1. Oracle Cloud Infrastructure 에서 PeopleSoft 배포에 대해 알아보기
  2. PeopleSoft 구조 이해

PeopleSoft 구조 이해

PeopleSoft 배치에서 다른 계층에 대해 알아봅니다.

Bastion 호스트 정보

기본 호스트는 방화벽 정책과 함께 사용하여 외부 액세스로부터 데이터베이스 및 애플리케이션 서버의 관리 인터페이스를 보호할 수 있는 선택적 구성요소입니다. 기본 호스트는 Linux를 해당 운영 체제로 사용하는 Oracle Cloud Infrastructure Compute 인스턴스입니다.

공용 서브넷에 기본 호스트를 배치하고 공용 IP 주소를 할당하여 인터넷에서 액세스합니다.

추가 레벨의 보안을 제공하려면 온-프레미스 네트워크의 공용 IP 주소에서만 기본 호스트에 액세스하도록 보안 목록을 설정할 수 있습니다. 기본 호스트를 통해 전용 서브넷의 Oracle Cloud Infrastructure 인스턴스에 액세스할 수 있습니다. 이렇게 하려면 기본 호스트에 접속할 수 있는 ssh-agent 전달을 사용으로 설정한 다음 컴퓨터에서 인증서를 전달하여 다음 서버에 액세스합니다. 또한 동적 SSH 터널링을 사용하여 전용 서브넷의 인스턴스에 액세스할 수 있습니다. SSH 터널링은 웹 응용 프로그램이나 다른 수신 서비스에 액세스하는 방법입니다. 동적 터널은 로컬 포트에 SOCKS 프록시를 제공하지만 접속은 원격 호스트에서 시작됩니다.

로드 밸런서 계층 정보

Oracle Cloud Infrastructure Load Balancing을 사용하여 VCN 내의 가용성 도메인에 걸쳐 애플리케이션 인스턴스로 트래픽을 분산할 수 있습니다. 이 서비스는 기본 로드 밸런서의 작동이 중지되면 대기 로드 밸런서가 요청을 전달하도록 로드 밸런서의 기본 및 대기 인스턴스를 제공합니다. 로드 밸런서는 요청이 정상 애플리케이션 인스턴스로 경로 지정되도록 합니다. 애플리케이션 인스턴스에 문제가 있는 경우 로드 밸런서가 해당 인스턴스를 제거하고 나머지 정상 애플리케이션 인스턴스로 요청 라우팅을 시작합니다.

요구사항에 따라 로드 밸런서를 공용 또는 전용 서브넷에 둘 수 있습니다.

  • 인터넷에서 액세스할 수 없는 내부 끝점의 경우 전용 로드 밸런서를 사용하십시오. 전용 로드 밸런서는 전용 IP 주소를 가지며 인터넷에서 액세스할 수 없습니다. 로드 밸런서의 기본 인스턴스와 대기 인스턴스 모두 동일한 전용 서브넷에 있습니다. DRG 를 통해 IPSec VPN 또는 VCN의 전용 로드 밸런서에 접근할 수 있습니다. 전용 로드 밸런서는 데이터 센터의 트래픽을 수락하고 이 트래픽을 기본 애플리케이션 인스턴스로 분산합니다.

  • 인터넷 연결 끝점의 경우 공용 로드 밸런서를 사용하십시오. 공용 로드 밸런서는 공용 IP 주소를 갖고 인터넷에서 액세스할 수 있습니다. 인터넷 게이트웨이를 통해 인터넷에서 공용 로드 밸런서에 액세스할 수 있습니다.

  • 내부 끝점 및 내부 끝점 액세스를 위한 전용 로드 밸런서 및 공용 로드 밸런서를 설정합니다. 내부 트래픽을 처리할 전용 로드 밸런서를 설정하고 인터넷의 트래픽을 처리할 공용 로드 밸런서를 설정합니다.

애플리케이션 끝점의 도메인 분석을 위해 온-프레미스 또는 DNS (공용 도메인 이름 서버) 에서 Oracle Cloud Infrastructure Load Balancing 인스턴스의 공용 또는 전용 IP 주소를 등록합니다.

애플리케이션 계층 정보

응용 프로그램 계층의 모든 인스턴스는 활성 상태인 데이터베이스 인스턴스에 구성 및 연결됩니다. 응용 프로그램 계층에는 다음 PeopleSoft Internet Architecture 구성 요소가 포함됩니다.

