Sécuriser les charges de travail Oracle E-Business Suite avec la structure de sécurité Fortinet

Architecture

Cette architecture déploie les charges de travail Oracle E-Business Suite dans le cloud à l'aide de Fortinet Security Fabric dans une topologie de réseau hub et satellite afin d'augmenter les options de sécurité natives fournies par Oracle Cloud Infrastructure.

La topologie hub-parle est un modèle de réseau qui relie un réseau centralisé (le hub) à plusieurs réseaux connectés dirigés (les rayons). Le trafic entre ces réseaux passe par un pare-feu FortiGate nouvelle génération hautement disponible pour assurer la sécurité et l'inspection du trafic via un emplacement centralisé. Le réseau cloud virtuel hub (VCN) est le point central de connectivité pour le trafic entrant et sortant du réseau (trafic nord-sud) et pour le trafic au sein du réseau (trafic est-ouest). Chaque niveau de l'architecture Oracle E-Business Suite est déployé sur son propre réseau VCN satellite, ce qui permet une micro segmentation avec plus de couches de protection car chaque paquet circulant entre différents niveaux peut être inspecté et sécurisé.

Cette architecture offre une conception modulaire et hautement évolutive permettant de connecter plusieurs rayons où chaque réseau satellite représente généralement un niveau d'application spécifique, tel que l'application, la base de données, etc. Vous pouvez utiliser l'architecture avec différents environnements, tels que le développement, les tests et la production, ainsi qu'avec différentes infrastructures, telles que des régions, des centres de données sur site et plusieurs Clouds.

Le diagramme suivant illustre cette architecture de référence.

Description de l'image ebs-fortinet-oci-architecture.png

Description de l'illustration ebs-fortinet-oci-architecture.png

ebs-fortinet-oci-architecture.zip

Vous pouvez implémenter la topologie de hub et de satellite de différentes manières :

Utiliser le routage de transit avec des passerelles d'appairage local (LPG) pour connecter des réseaux cloud virtuels satellite avec le VCN hub.

Chaque VCN Spoke doit disposer d'une règle de routage pour transférer tout le trafic vers la passerelle d'appairage local. Dans la passerelle d'appairage local, vous devez disposer d'une autre règle de routage qui transfère le trafic vers l'adresse IP non sécurisée de FortiGate (adresse IP flottante) attachée au VCN du hub.
Connectez chaque carte d'interface réseau virtuelle (VNIC) FortiGate à chaque VCN satellite.

Chaque VCN Spoke doit disposer d'une règle de routage pour transférer l'ensemble du trafic vers l'adresse IP privée VNIC FortiGate attachée au VCN Spoke.

Considérez que tout trafic au sein de chaque VCN (où l'adresse IP de destination se trouve dans la plage CIDR VCN) ne doit pas être inspecté par FortiGate car Oracle Cloud Infrastructure transfère automatiquement tous les paquets dont la destination est le VCN lui-même via la passerelle par défaut du sous-réseau Oracle Cloud Infrastructure interne vers l'adresse IP de destination.

Trafic entrant Nord-Sud

Le trafic entrant provenant d'Internet ou d'un réseau sur site se connecte à une adresse IP publique hébergée sur l'interface non sécurisée ou WAN du pare-feu FortiGate. L'adresse IP publique (réservée ou éphémère) est une adresse IP NAT gérée par Oracle associée à une adresse IP privée secondaire dans le sous-réseau non sécurisé d'Oracle Cloud Infrastructure. L'adresse IP privée secondaire (adresse IP flottante) est affectée de manière statique à l'interface non sécurisée sur FortiGate. En cas de basculement, l'adresse IP flottante se déplace vers un autre hôte avec l'adresse IP publique.

Après l'inspection des paquets, le trafic entrant laisse FortiGate via l'interface de confiance. L'adresse de destination est l'adresse IP virtuelle FortiADC déployée dans le VCN satellite du niveau d'application. FortiADC équilibre le trafic entre les serveurs d'applications Oracle E-Business Suite actifs en fonction des stratégies d'équilibreur de charge. Etant donné que ce trafic se trouve dans le VCN, le paquet passe directement à l'hôte de destination. Les flux de trafic entrants dans le modèle suivant :

FortiGate hub VCN : à partir de la VNIC non sécurisée FortiGate vers la VNIC de confiance FortiGate vers la passerelle par défaut du sous-réseau de confiance Oracle Cloud Infrastructure vers la LPG sur le sous-réseau de confiance.
Le niveau d'application a appelé VCN : de la passerelle d'appairage local sur le sous-réseau du niveau d'application vers la passerelle par défaut du sous-réseau Oracle Cloud Infrastructure FortiADC vers la carte d'interface réseau virtuelle FortiADC vers les serveurs d'applications Oracle E-Business Suite.

