1. En savoir plus sur le déploiement de PeopleSoft sur Oracle Cloud Infrastructure
  2. Comprendre l'architecture de PeopleSoft

Comprendre l'architecture de PeopleSoft

Découvrez les différents niveaux d'un déploiement PeopleSoft.

A propos de l'hôte de base

Un bastion est un composant facultatif que vous pouvez utiliser avec des stratégies de pare-feu pour protéger les interfaces de gestion des serveurs de base de données et d'application de l'accès externe. Un hôte de base est une instance Oracle Cloud Infrastructure Compute qui utilise Linux comme système d'exploitation.

Placez l'hôte de base dans un sous-réseau public et affectez-lui une adresse IP publique pour y accéder à partir d'Internet.

Pour fournir un niveau de sécurité supplémentaire, vous pouvez configurer des listes de sécurité afin d'accéder à l'hôte de base uniquement à partir de l'adresse IP publique de votre réseau on-premise. Vous pouvez accéder aux instances Oracle Cloud Infrastructure dans le sous-réseau privé via l'hôte de base. Pour ce faire, activez le transfert ssh-agent, qui vous permet de vous connecter à l'hôte bastion, puis d'accéder au serveur suivant en transmettant les informations d'identification à partir de votre ordinateur. Vous pouvez également accéder aux instances dans le sous-réseau privé à l'aide du tunneling SSH dynamique. Le tunneling SSH permet d'accéder à une application Web ou à un autre service d'écoute. Le tunnel dynamique fournit un proxy SOCKS sur le port local, mais les connexions proviennent de l'hôte distant.

A propos du niveau d'équilibreur de charge

Utilisez Oracle Cloud Infrastructure Load Balancing pour distribuer le trafic vers vos instances d'application sur les domaines de disponibilité d'un serveur VCN. Ce service fournit une instance principale et de secours de l'équilibreur de charge pour garantir que si l'équilibreur de charge principal tombe en panne, l'équilibreur de charge de secours transmet les demandes. L'équilibreur de charge vérifie que les demandes sont acheminées vers les instances d'application en bon état. En cas de problème avec une instance d'application, l'équilibreur de charge supprime cette instance et démarre les demandes de routage vers les autres instances d'application en bon état.

En fonction de vos exigences, vous pouvez placer des équilibreurs de charge dans un sous-réseau public ou privé.

  • Pour les adresses internes, qui ne sont pas accessibles à partir d'Internet, utilisez un équilibreur de charge privé. Un équilibreur de charge privé possède une adresse IP privée et n'est pas accessible à partir d'Internet. Les instances principale et de secours d'un équilibreur de charge résident sur le même sous-réseau privé. Vous pouvez accéder à des équilibreurs de charge privés dans VCN ou dans votre centre de données sur le VPN IPSec via un DRG. L'équilibreur de charge privé accepte le trafic de votre centre de données et le distribue aux instances d'application sous-jacentes.

  • Pour les adresses Internet, utilisez un équilibreur de charge public. Un équilibreur de charge public dispose d'une adresse IP publique, et est accessible à partir d'Internet. Vous pouvez accéder aux équilibreurs de charge publics à partir d'Internet via la passerelle Internet.

  • Pour accéder aux adresses internes et aux adresses Internet, configurez des équilibreurs de charge privés et des équilibreurs de charge publics. Configurez des équilibreurs de charge privés pour servir le trafic interne et configurez des équilibreurs de charge publics pour servir le trafic à partir d'Internet.

Inscrivez l'adresse IP publique ou privée des instances Oracle Cloud Infrastructure Load Balancing dans votre serveur DNS (Domain Name Server) sur site ou public pour la résolution de domaine de votre adresse d'application.

A propos du niveau Applications

Toutes les instances du niveau d'application sont configurées et connectées aux instances de base de données qui ont l'état Actif. Le niveau Applications contient les composants d'architecture PeopleSoft Internet suivants :

  • Serveurs Web PeopleSoft : les serveurs Web PeopleSoft reçoivent les demandes d'application émanant de l'environnement Web, de l'Internet et de l'intranet, via le programme d'équilibrage de charge. Le trafic entrant est distribué par l'équilibreur de charge sur le port 8000. Il retransmet les demandes au port Oracle Tuxedo Jolt sur le serveur d'applications. Dans le diagramme d'architecture, plusieurs serveurs Web ont été déployés pour prendre en charge la haute disponibilité.

