Fortinet Security FabricでOracle E-Business Suiteワークロードを保護
Fortinet Security Fabricを使用してOracle E-Business Suiteのワークロードをクラウドに移動または拡張し、重要な構成、統合またはビジネス・プロセスの変更なしでOracle Cloud Infrastructureによって提供されるネイティブ・セキュリティ・オプションを補強します。
クラウドのセキュリティは、共有責任モデルに基づいています。Oracleは、データ・センター施設や、クラウドの運用やサービスを管理するためのハードウェアやソフトウェアなど、基礎となるインフラストラクチャのセキュリティに対して責任を負います。お客様は、コンプライアンス義務を遵守するために、ワークロードを保護し、サービスやアプリケーションを安全に構成します。
Oracle Cloud Infrastructureは、エンタープライズ・クラウド・サービスを保護するために、クラス最高のセキュリティ・テクノロジおよび操作プロセスを提供します。Fortinetは、Oracle Cloud Infrastructureとのネイティブ統合を含むようにFortinet Security Fabricを拡張する、エンタープライズクラスのクラウド・セキュリティ・ソリューションを提供します。
連携して、オンプレミスのデータ・センターやクラウド環境全体でアプリケーションを保護し、スケーラブルなパフォーマンスと高度なセキュリティ・オーケストレーションを実現し、統合された脅威保護を実現しています。
アーキテクチャ
このアーキテクチャは、ハブおよびスポーク・ネットワーク・トポロジ内のFortinet Security Fabricを使用してクラウドでOracle E-Business Suiteワークロードをデプロイし、Oracle Cloud Infrastructureが提供するネイティブ・セキュリティ・オプションを拡張します。
ハブスポーク・トポロジは、集中管理ネットワーク(ハブ)を複数のダイレクト接続ネットワーク(スポーク)に接続するネットワーク・パターンです。これらのネットワーク間のトラフィックは、可用性の高いFortiGate次世代ファイアウォールを経由して、一元化された場所によるセキュリティおよびトラフィックの検査を実施します。ハブ仮想クラウド・ネットワーク(VCN)は、ネットワーク(南北トラフィック)とネットワーク(東西トラフィック)内のトラフィック(東西トラフィック)を送受信するトラフィックの中心の接続ポイントです。Oracle E-Business Suiteアーキテクチャの各層は、独自のスポークVCNにデプロイされるため、異なる層間を移動するすべてのパケットは検査および保護できるため、より保護レイヤーのマイクロ・セグメンテーションが可能になります。
このアーキテクチャは、複数のスポークを接続するための拡張性とモジュール設計であり、各スポーク・ネットワークは通常、アプリケーション、データベースなどの特定のアプリケーション層を表します。開発、テスト、本番など様々な環境、およびリージョン、オンプレミス・データ・センター、複数のクラウドなどの異なるインフラストラクチャでアーキテクチャを使用できます。
次の図は、このリファレンス・アーキテクチャを示しています。
ebs-fortinet-oci-architecture.zip
ハブ・トポロジとスポーク・トポロジは、様々な方法で実装できます。
-
ローカル・ピアリング・ゲートウェイ(LPG)との転送ルーティングを利用して、スポークVCNをハブVCNに接続します。
各スポークVCNには、すべてのトラフィックをLPGに転送するルート・ルールが必要です。LPG内では、トラフィックをハブVCNにアタッチされたFortiGate(浮動IP)の非信頼IPアドレスに転送する別のルート・ルールが必要です。
-
各スポークVCNに各FortiGate仮想ネットワーク・インタフェース・カード(VNIC)をアタッチします。
各スポークVCNには、すべてのトラフィックをスポークVCNにアタッチされたFortiGate VNICプライベートIPアドレスに転送するルート・ルールが必要です。
各VCN (宛先IPがVCN CIDR範囲内にある)内のトラフィックは、Oracle Cloud Infrastructureは、VCN自体が内部Oracle Cloud Infrastructureサブネットのデフォルト・ゲートウェイを介してVCN自体を経由するすべてのパケットを宛先IPに直接転送するため、FortiGateによって検査されないようにすることを検討してください。
北南の着信トラフィック