Pour plusieurs environnements inspectés via le même pare-feu, vous pouvez affecter plusieurs adresses IP secondaires aux interfaces non sécurisées et sécurisées (VNIC). Chaque adresse IP privée doit être utilisée comme adresse source pouvant être mise en correspondance avec une application ou un environnement cible spécifique dans vos stratégies de pare-feu. Vous pouvez également configurer une stratégie NAT de destination avec le transfert de port dans FortiGate pointant vers différentes adresses IP virtuelles ou ports pouvant représenter chaque application ou environnement de destination.

Trafic sortant Nord-Sud

Le trafic sortant du VCN du hub FortiGate est acheminé via la passerelle Internet.

Le trafic sortant des réseaux cloud virtuels par satellite vers n'importe quelle destination est acheminé de la passerelle d'appairage local VCN par satellite vers la passerelle d'appairage local appairée dans le VCN du hub. Une fois que le paquet atteint le VCN du hub, la route associée au GPL transfère le trafic vers l'adresse IP flottante FortiGate dans l'interface de confiance. A partir de là, après l'inspection, FortiGate achemine le paquet vers la passerelle par défaut du sous-réseau non sécurisé. En fonction de la table de routage du sous-réseau sécurisé, elle continue sur Internet ou sur site via la passerelle Internet.

Trafic Est-Ouest

Oracle recommande de segmenter les réseaux au niveau du VCN au lieu du niveau du sous-réseau pour pouvoir inspecter le trafic East-West car tout le trafic au sein du bloc CIDR VCN est automatiquement acheminé via la passerelle par défaut du sous-réseau Oracle Cloud Infrastructure interne et cette route ne peut pas être écrasée.

Le trafic Est-Ouest de tout VCN satellite est acheminé à partir du LPG VCN satellite vers le LPG appairé dans le VCN hub, puis vers l'IP flottante FortiGate dans l'interface de confiance. FortiGate inspecte le trafic entrant et, en fonction des stratégies de pare-feu FortiGate, définit l'adresse de destination sur l'hôte de destination dans le VCN satellite ou sur l'hôte source qui a envoyé le paquet. Le trafic laisse FortiGate via l'interface de confiance et est envoyé via la passerelle par défaut dans le sous-réseau de confiance qui transfère le paquet vers la passerelle d'appairage local appairée vers la base de données satellite ou le VCN d'application de destination.

L'architecture comporte les composants suivants :

