert oder flüchtig) ist eine von Oracle verwaltete NAT-IP-Adresse, die mit einer sekundären privaten IP-Adresse innerhalb des nicht vertrauenswürdigen Subnetzes in Oracle Cloud Infrastructure verknüpft ist. Die sekundäre private IP-Adresse (unverankerte IP) wird der nicht vertrauenswürdigen Schnittstelle in FortiGate statisch zugewiesen. Wenn ein Failover auftritt, wird die unverankerte IP zusammen mit der öffentlichen IP-Adresse auf einen anderen Host verschoben.
Nach der Paketprüfung verlässt der eingehende Datenverkehr FortiGate über die Trust-Schnittstelle. Die Zieladresse ist die virtuelle FortiADC-IP-Adresse, die in der Application Tier Spoke VCN bereitgestellt wird. FortiADC gleicht den Traffic zwischen den aktiven PeopleSoft-Anwendungsservern basierend auf Load Balancer-Policys aus. Da sich dieser Datenverkehr innerhalb von VCN befindet, wird das Paket direkt an den Zielhost weitergeleitet. Der Ingress-Traffic läuft in folgendem Muster:
- FortiGate-Hub VCN: Von der nicht vertrauenswürdigen VNIC von FortiGate zur vertrauenswürdigen VNIC von FortiGate zu dem Standardgateway des Oracle Cloud Infrastructure-Trust Subnetzes in LPG im Trust-Subnetz zur Application Tier.
- Application Tier Spoke VCN: Vom LPG im Application-Tier-Subnetz zum Standardgateway des Oracle Cloud Infrastructure FortiADC Subnetzes zur FortiADC VNIC für die PeopleSoft-Webserver.
Bei mehreren Umgebungen, die durch dieselbe Firewall untersucht werden, können Sie mehrere sekundäre IP-Adressen sowohl für nicht vertrauenswürdige als auch für Trust-Schnittstellen (VNICs) zuweisen. Jede private IP-Adresse muss als Quelladresse verwendet werden, die einer bestimmten Zielanwendung oder einer Umgebung in Ihren Firewall-Policys zugeordnet werden kann. Alternativ können Sie eine Ziel-NAT-Policy mit Port-Weiterleitung in FortiGate einrichten, die auf unterschiedliche virtuelle IPs oder Ports verweist, die jede einzelne Zielanwendung oder Umgebung darstellen können.
North-South Outbound-Verkehr
Ausgehender Datenverkehr vom FortiGate-Hub VCN wird über das Internetgateway weitergeleitet.
Der ausgehende Datenverkehr von Spoke-VCNs zu einem beliebigen Ziel wird von dem Spoke VCN LPG zu dem Peer-PLPG in der Hub-VCN weitergeleitet. Sobald das Paket die Hub-VCN erreicht, leitet die mit LPG verknüpfte Route den Datenverkehr an die unverankerte FortiGate-IP in der Trust-Schnittstelle weiter. Von dort leitet FortiGate nach der Prüfung das Paket an das Standard-Gateway des nicht vertrauenswürdigen Subnetzes weiter. Basierend auf der Routingtabelle des vertrauenswürdigen Subnetzes wird sie über das Internetgateway in das Internet oder On Premise verschoben.
East-West Traffic
Oracle empfiehlt die Segmentierung von Netzwerken auf VCN-Ebene anstelle der Subnetzebene, um den East-Westdatenverkehr zu prüfen, weil der gesamte Datenverkehr innerhalb des VCN CIDR-Blocks automatisch über das interne Oracle Cloud Infrastructure-Subnetzstandardgateway weitergeleitet wird und diese Route nicht überschrieben werden kann.