インターネットまたはオンプレミス・ネットワークのいずれかから発生するインバウンド・トラフィックは、FortiGateファイアウォールの非信頼またはWANインタフェースでホストされるパブリックIPアドレスに接続します。パブリックIPアドレス(予約済またはエフェメラル)は、Oracleによって管理されるNAT IPアドレスで、Oracle Cloud Infrastructure上の信頼されないサブネット内のセカンダリ・プライベートIPアドレスに関連付けられます。セカンダリ・プライベートIPアドレス(変動IP)は、FortiGateの信頼性の低いインタフェースに静的に割り当てられます。フェイルオーバーが発生した場合、フローティングIPはパブリックIPアドレスとともに別のホストに移動します。
パケットの検査後、インバウンド・トラフィックは信頼インタフェースを介してFortiGateのままになります。宛先アドレスは、アプリケーション層スポークVCNにデプロイされたFortiADC仮想IPアドレスです。FortiADCは、ロード・バランサ・ポリシーに基づいて、アクティブなOracle E-Business Suiteアプリケーション・サーバー間のトラフィックのバランスを保ちます。このトラフィックはVCN内にあるため、パケットは宛先ホストに直接送信されます。イングレス・トラフィックは次のパターンで流れます。
- FortiGateハブVCN: FortiGate信頼性の低いVNICからFortiGate信頼VNIC、Oracle Cloud Infrastructure信頼サブネットのデフォルト・ゲートウェイから信頼サブネット上のLPGへ。
- アプリケーション層がVCNのスポーク:アプリケーション層サブネットのLPGからOracle Cloud Infrastructure FortiADCサブネットのデフォルト・ゲートウェイ、FortiADC VNICからOracle E-Business Suiteアプリケーション・サーバーへ。
同じファイアウォールを介して検査される複数の環境では、複数のセカンダリIPアドレスを信頼できないインタフェース(VNIC)の両方に割り当てることができます。各プライベートIPは、ファイアウォール・ポリシーの1つの特定のターゲット・アプリケーションまたは環境にマップできるソース・アドレスとして使用する必要があります。または、個別の宛先アプリケーションまたは環境を表す様々な仮想IPまたはポートを指すFortiGateで、ポート転送を使用して宛先NATポリシーを設定できます。
北南の発信トラフィック
FortiGateハブVCNからのアウトバウンド・トラフィックは、インターネット・ゲートウェイを介してルーティングされます。
スポークVCNから任意の宛先へのアウトバウンド・トラフィックは、スポークVCN LPGからハブVCNのピアリングされたLPGにルーティングされます。パケットがハブVCNに到達すると、LPGに関連付けられたルートがトラフィックを信頼インタフェース内のFortiGateフローティングIPに転送します。ここで検査後、FortiGateはパケットを信頼できないサブネットのデフォルトゲートウェイにルーティングします。信頼サブネットのルート表に基づいて、インターネットまたはオンプレミスにインターネット・ゲートウェイを経由し続けます。
東西交通
Oracleでは、VCN CIDRブロック内のすべてのトラフィックが内部Oracle Cloud Infrastructureサブネットのデフォルト・ゲートウェイを通じて自動的にルーティングされ、このルートは上書きできないため、サブネット・レベルではなくVCNレベルでネットワークをセグメント化することをお薦めします。
スポークVCNからの東西トラフィックは、スポークVCN LPGからハブVCN内のピアリングされたLPGにルーティングされ、信頼インタフェース内のFortiGateフローティングIPにルーティングされます。FortiGateは、受信トラフィックを検査し、FortiGateファイアウォール・ポリシーに基づいて、宛先アドレスをスポークVCN内の宛先ホストに設定するか、パケットを送信したソース・ホストに戻します。トラフィックは信頼インタフェースを介してFortiGateを離れ、宛先スポーク・データベースまたはアプリケーションVCNにピアリングされたLPGにパケットを転送する信頼サブネットのデフォルト・ゲートウェイを介して送信されます。
このアーキテクチャには次のコンポーネントがあります。
- Fortinet FortiGate次世代ファイアウォール
