1. Informazioni sulla distribuzione di PeopleSoft su Oracle Cloud Infrastructure
  2. Comprendere l'architettura di PeopleSoft

Comprendere l'architettura di PeopleSoft

Acquisire informazioni sui vari livelli di una distribuzione di PeopleSoft.

Informazioni sull'host di base

Per host di base si intende un componente facoltativo che è possibile utilizzare con i criteri firewall per proteggere le interfacce di gestione di database e Application Server dall'accesso esterno. Per host di base si intende un'istanza Oracle Cloud Infrastructure Compute che utilizza Linux come proprio sistema operativo.

Collocare l'host di base in una subnet pubblica e assegnarlo a un indirizzo IP pubblico per accedervi da Internet.

Per fornire un ulteriore livello di sicurezza, è possibile impostare elenchi di sicurezza in modo da accedere all'host di base solo dall'indirizzo IP pubblico della tua rete on premise. Puoi accedere alle istanze di Oracle Cloud Infrastructure nella subnet privata tramite l'host di base. A tale scopo, abilitare l'inoltro ssh-agent, che consente di connettersi all'host di base, quindi accedere al server successivo inoltrando le credenziali dal computer. È inoltre possibile accedere alle istanze nella subnet privata utilizzando il tunneling SSH dinamico. Il tunneling SSH consente di accedere a un'applicazione Web o a un altro servizio di ascolto. Il tunnel dinamico fornisce un proxy SOCKS sulla porta locale, ma le connessioni provengono dall'host remoto.

Informazioni sul livello del load balancer

Utilizzare il bilanciamento del carico di Oracle Cloud Infrastructure per distribuire il traffico alle istanze dell'applicazione tra domini di disponibilità all'interno di una rete VCN. Questo servizio fornisce un'istanza primaria e in standby del load balancer per garantire che, se il load balancer primario diventa inattivo, il load balancer in standby inoltra le richieste. Il load balancer garantisce che le richieste vengano instradate al buono stato delle istanze dell'applicazione. Se si verifica un problema con un'istanza dell'applicazione, il load balancer rimuove l'istanza e avvia le richieste di instradamento verso le istanze di applicazione in buono stato rimanenti.

In base alle proprie esigenze, è possibile posizionare load balancer in una subnet pubblica o privata.

  • Per gli endpoint interni, ai quali non si può accedere da Internet, utilizzare un load balancer privato. Un load balancer privato ha un indirizzo IP privato e non è accessibile da Internet. Entrambe le istanze primarie e in standby di un load balancer risiedono nella stessa subnet privata. Puoi accedere ai load balancer privati nella rete VCN o nel tuo data center tramite IPSec VPN tramite un DRG. Il load balancer privato accetta il traffico dal tuo data center e distribuisce il traffico alle istanze delle applicazioni di base.

  • Per gli endpoint intuitivi, utilizzare un load balancer pubblico. Un load balancer pubblico ha un indirizzo IP pubblico ed è accessibile da Internet. Puoi accedere ai load balancer pubblici da Internet mediante il gateway Internet.

  • Per accedere agli endpoint interni e agli endpoint destinati agli endpoint, impostare load balancer privati e load balancer pubblici. Configurare load balancer privati per fornire il traffico interno e configurare load balancer pubblici per fornire il traffico da Internet.

Registrare l'indirizzo IP pubblico o privato delle istanze di bilanciamento del carico Oracle Cloud Infrastructure nel server DNS (Domain Name Server) locale o pubblico per la risoluzione del dominio dell'endpoint dell'applicazione.

Informazioni sul livello applicazione

Tutte le istanze nel livello applicazione sono configurate e collegate a istanze di database nello stato attivo. Il livello applicazione contiene i seguenti componenti di PeopleSoft Internet Architecture:

  • Server Web di PeopleSoft: i server Web di PeopleSoft ricevono le richieste dell'applicazione dall'ambiente Web, da Internet e dall'intranet mediante il load balancer. Il traffico in entrata viene distribuito dal load balancer sulla porta 8000. Inoltra le richieste alla porta Oracle Tuxedo Jolt sull'Application Server. Nel diagramma dell'architettura sono stati distribuiti più Web server per supportare l'alta disponibilità.

  • Server ElasticSearch: la struttura di ricerca Oracle PeopleSoft fornisce un metodo standard per utilizzare gli indici di ricerca per tutte le applicazioni PeopleSoft. Il framework di ricerca dipende dai server ElasticSearch. Funziona con i Web server di PeopleSoft sulla porta 9200.

  • Application Server PeopleSoft: gli Application Server di PeopleSoft gestiscono il carico di lavoro di massa nel sistema PeopleSoft. Esegue la business logic e elabora tutte le richieste dell'applicazione provenienti dal server Web tramite le porte 9000 di Oracle Tuxedo Jolt. Il server applicazioni è inoltre responsabile della gestione della connessione SQL al database sulla porta 1521. Le richieste applicazione vengono ricevute sul server Web. Queste richieste vengono inoltrate agli Application Server, quindi gli Application Server sottomettono il codice SQL ai database server.

