Proteger o Oracle PeopleSoft Suite com o Fortinet Security Fabric
O Fortinet oferece solução de segurança em nuvem de classe empresarial que estende o Fortinet Security Fabric com integração nativa com o Oracle Cloud Infrastructure para proteger aplicativos em data centers locais e ambientes de nuvem. Ele oferece desempenho escalável e traz orquestração de segurança avançada e proteção contra ameaças unificadas.
Empresas que movem ou estendem suas cargas de trabalho Peoplesoft de local para o Oracle Cloud Infrastructure podem escolher a solução de nuvem Fabric de Segurança do Fortinet para conectar e estender sua rede de data center, além de proteger suas cargas de trabalho além das opções de segurança nativas do Oracle Cloud, sem exigir alterações significativas de configuração, integração ou processo de negócios.
Esta arquitetura de referência fornece recomendações para design de rede e segurança para organizações interessadas em estender a arquitetura de referência do aplicativo Oracle PeopleSoft padrão, implementando a solução Fabric de Segurança do Fortinet em uma configuração altamente disponível para oferecer proteção de failover.
Arquitetura
A topologia hub-spoke é um padrão de rede tradicional que conecta uma rede centralizada (o hub) a várias redes conectadas direcionadas (os spokes). O tráfego entre essas redes flui por um firewall de última geração FortiGate altamente disponível, fornecendo um local centralizado para impor a segurança e inspeção de tráfego. A VCN (rede virtual na nuvem) do hub é o ponto central de conectividade para tráfego Nordeste e East-West. Cada camada da arquitetura do PeopleSoft é implantada em sua própria VCN spoke, permitindo microsegmentação com mais camadas de proteção, porque cada pacote movido entre diferentes camadas é inspecionado e protegido.
Essa arquitetura pode fornecer um design altamente escalável e modular para conectar diversos spokes, onde cada rede spoke representa uma camada da aplicação, como Web, aplicação e banco de dados. Ele funciona em um ambiente específico, como produção, teste e desenvolvimento, bem como diferentes infraestruturas, como regiões, data center local e multicloud.
FortiAnalyzer e FortiManager são componentes opcionais que você pode implantar na mesma sub-rede do FortiGate. O FortiADC fornece serviços de balanceamento de carga e encaminha solicitações à camada Web do PeopleSoft.
O diagrama a seguir ilustra essa arquitetura de referência.
Descrição da ilustração architecture-peoplesoft-fortinet-oci.png
A topologia Hub-Spoke pode ser implementada pelos seguintes cenários:
- Usando a transição com gateways de pareamento local (LPG) para conectar VCNs de spoke com a VCN de hub.
- Anexando individualmente cada placa de interface de rede virtual FortiGate (VNIC) em cada VCN falada.
Para o cenário de anexo de VNIC, cada VCN de spoke deve ter uma regra de roteamento para encaminhar todo o tráfego para o endereço IP privado FortiGate VNIC anexado à VCN de spoke.
Para o cenário LPG, cada VCN falada deve ter uma regra de rota para encaminhar todo o tráfego para o LPG. No LPG, você deverá ter outra regra de roteamento que encaminha o tráfego ao IP não confiável, ou IP flutuante, o endereço do FortiGate anexado à VCN do hub.
Considere que o FortiGate não deve inspecionar nenhum tráfego em cada VCN (IP de destino dentro da faixa de CIDR da VCN), porque o Oracle Cloud Infrastructure encaminha automaticamente todos os pacotes destinados à VCN, à IP de destino diretamente por meio do gateway padrão de sub-rede Oracle Cloud interno.
