In diesem Handbuch wird eine Referenzarchitektur beschrieben, mit der die PeopleSoft multitier-Anwendungsarchitektur bereitgestellt und verwendet wird, zusammen mit der Fortinet-Sicherheits-Fabric-Lösung, die Implementierung einer Hub-Spoke-Netzwerktopologie zur Überwachung von North-South und East-West-Datenverkehr. Generell ist der North-South-Verkehr der Verkehrswert, der das Netzwerk eingibt und verlässt, während der East-West-Verkehrswert der Verkehrswert im Netzwerk ist.
Die Hub-Spoke-Topologie ist ein herkömmliches Netzwerkmuster, das ein zentrales Netzwerk (den Hub) mit mehreren gerichteten Netzwerken (den Spokes) verbindet. Der Verkehr zwischen diesen Netzwerken durchläuft eine hochverfügbare FortiGate next-generation-Firewall und bietet einen zentralisierten Speicherort, um Sicherheits- und Datenverkehrsprüfungen durchzusetzen. Das virtuelle Hub-Cloud-Netzwerk (VCN) ist der zentrale Konnektivitätspunkt für den Datenverkehr North-South und East-West. Jede Stufe der PeopleSoft-Architektur wird in einem eigenen Spoke VCN bereitgestellt, sodass die Mikrosegmentierung mit mehr Schutzebenen ermöglicht wird, weil jede Paketverschiebung zwischen verschiedenen Tiers untersucht und gesichert ist.
Diese Architektur kann ein hochskalierbares und modulares Design für die Verbindung mehrerer Spokes bereitstellen, wobei jedes Spoke-Netzwerk die Tier einer Anwendung (wie Web, Anwendung und Datenbank) darstellt. Sie funktioniert in einer bestimmten Umgebung, wie Produktion, Test und Entwicklungsumgebung und in verschiedenen Infrastrukturen, wie Regionen, On-Premise-Data Center und Multi-Cloud.
FortiAnalyzer und FortiManager sind optionale Komponenten, die Sie in demselben Subnet von FortiGate bereitstellen können. FortiADC bietet Load Balancing Services und leitet Anforderungen an PeopleSoft Web Tier weiter.
Das folgende Diagramm veranschaulicht diese Referenzarchitektur.
Beschreibung der Abbildung Architect-peoplesoft-fortinet-oci.png
Hub-Spoke-Topologie kann über die folgenden Szenarios implementiert werden:
- Verwenden des Transit-Routings mit lokalen Peering-Gateways (LPG) zur Verbindung von Spoke-VCNs mit dem Hub-VCN.
- Jedem Spoke VCN einzeln eine virtuelle FortiGate-Netzwerkschnittstellenkarte (VNIC) zuordnen.
Für das Szenario des VNIC-Anhangs muss jede Spoke-VCN über eine Weiterleitungsregel verfügen, um den gesamten Datenverkehr an die private IP-Adresse der FortiGate VNIC weiterzuleiten, die an den Spoke VCN angehängt ist.
Für das LPG-Szenario muss jede Spoke-VCN über eine Weiterleitungsregel verfügen, um den gesamten Datenverkehr an den LPG weiterzuleiten. In LPG sollte eine weitere Routingregel vorhanden sein, die den Datenverkehr an die nicht vertrauenswürdige IP-Adresse oder die unverankerte IP-Adresse von FortiGate weiterleitet, die an den Hub VCN angehängt ist.
Beachten Sie, dass FortiGate keinen Datenverkehr innerhalb jeder VCN (Ziel-IP innerhalb des VCN CIDR-Bereichs) untersuchen darf, da Oracle Cloud Infrastructure automatisch alle Pakete, die für die VCN selbst bestimmt sind, an die Ziel-IP direkt über das interne Standard-Gateway des Oracle Cloud-Subnetzes weiterleitet.
Nord - Süddatenverkehr
Eingehender Datenverkehr, der aus dem Internet oder aus einem On-Premise-Netzwerk eine Verbindung zu einer öffentlichen IP-Adresse herstellt, die auf der nicht vertrauenswürdigen oder wandsSchnittstelle der FortiGate-Firewall gehostet wird. Die öffentliche IP-Adresse (reserviert oder flüchtig) ist eine von Oracle verwaltete NAT-IP-Adresse, die mit einer sekundären privaten IP-Adresse innerhalb des nicht vertrauenswürdigen Subnetzes in Oracle Cloud Infrastructure verknüpft ist. Die sekundäre private IP-Adresse (unverankerte IP) wird der nicht vertrauenswürdigen Schnittstelle in FortiGate statisch zugewiesen. Wenn ein Failover auftritt, wird die unverankerte IP zusammen mit der öffentlichen IP-Adresse auf einen anderen Host verschoben.