FortiGateは、Fortinetの次世代ファイアウォールであり、脅威からの保護、SSL検査、内部セグメントおよびミッションクリティカルな環境を保護するための超低レイテンシなどのネットワークおよびセキュリティ・サービスを提供します。このソリューションは、デプロイメント・ダイレクト・フォームOracle Cloud Marketplaceで使用でき、パフォーマンスを向上させるために直接シングル・ルートI/O仮想化(SR-IOV)をサポートします。
- Fortinet FortiAnalyzer
FortiAnalyzerは、FortiGateサブネットにデプロイされたオプションのコンポーネントで、集中化されたネットワーク・ロギング、アナリティクスおよびレポートによりデータ駆動型のエンタープライズ・セキュリティ・インサイトを提供します。
- Fortinet FortiManager
FortiManagerは、FortiGateサブネットにデプロイされたオプションのコンポーネントで、ネットワーク全体でのシングル・ペイン・オブ・グラス管理を提供し、ネットワーク・アクティビティにリアルタイムかつ履歴ビューを提供します。
- Fortinet FortiADC
複数の地理的リージョンにトラフィックを分散し、ポリシー・ルーティングに基づいてコンテンツを動的にリライトすることで、アプリケーションとサーバーのロード・バランシング、圧縮、キャッシュ、HTTP 2.0およびHTTP PageSpeedの最適化を実現します。
- Oracle E-Business Suiteアプリケーション層
Fortinet FortiADCロード・バランサとOracle E-Business Suiteアプリケーション・サーバーおよびファイル・システムで構成されます。
- Oracle E-Business Suiteデータベース層
Oracle Databaseから構成されるが、Oracle Exadata Database CloudサービスまたはOracle Databaseサービスのみ。
- リージョン
Oracle Cloud Infrastructureリージョンは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立し、広大な距離(国または大陸間)を分離できます。
- 可用性ドメイン
可用性ドメインは、リージョン内のスタンドアロンの独立したデータ・センターです。各可用性ドメインの物理リソースは、フォルト・トレランスを提供する他の可用性ドメインのリソースから分離されます。可用性ドメインでは、電源や冷却、内部の可用性ドメイン・ネットワークなどのインフラストラクチャは共有されません。そのため、ある可用性ドメインでの障害が、リージョン内の他の可用性ドメインに影響することはほとんどありません。
- フォルト・ドメイン
フォルト・ドメインは、アベイラビリティ・ドメイン内のハードウェアおよびインフラストラクチャのグループ。各可用性ドメインには、独立した電源とハードウェアを備えた3つのフォルト・ドメインがあります。複数のフォルト・ドメインにリソースを分散すると、アプリケーションは物理サーバーの障害、システム・メンテナンスおよびフォルト・ドメイン内の電源障害を許容できます。
- 仮想クラウド・ネットワーク(VCN)とサブネット
VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。VCNは、従来のデータ・センター・ネットワークと同様に、ネットワーク環境を完全に制御できます。VCNには複数の重複しないCIDRブロックを含めることができ、VCNの作成後に変更できます。VCNをサブネットに分割できます。サブネットは、リージョンまたは可用性ドメインにスコープ指定できます。各サブネットは、VCN内の他のサブネットと重複しない連続したアドレスの範囲で構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックまたはプライベートにできます。
- Hub VCN
ハブVCNは一元化されたネットワークで、FortiGateをデプロイし、すべてのスポークCN、Oracle Cloud Infrastructureサービス、パブリック・エンドポイントとクライアント、およびオンプレミス・データ・センター・ネットワークへの接続を提供できます。通常、次のサブネットで構成されます。
- 管理サブネット: FortiGateのプライマリVNICがアタッチされ、FortiGateコントロール・プレーン操作および一般管理アクティビティを担当するパブリック・サブネット。
- 信頼できないサブネット:パブリック・インターネットまたは顧客のオンプレミス・データ・センターからのイングレス・トラフィック通信のゲートウェイまたはエンドポイントとして機能するFortiGate VNICアタッチメントを含むパブリック・サブネット。