  • Serveurs ElasticSearch : la structure de recherche Oracle PeopleSoft fournit une méthode standard permettant d'utiliser les index de recherche pour toutes les applications PeopleSoft. La structure de recherche dépend des serveurs ElasticSearch. Il interagit avec les serveurs Web PeopleSoft sur le port 9200.

  • Serveurs d'applications PeopleSoft : les serveurs d'applications PeopleSoft gèrent la charge globale dans le système PeopleSoft. Il exécute la logique applicative et traite toutes les demandes d'application émanant du serveur Web via les ports Oracle Tuxedo Jolt 9000. Le serveur d'applications est également responsable de la gestion de la connexion SQL à la base de données sur le port 1521. Les demandes d'application sont reçues sur le serveur Web. Ces demandes sont retransmises aux serveurs d'applications, puis les serveurs d'applications soumettent l'instruction SQL aux serveurs de base de données.

  • PeopleSoft Process Scheduler : une instance de PeopleSoft Process Scheduler est requise pour exécuter des traitements ou des travaux propres à Windows, tels que NVision. Cette instance est déployée sur un système d'exploitation Windows.

  • Client PeopleTools : les clients PeopleTools sont des clients Windows. Ils sont également appelés environnement de développement PeopleTools. Ces clients, qui s'exécutent sur des plates-formes Microsoft Windows prises en charge, peuvent se connecter à la base de données PeopleSoft à l'aide d'un logiciel de connectivité client (connexion à deux niveaux) sur le port 1521 ou via un serveur d'applications PeopleSoft (connexion à trois niveaux) via le port 7000. Le client PeopleTools fait partie intégrante de l'architecture Internet de PeopleSoft car il aide les administrateurs à effectuer des tâches de gestion et de migration.

Configurez Oracle Cloud Infrastructure File Storage pour préparer le logiciel PeopleSoft. Un système de fichiers de stockage de fichier unique peut être créé pour partager les fichiers binaires logiciels entre les serveurs d'applications, les serveurs Web et les serveurs ElasticSearch.

Vous pouvez utiliser Oracle Cloud Infrastructure Object Storage pour sauvegarder les instances d'application PeopleSoft.

A propos du niveau Base de données

Pour les exigences de haute disponibilité, Oracle recommande d'utiliser l'une des options suivantes pour configurer les instances de base de données PeopleSoft :

  • Systèmes de base de données Oracle Real Application Clusters (Oracle RAC) à deux noeuds sur une machine virtuelle.

  • Instances Oracle Database Exadata Cloud Service. Ce service fournit une instance Oracle Database hébergée sur Oracle Exadata Database Machine dans Oracle Cloud.

Placez les systèmes de base de données dans un sous-réseau différent.

Les instances de base de données sont configurées pour être hautement disponibles et les deux instances de la base de données dans un domaine de disponibilité sont actives. La charge des demandes reçues du niveau d'application est équilibrée sur l'ensemble des instances de base de données. Si une instance de base de données est arrêtée, l'autre gère les demandes. Vous pouvez utiliser Oracle Cloud Infrastructure Object Storage pour sauvegarder la base de données PeopleSoft à l'aide de RMAN.

Utilisez les listes de sécurité pour limiter l'accès aux serveurs de base de données uniquement depuis l'hôte de base, les serveurs d'applications et les serveurs sur site. Configurez des listes de sécurité pour vous assurer que la communication s'effectue uniquement sur le port 22, via l'hôte bastion et sur le port 1521, via le serveur d'applications. Assurez-vous également que les systèmes de base de données ne sont pas accessibles via Internet.

Si vous avez déployé PeopleSoft dans plusieurs domaines de disponibilité, utilisez Oracle Active Data Guard en mode synchrone pour répliquer la base de données entre les domaines de disponibilité. Le port 1521 est ouvert pour la communication avec Oracle Active Data Guard. Les services de transport Data Guard utilisent le port 1521 pour transmettre les fichiers de journalisation d'Oracle Active Data Guard.

