1. 瞭解在 Oracle Cloud Infrastructure 上部署 PeopleSoft
  2. 瞭解 PeopleSoft 架構

瞭解PeopleSoft 架構

瞭解PeopleSoft 建置中的不同層。

關於巴斯主機

基礎主機是一個選擇性元件,可搭配防火牆原則使用,以保護資料庫與應用程式伺服器的管理介面,避免外部存取。基礎主機是使用 Linux 作為其作業系統的 Oracle Cloud Infrastructure Compute 執行處理。

將基底主機置於公用子網路、並指定公用 IP 位址給它、以從網際網路存取。

若要提供額外的安全性層次,您可以設定安全性清單,只從內部部署網路的公用 IP 位址存取基礎主機。您可以透過基礎主機存取專用子網路中的 Oracle Cloud Infrastructure 執行處理。若要這樣做,請啟用 ssh-agent 轉寄,此轉寄可讓您連線至基礎主機,然後透過轉寄電腦的證明資料來存取下一部伺服器。您也可以使用動態 SSH 通道,存取專用子網路中的執行處理。SSH 通道是存取 Web 應用程式或其他監聽服務的方法。動態通道提供本機連接埠上的 SOCKS 代理主機,但是這些連線源自遠端主機。

關於負載平衡器層

使用 Oracle Cloud Infrastructure Load Balancing,可以將流量分配到 VCN 內所有可用性網域中的應用程式執行處理。此服務提供負載平衡器的主要和待命執行處理,以確保主要負載平衡器如果停用,待命負載平衡器就會轉送要求。負載平衡器可確保要求會遞送到正常的應用程式執行處理。如果應用程式執行處理發生問題,負載平衡器就會移除該執行處理,並開始將要求遞送至其餘的健全應用程式執行處理。

您可以根據您的需求將負載平衡器置於公用或專用子網路中。

  • 對於無法從網際網路存取的內部端點,請使用專用負載平衡器。專用負載平衡器有專用 IP 位址,無法從網際網路存取。負載平衡器的主要和待命執行處理皆位於相同的專用子網路中。您可以透過DRG ,在VCN或您的資料中心內存取私人負載平衡器。專用負載平衡器接受來自資料中心的流量,並將流量分配給基礎應用程式執行處理。

  • 對於網路端點,請使用公用負載平衡器。公用負載平衡器有一個公用 IP 位址,而且可以從網際網路存取。您可以透過網際網路閘道從網際網路存取公用負載平衡器。

  • 若要存取內部端點與網路端點,請設定專用負載平衡器與公共負載平衡器。設定專用負載平衡器為服務內部流量,並設定公用負載平衡器為從網際網路提供服務給流量。

在您的內部部署或公用網域名稱伺服器 (DNS) 中註冊 Oracle Cloud Infrastructure Load Balancing 執行處理的公用或專用 IP 位址,以解析應用程式端點。

關於應用程式層

應用程式層中的所有執行處理都會設定並連線至處於作用中狀態的資料庫執行處理。應用程式層包含下列 PeopleSoft 網際網路架構元件:

  • PeopleSoft Web 伺服器:PeopleSoft Web 伺服器會透過負載平衡器接收來自 Web 環境、網際網路與內部網路的應用程式要求。透過連接埠 8000 的負載平衡器分配內送流量。它會將要求轉送至應用程式伺服器上的 Oracle Tuxedo Jolt 連接埠。在「架構」圖表中,已建置多個 Web 伺服器以支援高可用性。

  • ElasticSearch 伺服器:Oracle PeopleSoft 搜尋架構提供標準方法,讓所有 PeopleSoft 應用程式使用搜尋索引。搜尋架構需視 ElasticSearch 伺服器而定。它會透過連接埠 9200 與 PeopleSoft Web 伺服器互動。

  • PeopleSoft 應用程式伺服器:PeopleSoft 應用程式伺服器可處理 PeopleSoft 系統中的工作負載大量。它會執行商業邏輯,並處理透過 Oracle Tuxedo Jolt 連接埠 9000 來自 Web 伺服器的所有應用程式要求。應用程式伺服器也負責維護透過連接埠 1521 與資料庫的 SQL 連線。應用程式要求會在 Web 伺服器收到。這些要求會轉送至應用程式伺服器,然後應用程式伺服器將 SQL 送出至資料庫伺服器。

  • PeopleSoft Process Scheduler:需要 PeopleSoft Process Scheduler 執行處理,才能執行 Windows 特定的處理作業或工作,例如 NVision。此執行處理建置在 Windows 作業系統上。

  • PeopleTools 從屬端:PeopleTools 從屬端是 Windows 式從屬端。它們也稱為「PeopleTools 開發環境」。這些在支援之 Microsoft Windows 平台上執行的從屬端可以使用從屬端連線軟體 (兩層連線) 透過連接埠 1521 或透過 PeopleSoft 應用程式伺服器 (三層連線) 連線至 PeopleSoft 資料庫。PeopleTools 從屬端是 PeopleSoft 網際網路架構的整合部分,因為它可協助管理員執行管理和移轉工作。