East-West-Verkehr von einem Spoke VCN wird von dem Spoke VCN LPG zu dem PeerLPG in der Hub-VCN und anschließend an die unverankerte FortiGate-IP in der Trust-Schnittstelle weitergeleitet. FortiGate prüft den eingehenden Datenverkehr und legt basierend auf den FortiGate-Firewall die Zieladresse auf den Zielhost in der Spoke-VCN oder zurück auf den Quellhost fest, der das Paket gesendet hat. Der Datenverkehr verlässt FortiGate über die Trust-Schnittstelle und wird über das Standardgateway im Trust-Subnetz gesendet, das das Paket an die LPG in die Spoke-Zieldatenbank oder die VCN-Anwendung weiterleitet.
Die Architektur umfasst die folgenden Komponenten:
- Fortinet FortiGate Next-Generation Firewall
Stellt Netzwerk- und Sicherheitsservices bereit, wie Bedrohungsschutz, SSL-Inspektion und ultra-low-Latenz für den Schutz von internen Segmenten und geschäftskritischen Umgebungen. Sie unterstützt direkte Single Root-I/O-Virtualisierung (SR-IOV) für eine verbesserte Performance. FortiGate kann direkt aus Oracle Cloud Marketplace bereitgestellt werden.
- Fortinet FortiAnalyzer
Liefert datengesteuerte Unternehmenssicherheitseinblicke mit zentralisiertem Netzwerk-Logging, Analysen und Reporting.
- Fortinet FortiManager
Stellt Einfaserverwaltung über das Netzwerk bereit und bietet Echtzeit- und historische Ansichten für Netzwerkaktivitäten.
- Fortinet FortiADC
Gleicht Datenverkehr für mehrere geografische Regionen aus. Der Content wird basierend auf dem Policy-Routing dynamisch neu geschrieben, um das Load Balancing von Anwendungen und Servern sicherzustellen. FortiADC verarbeitet außerdem Komprimierungs-, Caching-, HTTP 2.0 - und HTTP PageSpeed-Optimierungen.
- PeopleSoft-Webebene
Verfassen des FortiADC Load Balancers, PeopleSoft-Webservers und der ElasticSearch-Server.
- PeopleSoft-Anwendungsebene
Verfassen von PeopleSoft-Anwendungsservern und PeopleSoft Process Scheduler-Servern.
- PeopleSoft-Datenbank-Tier
Verfassen von Oracle Database, jedoch nicht auf Oracle Exadata-Datenbank- oder Oracle Database-Services beschränkt.
- PeopleTools-Client-Tier
Der PeopleTools-Client für Administrationsaktivitäten wie Entwicklung, Migration und Upgrade.
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center enthält, die als Availability-Domains bezeichnet werden. Regionen sind unabhängig von anderen Regionen, und größte Distanzen können diese voneinander trennen (über Länder oder sogar Kontinente).
- Availability-Domains
Availability-Domains sind eigenständige, unabhängige Data Center in einer Region. Die physischen Ressourcen in jeder Availability-Domain werden von den Ressourcen in den anderen Availability-Domains isoliert, wodurch Fehlertoleranz ermöglicht wird. Availability-Domains verwenden keine Infrastruktur, wie z. B. Stromversorgung oder Kühlung, oder das interne Availability-Domainnetzwerk. Somit ist es unwahrscheinlich, dass sich ein Fehler in einer Availability-Domain auf die anderen Availability-Domains in der Region auswirkt.
- Faultdomains
Eine Faultdomain ist eine Gruppierung von Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain verfügt über drei Faultdomains mit unabhängiger Leistung und Hardware. Wenn Sie Ressourcen über mehrere Faultdomains verteilen, können Ihre Anwendungen physikalische Serverfehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.
- Virtuelles Cloud-Netzwerk (VCN) und Subnetze
Ein VCN ist ein anpassbares, privates Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region eingerichtet haben. Wie bei herkömmlichen Data Center-Netzwerken haben VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Sie können VCNs in Subnetze segmentieren, die einer Region oder einer Availability-Domain zugeordnet werden können. Sowohl regionale Subnetze als auch domainspezifische Subnetze können in derselben VCN vorhanden sein. Ein Subnetz kann öffentlich oder privat sein.
