1. Sécuriser Oracle PeopleSoft Suite avec Fortinet Security Fabric
  2. Sécuriser Oracle PeopleSoft Suite avec Fortinet Security Fabric

Sécuriser Oracle PeopleSoft Suite avec Fortinet Security Fabric

Oracle Cloud Infrastructure propose des technologies de sécurité et des processus opérationnels de pointe pour sécuriser ses services cloud d'entreprise. Toutefois, la sécurité dans le cloud repose sur un modèle de responsabilité partagée. Oracle est responsable de la sécurité de l'infrastructure sous-jacente, telle que les installations de centre de données, le matériel et les logiciels permettant de gérer les services et opérations cloud. Les clients sont chargés de sécuriser leurs charges de travail et de configurer leurs services et applications de manière sécurisée pour répondre à leurs obligations de conformité.

Fortinet fournit une solution de sécurité cloud d'entreprise qui étend le service Fortinet Security Fabric grâce à l'intégration native à Oracle Cloud Infrastructure afin de protéger les applications dans les centres de données sur site et les environnements cloud. Elle offre les performances évolutives et offre une orchestration avancée de la sécurité et une protection unifiée des menaces.

Les entreprises qui déplacent ou étendent leurs charges de travail Peoplesoft de l'environnement sur site vers Oracle Cloud Infrastructure peuvent choisir la solution cloud Fortinet Security Fabric pour connecter et étendre leur réseau de centre de données, ainsi que protéger leurs charges de travail au-delà des options de sécurité natives Oracle Cloud, sans qu'aucune configuration, intégration ou modification de processus métier considérable ne soit nécessaire.

Cette architecture de référence fournit des recommandations sur la conception du réseau et de la sécurité pour les organisations qui souhaitent étendre l'architecture de référence des applications Oracle PeopleSoft standard, qui implémente la solution Fortinet Security Fabric dans une configuration hautement disponible afin de fournir une protection par basculement.

Architecture

Ce guide décrit une architecture de référence en déployant et en exploitant l'architecture d'application multiniveau PeopleSoft, ainsi que la solution Fabric de sécurité de Fortinet, qui implémente une topologie réseau hub-spoke pour la surveillance du trafic North-South et East-West. En général, le trafic nord-sud est le flux de trafic qui entre et quitte le réseau, tandis que le flux de trafic East-West est le trafic au sein du réseau.

La topologie hub-spoke est un modèle de réseau classique qui connecte un réseau centralisé (l'hub) à plusieurs réseaux connectés dirigés (les spokes). Le trafic entre ces réseaux passe par un pare-feu de nouvelle génération FortiGate hautement disponible, fournissant un emplacement centralisé pour renforcer la sécurité et le contrôle du trafic. Le réseau cloud virtuel hub (VCN) est le point de connectivité central pour le trafic du Nord et de l'Ouest. Chaque niveau de l'architecture PeopleSoft est déployé sur son propre VCN satellite, ce qui permet des microservices avec plus de couches de protection, car chaque paquet déplacé entre différents niveaux est inspecté et sécurisé.

Cette architecture peut fournir une conception modulaire et hautement évolutive pour la connexion de plusieurs spokes, où chaque réseau spoke représente le niveau d'une application (Web, application et base de données). Elle fonctionne à la fois dans un environnement spécifique (production, test et développement) et dans différentes infrastructures (régions, centre de données on-premise et multiclouds).

FortiAnalyzer et FortiManager sont des composants facultatifs que vous pouvez déployer dans le même sous-réseau de FortiGate. FortiADC fournit des services d'équilibrage de charge et retransmet les demandes au niveau Web PeopleSoft.

Le diagramme suivant illustre cette architecture de référence.

Description d'architecture-peoplesoft-fortinet-oci.png
Description de l'illustration Architect - peoplesoft-fortinet-oci.png

La topologie Hub-Spoke peut être implémentée via les scénarios suivants :

  • Utiliser des règles avec appairage local (LPG) pour connecter des réseaux cloud virtuels spoke à l'aide de VCN hub.
  • Associez individuellement chaque carte d'interface réseau virtuelle FortiGate à chaque spoke VCN.

