Fortinet Security FabricによるOracle PeopleSoft Suiteの保護
Fortinetは、Fortinet Security FabricをOracle Cloud Infrastructureとネイティブ統合することで、オンプレミスのデータ・センターおよびクラウド環境全体でアプリケーションを保護するエンタープライズ・クラスのクラウド・セキュリティ・ソリューションを提供します。スケーラブルなパフォーマンスを提供し、高度なセキュリティ・オーケストレーションおよび統合された脅威を保護します。
企業は、PeoplesoftのワークロードをオンプレミスからOracle Cloud Infrastructureに移動または拡張することで、Fortinet Security Fabricクラウド・ソリューションを選択して、データ・センター・ネットワークに接続および拡張でき、また、Oracle Cloudネイティブ・セキュリティ・オプションを超えるワークロードを、かなりの構成、統合またはビジネス・プロセスの変更を必要とせずに保護できます。
このリファレンス・アーキテクチャは、標準のOracle PeopleSoftアプリケーション参照アーキテクチャを拡張することで、Fortinet Security Fabricソリューションを高可用性構成に実装してフェイルオーバーの保護を提供することに興味のある組織向けの、ネットワークおよびセキュリティの設計に関する推奨事項です。
アーキテクチャ
ハブアンドスポーク・トポロジは、集中ネットワーク(ハブ)を複数の有向接続ネットワーク(スポーク)に接続する従来のネットワーク・パターンです。これらのネットワーク間のトラフィックは、高可用性のFortiGate次世代ファイアウォールを通過し、セキュリティとトラフィックの検査を実施する集中管理された場所を提供します。ハブ仮想クラウド・ネットワーク(VCN)は、北東トラフィックと東トラフィックの両方の接続の中心点です。PeopleSoftアーキテクチャの各層は、独自のスポークVCNにデプロイされます。これにより、様々な層間でのすべてのパケットの移動が検査されて保護されるため、より多くの保護レイヤーによるマイクロセグメンテーションが可能になります。
このアーキテクチャでは、複数のスポークを接続するためのスケーラビリティとモジュール性の高い設計を提供でき、各スポーク・ネットワークは、Web、アプリケーション、データベースなどの1つのアプリケーション層を表します。本番、テスト、開発などの特定の1つの環境と、リージョン、オンプレミス・データ・センター、マルチ・ローンなどの異なるインフラストラクチャの両方で動作します。
FortiAnalyzerおよびFortiManagerは、FortiGateの同じサブネットにデプロイできるオプション・コンポーネントです。FortiADCは、ロード・バランシング・サービスを提供し、リクエストをPeopleSoft Web層に転送します。
次の図に、この参照アーキテクチャを示します。
図architecture-peoplesoft-fortinet-oci.pngの説明
ハブ・スポークのトポロジは、次のシナリオで実装できます。
- ローカルのピアリング・ゲートウェイ(LPG)とのトランザクションを使用して、ハブVCNとスポークvcnを接続します。
- 各スポークVCNに、各FortiGate仮想ネットワーク・インタフェース・カード(VNIC)を個別に連結します。
VNIC添付のシナリオの場合、各スポークVCNに、スポークVCNに関連付けられているFortiGate VNICプライベートIPアドレスにすべてのトラフィックを転送するルート・ルールが必要です。
LPGシナリオの場合、各スポークVCNに、すべてのトラフィックをLPGに転送するルート・ルールが必要です。LPG内では、ハブVCNに接続されたFortiGateの信頼できないIPまたは浮動IPにトラフィックを転送する別のルート・ルールが必要です。
Oracle Cloud Infrastructureは、VCN自体から宛先IPに転送されるすべてのパケットを、内部Oracle Cloudサブネットのデフォルト・ゲートウェイを介して直接宛先IPに自動的に転送するため、FortiGateは、各VCN内のトラフィックを検査しないことを検討してください。
北東インバウンド・トラフィック