- Hub VCN
Ein zentrales Netzwerk, in dem FortiGate bereitgestellt werden muss. Sie kann Verbindungen zu allen Spoke-VCNs, Oracle Cloud Infrastructure-Services, öffentlichen Endpunkten und Clients und On-Premise-Data-Center-Netzwerken bereitstellen. Sie besteht normalerweise aus den folgenden vier Subnetzen:
- Managementsubnetz
Öffentliches Subnetz, in dem die primäre VNIC für FortiGate angehängt ist. Er ist für Vorgänge auf FortiGate Control Plane und allgemeine Managementaktivitäten verantwortlich.
- Nicht vertrauenswürdiges Subnetz
Öffentliches Subnetz mit FortiGate VNIC-Anhang. Sie dient als Gateway/Endpunkt für Ingress-Traffic aus dem Internet oder aus einem On-Premise-Data Center.
- Trust-Subnetz
Privates Subnetz, das den FortiGate VNIC-Anhang enthält. Er leitet den Datenverkehr an die LPG weiter, die an den Hub VCN angeschlossen ist, und an die ordnungsgemäße Spoke-VCN. Er muss auch Ingress-Pakete von Spoke-VCNs empfangen.
- HA-Subnetz
Privates Subnetz, das den FortiGate VNIC-Anhang enthält. Er ist für Heartbeat-/HA-Datenverkehr dediziert.
- Managementsubnetz
- Web Tier Spoke VCN
Ein privates Subnetz der PeopleSoft-Web-Tier, das aus FortiADC Load Balancer Setup im HA-Modus, PeopleSoft-Webservern und PeopleSoft elastic-Suchservern besteht.
- Application Tier Spoke VCN
Ein privates Subnetz für die Hosts des Anwendungsservers und die Hosts des PeopleSoft-Tools.
- Database Tier Spoke VCN
Ein privates Subnetz für das Hosting von Oracle-Datenbanken.
- Routentabellen
Virtuelle Routentabellen für VCN. Sie verfügen über Routingregeln, um Datenverkehr von Subnetzen zu Zielen außerhalb von VCN zu leiten, z. B. an das Internet, an ein On-Premise-Netzwerk oder ein Peer-VCN. Jede VCN wird automatisch mit einer Standardroutingtabelle geliefert, die keine Regeln enthält.
- Internetgateway oder NAT-Gateway
FortiGate verwendet ein Internetgateway oder ein NAT-Gateway zur Kommunikation mit externen öffentlichen Endpunkten. FortiGate erfordert mindestens ein bereitgestelltes NAT-Gateway für den Zugriff auf Fortinet-Lizenzserver, falls ein Internetgateway aufgrund einer FastConnect-Verbindung nicht erforderlich ist.
- Lokales Peering-Gateway
Das lokale Peering-Gateway (LPG) ist die Komponente in einer VCN, die für das Routing des Datenverkehrs an ein lokal gestelltes VCN innerhalb derselben Oracle Cloud Infrastructure-Region verantwortlich ist. Für jeden Hub und Spoke VCN wurde LPG bereitgestellt. Es gibt maximal 10 LPG-Anhänge pro VCN.
- Servicegateway
Ein Servicegateway ist für die Kommunikation mit Oracle-Services wie Infrastruktur, PaaS oder SaaS über das Hub-VCN oder das On-Premise-Netzwerk erforderlich.
- Dynamisches Routinggateway
Das dynamische Routinggateway (DRG) ist ein virtueller Router, der einen Pfad für privaten Datenverkehr zwischen VCNs und Netzwerken außerhalb der VCN-Region bereitstellt.
- Virtuelle Netzwerkkarten (VNICs)
Die Services in Oracle Cloud Infrastructure-Data Centern haben physische Netzwerkkarten (NICs). Instanzen von virtuellen Rechnern kommunizieren mit virtuellen NICs (VNICs), die mit den physischen NICs verknüpft sind. Jede Instanz verfügt über eine primäre VNIC, die beim Start automatisch erstellt und angehängt wird und während der Gültigkeitsdauer der Instanz verfügbar ist. DHCP wird nur der primären VNIC angeboten. Sie können sekundäre VNICs nach dem Starten der Instanz hinzufügen, und statische IPs müssen für jede Schnittstelle eingerichtet werden.