- 信頼サブネット:ハブVCNにアタッチされたLPGにトラフィックを転送し、適切なスポークVCNにトラフィックを転送するFortiGate VNICアタッチメントを含むプライベート・サブネット。また、スポークVCNから受信パケットも受信します。
- 高可用性(HA)サブネット:ハートビートまたは高可用性トラフィック専用のFortiGate VNICアタッチメントを含むプライベート・サブネット。
- アプリケーション層スポークVCN
アプリケーション層スポークVCNには、Oracle E-Business SuiteコンポーネントとFortinet FortiADCロード・バランサをホストするプライベート・サブネットが含まれています。
- データベース層がVCNをスポーク
データベース層スポークVCNには、Oracleデータベースをホスティングするためのプライベート・サブネットが含まれています。
- ロード・バランサ
Oracle Cloud Infrastructure Load Balancingサービスは、バックエンド内の単一エントリ・ポイントから複数のサーバーへの自動トラフィック分散を提供します。
- セキュリティ・リスト
サブネットごとに、サブネット内外で許可されるトラフィックのソース、宛先およびタイプを指定するセキュリティ・ルールを作成できます。
- ルート表
仮想ルート表には、サブネットからVCNの外部の宛先(通常はゲートウェイ経由)にトラフィックをルーティングするルールが含まれています。
- インターネット・ゲートウェイ
インターネット・ゲートウェイを使用すると、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックが許可されます。
- ネットワーク・アドレス変換(NAT)ゲートウェイ
NATゲートウェイを使用すると、VCN内のプライベート・リソースで、それらのリソースを受信インターネット接続に公開することなく、インターネット上のホストにアクセスできます。
- ローカル・ピアリング・ゲートウェイ(LPG)
LPGを使用すると、1つのVCNを同じリージョン内の別のVCNとピア接続できます。ピアリングとは、トラフィックがインターネットをトラバースしたり、オンプレミス・ネットワークを介してルーティングすることなく、VCNがプライベートIPアドレスを使用して通信することを意味します。
- 動的ルーティング・ゲートウェイ(DRG)
DRGは、VCNとリージョン外のネットワーク間のプライベート・ネットワーク・トラフィックのパス(別のOracle Cloud Infrastructureリージョン内のVCN、オンプレミス・ネットワーク、または別のクラウド・プロバイダのネットワークなど)を提供する仮想ルーターです。
- サービス・ゲートウェイ
サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。VCNからOracleサービスへのトラフィックは、Oracleネットワーク・ファブリック上を移動し、インターネットを通過することはありません。
- VPN接続
VPN接続は、オンプレミス・ネットワークとOracle Cloud InfrastructureのVCN間にサイト間IPSec VPN接続を提供します。IPSecプロトコル・スイートは、パケットがソースから宛先に転送される前にIPトラフィックを暗号化し、到着時にトラフィックを復号化します。
- FastConnect
Oracle Cloud Infrastructure FastConnectは、データ・センターとOracle Cloud Infrastructure間の専用のプライベート接続を簡単に作成する方法を提供します。FastConnectは、高帯域幅オプションを提供し、インターネットベースの接続と比較してより信頼性の高いネットワーク・エクスペリエンスを提供します。
- 仮想ネットワークインタフェースカード(VNIC)
Oracle Cloud Infrastructureデータ・センターのサービスには、NIC (物理ネットワーク・インタフェース・カード)があります。仮想マシン・インスタンスは、物理NICに関連付けられた仮想NIC (VNIC)を使用して通信します。各インスタンスには、起動時に自動的に作成およびアタッチされるプライマリVNICがあり、インスタンスの存続期間中に使用できます。DHCPはプライマリVNICにのみ提供されます。インスタンスの起動後にセカンダリVNICを追加できます。インタフェースごとに静的IPを設定する必要があります。
- プライベートIP