  • PeopleSoft 웹 서버: PeopleSoft 웹 서버는 로드 밸런서를 통해 웹 환경, 인터넷 및 인트라넷에서 응용 프로그램 요청을 수신합니다. 수신 트래픽은 포트 8000을 통해 로드 밸런서에 의해 배포됩니다. 요청을 애플리케이션 서버의 Oracle Tuxedo Jolt 포트로 전달합니다. 구조 다이어그램에서 고가용성을 지원하기 위해 여러 웹 서버가 배치되었습니다.

  • ElasticSearch 서버: Oracle PeopleSoft 검색 프레임워크는 모든 PeopleSoft 애플리케이션에 대해 검색 인덱스를 사용하는 표준 방법을 제공합니다. 검색 프레임워크는 ElasticSearch 서버에 따라 다릅니다. 포트 9200을 통해 PeopleSoft 웹 서버와 상호 작용합니다.

  • PeopleSoft 애플리케이션 서버: PeopleSoft 애플리케이션 서버는 PeopleSoft 시스템에 있는 작업 로드의 대량을 처리합니다. 업무 논리를 실행하고 Oracle Tuxedo Jolt 포트 9000을 통해 웹 서버에서 들어오는 모든 응용 프로그램 요청을 처리합니다. 애플리케이션 서버도 포트 1521을 통해 데이터베이스에 대한 SQL 접속을 유지 관리합니다. 애플리케이션 요청이 웹 서버에서 수신됩니다. 이러한 요청은 애플리케이션 서버로 전달되고 애플리케이션 서버는 SQL을 데이터베이스 서버에 제출합니다.

  • PeopleSoft Process Scheduler: NVision 와 같은 Windows 특정 프로세스 또는 작업을 실행하려면 PeopleSoft Process Scheduler 인스턴스가 필요합니다. 이 인스턴스는 Windows 운영 체제에 배치됩니다.

  • PeopleTools 클라이언트: PeopleTools 클라이언트는 Windows 기반 클라이언트입니다. PeopleTools 개발 환경 이라고도 합니다. 지원되는 Microsoft Windows 플랫폼에서 실행되는 이러한 클라이언트는 포트 1521을 통해 또는 포트 7000을 통해 PeopleSoft 애플리케이션 서버 (3계층 접속) 를 통해 클라이언트 접속 소프트웨어 (2계층 접속) 를 사용하여 PeopleSoft 데이터베이스에 접속할 수 있습니다. PeopleTools 클라이언트는 관리자가 관리 및 마이그레이션 작업을 수행하는 데 도움이 되므로 PeopleSoft 인터넷 아키텍처의 통합된 부분입니다.

PeopleSoft 소프트웨어를 준비하려면 Oracle Cloud Infrastructure File Storage 를 설정하십시오. 애플리케이션 서버, 웹 서버 및 ElasticSearch 서버에서 소프트웨어 바이너리를 공유하기 위해 단일 파일 스토리지 파일 시스템을 생성할 수 있습니다.

Oracle Cloud Infrastructure Object Storage를 사용하여 PeopleSoft 애플리케이션 인스턴스를 백업할 수 있습니다.

데이터베이스 계층 정보

고가용성 요구 사항의 경우 Oracle 은 다음 옵션 중 하나를 사용하여 PeopleSoft 데이터베이스 인스턴스를 설정할 것을 권장합니다.

  • 가상 시스템 상의 두 노드, Oracle RAC (Oracle Real Application Clusters) 데이터베이스 시스템입니다.

  • Oracle Database Exadata Cloud Service 인스턴스입니다. 이 서비스는 Oracle Cloud 의 Oracle Exadata Database Machine 에서 호스트되는 Oracle Database 를 제공합니다.

별도의 서브넷에 데이터베이스 시스템을 배치합니다.

데이터베이스 인스턴스를 고가용성으로 설정하며, 가용성 도메인의 두 데이터베이스 인스턴스가 모두 활성화됩니다. 응용 프로그램 계층에서 수신된 요청은 데이터베이스 인스턴스에서 로드 균형이 조정됩니다. 한 데이터베이스 인스턴스의 작동이 중지되면 다른 데이터베이스 인스턴스가 요청을 처리합니다. Oracle Cloud Infrastructure Object Storage를 사용하여 RMAN을 사용하여 PeopleSoft 데이터베이스를 백업할 수 있습니다.