- Private IP-Adressen
Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz. Jede VNIC verfügt über eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse einer Instanz wird beim Starten der Instanz angehängt und ändert sich während der Gültigkeitsdauer der Instanz nicht. Sekundäre IPs müssen ebenfalls zum selben CIDR des VNIC-Subnetzes gehören. Die sekundäre IP wird als unverankerte IP verwendet, weil sie zwischen verschiedenen VNICs auf verschiedenen Instanzen innerhalb desselben Subnetzes verschoben werden kann. Sie können sie auch als einen anderen Endpunkt verwenden, um verschiedene Services zu hosten.
- Öffentliche IP-Adressen
Die Networking-Services definieren eine öffentliche IPv4-Adresse, die von Oracle ausgewählt wurde und einer privaten IP zugeordnet ist.
- Flüchtig: Diese Adresse ist temporär und ist für die Lebensdauer der Instanz vorhanden
- Reserviert: Diese Adresse ist persistent und liegt über der Lebensdauer der Instanz. Sie kann nicht zugewiesen und einer anderen Instanz zugewiesen werden.
- Quell- und Zielprüfung
Jede VNIC führt die Quell- und Zielprüfung am Netzwerkverkehr durch. Durch Deaktivierung dieses Kennzeichens kann FortiGate Netzwerkverkehr bearbeiten, der nicht für die Firewall als Ziel definiert ist.
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, mit denen Quelle, Ziel und Typ des Traffics angegeben werden, die in und aus dem Subnetz zugelassen werden müssen.
- Rechenleistungseinheit
In Compute gibt die Form die Anzahl der CPUs und den Speicherplatz an, der der Instanz zugewiesen ist. Die Rechenleistungseinheit bestimmt auch die Anzahl der VNICs und die maximale Bandbreite, die für die Compute-Instanz verfügbar ist.
Empfehlungen
Ihre Anforderungen können von der hier beschriebenen Architektur abweichen. Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt.
- PeopleSoft High Availability
- Aktive Serverredundanz für jede PeopleSoft-Tier
Jede Tier enthält redundante Instanzen der PeopleSoft-Anwendungsserver, PeopleSoft-Webserver, ElasticSearch-Server und PeopleSoft Process Scheduler, um High Availability bereitzustellen.
- Fehlertoleranz
Die Fehlertoleranz wird erreicht, indem die Server (Knoten) in jeder Tier in verschiedenen Availability-Domains in Regionen mit mehreren ADs bereitgestellt werden. In einzelnen AD-Regionen stellen Sie Serverknoten in verschiedenen Faultdomains bereit. Alle PeopleSoft-Instanzen sind aktiv und empfangen Datenverkehr vom Load Balancer
- Redundanz in der Database Tier mit RAC-Datenbank
Diese Tier enthält Datenbanksysteminstanzen. Für Performance- und HA-Anforderungen empfiehlt Oracle die Verwendung von Oracle Real Application Clusters -(RAC-)Datenbanksystemen mit zwei Knoten oder Oracle Database Exadata Cloud Service in Oracle Cloud Infrastructure.
- Aktive Serverredundanz für jede PeopleSoft-Tier
- FortiGate High Availability
Um die Sessionreplikation zu verwalten und die Kommunikation wiederaufzunehmen, wenn sie unterbrochen wird, stellen Sie FortiGate im Aktiv-Passiv-High Availability-Modus bereit, und deaktivieren Sie die Quell- und Zielprüfung auf den sekundären VNICs für Trust- und nicht vertrauenswürdige Schnittstellen. Erstellen Sie eine dedizierte Schnittstelle und ein Subnetz für High Availability- oder Heartbeat-Verkehr.
Sekundäre IPs werden während des Failover-Ereignisses verwendet. FortiGate nimmt Aufrufe an Oracle Cloud-APIs vor, um diese IPs von dem primären in den sekundären FortiGate-Host zu verschieben.