Nordeste Tráfego de Entrada
O tráfego de entrada originado da internet ou de uma rede local conecta-se a um endereço IP público hospedado na interface do untrust ou do wan do firewall FortiGate. O endereço IP público (reservado ou efêmero) é um endereço IP NAT gerenciado pelo Oracle associado a um endereço IP privado secundário dentro da sub-rede não até o Oracle Cloud Infrastructure. O endereço IP privado secundário (IP flutuante) é estaticamente designado à interface não de destino no FortiGate. Se ocorrer failover, o IP flutuante será movido para outro host junto com o endereço IP público.
Após a inspeção do pacote, o tráfego de entrada deixa o FortiGate por meio da interface confiável. O endereço de destino é o endereço IP virtual FortiADC implantado na VCN de spoke da camada da aplicação. O FortiADC equilibra o tráfego entre os servidores de aplicativos ativos do PeopleSoft com base nas políticas do balanceador de carga. Como esse tráfego está dentro da VCN, o pacote vai diretamente para o host de destino. O tráfego de entrada flui no seguinte padrão:
- VCN de hub da FortiGate: Da VNIC que não é da FortiGate para a VNIC confiável da FortiGate para o gateway default da sub-rede de confiança da Oracle Cloud Infrastructure para o LPG na sub-rede de confiança para a camada de aplicações.
- VCN de spoke da camada de aplicações: do LPG na sub-rede da camada de aplicações para o gateway default da sub-rede do Oracle Cloud Infrastructure FortiADC para a VNIC do FortiADC para os servidores web do PeopleSoft.
Para vários ambientes inspecionados pelo mesmo firewall, você pode designar vários endereços IP secundários às interfaces de não gerenciamento e de confiabilidade (VNICs). Cada IP privado deve ser usado como o endereço de origem que pode ser mapeado para um aplicativo ou ambiente de destino específico em suas políticas de firewall. Como alternativa, você pode configurar uma política NAT de destino com o encaminhamento de porta no FortiGate apontando para diferentes IPs virtuais ou portas que podem representar cada aplicativo ou ambiente de destino individual.
Tráfego de Saída do Norte
O tráfego de saída da VCN do hub do FortiGate é roteado por meio do gateway de internet.
O tráfego de saída de VCNs de spoke para qualquer destino é roteado do LPG de VCN de spoke para o LPG pareado na VCN de hub. Quando o pacote atingir a VCN do hub, a rota associada ao LPG encaminhará o tráfego para o IP flutuante do FortiGate na interface confiável. A partir daí, após a inspeção, o FortiGate roteia o pacote para o gateway padrão da sub-rede. Com base na tabela de rota da sub-rede confiável, ela continua na internet ou no local por meio do gateway de internet.
Tráfego Fácil Oeste
A Oracle recomenda segmentar redes no nível de VCN em vez do nível de sub-rede para ser capaz de inspecionar tráfego de forma fácil Oeste porque todo o tráfego no bloco de CIDR de VCN é automaticamente roteado por meio do gateway padrão de sub-rede Oracle Cloud Infrastructure interno e essa rota não pode ser sobregravada.
O tráfego de fácil Adicione de qualquer VCN de spoke é roteado do LPG de VCN de spoke para o LPG pareado na VCN de hub e, em seguida, para o IP flutuante do FortiGate na interface de confiança. O FortiGate inspeciona o tráfego de entrada e com base nas políticas de firewall do FortiGate, ele define o endereço de destino para o host de destino na VCN de spoke ou de volta ao host de origem que enviou o pacote. O tráfego deixa o FortiGate por meio da interface confiável e é enviado por meio do gateway padrão na sub-rede confiável que encaminha o pacote para o pareado LPG para o banco de dados spoke de destino ou a VCN da aplicação.
A arquitetura tem os seguintes componentes:
- Fortinet FortiGate Next-Generation Firewall
Fornece serviços de rede e segurança, como proteção contra ameaça, inspeção SSL e latência ultra-low, para proteger segmentos internos e ambientes de missão crítica. Ele suporta virtualização de E/S de raiz direta única (SR-IOV) para desempenho aprimorado. O FortiGate pode ser implantado diretamente do Oracle Cloud Marketplace.