A propos des listes de sécurité

Dans Oracle Cloud Infrastructure, les règles de pare-feu sont configurées via des listes de sécurité. Une liste de sécurité distincte est créée pour chaque sous-réseau.

Oracle recommande de créer des sous-réseaux distincts pour la base de données, l'application, l'équilibreur de charge et les hôtes de base, afin de garantir que la liste de sécurité appropriée est affectée aux instances de chaque sous-réseau. Utilisez les listes de sécurité pour permettre le trafic entre différents niveaux et entre l'hôte de base et les hôtes externes. Les listes de sécurité contiennent des règles entrantes et sortantes pour filtrer le trafic au niveau du sous-réseau. Ils contiennent également des informations sur les ports de communication via lesquels le transfert de données est autorisé. Ces ports (ou dans certains cas, les protocoles nécessitant des ports ouverts dans les règles de sécurité) apparaissent sur chaque ligne de règle de sécurité dans les diagrammes d'architecture.

Chaque liste de sécurité est appliquée au niveau de l'instance. Toutefois, lorsque vous configurez des listes de sécurité au niveau du sous-réseau, toutes les instances d'un sous-réseau particulier sont soumises au même ensemble de règles. Chaque sous-réseau peut être associé à plusieurs listes de sécurité, et chaque liste peut avoir plusieurs règles. Le transfert d'un paquet de données est autorisé si une règle dans l'une des listes autorise le trafic (ou si le trafic fait partie d'une connexion existante en cours de suivi). Outre les listes de sécurité, utilisez iptables pour implémenter une autre couche de sécurité au niveau instance.

Pour les déploiements dans un sous-réseau public, vous pouvez fournir un niveau de sécurité supplémentaire en empêchant l'accès aux instances d'application et de base de données à partir d'Internet. Utilisez une liste de sécurité personnalisée pour empêcher l'accès aux instances d'application et de base de données à partir d'Internet, et pour permettre l'accès aux hôtes de base de données et d'application via le port 22 à partir de l'hôte de base à des fins d'administration. N'activez pas l'accès SSH aux instances d'application et de base de données à partir d'Internet, mais vous pouvez autoriser l'accès SSH à ces instances à partir du sous-réseau contenant l'hôte de base.

Vous pouvez accéder à vos instances dans le sous-réseau privé via le serveur de base.

Pour une architecture à plusieurs domaines de disponibilité, utilisez les mêmes listes de sécurité sur tous les sous-réseaux de tous les domaines de disponibilité.

Liste de sécurité de l'hôte de base

Cette liste permet d'accéder à l'hôte de base à partir de l'Internet public sur le port 22.

  • Pour autoriser le trafic SSH entre le réseau sur site et l'hôte de base sur Internet :

    Entrée avec conservation de statut : autorisez le trafic TCP du CIDR 0.0.0.0/0 source et de tous les ports source vers le port de destination 22 (SSH).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    Vous pouvez également restreindre les performances de base à Internet sur le port 22 uniquement à partir de votre centre de données au lieu d'Internet public (0.0.0.0/0). Pour y parvenir, utilisez l'adresse IP du routeur de périphérie plutôt que le CIDR source, en tant que 0.0.0.0/0 dans la règle entrante avec conservation de statut.

  • Pour autoriser le trafic SSH entre l'hôte de base et les instances Oracle Cloud Infrastructure Compute :

    Avec conservation de statut : autorisez le trafic TCP vers le CIDR de destination 0.0.0.0/0, de tous les ports source vers tous les ports de destination.

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Liste de sécurité du niveau d'équilibreur de charge

Les diagrammes d'architecture affichent des équilibreurs de charge privés, qui sont placés dans des sous-réseaux privés. Si vous placez les instances d'équilibreur de charge dans un sous-réseau public, vous autorisez le trafic à partir d'Internet (0.0.0.0/0) vers les instances d'équilibreur de charge.