Pour le scénario de l'attachement de carte d'interface réseau virtuelle, chaque spoke VCN doit disposer d'une règle de routage pour transmettre tout le trafic à l'adresse IP privée de la carte d'interface réseau virtuelle FortiGate jointe au spoke VCN.

Dans le cas d'un scénario LPG, chaque spoke VCN doit disposer d'une règle de routage pour transférer tout le trafic vers l'environnement LPG. Au sein de LPG, vous devez disposer d'une autre règle de routage qui transmet le trafic à l'adresse IP non sécurisée ou à l'adresse IP flottante de FortiGate attachée à VCN hub.

Considérez que FortiGate ne doit inspecter aucun trafic au sein de chaque VCN (adresse IP de destination dans la plage CIDR VCN), car Oracle Cloud Infrastructure transmet automatiquement tous les paquets destinés à VCN à l'adresse IP de destination directement via la passerelle par défaut du sous-réseau Oracle Cloud interne.

Trafic entrant du Nord

Le trafic entrant provenant du réseau Internet ou d'un réseau sur site se connecte à une adresse IP publique hébergée sur l'interface non fiable ou de wan du pare-feu FortiGate. L'adresse IP publique (réservée ou éphémère) est une adresse IP NAT gérée par Oracle et associée à une adresse IP privée secondaire dans le sous-réseau non fiable sur Oracle Cloud Infrastructure. L'adresse IP privée secondaire (IP flottante) est affectée de manière statique à l'interface non fiable sur FortiGate. En cas de basculement, l'IP flottante est déplacée vers un autre hôte avec l'adresse IP publique.

Après l'inspection de paquets, le trafic entrant quitte FortiGate via l'interface de confiance. L'adresse de destination est l'adresse IP virtuelle FortiADC déployée dans le VCN spoke de niveau application. FortiADC équilibre le trafic entre les serveurs d'applications PeopleSoft actifs en fonction des stratégies d'équilibreur de charge. Comme ce trafic se trouve dans le VCN, le paquet se dirige directement vers l'hôte de destination. Flux de trafic entrant pour le motif suivant :

  • FortiGate hub VCN: de la VNIC non fiable FortiGate à la VNIC sécurisée FortiGate à la passerelle par défaut du sous-réseau sécurisé Oracle Cloud Infrastructure vers la LPG du sous-réseau sécurisé au niveau application.
  • Spool de niveau application VCN: de LPG sur le sous-réseau de niveau application à la passerelle par défaut de sous-réseau Oracle Cloud Infrastructure FortiADC vers la VNIC FortiADC aux serveurs Web PeopleSoft.

En ce qui concerne les environnements dans le même pare-feu, vous pouvez affecter plusieurs adresses IP secondaires à des interfaces non fiables et sécurisées (VNIC). Chaque adresse IP privée doit faire office d'adresse source pouvant être mise en correspondance avec une application ou un environnement cible spécifique dans les stratégies de pare-feu. Vous pouvez également configurer une stratégie NAT de destination avec transfert de port dans FortiGate pointant vers différentes adresses IP virtuelles ou ports pouvant représenter chaque application ou environnement de destination.

Trafic sortant du Nord

Le trafic sortant du hub FortiGate VCN est acheminé via la passerelle Internet.

Le trafic sortant des réseaux cloud virtuels spoke vers n'importe quelle destination est acheminé depuis le LPN VCN spoke vers le LPN appairé dans l'hub VCN. Une fois que le paquet a atteint l'hub VCN, la route associée à LPG transmet le trafic à l'IP flottante FortiGate dans l'interface de confiance. Après le contrôle, FortiGate achemine le paquet vers la passerelle par défaut de sous-réseau non fiable. En fonction de la table de routage du sous-réseau sécurisé, il continue vers Internet ou sur site via la passerelle Internet.

Trafic par ouest

Oracle recommande de segmenter les réseaux au niveau du VCN au lieu du niveau du sous-réseau pour inspecter le trafic East-West, car tout le trafic au sein du bloc CIDR VCN est automatiquement acheminé à l'aide de la passerelle par défaut du sous-réseau Oracle Cloud Infrastructure interne et cet acheminement ne peut pas être remplacé.

