1. 了解如何在 Oracle Cloud Infrastructure 上部署 PeopleSoft
  2. 了解 PeopleSoft 体系结构

了解PeopleSoft 体系结构

了解PeopleSoft 部署中的不同层。

关于基础主机

基础主机是一个可选组件,可与防火墙策略一起使用,以保护数据库和应用程序服务器的管理接口免外部访问。基础主机是使用 Linux 作为其操作系统的 Oracle Cloud Infrastructure Compute 实例。

将基础主机置于公共子网中,并为其分配公共 IP 地址以从互联网访问。

为了提供额外的安全级别,您可以设置安全列表以仅从内部部署网络的公共 IP 地址访问基础主机。您可以通过基础主机访问专用子网中的 Oracle Cloud Infrastructure 实例。为此,请启用 ssh-agent 转发(允许您连接到基础主机),然后通过从计算机转发身份证明来访问下一个服务器。您还可以使用动态 SSH 隧道访问专用子网中的实例。SSH 隧道是访问 Web 应用程序或其他监听服务的方法。动态隧道提供本地端口上的 Socs 代理,但连接源自远程主机。

关于负载平衡器层

使用 Oracle Cloud Infrastructure Load Balancing 可在 VCN 中的可用性域之间分配通信量。此服务提供负载平衡器的主实例和备用实例,以确保主负载平衡器关闭时,备用负载平衡器向下转发请求。负载平衡器确保将请求路由到健康的应用程序实例。如果某个应用程序实例出现问题,则负载平衡器将删除该实例,并且启动向其余健康应用程序实例的路由请求。

您可以根据需要将负载平衡器放置在公共或专用子网中。

  • 对于内部端点,无法从 Internet 访问,请使用专用负载平衡器。专用负载平衡器具有专用 IP 地址,无法从互联网访问。负载平衡器的主实例和备用实例都驻留在同一个专用子网中。您可以通过DRG在VCN中或数据中心内通过IPSec VPN访问专用负载平衡器。专用负载平衡器接受来自数据中心的流量,并将流量分配到基础应用程序实例。

  • 对于面向网络的端点,使用公共负载平衡器。公共负载平衡器具有公共 IP 地址,可从互联网访问。您可以通过 Internet 网关从 Internet 访问公共负载平衡器。

  • 要访问内部端点和面向服务的端点,请设置专用负载平衡器和公共负载平衡器。设置专用负载平衡器以提供内部通信量,并设置公共负载平衡器来处理来自 Internet 的通信量。

在内部部署或公共域名服务器(DNS)中注册 Oracle Cloud Infrastructure Load Balancing 实例的公共或专用 IP 地址,以便对您的应用程序端点进行域解析。

关于应用程序层

应用程序层中的所有实例均已配置并连接到处于活动状态的数据库实例。应用程序层包含以下 PeopleSoft Internet 体系结构组件:

  • PeopleSoft Web 服务器:PeopleSoft Web 服务器通过负载平衡器接收来自 Web 环境、Internet 和 Intranet 的应用程序请求。传入流量由负载平衡器通过端口 8000 分配。它将请求转发到应用程序服务器上的 Oracle Tuxedo Jolt 端口。在体系结构图表中,已部署多个 Web 服务器以支持高可用性。

  • ElasticSearch 服务器:Oracle PeopleSoft 搜索框架提供了一种为所有 PeopleSoft 应用程序使用搜索索引的标准方法。搜索框架依赖于 ElasticSearch 服务器。它通过端口 9200 与 PeopleSoft Web 服务器交互。

  • PeopleSoft 应用程序服务器:PeopleSoft 应用程序服务器处理 PeopleSoft 系统中的批量工作量。它运行业务逻辑,并处理来自 Web 服务器的所有应用程序请求(通过 Oracle Tuxedo Jolt 端口 9000)。应用程序服务器还负责维护基于端口 1521 与数据库的 SQL 连接。在 Web 服务器上接收应用程序请求。这些请求将转发到应用程序服务器,然后应用程序服务器将 SQL 提交到数据库服务器。

  • PeopleSoft Process Scheduler:要运行特定于 Windows 的进程或作业(例如 NVision),需要 PeopleSoft Process Scheduler 实例。此实例部署在 Windows 操作系统上。