보안 목록을 사용하여 기본 호스트, 애플리케이션 서버 및 온-프레미스 서버에서만 데이터베이스 서버에 대한 액세스를 제한할 수 있습니다. 보안 목록을 설정하여 포트 22나 기본 호스트 및 포트 1521을 통한 통신이 애플리케이션 서버를 통해서만 발생하도록 합니다. 또한 인터넷을 통해 데이터베이스 시스템에 액세스할 수 없도록 합니다.

다중 가용성 도메인에 PeopleSoft 를 배치한 경우 동기 모드에서 Oracle Active Data Guard 를 사용하여 가용성 도메인에서 데이터베이스를 복제합니다. 포트 1521이 Oracle Active Data Guard 와의 통신을 위해 열려 있습니다. Data Guard 전송 서비스는 포트 1521을 사용하여 Oracle Active Data Guard 의 리두 로그 파일을 전송합니다.

보안 목록 정보

Oracle Cloud Infrastructure 에서 방화벽 규칙은 보안 목록을 통해 구성됩니다. 각 서브넷에 대해 별도의 보안 목록이 생성됩니다.

Oracle 은 해당 보안 목록이 각 서브넷의 인스턴스에 할당되도록 데이터베이스, 애플리케이션, 로드 밸런서 및 기본 호스트에 대해 별도의 서브넷을 생성할 것을 권장합니다. 보안 목록을 사용하여 여러 계층과 기본 호스트 및 외부 호스트 간의 트래픽을 허용할 수 있습니다. 보안 목록에는 서브넷 레벨에서 트래픽을 필터링하는 수신 및 송신 규칙이 포함됩니다. 데이터 전송이 허용되는 통신 포트에 대한 정보도 포함합니다. 해당 포트 (또는 경우에 따라 보안 규칙에서 열린 포트가 필요한 프로토콜) 는 구조 다이어그램의 각 보안 규칙 라인에 표시됩니다.

각 보안 목록은 인스턴스 레벨에서 적용됩니다. 그러나 서브넷 레벨에서 보안 목록을 구성할 경우 특정 서브넷의 모든 인스턴스에 동일한 규칙 집합이 적용됩니다. 각 서브넷에 여러 보안 목록이 연결될 수 있으며, 각 목록에는 여러 규칙이 있을 수 있습니다. 목록의 규칙에서 트래픽을 허용하는 경우 (또는 추적 중인 기존 접속의 트래픽이 있을 경우) 데이터 패킷을 전송할 수 있습니다. 보안 목록 외에도 iptable을 사용하여 인스턴스 레벨에서 다른 보안 계층을 구현합니다.

공용 서브넷에 있는 배치의 경우 인터넷에서 애플리케이션 및 데이터베이스 인스턴스에 액세스할 수 없도록 하여 추가 보안 레벨을 제공할 수 있습니다. 사용자 정의 보안 목록을 사용하여 인터넷의 응용 프로그램 및 데이터베이스 인스턴스에 대한 액세스를 금지하고 관리 목적으로 기본 호스트의 포트 22를 통한 데이터베이스 및 응용 프로그램 호스트에 대한 액세스를 허용합니다. 인터넷에서 애플리케이션 및 데이터베이스 인스턴스에 대한 SSH 액세스를 사용으로 설정하지 않지만 기본 호스트가 포함된 서브넷에서 해당 인스턴스에 대한 SSH 액세스를 허용할 수 있습니다.

기본 서버를 통해 전용 서브넷의 인스턴스에 액세스할 수 있습니다.

다중 가용성 도메인 아키텍처의 경우 모든 가용성 도메인의 서브넷에서 동일한 보안 목록을 사용합니다.

Bastion 호스트에 대한 보안 목록

기본 보안 목록을 사용하면 공용 인터넷 포트 22에서 기본 호스트에 액세스할 수 있습니다.

  • 인터넷을 통해 온프레미스 네트워크에서 기본 호스트로 SSH 트래픽을 허용하려면

    상태 유지 수신: 소스 CIDR 0.0.0.0/0 및 모든 소스 포트에서 대상 포트 22 (SSH) 로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    공용 인터넷 (0.0.0.0/0) 대신 포트 22에서 인터넷으로 기본 호스트에 액세스할 수 있도록 제한할 수도 있습니다. 이를 위해서는 stateful ingress 규칙에서 소스 CIDR 대신 에지 라우터 IP를 0.0.0.0/0 로 사용하십시오.