インターネットまたはオンプレミス・ネットワークから発生したインバウンド・トラフィックは、FortiGateファイアウォールの信頼できないインタフェースまたは警告インタフェースにホストされているパブリックIPアドレスに接続します。パブリックIPアドレス(予約またはエフェメラル・アドレス)は、Oracleによって管理されているNAT IPアドレスであり、Oracle Cloud Infrastructureの信頼されないサブネット内のセカンダリ・プライベートIPアドレスに関連付けられています。セカンダリ・プライベートIPアドレス(浮動IP)は、FortiGateの信頼できないインタフェースに静的に割り当てられます。フェイルオーバーが発生すると、浮動IPはパブリックIPアドレスとともに別のホストに移動します。
パケットの検査後は、インバウンド・トラフィックがトラスト・インタフェースを介してFortiGateを離れます。宛先アドレスは、アプリケーション層スポークVCNにデプロイされているFortiADC仮想IPアドレスです。FortiADCは、ロード・バランサ・ポリシーに基づいて、アクティブなPeopleSoftアプリケーション・サーバー間のトラフィックのバランスを行います。このトラフィックはVCN内であるため、パケットは宛先ホストに直接移動します。次のパターンのイングレス・トラフィック・フロー
- FortiGateハブVCN: FortiGateの信頼できるVNICからOracle Cloud Infrastructure信頼サブネットへのデフォルト・ゲートウェイ、アプリケーション層に対する信頼サブネット上のLPGへのFortiGateの信頼サブネット。
- アプリケーション層スポークVCN:アプリケーション層サブネット上のLPGから、Oracle Cloud Infrastructure FortiADC VNICとPeopleSoft Webサーバー間のデフォルト・ゲートウェイへのLPG。
同じファイアウォールを介して検査された複数の環境の場合は、信頼できないインタフェースと信頼インタフェース(Vnic)の両方に複数のセカンダリIPアドレスを割り当てることができます。各プライベートIPはソース・アドレスとして使用し、ファイアウォール・ポリシー内の特定の1つのターゲット・アプリケーションまたは環境にマップできます。または、FortiGateで、個々の宛先アプリケーションまたは環境を表すことのできる様々な仮想ipまたはポートを指すポート転送を使用して、宛先NATポリシーを設定できます。
北部特別アウトバウンド・トラフィック
FortiGateハブVCNからのアウトバウンド・トラフィックは、インターネット・ゲートウェイを介してルーティングされます。
スポークVcnから任意の宛先へのアウトバウンド・トラフィックは、ハブVCNのスポークVCN LPGからピアリングLPGにルーティングされます。パケットがハブVCNに到達すると、LPGに関連付けられたルートはトラフィックを、信頼インタフェースのFortiGate浮動IPに転送します。検査後は、FortiGateによって、そのパケットが信頼性のないサブネットのデフォルト・ゲートウェイにルーティングされます。信頼サブネット・ルート表に基づいて、インターネットまたはインターネット・ゲートウェイを経由してオンプレミスへと進みます。
簡易トラフィック
Oracleでは、VCN CIDRブロック内のすべてのトラフィックが内部Oracle Cloud Infrastructureサブネットのデフォルト・ゲートウェイを介して自動的にルーティングされ、このルートは上書きできないため、サブネット・レベルではなくVCNレベルでネットワークをセグメント化することをお薦めします。
任意のスポークVCNからの簡易トラフィックは、ハブVCNのスポークVCN LPGからピアリングLPGにルーティングされ、次に信頼インタフェースでFortiGate浮動IPにルーティングされます。FortiGateは受信トラフィックを検査し、FortiGateのファイアウォール・ポリシーに基づいて、宛先アドレスをスポークVCNの宛先ホストに設定するか、パケットを送信したソース・ホストに戻します。トラフィックは、信頼インタフェースを介してFortiGateを離れ、パケットを転送する信頼サブネットのデフォルト・ゲートウェイを介して宛先のスポーク・データベースまたはアプリケーションVCNに送信されます。
アーキテクチャには次のコンポーネントがあります。
- Fortinet FortiGateの自動生成ファイアウォール
内部セグメントおよびミッション・クリティカルな環境を保護するための、脅威保護、SSL検査および極端な遅延などのネットワークおよびセキュリティ・サービスを提供します。パフォーマンス向上のために、単一ルートI/O仮想化(srv - ov)を直接サポートします。FortiGateは、Oracle Cloud Marketplaceから直接デプロイできます。