- Fortinet FortiAnalyzer
Fornece insights de segurança da empresa orientada a dados com log de rede, análise e geração de relatórios centralizados.
- Fortinet FortiManager
Fornece gerenciamento de painel único em toda a rede e fornece exibições em tempo real e históricas em atividades de rede.
- Fortinet FortiADC
Balancea tráfego em várias regiões geográficas. Ele reescreva dinamicamente o conteúdo com base no roteamento de política para assegurar o balanceamento de carga do aplicativo e do servidor. O FortiADC também trata as otimizações de compactação, armazenamento em cache, HTTP 2.0 e PageSpeed HTTP.
- Camada web PeopleSoft
Composto do balanceador de carga do FortiADC, do servidor Web do PeopleSoft e dos servidores do ElasticSearch.
- Camada de aplicativos do PeopleSoft
Composto de servidores de aplicativos PeopleSoft e servidores PeopleSoft Process Scheduler.
- Camada do banco de dados PeopleSoft
Composto do Oracle Database, mas não limitado aos serviços Oracle Exadata Database ou Oracle Database.
- Camada do cliente PeopleTools
O cliente PeopleTools para atividades administrativas, como desenvolvimento, migração e atualização.
- Região
Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamada domínios de disponibilidade. As regiões são independentes de outras regiões e vasta distâncias podem separá-las (em países ou até mesmo continentes).
- Domínios de disponibilidade
Os domínios de disponibilidade são independentes, data centers independentes em uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos nos outros domínios de disponibilidade, que fornecem tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou refrigeração, ou a rede de domínio de disponibilidade interna. Portanto, uma falha em um domínio de disponibilidade provavelmente afetará os outros domínios de disponibilidade da região.
- Domínios de falha
Um domínio de falha é um agrupamento de hardware e infraestrutura em um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Ao distribuir recursos entre diversos domínios de falha, suas aplicações podem tolerar a falha física do servidor, manutenção do sistema e falhas de energia em um domínio de falha.
- Rede virtual na nuvem (VCN) e sub-redes
Uma VCN é uma rede privada personalizável que você configura em uma região do Oracle Cloud Infrastructure. Assim como redes tradicionais de data center, as VCNs dão controle completo sobre seu ambiente de rede. Você pode segmentar VCNs em sub-redes, que podem ser colocados com escopo em uma região ou em um domínio de disponibilidade. As sub-redes regionais e as sub-redes específicas do domínio de disponibilidade podem coexistir na mesma VCN. Uma sub-rede pode ser pública ou privada.
- VCN do Hub
Uma rede centralizada na qual o FortiGate deve ser implantado. Ela pode oferecer conectividade com todas as VCNs de Spoke, Serviços Oracle Cloud Infrastructure, pontos finais públicos e clientes e redes de data center locais. Normalmente, é composto das quatro sub-redes a seguir:
- Sub-rede de gerenciamento
Sub-rede Pública na qual a VNIC principal do FortiGate está anexada. Ele é responsável por operações do plano de controle da FortiGate e atividades gerais de gerenciamento.
- Sub-rede não confiável
Sub-rede Pública contendo o anexo da VNIC FortiGate. Ele age como gateway/ponto final para tráfego de entrada da Internet ou de um data center local.
- Sub-rede confiável
Sub-rede privada que contém o anexo da VNIC FortiGate. Ela encaminha o tráfego para o LPG que está anexado à VCN do Hub e, em seguida, à VCN de Spoke apropriada. Também deve receber pacotes de entrada de VCNs Falados.
- Sub-rede HA
Sub-rede privada que contém o anexo da VNIC FortiGate. É dedicado ao tráfego de heartbeat/HA.
- Sub-rede de gerenciamento
- VCN spoke da Camada Web
Uma sub-rede privada para a camada Web do PeopleSoft, que é composta da configuração de balanceadores de carga do FortiADC no modo HA, servidores Web do PeopleSoft e servidores de pesquisa elásticos do PeopleSoft.