  • 기본 호스트에서 Oracle Cloud Infrastructure Compute 인스턴스로 SSH 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 조치: 모든 소스 포트에서 모든 대상 포트로의 Tcp 트래픽 크기 0.0.0/0 허용

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

로드 밸런서 계층에 대한 보안 목록

구조 다이어그램에는 전용 서브넷에 배치된 전용 로드 밸런서가 표시됩니다. 로드 밸런서 인스턴스를 공용 서브넷에 배치하면 인터넷 (0.0.0.0/0) 에서 로드 밸런서 인스턴스로 트래픽을 허가합니다.

  • 인터넷에서 로드 밸런서로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 수신: 소스 CIDR (인터넷) 0.0.0.0/0 및 모든 소스 포트에서 대상 포트 8000/8448 (HTTP) 또는 443 (HTTPS) 으로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • 온프레미스 네트워크에서 로드 밸런서로 트래픽을 허용하려면

    Stateful ingress: 온프레미스 네트워크 CIDR 블록과 모든 소스 포트에서 대상 포트 8000/8448 (HTTP) 또는 443 (HTTPS) 으로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • 로드 밸런서 계층에서 애플리케이션 계층으로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 조치: 모든 소스 포트에서 대상 CIDR 0.0.0.0/0 로의 TCP 트래픽을 대상 포트 8000/8448 (HTTP) 으로 허용하십시오.

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

애플리케이션 계층에 대한 보안 목록

  • 기본 호스트에서 애플리케이션 계층으로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 수신: TCP에 있는 기본 호스트의 소스 CIDR 블록에서 대상 포트 22로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 로드 밸런서 서브넷에서 애플리케이션 계층의 웹 서버 서브넷으로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 수신: 로드 밸런서 계층의 소스 CIDR 블록에서 대상 포트 8000 또는 8443으로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000 또는 8443

  • 웹 서버 서브넷에서 애플리케이션 서버 서브넷으로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful ingress: PeopleSoft 웹 서버의 소스 CIDR 블록에서 대상 포트 9033에서 9039로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 9033 - 9039

  • 웹 서버 서브넷에서 ElasticSearch 서버로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful 송신: 웹 서버의 소스 CIDR 블록에서 대상 포트 9200으로 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • ElasticSearch 서버에서 프로세스 스케줄러 서버로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful egress: 웹 서버의 소스 CIDR 블록에서 대상 포트 3389까지 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 애플리케이션 서버 서브넷에서 PeopleTools 클라이언트로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful egress: PeopleTools 클라이언트 서브넷의 소스 CIDR 블록에서 대상 포트 3389로 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 응용 프로그램 계층에서 데이터베이스 계층으로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 조치: 애플리케이션 서버 서브넷의 TCP 트래픽 소스 CIDR 블록을 대상 포트 1521로 허용합니다.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

PeopleTools 클라이언트에 대한 보안 목록

PeopleTools 클라이언트는 Windows 운영 체제를 사용하므로 이 인스턴스에 RDP를 사용해야 합니다.

  • 기본 호스트에서 PeopleTools 클라이언트로 트래픽을 허용하려면 다음과 같이 하십시오.

    상태 유지 수신: TCP에 대한 기본 호스트의 소스 CIDR 블록에서 RDP를 사용하는 대상 포트 3389로 TCP 트래픽을 허용합니다.

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • PeopleTools 클라이언트에서 데이터베이스 서버 서브넷으로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful egress: PeopleTools 클라이언트 서브넷의 소스 CIDR 블록에서 대상 포트 1521로 TCP 트래픽을 허용합니다.

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

데이터베이스 계층에 대한 보안 목록

  • 기본 호스트에서 데이터베이스 계층으로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 응용 프로그램 계층에서 데이터베이스 계층으로 트래픽을 허용하려면 다음과 같이 하십시오.

    Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • 데이터베이스 계층에서 애플리케이션 계층으로 트래픽을 허용하려면 다음을 수행합니다.

    Stateful 송신: Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • 데이터베이스의 Oracle Cloud Infrastructure Object Storage로의 트래픽 백업을 허용하려면 다음을 수행합니다.

    Stateful 송신:  Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    가용성 도메인 구조가 여러 개인 경우 Oracle Active Data Guard 용 가용성 도메인 간에 데이터베이스 계층 간의 트래픽을 허용하십시오.

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

Oracle Database Exadata Cloud Service 시스템 프로비전의 경우 다음 추가 규칙이 필요합니다.

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • Stateful ingress: Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • Stateful 송신: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • Stateful 송신: Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All