- Fortinet FortiAnalyzer
集中ネットワーク・ロギング、分析およびレポートを使用して、データ駆動型の企業セキュリティ・インサイトを提供します。
- Fortinet FortiManager
ネットワーク全体にシングル・パンのガラス管理を配信し、リアルタイムおよび履歴ビューをネットワーク・アクティビティに提供します。
- Fortinet FortiADC
複数の地理的地域間でトラフィックを分散します。ポリシー・ルーティングに基づいてコンテンツを動的にリライトし、アプリケーションおよびサーバーのロード・バランシングを保証します。また、FortiADCは圧縮、キャッシュ、HTTP 2.0およびHTTP PageSpeed最適化も処理します。
- PeopleSoft Web層
FortiADCロード・バランサ、PeopleSoft WebサーバーおよびElasticSearchサーバーで構成されています。
- PeopleSoftアプリケーション層
PeopleSoftアプリケーション・サーバーおよびPeopleSoft Process Schedulerサーバーで構成されています。
- PeopleSoftデータベース層
Oracle Databaseで構成されていますが、Oracle ExadataデータベースまたはOracle Databaseサービスに限定されていません。
- PeopleToolsクライアント層
開発、移行、アップグレードなどの管理アクティビティ用のPeopleToolsクライアント。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンからは独立しており、非常に離れても(国間または大陸間で)分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、他の可用性ドメインのリソースから分離されているため、フォルト・トレランスが実現します。可用性ドメインは、電源や冷却などのインフラストラクチャや、内部可用性ドメイン・ネットワークを共有しません。そのため、1つの可用性ドメインで障害が発生しても、そのリージョン内の他の可用性ドメインには影響しません。
- フォルト・ドメイン
フォルト・ドメインは、可用性ドメイン内のハードウェアおよびインフラストラクチャをグループ化したものです。各可用性ドメインには独立した電源とハードウェアを持つ3つの障害ドメインがあります。リソースを複数の障害ドメインに分散する場合、アプリケーションは、障害ドメイン内の物理サーバー障害、システム管理および電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)およびサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定される、カスタマイズ可能なプライベート・ネットワークです。従来のデータ・センター・ネットワークと同様に、Vcnによってネットワーク環境を完全に制御できます。Vcnをサブネット(リージョンまたは可用性ドメインにスコープ指定可能)にセグメント化できます。リージョナル・サブネットと可用性ドメイン固有のサブネットの両方が同じVCN内に共存できます。サブネットは、パブリックまたはプライベートにできます。
- Hub VCN
FortiGateをデプロイする必要がある中央ネットワーク。すべてのスポークVcn、Oracle Cloud Infrastructureサービス、パブリック・エンドポイントとクライアント、およびオンプレミス・データ・センター・ネットワークへの接続を提供できます。通常、次の4つのサブネットで構成されます。
- 管理サブネット
プライマリVNIC FortiGateが接続されているパブリック・サブネット。FortiGateの平面的な操作および一般的な管理作業を担当します。
- 信頼できないサブネット
FortiGate VNIC添付のパブリック・サブネット。インターネットまたはオンプレミス・データ・センターからのイングレス・トラフィックのゲートウェイ/エンドポイントとして機能します。
- 信頼サブネット
FortiGate VNIC添付ファイルを含むプライベート・サブネットです。Hub VCNに接続されているLPGにトラフィックを転送してから、適切なSpoke VCNに転送します。また、スポークVcnからイングレス・パケットも受信する必要があります。
- HAサブネット
FortiGate VNIC添付ファイルを含むプライベート・サブネットです。ハートビート/HAトラフィック専用です。
- 管理サブネット
- Web層スポークVCN