Le trafic de l'Ouest à partir de n'importe quel spoke VCN est acheminé à partir de LPG VCN spoke vers l'LPG appairé dans hub VCN, puis vers l'IP flottante FortiGate dans l'interface sécurisée. FortiGate inspecte le trafic entrant et en fonction des stratégies de pare-feu FortiGate, il définit l'adresse de destination sur l'hôte de destination dans le VCN spoke ou sur l'hôte source qui a envoyé le paquet. Le trafic quitte FortiGate via l'interface sécurisée et est envoyé via la passerelle par défaut dans le sous-réseau de confiance qui transmet le paquet à l'appairage LPG vers la base de données du spoke de destination ou l'application VCN.

L'architecture comporte les composants suivants :

  • Pare-feu nouvelle génération Fortinet FortiGate

    Fournit des services de sécurité et de réseau comme la protection contre les menaces, l'inspection SSL et la latence ultra-low pour la protection des segments internes et des environnements stratégiques. Elle prend en charge la virtualisation d'E/S à root unique (SR-IOV) en vue d'améliorer les performances. FortiGate peut être déployé directement à partir d'Oracle Cloud Marketplace.

  • Fortinet FortiAnalyzer

    Fournit des informations sur la sécurité de l'entreprise orientée données grâce à une journalisation centralisée du réseau, des analyses et du reporting.

  • Fortinet FortiManager

    Distribue la gestion en mode panoramique unique sur le réseau et fournit des vues historiques et en temps réel dans l'activité réseau.

  • Fortinet FortiADC

    Equilibre le trafic sur plusieurs régions géographiques. Il réécrit dynamiquement le contenu en fonction du routage de stratégie pour garantir l'équilibrage de charge des applications et des serveurs. FortiADC gère également la compression, la mise en cache, les optimisations HTTP 2.0 et PageSpeed HTTP.

  • Niveau Web PeopleSoft

    Composé du programme d'équilibrage de charge FortiADC, du serveur Web PeopleSoft et des serveurs ElasticSearch.

  • Niveau applications PeopleSoft

    Composé de serveurs d'applications PeopleSoft et de serveurs PeopleSoft Process Scheduler.

  • Niveau base de données PeopleSoft

    Composé d'Oracle Database, mais non limité aux services Oracle Exadata Database ou Oracle Database.

  • Niveau client PeopleTools

    Le client PeopleTools pour les activités d'administration telles que le développement, la migration et la mise à niveau.

  • Zone

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et les larges peuvent les séparer (dans les pays ou même les continents).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance aux pannes. Les domaines de disponibilité ne partagent aucune infrastructure, notamment l'alimentation ou le refroidissement, ni le réseau du domaine de disponibilité interne. Ainsi, il est peu probable qu'une panne d'un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • Domaines de pannes

    Un domaine de pannes est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous distribuez des ressources sur plusieurs domaines de pannes, les applications peuvent tolérer la panne du serveur physique, la maintenance du système et les pannes d'alimentation dans un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un annuaire VCN est un réseau privé personnalisable que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centres de données classiques, les réseaux cloud virtuels vous permettent d'effectuer un contrôle total sur votre environnement réseau. Vous pouvez segmenter les réseaux cloud virtuels en sous-réseaux pouvant être ciblés sur une région ou un domaine de disponibilité. Les sous-réseaux propres à un domaine de disponibilité et aux sous-réseaux régionaux peuvent coexister dans le même environnement VCN. Un sous-réseau peut être public ou privé.

  • Hub VCN

    Réseau centralisé sur lequel FortiGate doit être déployé. Il peut assurer la connectivité à tous les réseaux cloud virtuels spoke, services Oracle Cloud Infrastructure, clients et adresses publiques et réseaux de centres de données on-premise. Il est généralement composé des quatre sous-réseaux suivants :

    • Sous-réseau de gestion

      Sous-réseau public où la VNIC principale pour FortiGate est attachée. Il est responsable des opérations de plan de contrôle de FortiGate et de l'activité de gestion générale.

    • Sous-réseau non sécurisé

      Sous-réseau public contenant la pièce jointe VNIC FortiGate. Il agit en tant que passerelle/adresse pour le trafic entrant à partir d'Internet ou d'un centre de données sur site.

    • Sous-réseau sécurisé

      Sous-réseau privé contenant la pièce jointe de carte d'interface réseau virtuelle FortiGate. Il transfère le trafic vers l'instance LPG jointe à l'instance VCN du hub, puis vers l'instance VCN du spoke approprié. Il doit également recevoir des paquets entrants provenant de réseaux cloud virtuels spoke.