  • PeopleSoft Process Scheduler: è richiesta un'istanza di PeopleSoft Process Scheduler per eseguire processi o job specifici di Windows, ad esempio NVision. Questa istanza viene distribuita nel sistema operativo Windows.

  • Client di PeopleTools: i client di PeopleTools sono client basati su Windows. Vengono definiti anche ambiente di sviluppo PeopleTools. Questi client, eseguiti sulle piattaforme Microsoft Windows supportate, possono connettersi al database PeopleSoft utilizzando il software di connettività client (connessione a due livelli) sulla porta 1521 o tramite un Application Server PeopleSoft (connessione a tre livelli) sulla porta 7000. Il client PeopleTools è un componente integrato dell'architettura Internet di PeopleSoft in quanto consente agli amministratori di eseguire task di gestione e migrazione.

Impostare Oracle Cloud Infrastructure File Storage per posizionare nell'area intermedia il software PeopleSoft. È possibile creare un singolo file system di memorizzazione file per condividere i file binari del software tra Application Server, Web server e ElasticSearch.

È possibile utilizzare lo storage degli oggetti Oracle Cloud Infrastructure per eseguire il backup delle istanze dell'applicazione PeopleSoft.

Informazioni sul livello Database

Per i requisiti di alta disponibilità, Oracle consiglia di utilizzare una delle opzioni riportate di seguito per impostare le istanze del database PeopleSoft.

  • Sistemi di database Oracle Real Application Clusters (Oracle RAC) a due nodi su virtual machine.

  • Istanze Oracle Database Exadata Cloud Service. Questo servizio fornisce Oracle Database su Oracle Exadata Database Machine in Oracle Cloud.

Crea i sistemi di database in una subnet distinta.

Le istanze di database sono impostate per essere ad alta disponibilità ed entrambe le istanze del database in un dominio di disponibilità sono attive. Le richieste ricevute dal livello applicazione vengono caricate in tutte le istanze del database. Se un'istanza di database è inattiva, l'altra istanza di database gestisce le richieste. È possibile utilizzare lo storage degli oggetti Oracle Cloud Infrastructure per eseguire il backup del database PeopleSoft mediante RMAN.

Utilizzare gli elenchi di sicurezza per limitare l'accesso ai server database solo dall'host di base, dai server applicazioni e dai server in locale. Impostare gli elenchi di sicurezza per assicurarsi che la comunicazione avvenga solo sulla porta 22, tramite l'host di base e sulla porta 1521 tramite l'Application Server. Inoltre, verificare che non sia possibile accedere ai sistemi di database tramite Internet.

Se PeopleSoft è stato distribuito in più domini di disponibilità, utilizzare Oracle Active Data Guard in modalità sincrona per replicare il database tra i domini di disponibilità. La porta 1521 è aperta per la comunicazione con Oracle Active Data Guard. I servizi di trasporto Data Guard utilizzano la porta 1521 per trasmettere redo log file di Oracle Active Data Guard.

Informazioni sulle liste di sicurezza

In Oracle Cloud Infrastructure le regole firewall vengono configurate mediante elenchi di sicurezza. Per ogni subnet viene creato un elenco di sicurezza distinto.

Oracle consiglia di creare subnet separate per gli host del database, dell'applicazione, del load balancer e della base per assicurarsi che la lista di sicurezza appropriata sia assegnata alle istanze di ogni subnet. Utilizzare gli elenchi di sicurezza per consentire il traffico tra livelli diversi e tra l'host di base e gli host esterni. Gli elenchi di sicurezza contengono regole in entrata e in uscita per filtrare il traffico a livello di subnet. Contengono inoltre informazioni sulle porte di comunicazione attraverso le quali è consentito il trasferimento dei dati. Tali porte, o in alcuni casi, i protocolli che necessitano di porte aperte nelle regole di sicurezza, vengono visualizzati in ciascuna riga della regola di sicurezza nei diagrammi di architettura.

Ogni lista di sicurezza viene applicata a livello di istanza. Tuttavia, quando si configurano gli elenchi di sicurezza a livello di subnet, tutte le istanze di una determinata subnet sono soggette allo stesso set di regole. A ogni subnet possono essere associati più elenchi di sicurezza e ogni elenco può essere associato più regole. Il trasferimento di un pacchetto dati è consentito se una regola in una delle liste consente il traffico (o se il traffico fa parte di una connessione esistente di cui si tiene traccia). Oltre alle liste di sicurezza, utilizzare iptables per implementare un altro layer di sicurezza a livello di istanza.

Per le distribuzioni in una subnet pubblica, puoi fornire un ulteriore livello di sicurezza impedendo l'accesso a Internet alle istanze dell'applicazione e del database. Utilizzare una lista di sicurezza personalizzata per impedire l'accesso alle istanze dell'applicazione e del database da Internet e consentire l'accesso al database e agli host delle applicazioni sulla porta 22 dall'host di base ai fini dell'amministrazione. Non abilitare l'accesso SSH alle istanze di applicazione e di database da Internet, ma è possibile consentire l'accesso SSH a queste istanze dalla subnet che contiene l'host di base.