- VCN da Camada de Aplicativos
Uma sub-rede privada para os hosts do servidor de aplicações e os hosts da ferramenta PeopleSoft.
- VCN de spoke da Camada de Banco de Dados
Uma sub-rede privada para hospedar Bancos de Dados Oracle.
- Tabelas de rotas
Tabelas de roteamento virtual para sua VCN. Elas têm regras de roteamento para rotear o tráfego de sub-redes para destinos fora da VCN, por exemplo, para a internet, para uma rede local ou para uma VCN pareada. Cada VCN vem automaticamente com uma tabela de roteamento padrão que não tem regras.
- Gateway da Internet ou gateway NAT
Um gateway de internet ou um gateway NAT é usado pelo FortiGate para comunicar-se com pontos finais públicos externos. O FortiGate requer pelo menos um gateway NAT implantado para acessar servidores de licença de Fortinet, caso um gateway de internet não seja necessário devido a uma conexão FastConnect.
- Gateway de pareamento local
O gateway de pareamento local (LPG) é o componente em uma VCN responsável por rotear o tráfego para uma VCN pontilhada localmente dentro da mesma região do Oracle Cloud Infrastructure. Cada VCN de hub e spoke tem o LPG implantado. Há um limite de 10 anexos LPG por VCN.
- Gateway de serviço
É necessário um gateway de serviço para comunicação com os serviços do Oracle, como Infraestrutura, PaaS ou SaaS, da VCN de hub ou da rede local.
- Gateway de roteamento dinâmico
O DRG (gateway de roteamento dinâmico) é um roteador virtual que fornece um caminho para tráfego privado entre VCNs e redes fora da região da VCN.
- Placas de interface de rede virtual (VNICs)
Os serviços nos data centers do Oracle Cloud Infrastructure têm NICs (interfaces de rede físicas). As instâncias da máquina virtual se comunicam usando NICs virtuais associadas aos NICs físicos. Cada instância tem uma VNIC principal que é criada e anexada automaticamente durante o acionamento e está disponível durante o tempo de vida da instância. O DHCP é oferecido somente à VNIC principal. Você pode adicionar VNICs secundárias após o acionamento da instância e IPs estáticos devem ser configurados para cada interface.
- Endereços IP privados
Um endereço privado do IPv4 e informações relacionadas para tratar uma instância. Cada VNIC tem um IP privado principal e você pode adicionar e remover IPs privados secundários. O endereço IP privado principal em uma instância é anexado durante o acionamento da instância e não é alterado durante o tempo de vida da instância. Os IPs secundários também devem pertencer ao mesmo CIDR da sub-rede da VNIC. O IP secundário é usado como um IP flutuante, porque ele pode se mover entre diferentes VNICs em diferentes instâncias dentro da mesma sub-rede. Você também pode usá-lo como ponto final diferente para hospedar diferentes serviços.
- Endereços IP públicos
Os serviços de rede definem um endereço IPv4 público escolhido pelo Oracle que é mapeado para um IP privado.
- Efêmero: esse endereço é temporário e existe durante a vida útil da instância
- Reservado: esse endereço é persistente e existe além da vida útil da instância. Ela pode ser não designada e reatribuída a outra instância.
- Verificação de origem e destino
Cada VNIC executa a verificação de origem e de destino em seu tráfego de rede. A desativação deste flag permite que o FortiGate manipule o tráfego de rede que não está direcionado para o firewall.
- Lista de segurança
Para cada sub-rede, você pode criar regras de segurança que especificam a origem, o destino e o tipo de tráfego que devem ser permitidos dentro e fora da sub-rede.
- Forma de computação
No Compute, a forma especifica o número de CPUs e o volume de memória alocado para a instância. A forma de Computação também determina o número de VNICs e a largura de banda máxima disponível para a instância de Computação.
