PeopleSoftアーキテクチャの理解
PeopleSoftデプロイメントの様々な層について理解します。
基本ホストについて
ベース・ホストは、オプションのコンポーネントであり、ファイアウォール・ポリシーとともに使用して、データベースとアプリケーション・サーバーの管理インタフェースを外部アクセスから保護できます。基本ホストは、Linuxをオペレーティング・システムとして使用するOracle Cloud Infrastructure Computeインスタンスです。
ベース・ホストをパブリック・サブネットに置き、インターネットからアクセスするためのパブリックIPアドレスを割り当てます。
追加のセキュリティ・レベルを提供するには、オンプレミス・ネットワークのパブリックIPアドレスからのみベース・ホストにアクセスするように、セキュリティ・リストを設定します。プライベート・サブネットのOracle Cloud Infrastructureインスタンスには、ベース・ホストを介してアクセスできます。これを行うには、セキュリティ・エージェントによる転送を有効化します。これにより、ベース・ホストに接続し、コンピュータから資格証明を転送して次のサーバーにアクセスできます。また、SSHトンネリングを動的に使用して、プライベート・サブネット内のインスタンスにアクセスできます。SSHトンネリングは、Webアプリケーションまたは他のリスニング・サービスにアクセスするための手段です。動的トンネルは、ローカルポート上のSOCKSプロキシを提供しますが、接続はリモートホストからのものです。
Load Balancer層について
Oracle Cloud Infrastructure Load Balancingを使用して、VCN内の可用性ドメイン間でトラフィックをアプリケーション・インスタンスに分散します。このサービスは、ロード・バランサのプライマリおよびスタンバイ・インスタンスを提供して、プライマリ・ロード・バランサが停止した場合に、ロード・バランサがリクエストを転送するようにします。ロード・バランサにより、リクエストが正常なアプリケーション・インスタンスにルーティングされます。アプリケーション・インスタンスに問題がある場合、ロード・バランサはそのインスタンスを削除し、残りの正常なアプリケーション・インスタンスへのリクエストのルーティングを開始します。
-
インターネットからアクセスできない内部エンドポイントの場合は、プライベート・ロード・バランサを使用します。プライベート・ロード・バランサにはプライベートIPアドレスがあり、インターネットからはアクセスできません。ロード・バランサのプライマリおよびスタンバイの両方のインスタンスは、同じプライベート・サブネット内に存在します。VCN内またはDRGを通じてIPSec VPN上のデータ・センター内のプライベート・ロード・バランサにアクセスできます。プライベートのロード・バランサは、データ・センターからのトラフィックを受信し、トラフィックを基礎となるアプリケーション・インスタンスに分散します。
-
内部取引エンドポイントの場合は、パブリック・ロード・バランサを使用します。パブリック・ロード・バランサにはパブリックIPアドレスがあり、インターネットからアクセスできます。インターネット・ゲートウェイを介してインターネットからパブリック・ロード・バランサにアクセスできます。
-
内部エンドポイントおよびインターネット・サービス・エンドポイントにアクセスするために、プライベート・ロード・バランサとパブリック・ロード・バランサを設定します。内部トラフィックを提供するためのプライベート・ロード・バランサを設定し、インターネットからトラフィックを提供するためのパブリック・ロード・バランサを設定します。
アプリケーション・エンドポイントのドメインを解決するために、オンプレミスまたはパブリック・ドメイン・ネーム・サーバー(DNS)にOracle Cloud Infrastructure Load BalancingインスタンスのパブリックまたはプライベートIPアドレスを登録します。
アプリケーション層について
アプリケーション層のすべてのインスタンスは、アクティブ状態のデータベース・インスタンスに構成され、接続されます。アプリケーション層には、次のPeopleSoftインターネット・アーキテクチャ・コンポーネントが含まれています。
-
PeopleSoft Webサーバー: PeopleSoft Webサーバーは、ロード・バランサを介して、Web環境、インターネットおよびイントラネットからアプリケーション・リクエストを受信します。受信トラフィックは、ポート8000を介してロード・バランサによって分散されます。リクエストをアプリケーション・サーバーのOracle Tuxedo Joltポートに転送します。アーキテクチャ図では、高可用性をサポートするために複数のWebサーバーがデプロイされています。
-
ElasticSearchサーバー: Oracle PeopleSoft検索フレームワークには、すべてのPeopleSoftアプリケーションの検索索引を使用するための標準メソッドが用意されています。検索フレームワークはElasticSearchサーバーによって異なります。ポート9200のPeopleSoft Webサーバーと相互作用します。
-