  • PeopleTools 客户机:PeopleTools 客户机是基于 Windows 的客户机。它们也称为 PeopleTools 开发环境。这些客户机在支持的 Microsoft Windows 平台上运行,可以通过端口 1521 或通过端口 7000 通过 PeopleSoft 应用程序服务器(三层连接)连接到 PeopleSoft 数据库。PeopleTools 客户端是 PeopleSoft Internet 体系结构的集成部分,因为它有助于管理员执行管理和迁移任务。

设置 Oracle Cloud Infrastructure File Storage 以存放 PeopleSoft 软件。可以创建单个文件存储文件系统,以便在应用程序服务器、Web 服务器和 ElasticSearch 服务器之间共享软件二进制文件。

可以使用 Oracle Cloud Infrastructure Object Storage 备份PeopleSoft 应用程序实例。

关于数据库层

为了满足高可用性要求,Oracle 建议您使用以下选项之一来设置PeopleSoft 数据库实例:

  • 虚拟机上的两节点 Oracle Real Application Clusters (Oracle RAC)数据库系统。

  • Oracle Database Exadata Cloud Service 实例。此服务提供在 Oracle Cloud 中托管在 Oracle Exadata Database Machine 上的 Oracle Database。

将数据库系统放在单独的子网中。

数据库实例设置为高可用性,并且可用性域中数据库的这两个实例都处于活动状态。从应用程序层接收的请求通过数据库实例的负载平衡。如果一个数据库实例已关闭,则另一个数据库实例为请求提供服务。您可以使用 Oracle Cloud Infrastructure Object Storage 通过 RMAN 备份PeopleSoft 数据库。

使用安全列表可以限制只能从基础主机、应用程序服务器和内部部署服务器访问数据库服务器。设置安全列表以确保仅通过基础主机和端口 1521 通过应用程序服务器的端口 22 进行通信。另请确保无法通过 Internet 访问数据库系统。

如果在多个可用性域中部署了PeopleSoft,则在同步模式下使用 Oracle Active Data Guard 在可用性域之间复制数据库。端口 1521 已打开 , 以便与 Oracle Active Data Guard 进行通信。Data Guard 传输服务使用端口 1521 传输 Oracle Active Data Guard 的重做日志文件。

关于安全列表

在 Oracle Cloud Infrastructure 中,防火墙规则通过安全列表进行配置。为每个子网创建单独的安全列表。

Oracle建议为数据库、应用程序、负载平衡器和基础主机创建单独的子网,以确保将适当的安全列表分配给每个子网中的实例。使用安全列表可以允许不同层以及基础主机和外部主机之间的流量。安全列表包含入站和出站规则,用于在子网级别筛选通信。它们还包含有关允许数据传输的通信端口的信息。这些端口(或在某些情况下,将需要安全规则中的开放端口的协议)显示在体系结构图表中的每个安全规则行上。

每个安全列表在实例级别强制实施。但是,在子网级别配置安全列表时,特定子网中的所有实例都受同一组规则约束。每个子网可以有多个与其关联的安全列表,每个列表可以具有多个规则。如果任何列表中的规则允许流量(或流量是正在跟踪的现有连接的一部分),则允许传输数据包。除了安全列表之外,还可以使用 iptables 在实例级别实施另一层安全性。

对于公共子网中的部署,您可以通过阻止从 Internet 访问应用程序和数据库实例来提供额外的安全性级别。使用定制安全列表可以防止 Internet 访问应用程序和数据库实例,并允许通过基础主机 22 访问数据库和应用程序主机以进行管理。不启用从 Internet 对应用程序和数据库实例的 SSH 访问,但可以允许从包含基础主机的子网访问这些实例。

您可以通过基础服务器访问专用子网中的实例。

对于多个可用性域体系结构,请在所有可用性域中的子网间使用相同的安全列表。

基础主机的安全列表

使用基础安全列表,可以从基于端口 22 的公共 Internet 访问基础主机。

  • 要允许从内部部署网络向基础主机通过 Internet 进行 SSH 流量,请执行以下操作:

    有状态声明:允许来自源 CIDR 0.0.0.0/0 的 TCP 流量以及所有源端口到目标端口 22 (SSH)。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    也可以将基础主机限制为仅可从数据中心而不是公共 Internet (0.0.0.0/0)访问到位于端口 22 的 Internet 上。要达到此目的,请在有状态输入格式规则中使用边缘路由器Ip ,而不使用源cidr作为0.0.0/0。