Recomendações
Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.
- Alta Disponibilidade do PeopleSoft
- Redundância Ativa do Servidor para cada camada PeopleSoft
Cada camada contém instâncias redundantes dos servidores de aplicativos PeopleSoft, servidores PeopleSoft Web, servidores ElasticSearch e PeopleSoft Process Scheduler para oferecer alta disponibilidade.
- Tolerância a falhas
A tolerância a falhas é obtida por meio da implantação dos servidores (nó) em cada camada para diferentes Domínios de Disponibilidade em regiões com vários ADs. Em regiões AD únicas, você implanta nós do servidor em diferentes Domínios de Falha. Todas as instâncias do PeopleSoft estão ativas e recebem tráfego do balanceador de carga
- Redundância na Camada do Banco de Dados com Banco de Dados RAC
Esta camada contém instâncias do sistema de banco de dados. Para requisitos de desempenho e HA, a Oracle recomenda que você use sistemas de banco de dados RAC (Oracle Real Application Clusters) com dois nós ou o Oracle Database Exadata Cloud Service no Oracle Cloud Infrastructure.
- Redundância Ativa do Servidor para cada camada PeopleSoft
- Alta disponibilidade do FortiGate
Para manter a replicação de sessão e retomar a comunicação se interrompida, implante o FortiGate no modo de alta disponibilidade ativo-passivo e desative a verificação de origem e de destino nas VNICs secundárias para interfaces confiáveis e não de destino. Crie uma interface e sub-rede dedicadas para tráfego de alta disponibilidade ou heartbeat.
Os IPs secundários são usados durante o evento de failover. O FortiGate faz chamadas para APIs Oracle Cloud para mover esses IPs do host FortiGate principal para o secundário.
- Alta Disponibilidade do FortiADC
Implante o FortiADC no modo HA Active-Active-VRRP, que é baseado no conceito do VRRP, mas não no próprio protocolo VRRP. Esse modo permite sincronização de configuração e sincronização de sessão, de maneira semelhante a outros modos HA. Ative a verificação de ignorar origem/destino nas VNICs secundárias da interface interna.
- VCN
Quando você cria a VCN, determina quantos endereços IP seus recursos de nuvem são necessários em cada sub-rede. Usando a notação CIDR (Roteamento Entre Domínios) sem Classe, especifique uma máscara de sub-rede e uma faixa de endereços de rede que seja grande o suficiente para os endereços IP necessários. Use uma faixa de endereços que esteja dentro do espaço de endereço IP privado padrão.
Selecione uma faixa de endereços que não se sobreponha a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou em outro provedor de nuvem) à qual você pretende configurar conexões privadas.
Depois de criar uma VCN, você não poderá alterar sua faixa de endereços.
Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos em uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.
- Listas de segurança
As listas de segurança atua como um firewall virtual usado para controlar o tráfego no nível do pacote na rede. O tráfego só será permitido se alguma regra em uma das listas permitir o tráfego. Por default, as regras de segurança são stateful, que é um mecanismo usado para indicar que você deseja usar o rastreamento de conexão que corresponde a essa regra. Assim, a resposta do tráfego é rastreada e permitida automaticamente de volta para o host de origem, independentemente das regras de saída.
Como todo o tráfego é inspecionado pelo firewall FortiGate Next-Gen, você não precisa impor regras estritas através das listas de segurança. Elas podem ser usadas como segundo barreira de proteção, mas isso não é necessário. Somente para gerenciar a configuração do FortiGate, você cria uma lista de segurança para permitir o tráfego SSH e HTTPS ou qualquer serviço adicional que possa ser necessário. Para todo o tráfego restante entre as VCNs Hub e Spoke que passa pelo firewall, você precisa modificar as listas de segurança padrão para permitir o tráfego de entrada e saída de todas as portas/protocolos.