    • Sous-réseau HA

      Sous-réseau privé contenant la pièce jointe de carte d'interface réseau virtuelle FortiGate. Il est dédié au trafic de pulsations/HA.

  • Spool de niveau Web (VCN)

    Sous-réseau privé vers le niveau Web PeopleSoft, composé d'équilibreurs de charge FortiADC configurés en mode HA, de serveurs Web PeopleSoft et de serveurs de recherche élastique PeopleSoft.

  • Spool VCN du niveau Applications

    Sous-réseau privé relié aux hôtes du serveur d'applications et à l'outil PeopleSoft.

  • Spool de niveau base de données VCN

    Sous-réseau privé hébergeant des bases de données Oracle.

  • Tables de routage

    Tables de routage virtuel de VCN. Ils disposent de règles de routage qui permettent d'acheminer le trafic de sous-réseaux vers des destinations extérieures à VCN (par exemple, vers Internet), vers un réseau sur site ou vers un serveur VCN appairé. Chaque serveur VCN est fourni automatiquement avec une table de routage par défaut qui n'a pas de règle.

  • Passerelle Internet ou passerelle NAT

    FortiGate utilise une passerelle Internet ou une passerelle NAT pour communiquer avec des adresses publiques externes. FortiGate requiert au moins une passerelle NAT déployée pour accéder aux serveurs de licences Fortinet, dans le cas où aucune passerelle Internet n'est requise en raison d'une connexion FastConnect.

  • Passerelle d'appairage local

    La passerelle d'appairage local (LPG) est le composant sur un appareil VCN chargé du routage du trafic vers un environnement VCN appairé localement dans la même région Oracle Cloud Infrastructure. Chaque hub et spoke VCN est doté de LPG. Il existe une limite de pièces jointes LPG 10 par réseau cloud virtuel.

  • Passerelle de service

    Une passerelle de service est requise pour communiquer avec les services Oracle, tels que l'infrastructure, PaaS ou SaaS, à partir du réseau on-premise ou VCN hub.

  • Passerelle de routage dynamique

    La passerelle de routage dynamique (DRG) est un routeur virtuel qui fournit un chemin pour le trafic privé entre les réseaux cloud virtuels et les réseaux extérieurs à la région VCN.

  • Cartes réseau virtuelles (VNIC)

    Les services des centres de données Oracle Cloud Infrastructure disposent de cartes d'interface réseau (NIC) physiques. Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une VNIC principale qui est créée et attachée automatiquement lors du lancement et est disponible pendant la durée de vie de l'instance. Le protocole DHCP est offert à la VNIC principale uniquement. Vous pouvez ajouter des cartes d'interface réseau virtuelles secondaires après le lancement de l'instance et la configuration des adresses IP statiques pour chaque interface.

  • Adresses IP privées

    Adresse IPv4 privée et informations connexes pour l'adressage d'une instance. Chaque VNIC comporte une adresse IP privée principale et vous pouvez ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale sur une instance est attachée lors du lancement de l'instance et n'est pas modifiée pendant la durée de vie de l'instance. Les adresses IP secondaires doivent également appartenir au même CIDR que le sous-réseau de la carte d'interface réseau virtuelle. L'adresse IP secondaire est utilisée en tant qu'adresse IP flottante car elle peut être déplacée entre différentes cartes VNIC sur différentes instances au sein du même sous-réseau. Vous pouvez également l'utiliser comme une autre adresse pour héberger différents services.

  • Adresses IP publiques

    Les services réseau définissent une adresse IPv4 publique choisie par Oracle et mise en correspondance avec une adresse IP privée.

    • Ephémère : cette adresse est temporaire et existe pour la durée de vie de l'instance
    • Réservé : cette adresse est persistante et existe au-delà de la durée de vie de l'instance. Elle peut être non affectée et réaffectée à une autre instance.
  • Vérification de la source et de la destination

    Chaque VNIC effectue la vérification de la source et de la destination sur son trafic réseau. La désactivation de cet indicateur permet à FortiGate de gérer le trafic réseau qui n'est pas ciblé pour le pare-feu.

  • Liste Sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doit être autorisé dans et hors du sous-réseau.