HAモード、PeopleSoft WebサーバーおよびPeopleSoftエラスティック検索サーバーのFortiADCロード・バランサの設定で構成される、PeopleSoft Web層のプライベート・サブネット。
- アプリケーション層スポークVCN
アプリケーション・サーバー・ホストおよびPeopleSoftツール・ホストのプライベート・サブネット。
- データベース層スポークVCN
Oracle Databasesをホストするためのプライベート・サブネットです。
- ルート表
VCNの仮想ルート表。これらには、VCNの外部の宛先(インターネット、オンプレミス・ネットワークやピアリングされたVCNなど)に、サブネットからのトラフィックをルーティングするためのルート・ルールがあります。各VCNには、ルールのないデフォルトのルート表が自動的に付属しています。
- インターネット・ゲートウェイまたはNATゲートウェイ
FortiGateで外部のパブリック・エンドポイントと通信するために、インターネット・ゲートウェイまたはNATゲートウェイのいずれかが使用されます。FortiGateでは、FastConnect接続のためにインターネット・ゲートウェイが必要ない場合に備えて、Fortinetライセンス・サーバーにアクセスするためにデプロイされたNATゲートウェイが少なくとも必要です。
- ローカル・ピアリング・ゲートウェイ
ローカル・ピアリング・ゲートウェイ(LPG)は、VCN上のコンポーネントで、同じOracle Cloud Infrastructureリージョン内のローカルでピアリングされたVCNへのトラフィックのルーティングを担当します。各ハブおよびスポークVCNには、LPGがデプロイされています。VCN 1つ当たり10 LPGアタッチメントという制限があります。
- サービス・ゲートウェイ
サービス・ゲートウェイは、Oracleサービス(インフラストラクチャ、PaaS、SaaSなど)と、ハブVCNまたはオンプレミス・ネットワークからの通信に必要です。
- 動的ルーティング・ゲートウェイ
動的ルーティング・ゲートウェイ(DRG)は、VCNリージョン外のvcnとネットワーク間のプライベート・トラフィックにパスを提供する仮想ルーターです。
- 仮想ネットワークインタフェースカード(Vnic)
Oracle Cloud Infrastructureデータ・センターのサービスには、物理ネットワーク・インタフェース・カード(nic)があります。仮想マシン・インスタンスは、物理Nicに関連付けられた仮想nic (vnic)を使用して通信します。各インスタンスには、起動時に自動的に作成およびアタッチされるプライマリVNICがあり、インスタンスの存続期間中に使用できます。DHCPは、プライマリVNICにのみ提供されます。インスタンスの起動後にセカンダリVnicを追加でき、静的ipはインタフェースごとに設定する必要があります。
- プライベートIPアドレス
インスタンスのアドレス指定に使用されるプライベートIPv4アドレスと関連情報。各VNICにはプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの起動時にアタッチされ、インスタンスの存続期間中は変更されません。セカンダリIpは、VNICのサブネットの同じCIDRにも属している必要があります。セカンダリIPは、同じサブネット内の異なるインスタンス上の異なるvnic間で移動できるため、浮動IPとして使用されます。異なるサービスをホストする別のエンドポイントとして使用することもできます。
- パブリックIPアドレス
ネットワーク・サービスは、プライベートIPにマップされるOracleによって選択されるパブリックIPv4アドレスを定義します。
- 一時的:このアドレスは一時的なもので、インスタンスの存続期間中存在します。
- 予約済:このアドレスは永続的であり、インスタンスの存続期間外に存在します。割当てを解除して別のインスタンスに再割当てできます。
- ソースおよび宛先のチェック
すべてのVNICは、そのネットワーク・トラフィックに対してソース・チェックと宛先チェックを実行します。このフラグを無効にすると、FortiGateでは、ファイアウォールをターゲットとしないネットワーク・トラフィックを処理できます。
- 「セキュリティ」リスト
サブネットごとに、サブネット内外で許可する必要があるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- コンピュート・シェイプ
「計算」で、形状によって、インスタンスに割り当てられるCpu数およびメモリー量が指定されます。コンピュート・シェイプによって、コンピュート・インスタンスで使用可能なVnicの数と最大帯域幅も決定されます。