- Políticas de firewall do FortiGate
Uma política de firewall é um conjunto compartimentos de instruções que controlam o fluxo de tráfego passando pelo firewall. Essas instruções controlam onde o tráfego vai, como ele é processado, se é processado e até mesmo se tem permissão para passar pelo FortiGate. Quando o firewall recebe um pacote de conexões, ele analisa o endereço de origem do pacote, o endereço de destino e o serviço pelo número da porta. Também registra a interface de entrada e saída. Há também uma ação associada à política: aceitar ou negar. Se a ação for aceita, a política permite sessões de comunicação. Caso contrário, a ação da política bloqueará as sessões de comunicação.
O PeopleSoft requer políticas com as seguintes portas e protocolos para serem abertos:
Camada Componente Protocolo Porta Camada da Web Servidor Web TCP/HTTPS 443 (PIA) Camada da Web Servidor Web TCP 22 (SSH) Camada da Web Pesquisa elástica TCP 9200 Camada de aplicações JSL TCP 9033-9040 Camada de banco de dados TNSListener TCP 1521–1522 Camada do cliente PeopleTools client VM TCP/UDP 10200–10205 Para tráfego East-West, considere o seguinte padrão de tráfego:
Fluxo de Tráfego Nome do Componente Protocolo/Porta Camada Web e Camada de aplicação JSL TCP/443 Camada de aplicativos e de Banco de Dados TNSListener TCP/1521-1522 Camada cliente e Camada Web SSH TCP/22 Camada Cliente e Camada de aplicação SSH TCP/22 Camada Cliente e Camada de aplicação JOTL/JSL TCP/9033-9040 Camada do cliente e Camada do banco de dados TCP TCP/1521-1522 Por exemplo, você pode criar políticas na interface confiável do FortiGate para permitir o tráfego entre as camadas da Web e da aplicação e entre as camadas da aplicação e do banco de dados.
Você também pode criar uma política com NAT de destino apontando para um endereço IP Virtual para permitir ou restringir o acesso ao conjunto PeopleSoft de redes ou endereços IP de origem específicos.
- Políticas de rotas estáticas do FortiGate
Crie uma rota estática no FortiGate para cada VCN de spoke (endereço de destino/rede) e defina o IP do Gateway para o endereço de gateway padrão de sub-rede confiável (primeiro endereço IP de host no CIDR de sub-rede confiável).
Para conexão de saída, crie uma rota estática no FortiGate para tráfego de saída e defina o IP do Gateway para o endereço de gateway padrão de sub-rede não de sub-rede (primeiro endereço de adição de IP de host no CIDR da sub-rede não acessível).
- Tabelas de roteamento de VCN do Oracle Cloud Infrastructure
As seguintes tabelas de rotas devem ser criadas para inspeção de tráfego de Nordeste e Leste.