設定 Oracle Cloud Infrastructure File Storage 以暫存 PeopleSoft 軟體。您可以建立單一檔案儲存檔案系統,在應用程式伺服器、Web 伺服器和 ElasticSearch 伺服器之間共用軟體二進位檔案。

您可以使用 Oracle Cloud Infrastructure Object Storage 來備份PeopleSoft 應用程式執行處理。

關於資料庫層

為了達到高可用性需求,Oracle 建議您使用下列其中一個選項來設定PeopleSoft 資料庫執行處理:

  • 虛擬機器上的雙節點 Oracle Real Application Clusters (Oracle RAC) 資料庫系統。

  • Oracle Database Exadata Cloud Service 執行處理。此服務提供在 Oracle Cloud 的 Oracle Exadata Database Machine 上代管的 Oracle Database。

將資料庫系統放置在個別的子網路中。

資料庫執行處理設定為可用性,而且可用性網域中的資料庫執行處理都在作用中。從應用程式層接收的要求會跨資料庫執行處理負載平衡。如果一個資料庫執行處理停用,則另一個資料庫執行處理會為要求提供服務。您可以使用 Oracle Cloud Infrastructure Object Storage,使用 RMAN 備份PeopleSoft 資料庫。

使用安全清單限制只能從基礎主機、應用程式伺服器和內部部署伺服器存取資料庫伺服器。設定安全清單,以確保透過基本主機和連接埠 1521 (透過應用程式伺服器) 通訊只會發生在連接埠 22 以上。也請確定無法透過網際網路存取資料庫系統。

如果您已在多個可用性網域中建置PeopleSoft,請使用同步模式的 Oracle Active Data Guard 跨可用性網域複製資料庫。連接埠 1521 是開啟以與 Oracle Active Data Guard 通訊。「資料保全」傳輸服務使用連接埠 1521 來傳輸 Oracle Active Data Guard 的重做日誌檔。

關於安全清單

在 Oracle Cloud Infrastructure 中,防火牆規則是透過安全清單設定的。系統會為每個子網路建立一個個別的安全清單。

Oracle 建議您為資料庫、應用程式、負載平衡器以及基礎主機建立個別的子網路,以確保為每個子網路中的執行處理指派適當的安全清單。使用安全清單可允許不同層與基礎主機和外部主機之間的流量。安全清單包含輸入和輸出規則,可篩選子網路層次的流量。它們也包含可透過其傳輸資料的通訊連接埠相關資訊。這些連接埠 (或在某些情況下,在安全規則中將需要開啟的連接埠) 會顯示在架構圖中的每個安全規則行上。

每個安全清單都會在執行處理層次強制實行。不過,當您在子網路層次設定安全清單時,特定子網路中的所有執行處理均受限於一組相同的規則。每個子網路可以有多個與其關聯的安全清單,每個清單可以有多個規則。如果任一清單中的規則允許流量 (或者流量是正在追蹤之現有連線的一部分),則允許資料封包的傳輸。除了安全清單之外,請使用 iptables 在執行處理層次實行另一層安全。

對於公用子網路中的建置,可藉由防止從網際網路存取應用程式和資料庫執行處理,提供額外的安全層次。您可以使用自訂安全清單來防止從網際網路存取應用程式和資料庫執行處理,以及允許從基礎主機存取資料庫和應用程式主機來進行管理。不啟用從網際網路存取應用程式和資料庫執行處理的 SSH 功能,但是您可以允許從包含基礎主機的子網路存取這些執行處理。

您可以透過基礎伺服器來存取您在專用子網路中的執行處理。

對於多個可用性網域架構,在所有可用性網域中的子網路使用相同的安全清單。

Bastion 主機的安全清單

基本安全清單可讓基本主機能夠透過連接埠 22 從公用網際網路存取。

  • 透過網際網路允許從內部部署網路至基礎主機的 SSH 流量:

    狀態輸入:允許來源 CIDR 0.0.0.0/0 和所有來源連接埠對目的地連接埠 22 (SSH) 的 TCP 流量。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

    您也可以限制只能從您的資料中心(而非公用網際網路)上的連接埠22網際網路存取的基本主機。若要達到此目的,請在狀態輸入規則中使用您的邊緣路由器 IP,而不要使用來源 CIDR 作為 0.0.0.0/0。

  • 允許從基礎主機至Oracle Cloud Infrastructure Compute 執行處理的 SSH 流量:

    狀態輸出:允許所有來源連接埠至所有目的地連接埠的 TCP 流量至目的地 CIDR 0.0.0.0/0。

    Destination Type = CIDR, Destination CIDR = <CIDR block of VCN>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