Puoi accedere alle istanze nella subnet privata tramite il server di base.

Per l'architettura di più domini di disponibilità, utilizzare le stesse liste di sicurezza in tutte le subnet in tutti i domini di disponibilità.

Lista di sicurezza per l'host di base

La lista di sicurezza della base consente di accedere all'host di base da Internet pubblico sulla porta 22.

  • Per consentire il traffico SSH dalla rete locale all'host di base su Internet, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dal CIDR di origine 0.0.0.0/0 e da tutte le porte di origine alla porta di destinazione 22 (SSH).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    È inoltre possibile limitare l'accesso all'host di base tramite Internet sulla porta 22 solo dal data center anziché sulla rete Internet pubblica (0.0.0.0/0). A tale scopo, utilizzare l'IP router edge anziché il CIDR di origine come 0.0.0.0/0 nella regola di ingresso con conservazione dello stato.

  • Per consentire il traffico SSH dall'host di base alle istanze di Oracle Cloud Infrastructure Compute, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente il traffico TCP al CIDR di destinazione 0.0.0.0/0 da tutte le porte di origine a tutte le porte di destinazione.

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

Lista di sicurezza per il livello del load balancer

I diagrammi di architettura mostrano i load balancer privati, che vengono posizionati in subnet private. Se si inseriscono le istanze del load balancer in una subnet pubblica, si è autorizzati a utilizzare Internet (0.0.0.0/0) per le istanze del load balancer.

  • Per consentire il traffico da Internet al load balancer, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dal CIDR di origine (Internet) 0.0.0.0/0 e da tutte le porte di origine alla porta di destinazione 8000/8448 (HTTP) o 443 (HTTPS).

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • Per consentire il traffico dalla rete locale al load balancer, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dal blocco CIDR di rete on premise e da tutte le porte di origine alla porta di destinazione 8000/8448 (HTTP) o 443 (HTTPS).

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • Per consentire il traffico dai livelli del load balancer ai livelli applicazione, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente al traffico TCP di destinazione CIDR 0.0.0.0/0 da tutte le porte di origine alla porta di destinazione 8000/8448 (HTTP).

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

Lista di sicurezza per il livello applicazione

  • Per consentire il traffico dall'host di base al livello applicazione, procedere come segue.

    Con conservazione dello stato: consente il traffico TCP dal blocco CIDR di origine dell'host bastion su TCP alla porta di destinazione 22.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Per autorizzare il traffico dalla subnet del load balancer alla subnet del server Web nel livello applicazione, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dal blocco CIDR di origine dei livelli del load balancer alla porta di destinazione 8000 o 8443.

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000 o 8443

  • Per autorizzare il traffico dalla subnet del server Web alla subnet del server applicazioni, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine dei Web server PeopleSoft alle porte di destinazione da 9033 a 9039.

    Da Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 9033 a 9039

  • Per consentire il traffico dalla subnet del server Web ai server ElasticSearch, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine dei Web server alla porta di destinazione 9200.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • Per consentire il traffico dai server ElasticSearch ai server di Process Scheduler, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine dei Web server alla porta di destinazione 3389.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Per consentire il traffico dalla subnet del server applicazioni al client PeopleTools, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine della subnet del client PeopleTools alla porta di destinazione 3389.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Per consentire il traffico dal livello applicazione al livello database, procedere come segue.

    Uscita con conservazione dello stato: consente ai blocchi CIDR di origine del traffico TCP della subnet Application Server di destinazione 1521.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Lista di sicurezza per il client PeopleTools

PeopleTools Client utilizza il sistema operativo Windows, quindi è necessario utilizzare RDP per questa istanza.

  • Per consentire il traffico dall'host di base al client PeopleTools, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine dell'host bastion su TCP alla porta di destinazione 3389 utilizzando RDP.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • Per consentire il traffico dal client PeopleTools alla subnet del database server, effettuare le operazioni riportate di seguito.

    Conferma con conservazione dello stato: consente il traffico TCP dai blocchi CIDR di origine della subnet del client PeopleTools alla porta di destinazione 1521.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

Lista di sicurezza per il livello database

  • Per consentire il traffico dall'host di base al livello del database, effettuare le operazioni riportate di seguito.

    Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • Per consentire il traffico dai livelli applicazione al livello database:

    Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • Per consentire il traffico dal livello del database al livello applicazione, procedere come segue.

    Uscita con conservazione dello stato: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • Per consentire il traffico per il backup del database nello storage degli oggetti Oracle Cloud Infrastructure, effettuare le operazioni riportate di seguito.

    Uscita con conservazione dello stato:  Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    Per l'architettura di più domini di disponibilità, in modo da consentire il traffico tra i livelli di database tra i domini di disponibilità per Oracle Active Data Guard:

    • Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Per il provisioning del sistema Oracle Database Exadata Cloud Service sono necessarie le seguenti regole aggiuntive:

  • Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Con conservazione dello stato: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Uscita con conservazione dello stato: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Uscita con conservazione dello stato: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All