VCN Nome Destino Tipo de Destino Alvo Tabela de Rotas Padrão para Sub-rede FortiGate FortiGate_Untrust-mgmt_route_table 0.0.0.0/0 Gateway de Internet <FortiGate VCN Internet Gateway> gerenciamento não confiável FortiGate FortiGate_Trust-route_table < CIDR DO Web_Tier VCN > Gateway de pareamento local <LPG-Web_Tier> N/A FortiGate FortiGate_Trust-route_table < CIDR DO Application_Tier VCN > Gateway de pareamento local <LPG-Application_Tier> N/A FortiGate FortiGate_Trust-route_table < CIDR DO DB_Tier VCN > Gateway de pareamento local <LPG-DB_Tier> N/A FortiGate FortiGate_Trust-route_table < CIDR DO Client_Tier VCN > Gateway de pareamento local <LPG-Client_Tier> N/A FortiGate LPG-route_table 0.0.0.0/0 IP Privado < IP Privado de VNIC Confiável FortiGate (IP flutuante)> N/A Web_Tier Tabela de rotas padrão 0.0.0.0/0 N/A <LPG-Web_Tierpara Hub> N/A Application_Tier Tabela de rotas padrão 0.0.0.0/0 N/A <LPG-Application_Tierpara Hub> N/A DB_Tier Tabela de rotas padrão 0.0.0.0/0 N/A <LPG-DB_Tierpara Hub> N/A Client_Tier Tabela de rotas padrão 0.0.0.0/0 N/A <LPG-Client_Tierpara Hub> N/A - Gateways de pareamento local de VCN do Oracle Cloud Infrastructure
Os LPGs a seguir devem ser criados para permitir a comunicação North-South e East-West
- Configuração de LPG da VCN do FortiGate
Nome Tabela de Rota CIDR Divulgado de Mesmo Nível Intertenancy LPG-Web-Tier LPG-route_table < CIDR DO Web_Tier VCN > Não LPG-Application-Tier LPG-route_table < CIDR DO Application_Tier VCN > Não LPG-DB-Tier LPG-route_table < CIDR DO DB_Tier VCN > Não LPG-Client-Tier LPG-route_table < CIDR DO Client_Tier VCN > Não - Configuração LPG de VCN da camada da Web
Nome Tabela de Rota CIDR Divulgado de Mesmo Nível Intertenancy LPG-Web-Tier-to-Hub N/A 0.0.0.0/0 Não - Configuração LPG de VCN de camada de aplicativo
Nome Tabela de Rota CIDR Divulgado de Mesmo Nível Intertenancy LPG-Application-Tier-to-Hub N/A 0.0.0.0/0 Não - Configuração LPG de VCN de camada de banco de dados
Nome Tabela de Rota CIDR Divulgado de Mesmo Nível Intertenancy LPG-DB-Tier-to-Hub N/A 0.0.0.0/0 Não - Configuração LPG de VCN da camada de cliente
Nome Tabela de Rota CIDR Divulgado de Mesmo Nível Intertenancy LPG-Client-Tier-to-Hub N/A 0.0.0.0/0 Não
- Configuração de LPG da VCN do FortiGate
- FortiADC Server Load Balancing
O FortiADC deve ser implantado na mesma VCN que a camada de Aplicativo no modo HA. Crie um cookie persistente da sessão (camada 4) no FortiADC para distribuir o tráfego entre os hosts da camada de Aplicativos.
O FortiADC deve usar o estado de sessão com os cabeçalhos e cookies HTTP para garantir que os usuários e os servidores permaneçam persistentes. Assim, você deve criar um tipo de persistência “Inserir Cookie” no FortiADC para inserir um cookie no cabeçalho HTTP para garantir que os usuários continuem sendo direcionados para o host do servidor Web PeopleSoft específico onde as informações sobre estado da sessão residem.
Considerações
- Desempenho
O FortiGate é um componente-chave nesta arquitetura e a seleção do modelo, do Compute e das opções de inicialização do FortiGate impactam o desempenho da carga de trabalho. Verifique a lista de modelos com suas respectivas especificações específicas na folha de dados do FortiGate.
- Segurança
O FortiGate usa grupos do OCI IAM Dynamic ou chaves de Assinatura de API para fazer as chamadas de API no caso de failover. Configure políticas com base em seus requisitos de segurança/conformidade.
- Disponibilidade
Para garantir a disponibilidade mais alta sempre que houver vários Domínios de Disponibilidade na região, implante cada host do cluster em outro AD. Caso contrário, selecione Domínios de Falha diferentes para aumentar a disponibilidade com base em suas regras de antiafinidade. Esta regra é válida para produtos de Fortinet e Oracle.
- Custo
Quarenta, FortiGate e FortiADC estão disponíveis no Oracle Cloud Infrastructure Marketplace.
O Fortinet FortiGate está disponível como uma oferta BYOL ou Paga.
O Fortinet FortiADC está disponível somente como BYOL.