負載平衡器層的安全清單

架構圖顯示放置在專用子網路中的專用負載平衡器。如果您將負載平衡器執行處理放在公用子網路中,則會將負載平衡器執行處理的流量從網際網路 (0.0.0.0/0) 放入負載平衡器執行處理。

  • 允許從網際網路到負載平衡器的流量:

    狀態輸入:允許來源 CIDR (Internet) 0.0.0.0/0 和所有來源連接埠對目的地連接埠8000/8448 (HTTP) 或 443 (HTTPS) 的 TCP 流量。

    Source Type = CIDR, Source CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448 or 443

  • 允許從內部部署網路到負載平衡器的流量:

    狀態輸入:允許內部部署網路 CIDR 區塊與所有來源連接埠對目的地連接埠8000/8448 (HTTP) 或 443 (HTTPS) 的 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block for onpremises network>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8888 or 443

  • 允許從負載平衡器層到應用程式層的流量:

    狀態輸出:允許從所有來源連接埠至目的地連接埠8000/8448 (HTTP) 的 TCP 流量至目的地 CIDR 0.0.0.0/0。

    Destination Type = CIDR, Destination CIDR = <CIDR block for application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 8000/8448

應用程式層的安全清單

  • 允許從基準主機到應用程式層的流量:

    狀態輸入:允許 TCP 對目的地連接埠 22 的基礎主機來源 CIDR 區塊進行 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 允許從負載平衡器子網路到應用程式層的 Web 伺服器子網路的流量:

    狀態性輸入:允許從負載平衡器層的來源 CIDR 區塊至目的地連接埠 8000 或 8443 的 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block of load balancer subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 80008443

  • 允許從 Web 伺服器子網路到應用程式伺服器子網路的流量:

    狀態性輸入:允許從 PeopleSoft Web 伺服器的來源 CIDR 區塊對目的地連接埠 9033 至 9039 的 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block of web server subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 90339039

  • 允許從 Web 伺服器子網路到 ElasticSearch 伺服器的流量:

    狀態性輸出:允許 Web 伺服器之來源 CIDR 區塊的 TCP 流量至目的地連接埠 9200。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 9200

  • 允許從 ElasticSearch 伺服器到「處理排程器」伺服器的流量:

    狀態性輸出:允許從 Web 伺服器的來源 CIDR 區塊至目的地連接埠 3389 的 TCP 流量。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 允許從應用程式伺服器子網路到 PeopleTools 從屬端的流量:

    狀態性輸出:允許從 PeopleTools Client 子網路的來源 CIDR 區塊至目的地連接埠 3389 的 TCP 流量。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 允許從應用程式層到資料庫層的流量:

    狀態性輸出:允許應用程式伺服器子網路的 TCP 流量來源 CIDR 區塊至目的地連接埠 1521。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

PeopleTools 從屬端的安全清單

PeopleTools Client 使用 Windows 作業系統,所以您必須將 RDP 移至此執行處理。

  • 允許從基準主機到 PeopleTools Client 的流量:

    狀態性輸入:允許 TCP 對使用 RDP 的目的地連接埠 3389 進行來源 CIDR 區塊的 TCP 流量。

    Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 3389

  • 允許從 PeopleTools Client 傳輸至資料庫伺服器子網路的流量:

    狀態性輸出:允許從 PeopleTools Client 子網路的來源 CIDR 區塊至目的地連接埠 1521 的 TCP 流量。

    Destination Type = CIDR, Destination CIDR = 0.0.0.0/0, IP Protocol = TCP, Source Port Range = All, Destination port range = 1521

資料庫層的安全清單

  • 允許從基礎主機到資料庫層的流量:

    狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of bastion subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = 22

  • 允許從應用程式層到資料庫層的流量:

    狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of application subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

  • 允許從資料庫層到應用程式層的流量:

    狀態輸出:Destination Type = CIDR, Destination 0.0.0.0/0 on TCP, source port = All, destination port = All

  • 允許將資料庫備份到Oracle Cloud Infrastructure Object Storage的流量:

    狀態輸出: Destination Type = Service, Destination OCI <region> Object Storage, source port = All, destination port = 443

    對於多個可用性網域架構,允許跨 Oracle Active Data Guard 可用性網域的資料庫層之間流量:

    • 狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 1>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

    • 狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of database subnet in availability domain 2>, IP Protocol = TCP, Source Port Range = All, Destination port range =1521

對於Oracle Database Exadata Cloud Service 系統佈建,需要下列額外規則:

  • 狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range =All

  • 狀態輸入:Source Type = CIDR, Source CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All

  • 狀態輸出:Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = TCP, Source Port Range = All, Destination port range = All

  • 狀態輸出:Destination Type = CIDR, Destination CIDR = <CIDR block of exadata client subnet>, IP Protocol = ICMP, Type and Code = All