  • Forme de calcul

    Dans le calcul, la forme indique le nombre d'UC et la quantité de mémoire allouée à l'instance. La forme de calcul détermine également le nombre de cartes VNIC et la bande passante maximale disponibles pour l'instance de calcul.

Recommandations

Vos exigences peuvent être différentes de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • Haute disponibilité de PeopleSoft
    • Redondance de serveur active/active pour chaque niveau PeopleSoft

      Chaque niveau contient des instances redondantes des serveurs d'applications PeopleSoft, des serveurs Web PeopleSoft, des serveurs ElasticSearch et PeopleSoft Process Scheduler afin de fournir une haute disponibilité.

    • Tolérance aux pannes

      La tolérance de pannes est obtenue en déployant les serveurs (noeud) de chaque niveau vers des domaines de disponibilité différents dans les régions avec plusieurs domaines de disponibilité. Sur les régions AD uniques, vous déployez les noeuds de serveur dans différents domaines de pannes. Toutes les instances PeopleSoft sont actives et reçoivent le trafic de l'équilibreur de charge.

    • Redondance dans le niveau Base de données avec base de données RAC

      Ce niveau contient les instances système de base de données. Pour connaître les exigences en matière de performances et de haute disponibilité, Oracle recommande d'utiliser des systèmes de base de données Oracle Real Application Clusters (RAC) à deux noeuds ou Oracle Database Exadata Cloud Service dans Oracle Cloud Infrastructure.

  • FortiGate High Availability

    Pour conserver la réplication de session et reprendre la communication en cas d'interruption, déployez FortiGate en mode de haute disponibilité actif-passif et désactivez la vérification de source et de destination sur les cartes VNIC secondaires pour les interfaces sécurisées et non fiables. Créez une interface et un sous-réseau dédiés pour le trafic haute disponibilité ou de signal d'activité.

    Les adresses IP secondaires sont utilisées lors de l'événement de basculement. FortiGate appelle les API Oracle Cloud pour déplacer ces adresses IP de l'hôte FortiGate principal vers l'hôte FortiGate secondaire.

  • Haute disponibilité de FortiADC

    Déployez FortiADC en mode HA Actif-Active-VRRP basé sur le concept de VRRP mais pas sur le protocole VRRP lui-même. Ce mode permet la synchronisation de configuration et la synchronisation de session, de la même manière que les autres modes HA. Ignorez la vérification de la source/destination sur les VNIC secondaires pour l'interface interne.

  • VCN

    Lorsque vous créez le VCN, déterminez combien d'adresses IP vos ressources cloud dans chaque sous-réseau requièrent. A l'aide de la notation CIDR (Classless Inter-Domain Routing), indiquez un masque de sous-réseau et une plage d'adresses réseau de taille suffisante pour les adresses IP requises. Utilisez une plage d'adresses comprise dans l'espace d'adressage IP privé standard.

    Sélectionnez une plage d'adresses qui ne chevauche aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) pour lequel vous prévoyez de configurer des connexions privées.

    Une fois VCN créé, vous ne pouvez plus modifier la plage d'adresses.

    Lorsque vous concevez les sous-réseaux, prenez en compte vos flux de trafic et vos exigences de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  • Listes de sécurité

    Les listes de sécurité servent de pare-feu virtuel pour contrôler le trafic au niveau du paquet au sein du réseau. Le trafic n'est autorisé que si une règle dans l'une des listes autorise le trafic. Par défaut, les règles de sécurité sont avec conservation de statut, un mécanisme permettant d'indiquer que vous voulez utiliser le suivi de connexion correspondant à cette règle. Ainsi, la réponse du trafic est suivie et automatiquement autorisée à revenir à l'hôte d'origine, quelles que soient les règles sortantes.

    Etant donné que l'ensemble du trafic est inspecté par le pare-feu FortiGate Next-Gen, vous n'avez pas besoin d'appliquer des règles strictes via les listes de sécurité. Ils peuvent finalement être utilisés comme deuxième barrière de protection, mais ce n'est pas obligatoire. Uniquement pour la gestion de la configuration FortiGate, vous créez une liste de sécurité pour autoriser le trafic SSH et HTTPS ou tout service supplémentaire qui peut être requis. Pour tous les échanges restants sur les réseaux cloud virtuels hub et satellite passant par le pare-feu, vous devez modifier les listes de sécurité par défaut pour autoriser le trafic entrant et sortant pour tous les ports/protocoles.