- FortiADC High Availability
Stellen Sie FortiADC im Active-Active-VRRP HA-Modus bereit, der auf dem Konzept von VRRP, aber nicht auf dem VRRP-Protokoll selbst basiert. Dieser Modus ermöglicht Konfigurationssynchronisierung und Sessionsynchronisierung, ähnlich wie bei anderen HA-Modi. Aktivieren Sie die Prüfung auf Quelle/Ziel überspringen auf den sekundären VNICs für die interne Schnittstelle.
- VCN
Legen Sie beim Erstellen des VCN fest, wie viele IP-Adressen Ihre Cloud-Ressourcen in jedem Subnetz benötigen. Geben Sie mit der Classless Inter-Domain Routing-(CIDR-)Notation eine Subnetzmaske und einen Netzwerkadressenbereich an, der für die erforderlichen IP-Adressen groß genug ist. Verwenden Sie einen Adressbereich, der innerhalb des standardmäßigen privaten IP-Adressraums liegt.
Wählen Sie einen Adressbereich aus, der sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder in einem anderen Cloud-Provider) überschneidet, auf das Sie private Verbindungen einrichten möchten.
Nachdem Sie ein VCN erstellt haben, können Sie dessen Adressbereich nicht mehr ändern.
Wenn Sie die Subnetze entwerfen, berücksichtigen Sie den Verkehrsfluss und die Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Stufe oder Rolle an dasselbe Subnetz an, das als Sicherheitsbegrenzung dienen kann.
- Sicherheitslisten
Sicherheitslisten dienen als virtuelle Firewall zur Kontrolle des Datenverkehrs auf Paketebene innerhalb des Netzwerks. Der Datenverkehr ist nur zulässig, wenn eine Regel in einer der Listen den Datenverkehr zulässt. Standardmäßig sind Sicherheitsregeln zustandsbehaftet, d.h. es handelt sich um ein Verfahren, mit dem angegeben wird, dass Sie das Verbindungs-Tracking verwenden möchten, das dieser Regel entspricht. Daher wird die Antwort des Datenverkehrs verfolgt und automatisch an den ursprünglichen Host zurückgegeben, unabhängig von den Egress-Regeln.
Da der gesamte Datenverkehr von der FortiGate Next-Gen Firewall untersucht wird, müssen Sie keine strengen Regeln über die Sicherheitslisten durchsetzen. Sie können irgendwann als zweite Schutzebene verwendet werden, dies ist jedoch nicht erforderlich. Nur zur Verwaltung der FortiGate-Konfiguration erstellen Sie eine Sicherheitsliste, um SSH- und HTTPS-Verkehr oder zusätzlichen Service zuzulassen, die möglicherweise erforderlich sind. Für den gesamten verbleibenden Datenverkehr über die Hub- und Spoke-VCNs, die durch die Firewall geleitet werden, müssen Sie die Standardsicherheitslisten ändern, um Ingress- und Egress-Traffic für alle Ports/Protokolle zu ermöglichen.
- FortiGate Firewall-Policys
Eine Firewall-Policy ist eine vergleichbare Gruppe von Anweisungen, die den Verkehrswert über die Firewall steuern. Diese Anweisungen kontrollieren, wo der Verkehr geht, wie er verarbeitet wird, sofern er verarbeitet wird und ob er für die Weiterleitung durch FortiGate zulässig ist. Wenn die Firewall ein Verbindungspaket empfängt, analysiert sie die Quelladresse, die Zieladresse und den Service des Pakets nach Portnummer. Außerdem wird die eingehende und ausgehende Schnittstelle registriert. Außerdem ist eine Aktion mit der Policy verknüpft: "Akzeptieren " oder "Ablehnen". Wenn die Aktion akzeptiert wird, lässt die Policy Kommunikationssessions zu. Andernfalls blockiert die Policy-Aktion Kommunikationssessions.