PeopleSoftアプリケーション・サーバー: PeopleSoftアプリケーション・サーバーは、PeopleSoftシステムのワークロードの大部分を処理します。ビジネス・ロジックが実行され、Oracle Tuxedo Joltポート9000上のWebサーバーからのすべてのアプリケーション・リクエストが処理されます。アプリケーション・サーバーは、ポート1521以降のデータベースへのSQL接続のメンテナンスも担当します。アプリケーション・リクエストはWebサーバーで受信されます。これらのリクエストはアプリケーション・サーバーに転送され、アプリケーション・サーバーがSQLをデータベース・サーバーに発行します。
-
PeopleSoft Process Scheduler: NVisionなどのWindows固有のプロセスやジョブを実行するには、PeopleSoft Process Schedulerのインスタンスが必要です。このインスタンスはWindowsオペレーティング・システムにデプロイされます。
-
PeopleToolsクライアント: PeopleToolsクライアントはWindowsベースのクライアントです。これらは、PeopleTools開発環境とも呼ばれます。サポートされているMicrosoft Windowsプラットフォームで実行されるこれらのクライアントは、ポート1521またはPeopleSoftアプリケーション・サーバー(3層接続)を使用して、ポート7000を介して、クライアント接続ソフトウェア(2層接続)を使用してPeopleSoftデータベースに接続できます。PeopleToolsクライアントは、管理者による管理タスクおよび移行タスクの実行を支援するPeopleSoftインターネット・アーキテクチャの統合部分です。
PeopleSoftソフトウェアをステージングするためのOracle Cloud Infrastructure File Storageの設定。単一のファイル記憶域ファイル・システムを作成して、アプリケーション・サーバー、WebサーバーおよびElasticSearchサーバー間でソフトウェア・バイナリを共有できます。
Oracle Cloud Infrastructure Object Storageを使用して、PeopleSoftアプリケーション・インスタンスをバックアップできます。
データベース層について
高可用性を実現するために、Oracleでは次のいずれかのオプションを使用してPeopleSoftデータベース・インスタンスを設定することをお薦めします。
-
仮想マシン上の2ノードのOracle Real Application Clusters(Oracle RAC)データベース・システム。
-
Oracle Database Exadata Cloud Serviceインスタンス。このサービスは、Oracle CloudのOracle Exadata Database MachineにホストされているOracle Databaseを提供します。
データベース・システムを別のサブネットに配置します。
データベース・インスタンスは可用性が高く設定され、可用性ドメイン内のデータベースのインスタンスは両方ともアクティブです。アプリケーション層から受信したリクエストは、データベース・インスタンス間でロード・バランシングされます。1つのデータベース・インスタンスが停止している場合は、もう1つのデータベース・インスタンスがリクエストにサービスを提供します。Oracle Cloud Infrastructure Object Storageを使用すると、RMANを使用してPeopleSoftデータベースをバックアップできます。
セキュリティ・リストを使用して、データベース・サーバーへのアクセスを、ベース・ホスト、アプリケーション・サーバーおよびオンプレミス・サーバーからのみ制限します。セキュリティ・リストを設定し、アプリケーション・サーバーを介してポート22、およびポート1521を介して通信が発生するようにします。また、データベース・システムがインターネットを介してアクセスできないことも確認してください。
PeopleSoftを複数の可用性ドメインにデプロイした場合は、同期モードでOracle Active Data Guardを使用して、データベースを可用性ドメイン間でレプリケートします。Oracle Active Data Guardと通信するためにポート1521がオープンしています。Data Guardトランスポート・サービスでは、ポート1521を使用してOracle Active Data Guardのredoログ・ファイルを転送します。
セキュリティ・リストについて
Oracle Cloud Infrastructureでは、ファイアウォールのルールはセキュリティ・リストを使用して構成されます。サブネットごとに個別のセキュリティ・リストが作成されます。
Oracleでは、適切なセキュリティ・リストが各サブネットのインスタンスに割り当てられるように、データベース、アプリケーション、ロード・バランサおよびベース・ホストに個別のサブネットを作成することをお薦めします。セキュリティ・リストを使用して、異なる層間およびベース・ホストと外部ホスト間のトラフィックを許可します。セキュリティ・リストには、サブネット・レベルでトラフィックをフィルタするイングレス・ルールおよびエグレス・ルールが含まれます。また、データ転送を許可する通信ポートに関する情報も含まれます。これらのポート(または、場合によっては、セキュリティ・ルールのオープン・ポートを必要とするプロトコル)は、アーキテクチャ図の各セキュリティ・ルール行に表示されます。