Pare-feu de nouvelle génération Fortinet FortiGate
FortiGate est le pare-feu de nouvelle génération de Fortinet. Il fournit des services réseau et de sécurité tels que la protection contre les menaces, l'inspection SSL et une latence ultra-faible pour protéger les segments internes et les environnements stratégiques. Cette solution est disponible pour le déploiement directement sur Oracle Cloud Marketplace et prend en charge la virtualisation d'E/S à root unique (SR-IOV) pour des performances améliorées.
Fortinet FortiAnalyzer
FortiAnalyzer est un composant facultatif déployé sur le sous-réseau FortiGate qui fournit des informations de sécurité d'entreprise orientées données avec la journalisation, l'analyse et le reporting centralisés du réseau.
Fortinet FortiManager
FortiManager est un composant facultatif déployé dans le sous-réseau FortiGate qui fournit une gestion à un seul écran sur le réseau et fournit des vues en temps réel et historiques sur l'activité du réseau.
Fortinet FortiADC
Distribue le trafic entre plusieurs régions géographiques et réécrit dynamiquement le contenu en fonction du routage de stratégie afin de garantir l'équilibrage de charge des applications et des serveurs, la compression, la mise en cache, les optimisations HTTP 2.0 et HTTP PageSpeed.
Niveau d'application Oracle E-Business Suite
Composé d'un équilibreur de charge Fortinet FortiADC et d'un système de fichiers et de serveurs d'applications Oracle E-Business Suite.
Niveau de base de données Oracle E-Business Suite
Composé d'Oracle Database, sans s'y limiter, avec le service Oracle Exadata Database Cloud ou les services Oracle Database.
Région
Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).
Domaine de disponibilité
Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement ou le réseau interne du domaine de disponibilité. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.
Domaine de pannes
Un domaine de panne est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.
Réseau cloud virtuel (VCN) et sous-réseau
Un VCN est un réseau personnalisable et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux cloud virtuels traditionnels, vous bénéficiez d'un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.
VCN du hub
Le VCN du hub est un réseau centralisé où FortiGate doit être déployé et peut fournir la connectivité à tous les réseaux cloud virtuels satellite, les services Oracle Cloud Infrastructure, les adresses publiques et les clients, ainsi que les réseaux de centre de données sur site. Elle est généralement composée des sous-réseaux suivants :
- Sous-réseau de gestion : sous-réseau public dans lequel la carte d'interface réseau virtuelle principale pour FortiGate est attachée et responsable des opérations du plan de contrôle FortiGate et de l'activité de gestion générale.
- Sous-réseau non sécurisé : sous-réseau public contenant l'attachement de carte d'interface réseau virtuelle FortiGate qui sert de passerelle ou d'adresse pour la communication de trafic entrant à partir du réseau Internet public ou du centre de données on-premise du client.
- Sous-réseau sécurisé : sous-réseau privé contenant l'attachement de carte d'interface réseau virtuelle FortiGate qui transfère le trafic vers la passerelle d'appairage local attachée au VCN du hub, puis transfère le trafic vers le VCN satellite approprié. Il reçoit également des paquets entrants des réseaux cloud virtuels adressés.
- Sous-réseau haute disponibilité (HA) : sous-réseau privé contenant l'attachement de carte d'interface réseau virtuelle FortiGate dédié au trafic de pulsation ou de haute disponibilité.
VCN parlé au niveau application
Le VCN par satellite du niveau d'application contient un sous-réseau privé qui héberge les composants Oracle E-Business Suite et l'équilibreur de charge Fortinet FortiADC.
VCN appelé niveau base de données
Le VCN par satellite du niveau de base de données contient un sous-réseau privé pour l’hébergement de bases de données Oracle.
Equilibreur de charge
Le service Oracle Cloud Infrastructure Load Balancing fournit une répartition de trafic automatisée à partir d'un seul point d'entrée vers plusieurs serveurs du back-end.
Liste de sécurité
Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic qui doivent être autorisés en entrée et en sortie du sous-réseau.
Table de routage
Les tables de routage virtuel contiennent des règles permettant d'acheminer le trafic des sous-réseaux vers des destinations situées en dehors d'un VCN, généralement via des passerelles.
Passerelle Internet
La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.
Passerelle NAT (Network Address Translation)
Une passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposition à ces ressources aux connexions Internet entrantes.
Passerelle d'appairage local
Une passerelle d'appairage local permet d'appairer un VCN avec un autre VCN dans la même région. L'appairage signifie que les réseaux cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic passe par Internet ou ne passe par votre réseau sur site.
Passerelle de routage dynamique
DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre un VCN et un réseau en dehors de la région, tel qu'un VCN dans une autre région Oracle Cloud Infrastructure, un réseau sur site ou un réseau dans un autre fournisseur cloud.
Passerelle de service
La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic du VCN vers le service Oracle circule sur la structure réseau Oracle et ne parcourt jamais Internet.
VPN Connect
VPN Connect fournit une connectivité VPN IPSec site-à-site entre votre réseau sur site et vos réseaux cloud virtuels dans Oracle Cloud Infrastructure. La suite de protocoles IPSec crypte le trafic IP avant que les paquets soient transférés de la source vers la destination, et décrypte le trafic lorsqu'il arrive.
FastConnect
Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect fournit des options de bande passante plus élevée et une expérience de réseau plus fiable par rapport aux connexions Internet.
VNIC
Les services des centres de données Oracle Cloud Infrastructure disposent de cartes d'interface réseau (NIC) physiques. Les instances de machine virtuelle communiquent à l'aide de cartes d'interface réseau virtuelles (VNIC) associées aux cartes d'interface réseau physiques. Chaque instance dispose d'une VNIC principale créée et attachée automatiquement lors du lancement et disponible pendant la durée de vie de l'instance. DHCP est uniquement proposé à la carte d'interface réseau virtuelle principale. Vous pouvez ajouter des VNIC secondaires après le lancement de l'instance. Vous devez définir des adresses IP statiques pour chaque interface.
IP privées
Adresse IPv4 privée et informations associées pour l'adressage d'une instance. Chaque carte d'interface réseau virtuelle est dotée d'une adresse IP privée principale. Vous pouvez également ajouter et enlever des adresses IP privées secondaires. L'adresse IP privée principale d'une instance est attachée lors du lancement de l'instance et ne change pas pendant la durée de vie de l'instance. Les adresses IP secondaires doivent également appartenir au même CIDR que le sous-réseau de la carte d'interface réseau virtuelle. L'adresse IP secondaire est utilisée comme adresse IP flottante car elle peut se déplacer entre différentes cartes d'interface réseau virtuelles sur différentes instances au sein du même sous-réseau. Vous pouvez également l'utiliser comme adresse différente pour héberger différents services.
Adresses IP publiques
Les services réseau définissent une adresse IPv4 publique choisie par Oracle mappée avec une adresse IP privée.
- Ephémère : cette adresse est temporaire et existe pendant toute la durée de vie de l'instance.
- Réservé : cette adresse persiste au-delà de la durée de vie de l'instance. Elles peuvent être réaffectées à une autre instance.
Vérification de la source et de la destination
Chaque VNIC exécute la vérification de source et de destination sur son trafic réseau. La désactivation de cet indicateur permet à FortiGate de gérer le trafic réseau non ciblé pour le pare-feu.
Forme de calcul
La forme d'une instance de calcul indique le nombre d'UC et la quantité de mémoire allouées à l'instance. La forme de calcul détermine également le nombre de cartes d'interface réseau virtuelles et la bande passante maximale disponibles pour l'instance de calcul.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour déployer les charges de travail Oracle E-Business Suite sur Oracle Cloud Infrastructure à l'aide de Fortinet Security Fabric.