PeopleSoft erfordert, dass Policys mit den folgenden Ports und dem folgenden Protokoll geöffnet sind:
Stufe Komponente Protokoll Port Web-Tier Webserver TCP/HTTPS 443 (PIA) Web-Tier Webserver TCP 22 (SSH) Web-Tier Elasticsearch TCP 9200 Application Tier JSL TCP 9033-9040 Database Tier TNSListener TCP 1521-1522 Client-Tier PeopleTools-Client-VM TCP/UDP 10200-10205 Bei East-Westdatenverkehr beachten Sie das folgende Verkehrsmuster:
Verkehrsfluss Komponentenname Protokoll/Port Web Tier und Application Tier JSL TCP/443 App-Tier und Datenbankebene TNSListener TCP/1521-1522 Client-Tier und Web-Tier SSH TCP/22 Client-Tier und App-Tier SSH TCP/22 Client-Tier und App-Tier JOTL/JSL TCP/9033-9040 Client-Tier und Datenbankebene TCP TCP/1521-1522 Beispiel: Sie können Policys in der vertrauenswürdigen FortiGate-Oberfläche erstellen, um Datenverkehr zwischen Web- und Application Tiers und zwischen Anwendungs- und Database Tiers zu ermöglichen.
Sie können auch eine Policy mit Ziel-NAT erstellen, die auf eine virtuelle IP-Adresse verweist, um den Zugriff auf PeopleSoft Suite von bestimmten Quell-IP-Adressen oder Netzwerken zu ermöglichen oder einzuschränken.
- Statische Routen-Policys für FortiGate
Erstellen Sie eine statische Route auf FortiGate für jeden Spoke VCN (Zieladresse/Netzwerk), und setzen Sie Gateway-IP auf die Standard-Gateway-Adresse des Trust-Subnetzes (erste Host-IP-Adresse im CIDR des Trust-Subnetzes).
Bei einer ausgehenden Verbindung erstellen Sie eine statische Route in FortiGate für ausgehenden Datenverkehr und setzen Gateway-IP auf die Standard-Gateway-Adresse des nicht vertrauenswürdigen Subnetzes (erste Host-IP-Adresse in CIDR des nicht vertrauenswürdigen Subnetzes).
- Oracle Cloud Infrastructure VCN-Routingtabellen
Die folgenden Routentabellen müssen für die Verkehrsprüfung North-South und East-West erstellt werden.
VCN Name Ziel Zieltyp Ziel Standardroutentabelle für Subnetz FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 Internetgateway <FortiGate VCN Internetgateway> nicht vertrauenswürdiges Management FortiGate FortiGate_Trust-route_table <Web_Tier VCN CIDR> Lokales Peering-Gateway <LPG-Web_Tier> NICHT ZUTREFFEND FortiGate FortiGate_Trust-route_table <Application_Tier VCN CIDR> Lokales Peering-Gateway <LPG-Application_Tier> NICHT ZUTREFFEND FortiGate FortiGate_Trust-route_table <DB_Tier VCN CIDR> Lokales Peering-Gateway <LPG-DB_Tier> NICHT ZUTREFFEND FortiGate FortiGate_Trust-route_table <Client_Tier VCN CIDR> Lokales Peering-Gateway <LPG-Client_Tier> NICHT ZUTREFFEND FortiGate LPG-route_table 0.0.0.0/0 Privates IP <FortiGate Trust VNIC Private IP (unverankerte IP)> NICHT ZUTREFFEND Web_Tier Standardroutentabelle 0.0.0.0/0 NICHT ZUTREFFEND <LPG-Web_Tier-zuHub> NICHT ZUTREFFEND Application_Tier Standardroutentabelle 0.0.0.0/0 NICHT ZUTREFFEND <LPG-Application_Tier-zuHub> NICHT ZUTREFFEND DB_Tier Standardroutentabelle 0.0.0.0/0 NICHT ZUTREFFEND <LPG-DB_Tier-zuHub> NICHT ZUTREFFEND Client_Tier Standardroutentabelle 0.0.0.0/0 NICHT ZUTREFFEND <LPG-Client_Tier-zuHub> NICHT ZUTREFFEND - Lokale VCN Peering-Gateways von Oracle Cloud Infrastructure