各セキュリティ・リストは、インスタンス・レベルで適用されます。ただし、セキュリティ・リストをサブネット・レベルで構成する場合、特定のサブネット内のすべてのインスタンスには、同じルール・セットが適用されます。各サブネットには複数のセキュリティ・リストを関連付けることができ、各リストには複数のルールを含めることができます。リストのいずれかのルールでトラフィックが許可されている場合(またはトラフィックが追跡対象の既存の接続の一部である場合)、データ・パケットの転送は許可されます。セキュリティ・リストに加えて、iptablesを使用して、インスタンス・レベルでセキュリティの別のレイヤーを実装します。
パブリック・サブネット内のデプロイメントの場合、アプリケーションおよびデータベース・インスタンスへのインターネットからのアクセスを禁止することで、追加のセキュリティ・レベルを提供できます。カスタム・セキュリティ・リストを使用して、インターネットからアプリケーションおよびデータベース・インスタンスへのアクセスを禁止し、管理の目的でベース・ホストからポート22を介したデータベースおよびアプリケーション・ホストへのアクセスを許可します。インターネットからアプリケーションおよびデータベース・インスタンスへのSSHアクセスを有効にしないでください。ただし、ベース・ホストを含むサブネットからこれらのインスタンスへのSSHアクセスは許可できます。
プライベート・サブネット内のインスタンスには、ベース・サーバーを介してアクセスできます。
複数の可用性ドメイン・アーキテクチャには、すべての可用性ドメインのサブネット間で同じセキュリティ・リストを使用します。
Bastionホストのセキュリティ・リスト
Bastionのセキュリティ・リストを使用すると、bastionホストがポート22上のパブリック・インターネットからアクセス可能になります。
-
インターネット経由でオンプレミス・ネットワークからベース・ホストへのSSHトラフィックを許可する手順は、次のとおりです。
ステートフルイングレス:ソースCIDR 0.0.0.0/0からのTCPトラフィックおよび宛先ポート22 (SSH)へのすべてのソース・ポートを許可します。
Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22
また、インターネット上でベース・ホストがパブリック・インターネットではなく、データ・センターのポート22でのみアクセスできるように制限することもできます(0.0.0.0/0)これを実現するには、ソースCIDRのかわりに、ステートレス・イングレス・ルールの変数0.0.0.0/0を使用します。
-
ベース・ホストからOracle Cloud Infrastructure ComputeインスタンスへのSSHトラフィックを許可する手順は、次のとおりです。
ステートフル:すべてのソース・ポートからすべての宛先ポートへの宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All
Load Balancer層のセキュリティ・リスト
アーキテクチャ・ダイアグラムは、プライベート・サブネットに配置されたプライベート・ロード・バランサを示します。ロード・バランサ・インスタンスをパブリック・サブネットに配置すると、インターネット(0.0.0.0/0)からロード・バランサ・インスタンスへのトラフィックの設定が許可されます。
-
インターネットからロード・バランサへのトラフィックを許可するには:
ステートフル・イングレス:ソースCIDR (インターネット) 0.0.0.0/0からのTCPトラフィックと、宛先ポート8000/8448 (HTTP)または443 (HTTPS)へのすべてのソース・ポートを許可します。
Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443
-
オンプレミス・ネットワークからロード・バランサへのトラフィックを許可する手順は、次のとおりです。
ステートフル・イングレス:オンプレミス・ネットワークCIDRブロックとすべてのソース・ポートから宛先ポート8000/8448 (HTTP)または443 (HTTPS)へのTCPトラフィックを許可します。
Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443
-
ロード・バランサ層からアプリケーション層へのトラフィックを許可するには:
ステートフル:すべてのソース・ポートから宛先ポート8000/8448 (HTTP)への、宛先CIDR 0.0.0.0/0へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448
アプリケーション層のセキュリティ・リスト
-
ベース・ホストからアプリケーション層へのトラフィックを許可する手順は、次のとおりです。
ステートフルイングレス: TCPで宛先ポート22へのスタンバイ・ホストのソースCIDRブロックからTCPトラフィックを許可します。
Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22
-
ロード・バランサ・サブネットからアプリケーション層内のWebサーバー・サブネットへのトラフィックを許可する手順は、次のとおりです。
ステートフルイングレス:ロード・バランサ層のソースCIDRブロックから宛先ポート8000または8443へのTCPトラフィックを許可します。
Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000