推奨
要件は、ここで説明するアーキテクチャとは異なる場合があります。次の推奨事項を出発点として使用してください。
- PeopleSoftの高可用性
- PeopleSoft層ごとのアクティブ/アクティブ・サーバー冗長性
各層には、高可用性を提供するために、PeopleSoftアプリケーション・サーバー、PeopleSoft Webサーバー、ElasticSearchサーバーおよびPeopleSoft Process Schedulerの冗長インスタンスが含まれています。
- フォルト・トレランス
フォルト・トレランスは、各層のサーバー(ノード)を、複数のAdがあるリージョンにある別のアベイラビリティ・ドメインにデプロイすることで実現されます。単一のADリージョンでは、サーバー・ノードを異なるフォルト・ドメインにデプロイします。すべてのPeopleSoftインスタンスはアクティブであり、ロード・バランサからトラフィックを受信します
- RACデータベースを使用したデータベース層の冗長性
この階層には、データベース・システム・インスタンスが含まれます。パフォーマンスおよびHAの要件については、Oracleでは、Oracle Cloud Infrastructureで2ノードのOracle Real Application Clusters (RAC)データベース・システムまたはOracle Database Exadata Cloud Serviceを使用することをお薦めします。
- PeopleSoft層ごとのアクティブ/アクティブ・サーバー冗長性
- FortiGate高可用性
セッション・レプリケーションを維持し、中断された場合に通信を再開するには、FortiGateをアクティブ/パッシブ高可用性モードでデプロイし、セカンダリvnicで信頼および非信頼インタフェースの両方についてソースと宛先のチェックを無効にします。高可用性またはハートビートのトラフィック用に専用インタフェースおよびサブネットを作成します。
セカンダリIpは、フェイルオーバー・イベント時に使用されます。FortiGateはOracle Cloud apiをコールして、これらのipをプライマリからセカンダリFortiGateホストに移動します。
- FortiADCの高可用性
VRRPの概念に基づくが、VRRPプロトコル自体ではないアクティブ/アクティブ/rrp HAモードでFortiADCをデプロイします。このモードでは、その他のHAモードと同様に、構成の同期とセッションの同期が可能です。内部インタフェースのセカンダリVnicでソース/宛先のスキップ・チェックを有効にします。
- VCN
VCNの作成時に、各サブネットのクラウド・リソースが必要とするIPアドレスの数を決定します。Classless Inter - Domain Routing (CIDR)表記を使用して、必要なIPアドレスに対して十分な大きさのサブネット・マスクおよびネットワーク・アドレス範囲を指定します。標準のプライベートIPアドレス空間内のアドレス範囲を使用します。
プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ内)と重複しないアドレス範囲を選択してください。
VCNの作成後は、アドレス範囲を変更することはできません。
サブネットを設計する場合、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能する同じサブネットにアタッチします。
- 「セキュリティ」リスト
セキュリティ・リストは、ネットワーク内のパケット・レベルでトラフィックを制御するために使用される仮想ファイアウォールとして機能します。トラフィックは、リストのいずれかのルールでトラフィックが許可されている場合にのみ許可されます。デフォルトでは、セキュリティ・ルールはステートフルです。これは、そのルールに一致する接続トラッキングを使用することを示すメカニズムです。したがって、トラフィックのレスポンスは、エグレス・ルールに関係なく、元のホストに自動的にトラッキングされ、返されます。
すべてのトラフィックはFortiGateの「次へ」ファイアウォールによって検査されるため、セキュリティ・リストを介して厳密なルールを施行する必要はありません。最終的には2番目の保護よりも利用されますが、これは必須ではありません。FortiGate構成の管理のためだけ、SSHおよびHTTPSトラフィックや必要な追加サービスを許可するセキュリティ・リストを作成します。ファイアウォールを通過するハブおよびスポークVcn全体の残りのトラフィックすべてについて、すべてのポート/プロトコルのイングレス・トラフィックおよびエグレス・トラフィックを許可するように、デフォルトのセキュリティ・リストを変更する必要があります。