Folgende LPGs müssen erstellt werden, um die North-Süd- und East-West-Kommunikation zu ermöglichen
- FortiGate VCN LPG-Setup
Name Route-Tabelle Von Peer veröffentlichtes CIDR Mandantenübergreifend LPG-Web-Tier LPG-route_table <Web_Tier VCN CIDR> Nein LPG-Application-Tier LPG-route_table <Application_Tier VCN CIDR> Nein LPG-DB-Tier LPG-route_table <DB_Tier VCN CIDR> Nein LPG-Client-Tier LPG-route_table <Client_Tier VCN CIDR> Nein - Setup von Web-Tier-VCN LPG
Name Route-Tabelle Von Peer veröffentlichtes CIDR Mandantenübergreifend LPG-Web-Tier-to-Hub NICHT ZUTREFFEND 0.0.0.0/0 Nein - VCN LPG-Setup der Anwendungsebene
Name Route-Tabelle Von Peer veröffentlichtes CIDR Mandantenübergreifend LPG-Application-Tier-to-Hub NICHT ZUTREFFEND 0.0.0.0/0 Nein - VCN LPG-Setup der Datenbankebene
Name Route-Tabelle Von Peer veröffentlichtes CIDR Mandantenübergreifend LPG-DB-Tier-to-Hub NICHT ZUTREFFEND 0.0.0.0/0 Nein - VCN LPG-Setup auf Client-Ebene
Name Route-Tabelle Von Peer veröffentlichtes CIDR Mandantenübergreifend LPG-Client-Tier-to-Hub NICHT ZUTREFFEND 0.0.0.0/0 Nein
- FortiGate VCN LPG-Setup
- FortiADC Server Load Balancing
FortiADC muss innerhalb derselben VCN bereitgestellt werden wie die Application Tier im HA-Modus. Erstellen Sie das persistente Sessioncookie (Schicht 4) in FortiADC, um den Datenverkehr zwischen den Application-Tier-Hosts zu verteilen.
FortiADC muss den Sessionzustand mit HTTP-Headern und Cookies verwenden, um sicherzustellen, dass Benutzer und Server persistent bleiben. Daher sollten Sie einen Persistenztyp “Cookie einfügen” auf FortiADC erstellen, um ein Cookie im HTTP-Header einzufügen, um sicherzustellen, dass Benutzer weiter an den spezifischen PeopleSoft-Webserverhost weitergeleitet werden, auf dem die Sessionzustandsinformationen gespeichert sind.
Wichtige Aspekte
- Performance
FortiGate ist eine Schlüsselkomponente in dieser Architektur, und die Auswahl der FortiGate-Modelle, Rechenleistungseinheiten und Startoptionen wirkt sich auf die Performance der Workload aus. Prüfen Sie die Liste der Modelle mit den entsprechenden Spezifikationen im FortiGate-Datenblatt.
- Sicherheit
FortiGate verwendet OCI IAM - Dynamische Gruppen oder API-Signaturschlüssel, um API-Aufrufe bei Failover auszuführen. Richten Sie Policys basierend auf den Sicherheits-/Complianceanforderungen ein.
- Verfügbarkeit
Um eine höhere Verfügbarkeit zu gewährleisten, wenn mehrere Availability-Domains in der Region vorhanden sind, stellen Sie jeden Host des Clusters auf einer anderen AD bereit. Sonst wählen Sie unterschiedliche Faultdomains, um die Verfügbarkeit basierend auf den Anti-Affinitätsregeln zu erhöhen. Diese Regel ist sowohl für Fortinet - als auch für Oracle-Produkte gültig.
- Kostenfaktor
Fortinet, FortiGate und FortiADC sind in Oracle Cloud Infrastructure Marketplace verfügbar.
Fortinet FortiGate ist als BYOL - oder kostenpflichtiges Angebot verfügbar.
Fortinet FortiADC ist nur als BYOL verfügbar.