インスタンスのアドレス指定に関するプライベートIPv4アドレスおよび関連情報。各VNICにはプライマリ・プライベートIPがあり、セカンダリ・プライベートIPを追加および削除できます。インスタンスのプライマリ・プライベートIPアドレスは、インスタンスの起動時にアタッチされ、インスタンスの存続期間中は変更されません。セカンダリIPもVNICのサブネットの同じCIDRに属している必要があります。セカンダリIPは、同じサブネット内の異なるインスタンス上の異なるVNIC間で移動できるため、浮動IPとして使用されます。別のサービスをホストするための別のエンドポイントとして使用することもできます。
- パブリックIP
ネットワーク・サービスは、プライベートIPにマップされるOracleによって選択されたパブリックIPv4アドレスを定義します。
- 一時的:このアドレスは一時的なもので、インスタンスの存続期間中存在します。
- 予約済:このアドレスはインスタンスの存続期間を超えて持続します。割当てを解除し、別のインスタンスに再割当てできます。
- ソースおよび宛先チェック
すべてのVNICがネットワーク・トラフィックに対してソースおよび宛先チェックを実行します。このフラグを無効にすると、FortiGateはファイアウォールのターゲットになっていないネットワーク・トラフィックを処理できます。
- コンピュート・シェイプ
コンピュート・インスタンスのシェイプでは、CPUの数およびインスタンスに割り当てるメモリー量を指定します。コンピュート・シェイプによって、コンピュート・インスタンスで使用可能なVNICの数および最大帯域幅も決まります。
推奨
Fortinet Security Fabricを使用してOracle E-Business SuiteワークロードをOracle Cloud Infrastructureにデプロイするための開始点として、次の推奨事項を使用します。
- Oracle E-Business Suiteの高可用性
-
アプリケーション・サーバーの冗長性:各層には、Oracle E-Business Suiteアプリケーション・サーバーの冗長インスタンスが含まれており、このインスタンスによって、様々なサービス(アプリケーション・サービス、バッチ・サービス、その他のサービスなど)に対して有効化して高可用性を実現できます。
-
フォルト・トレランス:各層のサーバー・ノードは、複数の可用性ドメインがあるリージョン内の異なる可用性ドメインにデプロイされます。単一可用性ドメイン・リージョンでは、サーバー・ノードを異なるフォルト・ドメインにデプロイできます。すべてのインスタンスは論理ホスト名で構成され、ロード・バランサからのトラフィックを受信します。
-
データベースの冗長性: パフォーマンスおよび高可用性の要件のために、Oracleでは、Oracle Cloud Infrastructure Computeで少なくともOracle Database Exadata Cloud ServiceまたはOracle Cloud Infrastructureで、2ノードのOracle Real Application Cluster (RAC)データベース・システムを使用することをお薦めします。
-
- FortiGate高可用性
セッション・レプリケーションを維持し、中断した場合に通信を再開するには、アクティブ-パッシブ高可用性モードでFortiGateをデプロイし、信頼インタフェースと信頼できないインタフェースの両方についてセカンダリVNICでソースおよび宛先チェックを無効にします。高可用性トラフィックまたはハートビート・トラフィック用の専用インタフェースおよびサブネットを作成します。
セカンダリIPはフェイルオーバー・イベント中に使用されます。FortiGateは、Oracle Cloud APIを呼び出して、これらのIPをプライマリからセカンダリFortiGateホストに移動します。
- FortiADC高可用性
アクティブ/アクティブ-VRRP高可用性モードでFortiADCをデプロイします。これは、仮想ルーター冗長プロトコル(VRRP)の概念に基づいたものの、プロトコル自体は該当しません。このモードでは、他の高可用性モードと同様に、構成の同期およびセッションの同期が可能です。内部インタフェースのセカンダリVNICで「ソース/宛先チェックのスキップ」オプションを有効にします。
- VCN
VCNを作成する際、VCNのサブネットにアタッチする予定のリソース数に基づいて、必要なCIDRブロックの数および各ブロックのサイズを決定します。標準プライベートIPアドレス領域内にあるCIDRブロックを使用します。
プライベート接続を設定する予定のその他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。
VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。