  • Stratégies de pare-feu FortiGate

    Une stratégie de pare-feu est un ensemble d'instructions compartimentées qui contrôle le flux de trafic à travers le pare-feu. Ces instructions contrôlent le passage du trafic, son traitement, son traitement, son traitement et même s'il est autorisé à passer par FortiGate. Lorsque le pare-feu reçoit un paquet de connexion, il analyse l'adresse source, l'adresse de destination et le service du paquet par numéro de port. Il enregistre également l'interface entrante et sortante. Il existe également une action associée à la stratégie : acceptation ou refus. Si cette action est acceptée, la stratégie autorise les sessions de communication. Sinon, l'action de stratégie bloque les sessions de communication.

    PeopleSoft requiert l'ouverture de stratégies avec les ports et les protocoles suivants :

    Niveau Composant Protocole Port
    Niveau Web Serveur Web TCP/HTTPS 443 (PIA)
    Niveau Web Serveur Web TCP 22 (SSH)
    Niveau Web Elastic search TCP 9200
    Niveau Applications JSL TCP 9033-9040
    Niveau base de données TNSListener TCP 1521–1522
    Niveau client Machine virtuelle du client PeopleTools TCP/UDP 10200–10205

    Pour le trafic East-West, tenez compte du modèle de trafic suivant :

    Flux de trafic Nom de composant Protocole/Port
    Niveau Web et niveau Applications JSL TCP/443
    Niveau Applications et Niveau Base de données TNSListener TCP/1521-1522
    Niveau client et niveau Web SSH TCP/22
    Niveau client et niveau Applications SSH TCP/22
    Niveau client et niveau Applications JOTL/JSL TCP/9033-9040
    Niveau client et niveau base de données TCP TCP/1521-1522

    Par exemple, vous pouvez créer des stratégies dans l'interface sécurisée FortiGate pour autoriser le trafic entre le niveau Web et le niveau Applications, et entre les niveaux Applications et Base de données.

    Vous pouvez également créer une stratégie avec la destination NAT qui pointe vers une adresse IP virtuelle pour autoriser ou restreindre l'accès à la suite PeopleSoft à partir d'une ou de plusieurs réseaux ou adresses IP source spécifiques.

  • FortiGate Stratégies de routes statiques

    Créez une route statique sur FortiGate pour chaque réseau VCN spoke (adresse de destination/réseau) et définissez l'adresse IP de passerelle sur l'adresse de passerelle par défaut du sous-réseau sécurisé (première adresse IP d'hôte dans le CIDR de sous-réseau sécurisé).

    Pour une connexion sortante, créez une route statique sur FortiGate pour le trafic sortant et définissez l'adresse IP de passerelle sur l'adresse de passerelle par défaut de sous-réseau non fiable (première adresse IP d'hôte dans le CIDR de sous-réseau non fiable).

  • Tables de routage VCN Oracle Cloud Infrastructure

    Les tableaux d'acheminement suivants doivent être créés pour le contrôle de trafic North-South et East-West.

    VCN Nom Destination Type de cible Cible Table de routage par défaut pour le sous-réseau
    FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 Passerelle Internet <FortiGate VCN Internet Gateway> gestion non sécurisée
    FortiGate FortiGate_Trust-route_table <Web_Tier VCN CIDR> Passerelle d'appairage local <LPG-Web_Tier> S/O
    FortiGate FortiGate_Trust-route_table <Application_Tier VCN CIDR> Passerelle d'appairage local <LPG-Application_Tier> S/O
    FortiGate FortiGate_Trust-route_table <DB_Tier VCN CIDR> Passerelle d'appairage local <LPG-DB_Tier> S/O
    FortiGate FortiGate_Trust-route_table <Client_Tier VCN CIDR> Passerelle d'appairage local <LPG-Client_Tier> S/O
    FortiGate LPG-route_table 0.0.0.0/0 Adresse IP privée <FortiGate Trust VNIC Private IP (IP flottant)> S/O
    Web_Tier Table de routage par défaut 0.0.0.0/0 S/O <LPG-Web_Tier-to-Hub> S/O
    Application_Tier Table de routage par défaut 0.0.0.0/0 S/O <LPG-Application_Tier-to-Hub> S/O
    DB_Tier Table de routage par défaut 0.0.0.0/0 S/O <LPG-DB_Tier-to-Hub> S/O
    Client_Tier Table de routage par défaut 0.0.0.0/0 S/O <LPG-Client_Tier-to-Hub> S/O
  • Passerelles d'appairage local Oracle Cloud Infrastructure VCN