または8443
-
Webサーバー・サブネットからアプリケーション・サーバー・サブネットへのトラフィックを許可する手順は、次のとおりです。
「ステートフル」: PeopleSoft WebサーバーのソースCIDRブロックから宛先ポート9033から9039までのTCPトラフィックを許可します。
Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 9033
から9039
-
Webサーバー・サブネットからElasticSearchサーバーへのトラフィックを許可する手順は、次のとおりです。
ステートフル: WebサーバーのソースCIDRブロックから宛先ポート9200へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200
-
ElasticSearchサーバーからProcess Schedulerサーバーへのトラフィックを許可するには:
ステートフル: WebサーバーのソースCIDRブロックから宛先port 3389へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389
-
アプリケーション・サーバー・サブネットからPeopleToolsクライアントへのトラフィックを許可する手順は、次のとおりです。
ステートフル: PeopleTools ClientサブネットのソースCIDRブロックから宛先port 3389へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389
-
アプリケーション層からデータベース層へのトラフィックを許可する手順は、次のとおりです。
ステートフル:アプリケーション・サーバー・サブネットのTCPトラフィック・ソースCIDRブロックを宛先ポート1521に許可します。
Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521
PeopleToolsクライアントのセキュリティ・リスト
PeopleTools ClientではWindowsオペレーティング・システムが使用されるため、このインスタンスにRDPする必要があります。
-
ベース・ホストからPeopleToolsクライアントへのトラフィックを許可するには:
「ステートフル」: RDPを使用して、TCP上のスタンバイ・ホストのソースCIDRブロックから宛先port 3389へのTCPトラフィックを許可します。
Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389
-
PeopleToolsクライアントからデータベース・サーバー・サブネットへのトラフィックを許可する手順は次のとおりです。
ステートフル: PeopleTools ClientサブネットのソースCIDRブロックから宛先ポート1521へのTCPトラフィックを許可します。
Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521
データベース層のセキュリティ・リスト
-
ベース・ホストからデータベース層へのトラフィックを許可する手順は、次のとおりです。
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22
-
アプリケーション層からデータベース層へのトラフィックを許可する手順は次のとおりです。
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521
-
データベース層からアプリケーション層へのトラフィックを許可する手順は次のとおりです。
ステートフルフル:
Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All
-
Oracle Cloud Infrastructure Object Storageへのデータベースのバックアップに対するトラフィックを許可する手順は次のとおりです。
ステートフルフル:
Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443
複数の可用性ドメイン・アーキテクチャにおいて、Oracle Active Data Guardの可用性ドメイン間でのデータベース層間のトラフィックを許可するには、次の手順を実行します。
-
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521
-
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521
-
Oracle Database Exadata Cloud Serviceシステム・プロビジョニングの場合、次の追加ルールが必要です。
-
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All
-
ステートフルイングレス:
Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All
-
ステートフルフル:
Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All
-
ステートフルフル:
Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All