サブネットを設計する際は、トラフィック・フローおよびセキュリティ要件を考慮してください。セキュリティ境界として機能する、特定の層またはロール内のすべてのリソースを同じサブネットにアタッチします。
リージョナル・サブネットを使用します。
複数の環境およびアプリケーションでこのアーキテクチャを拡張する場合、サービス制限内のVCN当たりのLPGの最大数を確認します。
- セキュリティ・リスト
セキュリティ・リストを使用して、サブネット全体に適用されるイングレス・ルールおよびエグレス・ルールを定義します。
デフォルトでは、セキュリティ・ルールはステートフルです。これは、そのルールに一致する接続トラッキングを使用することを示すメカニズムです。したがって、トラフィックの応答は追跡され、エグレス・ルールに関係なく、元のホストに自動的に返送されます。
FortiGateネクスト・ゲン・ファイアウォールがすべてのトラフィックを検査するため、セキュリティ・リストを使用して厳密なルールを適用する必要はありません。最終的には、保護の第2障壁として使用できますが、必須ではありません。FortiGate構成の管理にのみ、SSHおよびHTTPSトラフィック、または必要な追加サービスを許可するセキュリティ・リストを作成します。ハブおよびファイアウォールを通過するスポークVCN全体の残りのトラフィックすべてについて、デフォルト・セキュリティ・リストを変更して、すべてのポートおよびプロトコルのイングレスおよびエグレス・トラフィックを許可します。
- FortiGateファイアウォール・ポリシー
ファイアウォール・ポリシーは、ファイアウォールを通過するトラフィック・フローを制御する、区分化された一連の命令です。これらの手順は、トラフィックがどこに移動するか、トラフィックの処理方法、トラフィックが処理される場合、およびFortiGateを通過できるかどうかを制御します。ファイアウォールが接続パケットを受信すると、パケットのソースアドレス、宛先アドレス、およびサービスをポート番号で分析します。また、受信インターフェイスと送信インターフェイスも登録します。ポリシーに関連付けられたAcceptまたはdenyアクションもあります。アクションが受け入れられる場合、ポリシーは通信セッションを許可します。それ以外の場合、ポリシー・アクションは通信セッションをブロックします。
Oracle E-Business Suiteでは、次のポートおよびプロトコルを含むポリシーを開く必要があります。
コンポーネント プロトコル ポート アプリケーション層VCN: Webサーバー TCP/HTTPS 443 アプリケーションWebエントリ・ポート TCP 8000 WebLogic管理サーバー TCP 7001, 7002 データベース層: TNSListener TCP 1521–1522 MWA Telnet(MWAを使用している場合) TCP 10200–10205 MWAディスパッチャ(MWAを使用している場合) TCP 10800 Oracle Cloud Infrastructure電子メール(Oracle電子メール配信を使用している場合) TCP 25または587 ファイル・ストレージ・サービス(FFS)
if applicable
TCP
UDP
111、2048、2049、および2050
111および2048
たとえば、東西トラフィックを監視する場合、FortiGate信頼インタフェースでポリシーを作成して、アプリケーションとデータベース層間のトラフィックを許可できます。
また、宛先NATが仮想IPアドレスを指し示すポリシーを作成して、特定のソースIPアドレスまたはネットワークからのOracle E-Business Suiteへのアクセスを許可または制限することもできます。
- FortiGate静的ルート・ポリシー
スポークVCN (宛先)ごとにFortiGateに静的ルートを作成し、ゲートウェイIPを信頼できるサブネットのデフォルト・ゲートウェイ・アドレス(信頼サブネットCIDRの最初のホストIPアドレス)に設定します。
アウトバウンド接続の場合、アウトバウンド・トラフィックのFortiGateに静的ルートを作成し、ゲートウェイIPを信頼できないサブネットのデフォルト・ゲートウェイ・アドレス(信頼できないサブネットCIDRの最初のホストIPアドレス)に設定します。
- Oracle Cloud Infrastructure VCNルート表
North-SouthおよびEast-Westトラフィック インスペクションについて、次のルート テーブルを作成します。
VCN 名前 宛先 ターゲット・タイプ ターゲット サブネットのデフォルト・ルート表 FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 インターネット・ゲートウェイ <FortiGate VCN Internet Gateway> 信頼できない