  • Pour autoriser le trafic d'Internet vers l'équilibreur de charge, procédez comme suit :

    Entrée avec conservation de statut : autorisez le trafic TCP à partir du CIDR source (Internet) 0.0.0.0/0 et de tous les ports source vers le port de destination 8000/8448 (HTTP) ou 443 (HTTPS).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • Pour autoriser le trafic à partir du réseau sur site vers l'équilibreur de charge, procédez comme suit :

    Entrée avec conservation de statut : autorisez le trafic TCP depuis le bloc CIDR de réseau sur site et tous les ports source vers le port de destination 8000/8448 (HTTP) ou 443 (HTTPS).

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Pour autoriser le trafic entre les niveaux d'équilibreur de charge et les niveaux d'application, procédez comme suit :

    Stateful egress : autorisez le trafic TCP vers le CIDR de destination 0.0.0.0/0 de tous les ports source vers le port de destination 8000/8448 (HTTP).

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

Liste de sécurité du niveau Applications

  • Pour autoriser le trafic entre l'hôte de base et le niveau Applications, procédez comme suit :

    Entrée avec conservation de statut : autorise le trafic TCP du bloc CIDR source de l'hôte de base sur le port TCP vers le port de destination 22.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Pour autoriser le trafic à partir du sous-réseau d'équilibreur de charge vers le sous-réseau de serveur Web dans le niveau d'application, procédez comme suit :

    Entrée avec conservation de statut : autorisez le trafic TCP du bloc CIDR source des niveaux d'équilibreur de charge vers le port de destination 8000 ou 8443.

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000 ou 8443

  • Pour autoriser le trafic du sous-réseau du serveur Web vers le sous-réseau du serveur d'applications :

    Entrée avec conservation de statut : autorisez le trafic TCP des blocs CIDR source des serveurs Web PeopleSoft vers les ports de destination 9033 à 9039.

    Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 9033 à 9039

  • Pour autoriser le trafic du sous-réseau du serveur Web vers les serveurs ElasticSearch, procédez comme suit :

    Stateful egress : autorisez le trafic TCP des blocs CIDR source des serveurs Web au port de destination 9200.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • Pour permettre le trafic des serveurs ElasticSearch vers les serveurs Process Scheduler :

    Stateful egress : autorisez le trafic TCP des blocs CIDR source des serveurs Web au port de destination 3389.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Pour autoriser le trafic du sous-réseau du serveur d'applications vers le client PeopleTools :

    Stateful egress : autorisez le trafic TCP des blocs CIDR source du sous-réseau client PeopleTools vers le port de destination 3389.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Pour autoriser le trafic du niveau application vers le niveau base de données, procédez comme suit :

    Sortie avec conservation de statut : autorisez le trafic TCP à partir de blocs CIDR du sous-réseau du serveur d'applications vers le port de destination 1521.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Liste de sécurité du client PeopleTools

Le client PeopleTools utilise le système d'exploitation Windows, de sorte que vous devez RDP pour cette instance.

  • Pour autoriser le trafic entre l'hôte de base et le client PeopleTools :

    Entrée avec conservation de statut : autorisez le trafic TCP à partir des blocs CIDR source de l'hôte de base sur le port TCP vers le port de destination 3389 à l'aide de RDP.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Pour autoriser le trafic du client PeopleTools vers le sous-réseau du serveur de base de données :

    Stateful egress : autorisez le trafic TCP des blocs CIDR source du sous-réseau client PeopleTools vers le port de destination 1521.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Liste de sécurité du niveau Base de données

  • Pour autoriser le trafic entre l'hôte de base et le niveau de base de données, procédez comme suit :

    Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Pour autoriser le trafic des niveaux Applications vers le niveau Base de données :

    Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • Pour autoriser le trafic du niveau base de données au niveau application, procédez comme suit :

    Sortie avec conservation de statut : Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Pour autoriser le trafic pour la sauvegarde de la base de données vers Oracle Cloud Infrastructure Object Storage :

    Sortie avec conservation de statut :  Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Pour l'architecture de plusieurs domaines de disponibilité, pour autoriser le trafic entre les niveaux de base de données sur l'ensemble des domaines de disponibilité pour Oracle Active Data Guard :

    • Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Pour la fourniture d'infos de paramétrage de système Oracle Database Exadata Cloud Service, les règles supplémentaires suivantes sont obligatoires :

  • Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Entrée avec conservation de statut : Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Sortie avec conservation de statut : Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Sortie avec conservation de statut : Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All