- FortiGateファイアウォール・ポリシー
ファイアウォール・ポリシーは、ファイアウォールを通過するトラフィックのフローを制御する命令の組合せセットです。これらの指示によって、トラフィックの場所、処理方法、処理されるかどうか、FortiGateを通過できるかどうかなどが制御されます。ファイアウォールは接続パケットを受信すると、パケットの発信元アドレス、宛先アドレスおよびサービスをポート番号で分析します。また、受信および送信インタフェースも登録されます。ポリシーに関連付けられたアクション(受入れまたは拒否)もあります。アクションが受け入れられる場合、ポリシーは通信セッションを許可します。そうでない場合、ポリシー・アクションは通信セッションをブロックします。
PeopleSoftでは、次のポートおよびプロトコルを持つポリシーを開く必要があります。
層 コンポーネント プロトコル ポート Web層 Webサーバー TCP/HTTPS 443 (PIA) Web層 Webサーバー TCP 22 (SSH) Web層 Elasticsearch TCP 9200 アプリケーション層 JSL TCP 9033-9040 データベース層 TNSListener TCP 1521–1522 クライアント層 PeopleToolsクライアントVM TCP/UDP 10200–10205 簡易トラフィックの場合は、次のトラフィック・パターンを考慮します。
トラフィック・フロー コンポーネント名 プロトコル/ポート Web層とアプリケーション層 JSL TCP/443 アプリケーション層とデータベース層 TNSListener TCP/1521 -1522 クライアント層とWeb層 SSH TCP/22 クライアント層とアプリケーション層 SSH TCP/22 クライアント層とアプリケーション層 JOTL/JSL TCP/9033 -9040 クライアント層とデータベース層 TCP TCP/1521 -1522 たとえば、FortiGate信頼インタフェース上に、Web層とアプリケーション層の間およびアプリケーション層とデータベース層との間のトラフィックを許可するポリシーを作成できます。
また、特定のソースIPアドレスまたはネットワークからPeopleSoftスイートへのアクセスを許可または制限するために、仮想IPアドレスを指定したポリシーを作成することもできます。
- FortiGateの静的ルートポリシー
各スポークVCN (宛先アドレス/ネットワーク)用のFortiGateの静的ルートを作成し、ゲートウェイIPを信頼サブネットのデフォルトのゲートウェイ・アドレス(信頼サブネットCIDRの最初のホストIPアドレス)に設定します。
アウトバウンド接続の場合、FortiGateでアウトバウンド・トラフィック用の静的ルートを作成し、ゲートウェイIPを信頼できないサブネットのデフォルトのゲートウェイ・アドレス(信頼されないサブネットCIDRの最初のホストIP追加アドレス)に設定します。
- Oracle Cloud Infrastructure VCNルート表
次のルート表は、北東部および東トラフィックの検査用に作成する必要があります。
VCN 名前 宛先 ターゲット・タイプ ターゲット サブネットのデフォルト・ルート表 FortiGate FortiGate_Untrust - mgmt_route_table 0.0.0.0/0 インターネット・ゲートウェイ < FortiGate VCN Internet Gateway > 信頼できない管理 FortiGate FortiGate_Trust - route_table <Web_Tier VCN CIDR > ローカル・ピアリング・ゲートウェイ < LPG - Web_Tier> 該当なし FortiGate FortiGate_Trust - route_table <Application_Tier VCN CIDR > ローカル・ピアリング・ゲートウェイ < LPG - Application_Tier> 該当なし FortiGate FortiGate_Trust - route_table <DB_Tier VCN CIDR > ローカル・ピアリング・ゲートウェイ < LPG - DB_Tier> 該当なし FortiGate FortiGate_Trust - route_table <Client_Tier VCN CIDR > ローカル・ピアリング・ゲートウェイ < LPG - Client_Tier> 該当なし FortiGate LPG - route_table 0.0.0.0/0 プライベートIP < FortiGate Trust VNIC Private IP (浮動IP) > 該当なし Web_Tier デフォルトルート表 0.0.0.0/0 該当なし < LPG -Web_Tierからハブ> 該当なし Application_Tier デフォルトルート表 0.0.0.0/0 該当なし < LPG -Application_Tierからハブ> 該当なし DB_Tier デフォルトルート表 0.0.0.0/0 該当なし < LPG -DB_Tierからハブ> 該当なし Client_Tier デフォルトルート表 0.0.0.0/0 該当なし < LPG -Client_Tierからハブ> 該当なし - Oracle Cloud Infrastructure VCNローカル・ピアリング・ゲートウェイ
北東部および東部のコミュニケーションを可能にするには、次のLPGsを作成する必要があります
- FortiGate VCN LPGの設定
名前 ルート・テーブル ピア通知CIDR クロス・テナンシ LPG - Web層 LPG - route_table <Web_Tier VCN CIDR > なし Lpg -アプリケーション層 LPG - route_table <Application_Tier VCN CIDR > なし Lpg - db -階層 LPG - route_table <DB_Tier VCN CIDR > なし Lp - gクライアント層 LPG - route_table <Client_Tier VCN CIDR > なし - Web層VCN LPGセットアップ
名前 ルート・テーブル ピア通知CIDR クロス・テナンシ LPG - Web - Tier - to - Hub 該当なし 0.0.0.0/0 なし - アプリケーション層のVCN LPGの設定
名前 ルート・テーブル ピア通知CIDR クロス・テナンシ Lpg - Application - Tier - Hub 該当なし 0.0.0.0/0 なし - データベース層のVCN LPGの設定
名前 ルート・テーブル ピア通知CIDR クロス・テナンシ Lpg - db - ier - to - Hub 該当なし 0.0.0.0/0 なし - クライアント層VCN LPGの設定
名前 ルート・テーブル ピア通知CIDR クロス・テナンシ Lp - client - to - Hub 該当なし 0.0.0.0/0 なし
- FortiGate VCN LPGの設定
- FortiADCサーバーのロード・バランシング
FortiADCは、HAモードのアプリケーション層と同じVCN内にデプロイする必要があります。FortiADCでセッション永続Cookie (レイヤー4)を作成し、アプリケーション層ホスト間でトラフィックを分散します。
FortiADCでは、HTTPヘッダーおよびCookieとともにセッション・ステートを使用して、ユーザーおよびサーバーを永続的に保つ必要があります。このため、HTTPヘッダー内にCookieを挿入するには、永続性タイプ「Cookieの挿入」を作成して、セッション状態情報が常駐する特定のPeopleSoft Webサーバー・ホストにユーザーがダイレクトされるようにします。
注意事項
- パフォーマンス
FortiGateはこのアーキテクチャのキー・コンポーネントであり、FortiGateモデルの選択、コンピュート・シェイプおよび起動オプションがワークロードのパフォーマンスに影響を与えます。FortiGateデータ・シートで、モデルのリストとその詳細を検証します。
- セキュリティ
FortiGateは、フェイルオーバーのイベントでAPIコールを実行するために、OCI IAM動的グループまたはAPI署名キーのいずれかを使用します。セキュリティおよびコンプライアンスの要件に基づいてポリシーを設定します。
- 可用性
リージョンに複数の可用性ドメインがあるときに可用性を高めるためには、クラスタの各ホストを別のADにデプロイします。それ以外の場合は、別のフォルト・ドメインを選択して、アンチアフィニティ・ルールに従って可用性を増やします。このルールは、Fortinet製品およびOracle製品の両方に対して有効です。
- コスト
Oracle Cloud Infrastructure Marketplaceでは、Fortinet、FortiGateおよびFortiADCを使用できます。
Fortinet FortiGateは、BYOLまたは有料オファリングとして使用できます。
Fortinet FortiADCは、BYOLとしてのみ使用できます。