Haute disponibilité d'Oracle E-Business Suite
- Redondance du serveur d'applications : chaque niveau contient des instances redondantes de serveurs d'applications Oracle E-Business Suite que vous pouvez activer pour différents services, tels que des services d'application, des services en batch ou d'autres services, afin de fournir une haute disponibilité.
- Tolérance aux pannes : les noeuds de serveur de chaque niveau sont déployés vers différents domaines de disponibilité dans les régions comportant plusieurs domaines de disponibilité. Dans les régions à domaine de disponibilité unique, vous pouvez déployer des noeuds de serveur dans différents domaines de pannes. Toutes les instances sont configurées avec des noms d'hôte logique et reçoivent le trafic de l'équilibreur de charge.
- Redondance de base de données : pour répondre aux exigences en matière de performances et de haute disponibilité, Oracle vous recommande d'utiliser des systèmes de base de données Oracle Real Application Cluster (RAC) à deux noeuds sur Oracle Cloud Infrastructure Compute au minimum ou Oracle Database Exadata Cloud Service dans Oracle Cloud Infrastructure.
FortiGate haute disponibilité
Pour maintenir la réplication de session et reprendre la communication en cas d'interruption, déployez FortiGate en mode haute disponibilité active-passive et désactivez la vérification de la source et de la destination sur les cartes d'interface réseau virtuelles secondaires pour les interfaces de confiance et les interfaces non sécurisées. Créez une interface dédiée et un sous-réseau pour le trafic de haute disponibilité ou de pulsation.

Les adresses IP secondaires sont utilisées pendant l'événement de basculement. FortiGate appelle les API Oracle Cloud pour déplacer ces adresses IP de l'hôte FortiGate principal vers l'hôte secondaire.
FortiADC haute disponibilité
Déployez FortiADC en mode haute disponibilité active-active-VRRP, qui est basé sur le concept de protocole de redondance de routeur virtuel (VRRP), mais pas sur le protocole lui-même. Ce mode permet la synchronisation de la configuration et de la session, comme pour d'autres modes de haute disponibilité. Activez l'option Ignorer la vérification de source/destination sur les VNIC secondaires pour l'interface interne.
VCN
Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR compris dans l'espace d'adresse IP privée standard.

Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.

Une fois que vous avez créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

Utilisez un sous-réseau régional.

Vérifiez le nombre maximal de passerelles d'appairage local par VCN dans vos limites de service, au cas où vous souhaitez étendre cette architecture pour plusieurs environnements et applications.
listes de sécurité,
Utilisez des listes de sécurité pour définir des règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.

Par défaut, les règles de sécurité sont avec conservation de statut, ce qui est un mécanisme utilisé pour indiquer que vous souhaitez utiliser le suivi des connexions correspondant à cette règle. Par conséquent, la réponse du trafic est suivie et automatiquement autorisée sur l'hôte d'origine, quelles que soient les règles sortantes.