    Les partitions LPG suivantes doivent être créées pour permettre la communication entre North-South et East-West

    • Configuration de FortiGate VCN LPG
      Nom Table de routage CIDR exposé homologue Inter-location
      Niveau Web LPG- LPG-route_table <Web_Tier VCN CIDR> Non
      LPG-Application-Tier LPG-route_table <Application_Tier VCN CIDR> Non
      LPG-DB-Tier LPG-route_table <DB_Tier VCN CIDR> Non
      LPG-Client-Tier LPG-route_table <Client_Tier VCN CIDR> Non
    • Configuration de LPG VCN de niveau Web
      Nom Table de routage CIDR exposé homologue Inter-location
      LPG-Web-Tier-to-Hub S/O 0.0.0.0/0 Non
    • Configuration LPG VCN de niveau Applications
      Nom Table de routage CIDR exposé homologue Inter-location
      LPG-Application-Tier-to-Hub S/O 0.0.0.0/0 Non
    • Configuration LPG VCN de niveau base de données
      Nom Table de routage CIDR exposé homologue Inter-location
      LPG-DB-Tier-to-Hub S/O 0.0.0.0/0 Non
    • Configuration de LPG VCN de niveau client
      Nom Table de routage CIDR exposé homologue Inter-location
      Client LPG-entre hub S/O 0.0.0.0/0 Non
  • Equilibrage de charge du serveur FortiADC

    FortiADC doit être déployé dans le même VCN que le niveau Applications en mode HA. Créez un cookie persistant de session (couche 4) dans FortiADC pour distribuer le trafic entre les hôtes du niveau Applications.

    FortiADC doit utiliser l'état de session avec les en-têtes et les cookies HTTP pour garantir la persistance des utilisateurs et des serveurs. Par conséquent, vous devez créer un type de persistance “Insérer un cookie” sur FortiADC afin d'insérer un cookie dans l'en-tête HTTP pour garantir que les utilisateurs continuent d'être dirigés vers l'hôte de serveur Web PeopleSoft spécifique où résident les informations d'état de session.

Remarques

  • Performances

    FortiGate est un composant-clé dans cette architecture, et la sélection du modèle FortiGate, de la forme de calcul et des options de lancement ont une incidence sur les performances de la charge globale. Vérifiez la liste des modèles avec leurs indications respectives dans la feuille de données FortiGate.

  • Sécurité

    FortiGate utilise les groupes dynamiques OCI IAM ou les clés de signature d'API pour effectuer des appels d'API en cas de basculement. Configurez des stratégies en fonction de vos exigences de sécurité/conformité.

  • Disponibilité

    Pour garantir une plus grande disponibilité dans la région à chaque fois que plusieurs domaines de disponibilité existent, déployez chaque hôte du cluster sur un domaine de disponibilité différent. Sinon, sélectionnez différents domaines de pannes pour accroître la disponibilité en fonction de vos règles anti-affinité. Cette règle est valide à la fois pour les produits Fortinet et Oracle.

  • Coût

    Fortinet, FortiGate et FortiADC sont disponibles dans Oracle Cloud Infrastructure Marketplace.

    Fortinet FortiGate est disponible en tant qu'offre BYOL ou payée.

    Fortinet FortiADC est disponible uniquement sous BYOL.

Déployer

Pour déployer PeopleSoft dans le cloud à l'aide de Fortinet Security Fabric, procédez comme suit :
  1. Configurez l'infrastructure de mise en réseau requise comme indiqué dans le diagramme d'architecture. Reportez-vous à Configurer une topologie réseau hub-and-spoke.
  2. Déployez PeopleSoft sur votre environnement.
  3. Choisissez parmi les piles suivantes dans Oracle Cloud Marketplace. Pour chaque pile choisie, cliquez sur Obtenir l'application et suivez les invites à l'écran :

Explorer d'autres éléments