  • 要允许从基础主机向Oracle Cloud Infrastructure Compute 实例进行 SSH 流量,请执行以下操作:

    有状态段:允许将 TCP 流量从所有源端口到所有目标端口的目标 CIDR 0.0.0.0/0。

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

负载平衡器层的安全列表

体系结构图表显示专用负载平衡器,这些负载平衡器放在专用子网中。如果将负载平衡器实例放置在公共子网中,则会允许来自 Internet (0.0.0.0/0)的流量提交到负载平衡器实例。

  • 要允许从 Internet 向负载平衡器通信,请执行以下操作:

    有状态声明:允许来自源 CIDR (Internet) 0.0.0.0/0 的 TCP 流量以及目标端口8000/8448 (HTTP)或 443 (HTTPS)的所有源端口。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • 要允许从内部部署网络向负载平衡器流量,请执行以下操作:

    有状态声明:允许来自内部部署网络 CIDR 块的 TCP 流量以及到目标端口8000/8448 (HTTP)或 443 (HTTPS)的所有源端口。

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • 要允许从负载平衡器层向应用程序层流量,请执行以下操作:

    有状态段:允许 TCP 通信量从所有源端口到目标 CIDR 0.0.0.0/0,到目标端口8000/8448 (HTTP)。

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

应用程序层的安全列表

  • 要允许从基础主机向应用程序层流量,请执行以下操作:

    有状态声明:允许 TCP 上基础主机的源 CIDR 块通信量到目标端口 22。

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 要允许从负载平衡器子网到应用程序层中的 Web 服务器子网进行流量,请执行以下操作:

    有状态声明:允许从负载平衡器层的源 CIDR 块向目标端口 8000 或 8443 进行 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 80008443

  • 要允许从 Web 服务器子网到应用程序服务器子网通信,请执行以下操作:

    有状态声明:允许 PeopleSoft Web 服务器的源 CIDR 块通信量到目标端口 9033 到 9039。

    Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 90339039

  • 要允许从 Web 服务器子网向 ElasticSearch 服务器进行流量传送,请执行以下操作:

    有状态段:允许从 Web 服务器的源 CIDR 块向目标端口 9200 进行 TCP 通信。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • 要允许来自 ElasticSearch 服务器的流量处理调度器服务器:

    有状态例如:允许从 Web 服务器的源 CIDR 块向目标端口 3389 进行 TCP 通信。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 要允许从应用程序服务器子网向 PeopleTools 客户端进行流量传送:

    有状态例如:允许从 PeopleTools Client 子网的源 CIDR 块向目标端口 3389 进行 TCP 流量。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 要允许从应用程序层向数据库层进行流量传送,请执行以下操作:

    有状态例如:允许应用程序服务器子网的 TCP 流量源 CIDR 块到目标端口 1521。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

PeopleTools Client 的安全列表

PeopleTools 客户机使用 Windows 操作系统 , 因此您必须对此实例执行 RDP 操作。

  • 要允许从基础主机向 PeopleTools Client 进行流量传输,请执行以下操作:

    有状态声明:允许使用 RDP 从 TCP 上基础主机的源 CIDR 块进行 TCP 流量到目标端口 3389。

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 要允许从 PeopleTools 客户端到数据库服务器子网通信:

    有状态例如:允许从 PeopleTools 客户机子网的源 CIDR 块向目标端口 1521 进行 TCP 流量。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

数据库层的安全列表

  • 要允许从基础主机向数据库层流量,请执行以下操作:

    有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 要允许从应用程序层向数据库层流量进行流量传送:

    有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • 要允许从数据库层向应用程序层流量,请执行以下操作:

    有状态出站:Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • 要允许将数据库备份到Oracle Cloud Infrastructure Object Storage的流量,请执行以下操作:

    有状态出站: Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    对于多个可用性域体系结构,允许跨 Oracle Active Data Guard 的可用性域的数据库层之间的流量:

    • 有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • 有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

对于Oracle Database Exadata Cloud Service 系统预配,需要以下附加规则:

  • 有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • 有状态原始:Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • 有状态出站:Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • 有状态出站:Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All