Etant donné que le pare-feu de nouvelle génération FortiGate inspecte tout le trafic, vous n'avez pas besoin d'appliquer des règles strictes via les listes de sécurité. Ils peuvent finalement être utilisés comme deuxième barrière de protection, mais cela n'est pas nécessaire. Seulement pour la gestion de la configuration FortiGate, vous créez une liste de sécurité pour autoriser le trafic SSH et HTTPS ou tout service supplémentaire éventuellement requis. Pour tout le trafic restant sur les réseaux cloud virtuels hub et satellite qui traverse le pare-feu, modifiez les listes de sécurité par défaut afin d'autoriser le trafic entrant et sortant pour tous les ports et protocoles.

FortiGate Stratégies de pare-feu

Une stratégie de pare-feu est un ensemble compartimenté d'instructions qui contrôlent le flux de trafic traversant le pare-feu. Ces instructions contrôlent l'emplacement du trafic, le mode de traitement du trafic, s'il est traité et même s'il est autorisé à passer par FortiGate. Lorsque le pare-feu reçoit un paquet de connexion, il analyse l'adresse source, l'adresse de destination et le service du paquet par numéro de port. Il enregistre également l'interface entrante et sortante. Il existe également une action d'acceptation ou de refus associée à la police. Si l'action est acceptée, la stratégie autorise les sessions de communication. Sinon, l'action de stratégie bloque les sessions de communication.

Oracle E-Business Suite requiert l'ouverture de stratégies avec les ports et le protocole suivants :

Composant	Protocole	Port
VCN de niveau application : Serveur Web	TCP/HTTPS	443
Port de saisie Web de l'application	TCP	8 8000
WebLogic Serveur d'administration	TCP	7001, 7002
Niveau base de données : TNSListener	TCP	1521-1522
MWA Telnet (en cas d'utilisation de MWA)	TCP	10200-10205
MWA Dispatcher (en cas d'utilisation de MWA)	TCP	10800
Courriel Oracle Cloud Infrastructure (en cas d'utilisation d'Oracle Email Delivery)	TCP	25 ou 587
Service File Storage (FFS) le cas échéant	TCP UDP	111, 2048, 2049 et 2050 111 et 2048

Par exemple, pour surveiller le trafic Est-Ouest, vous pouvez créer une stratégie sur l'interface de confiance FortiGate afin d'autoriser le trafic entre les niveaux application et base de données.

Vous pouvez également créer une stratégie avec le NAT de destination pointant vers une adresse IP virtuelle afin d'autoriser ou de restreindre l'accès à Oracle E-Business Suite à partir d'adresses IP source spécifiques.

FortiGate Stratégies de routage statique
Créez une route statique sur FortiGate pour chaque VCN satellite (destination) et définissez l'adresse IP de passerelle sur l'adresse de passerelle par défaut du sous-réseau sécurisé, la première adresse IP de l'hôte dans le CIDR du sous-réseau sécurisé.

Pour les connexions sortantes, créez une route statique sur FortiGate pour le trafic sortant et définissez l'adresse IP de passerelle sur l'adresse de passerelle par défaut de sous-réseau non sécurisée, la première adresse IP d'hôte dans le CIDR de sous-réseau non sécurisé.

Tables de routage VCN Oracle Cloud Infrastructure

Créez les tables de routage suivantes pour l'inspection du trafic Nord-Sud et Est-Ouest :

VCN	Nom	Destination	Type de cible	Cible	Table de routage par défaut pour le sous-réseau
FortiGate	FortiGate_Untrust-mgmt_route_table	0.0.0.0/0	Passerelle Internet	<FortiGate VCN Internet Gateway>	non sécurisé gestion
FortiGate	FortiGate_Trust-route_table	<WebApp_Tier CIDR VCN>	passerelle d'appairage local	<LPG-WebApp_Tier>
FortiGate	FortiGate_Trust-route_table	<DB_Tier CIDR VCN>	passerelle d'appairage local	<LPG-DB_Tier>
FortiGate	LPG-route_table	0.0.0.0/0	Adresse IP privée	<FortiGate Trust VNIC Private IP (adresse IP flottante)>	N/A
WebApp_Tier	Table de routage par défaut	0.0.0.0/0	N/A	<LPG-WebApp_Tier-to-Hub>	N/A
DB_Tier	Table de routage par défaut	0.0.0.0/0	N/A	<LPG-DB_Tier-to-Hub>	N/A