管理
FortiGate FortiGate_Trust-route_table <WebApp_Tier VCN CIDR> ローカル・ピアリング・ゲートウェイ <LPG-WebApp_Tier> FortiGate FortiGate_Trust-route_table <DB_Tier VCN CIDR> ローカル・ピアリング・ゲートウェイ <LPG-DB_Tier> FortiGate LPG-route_table 0.0.0.0/0 プライベートIP <FortiGate信頼VNICプライベートIP (変動IP)> 該当なし WebApp_Tier デフォルト・ルート表 0.0.0.0/0 該当なし <LPG-WebApp_Tier-to-Hub> 該当なし DB_Tier デフォルト・ルート表 0.0.0.0/0 該当なし <LPG-DB_Tier-to-Hub> 該当なし - Oracle Cloud Infrastructure VCNローカル・ピアリング・ゲートウェイ
次のローカル・ピアリング・ゲートウェイ(LPG)を作成して、North-SouthおよびEast-West通信を許可します。
-
FortiGate VCN LPGの設定:
名前 ルート・テーブル ピア通知CDIR マルチテナント間 LPG-WebApp_Tier LPG-route_table WebApp_Tier VCN CIDR いいえ LPG-DB_Tier LPG-route_table DB_Tier VCN CIDR いいえ - WebApp層VCN LPGの設定:
名前 ルート・テーブル ピア通知CDIR マルチテナント間 LPG-WebApp_Tier-to-Hub 該当なし 0.0.0.0/0 いいえ - データベース層VCN LPGの設定:
名前 ルート・テーブル ピア通知CDIR マルチテナント間 LPG-DB-Tier-to-Hub 該当なし 0.0.0.0/0 いいえ
-
- FortiADCサーバーのロード・バランシング
FortiADCは、高可用性モードでアプリケーション層と同じVCN内にデプロイする必要があります。HTTPヘッダーおよびCookieを使用して特定の永続性メソッドを構成する必要があるため、ユーザーはアプリケーション・サーバーで永続セッション状態を維持できます。永続性タイプ"Insert Cookie"を使用して、HTTPヘッダーにCookieを挿入するFortiADCを指定します。このCookieは、クライアントとともにFortiADCセッションIDを作成し、後続のすべてのリクエストが同じバックエンドのOracle E-Business Suiteアプリケーション・サーバーに転送されるようにします。「Cookieの挿入」タイプの永続性の作成後、これを仮想サーバー構成に関連付けます。
注意事項
Fortinet Security Fabricを使用してクラウドにOracle E-Business Suiteワークロードをデプロイして、Oracle Cloud Infrastructureが提供するネイティブ・セキュリティ・オプションを拡張する場合は、次の点を考慮してください。
- パフォーマンス
FortiGateは、このアーキテクチャのキー・コンポーネントであり、FortiGateモデル、コンピュート・シェイプおよび起動オプションの選択は、ワークロードのパフォーマンスに影響を与える可能性があります。モデルのリストを、FortiGateデータ・シートのそれぞれの仕様で確認します。
- セキュリティ
高可用性のために、FortiGateではOracle Cloud Infrastructure IAM動的グループまたはAPI署名キーを使用して、フェイルオーバーが発生した場合にAPIコールを実行します。セキュリティおよびコンプライアンス要件に基づいてポリシーを設定します。
- 可用性
リージョンに複数の可用性ドメインがある場合、可用性を向上させるには、クラスタの各ホストを別の可用性ドメインにデプロイします。それ以外の場合は、アンチアフィニティ・ルールに基づいて、可用性を向上させるために別のフォルト・ドメインを選択します。このルールは、Fortinet製品とOracle製品の両方に対して有効です。
- コスト
Fortinet FortiGateおよびFortiADCは、Oracle Cloud Marketplaceで入手できます。Fortinet FortiGateは、ライセンス持込み(BYOL)または有料サービスとして使用できます。Fortinet FortiADCは、BYOLとしてのみ使用できます。
もっとよく知る
このアーキテクチャの機能と関連リソースについて詳しく学習します。