Passerelles d'appairage local Oracle Cloud Infrastructure VCN

Créez les passerelles d'appairage local suivantes pour permettre la communication Nord-Sud et Est-Ouest :

FortiGate Configuration LPG VCN :

Nom	Table de routage	CDIR exposé homologue	Inter-location
LPG-WebApp_Tier	LPG-route_table	WebApp_Tier CIDR VCN	Non
LPG-DB_Tier	LPG-route_table	DB_Tier CIDR VCN	Non

WebApp-Configuration LPG de niveau VCN :

Nom	Table de routage	CDIR exposé homologue	Inter-location
LPG-WebApp_Tier-to-Hub	N/A	0.0.0.0/0	Non

Configuration LPG VCN de niveau base de données :

Nom	Table de routage	CDIR exposé homologue	Inter-location
LPG-DB-Tier-to-Hub	N/A	0.0.0.0/0	Non

FortiADC équilibrage de charge du serveur
FortiADC doit être déployé dans le même VCN que le niveau d'application en mode haute disponibilité. Il doit être configuré avec une méthode de persistance spécifique, à l'aide d'en-têtes et de cookies HTTP, afin que les utilisateurs puissent conserver un état de session permanent avec les serveurs d'applications. Le type de persistance "Insérer un cookie" indique FortiADC pour insérer un cookie dans l'en-tête HTTP. Ce cookie crée un ID de session FortiADC avec le client et garantit que toutes les demandes suivantes sont transmises au même serveur d'applications Oracle E-Business Suite back-end. Après avoir créé la persistance de type "Insérer un cookie", associez-la à la configuration des serveurs virtuels.

Remarques

Lors du déploiement de charges de travail Oracle E-Business Suite dans le cloud à l'aide de Fortinet Security Fabric afin d'augmenter les options de sécurité natives fournies par Oracle Cloud Infrastructure, tenez compte des points suivants :

Performances
FortiGate est un composant clé de cette architecture et la sélection du modèle FortiGate, de la forme Compute et des options de lancement peut avoir un impact sur les performances de la charge globale. Vérifiez la liste des modèles avec leurs spécifications respectives dans la fiche technique FortiGate.
Sécurité
Pour la haute disponibilité, FortiGate utilise des groupes dynamiques IAM Oracle Cloud Infrastructure ou des clés de signature d'API pour effectuer les appels d'API en cas de basculement. Configurez des stratégies en fonction de vos exigences en matière de sécurité et de conformité.
Disponibilité
Pour garantir une disponibilité supérieure à chaque fois qu'il existe plusieurs domaines de disponibilité dans la région, déployez chaque hôte de votre cluster sur un autre domaine de disponibilité. Sinon, sélectionnez différents domaines de pannes pour augmenter la disponibilité, en fonction des règles d'anti-affinité. Cette règle est valide pour les produits Fortinet et Oracle.
Coût
Fortinet FortiGate et FortiADC sont disponibles sur Oracle Cloud Marketplace. Fortinet FortiGate est disponible sous forme d'offre BYOL (apportez votre propre licence) ou payante. Fortinet FortiADC est disponible uniquement en tant que BYOL.

déploiement

Pour déployer des charges de travail Oracle E-Business Suite dans le cloud à l'aide de Fortinet Security Fabric, procédez comme suit :

Configurez l'infrastructure réseau requise comme indiqué dans le diagramme de l'architecture. Reportez-vous à Configuration d'une topologie réseau en étoile et en étoile à l'aide de passerelles d'appairage locales.
Déployez Oracle E-Business Suite dans votre environnement.
Sélectionnez l'une des piles suivantes dans Oracle Cloud Marketplace. Pour chaque pile choisie, cliquez sur Obtenir l'application et suivez les invites à l'écran :
- Sélectionnez une version de FortiGate :
  - FortiGate Pare-feu de nouvelle génération (BYOL) 6.4.2
  - FortiGate Pare-feu de nouvelle génération (BYOL) 6.4.0
- FortiManager Sécurité centralisée
- Fourniture d'applications Fortinet FortiADC

Voir plus

Découvrez les fonctionnalités de cette architecture et les ressources associées.

Journal des modifications

Ce journal répertorie les modifications importantes :

8 octobre 2021

Diagramme d'architecture mis à jour et diagramme modifiable téléchargé

11 septembre 2020

Corrigez le diagramme d'architecture pour afficher les machines virtuelles FortiGate dans chacun des domaines de disponibilité.