Nach der Paketprüfung verlässt der eingehende Datenverkehr FortiGate über die Trust-Schnittstelle. Die Zieladresse ist die virtuelle FortiADC-IP-Adresse, die in der Application Tier Spoke VCN bereitgestellt wird. FortiADC gleicht den Traffic zwischen den aktiven PeopleSoft-Anwendungsservern basierend auf Load Balancer-Policys aus. Da sich dieser Datenverkehr innerhalb von VCN befindet, wird das Paket direkt an den Zielhost weitergeleitet. Der Ingress-Traffic läuft in folgendem Muster:
- FortiGate-Hub VCN: Von der nicht vertrauenswürdigen VNIC von FortiGate zur vertrauenswürdigen VNIC von FortiGate zu dem Standardgateway des Oracle Cloud Infrastructure-Trust Subnetzes in LPG im Trust-Subnetz zur Application Tier.
- Application Tier Spoke VCN: Vom LPG im Application-Tier-Subnetz zum Standardgateway des Oracle Cloud Infrastructure FortiADC Subnetzes zur FortiADC VNIC für die PeopleSoft-Webserver.
Bei mehreren Umgebungen, die durch dieselbe Firewall untersucht werden, können Sie mehrere sekundäre IP-Adressen sowohl für nicht vertrauenswürdige als auch für Trust-Schnittstellen (VNICs) zuweisen. Jede private IP-Adresse muss als Quelladresse verwendet werden, die einer bestimmten Zielanwendung oder einer Umgebung in Ihren Firewall-Policys zugeordnet werden kann. Alternativ können Sie eine Ziel-NAT-Policy mit Port-Weiterleitung in FortiGate einrichten, die auf unterschiedliche virtuelle IPs oder Ports verweist, die jede einzelne Zielanwendung oder Umgebung darstellen können.
North-South Outbound-Verkehr
Ausgehender Datenverkehr vom FortiGate-Hub VCN wird über das Internetgateway weitergeleitet.
Der ausgehende Datenverkehr von Spoke-VCNs zu einem beliebigen Ziel wird von dem Spoke VCN LPG zu dem Peer-PLPG in der Hub-VCN weitergeleitet. Sobald das Paket die Hub-VCN erreicht, leitet die mit LPG verknüpfte Route den Datenverkehr an die unverankerte FortiGate-IP in der Trust-Schnittstelle weiter. Von dort leitet FortiGate nach der Prüfung das Paket an das Standard-Gateway des nicht vertrauenswürdigen Subnetzes weiter. Basierend auf der Routingtabelle des vertrauenswürdigen Subnetzes wird sie über das Internetgateway in das Internet oder On Premise verschoben.
East-West Traffic
Oracle empfiehlt die Segmentierung von Netzwerken auf VCN-Ebene anstelle der Subnetzebene, um den East-Westdatenverkehr zu prüfen, weil der gesamte Datenverkehr innerhalb des VCN CIDR-Blocks automatisch über das interne Oracle Cloud Infrastructure-Subnetzstandardgateway weitergeleitet wird und diese Route nicht überschrieben werden kann.
East-West-Verkehr von einem Spoke VCN wird von dem Spoke VCN LPG zu dem PeerLPG in der Hub-VCN und anschließend an die unverankerte FortiGate-IP in der Trust-Schnittstelle weitergeleitet. FortiGate prüft den eingehenden Datenverkehr und legt basierend auf den FortiGate-Firewall die Zieladresse auf den Zielhost in der Spoke-VCN oder zurück auf den Quellhost fest, der das Paket gesendet hat. Der Datenverkehr verlässt FortiGate über die Trust-Schnittstelle und wird über das Standardgateway im Trust-Subnetz gesendet, das das Paket an die LPG in die Spoke-Zieldatenbank oder die VCN-Anwendung weiterleitet.
Die Architektur umfasst die folgenden Komponenten:
- Fortinet FortiGate Next-Generation Firewall
Stellt Netzwerk- und Sicherheitsservices bereit, wie Bedrohungsschutz, SSL-Inspektion und ultra-low-Latenz für den Schutz von internen Segmenten und geschäftskritischen Umgebungen. Sie unterstützt direkte Single Root-I/O-Virtualisierung (SR-IOV) für eine verbesserte Performance. FortiGate kann direkt aus Oracle Cloud Marketplace bereitgestellt werden.
- Fortinet FortiAnalyzer
Liefert datengesteuerte Unternehmenssicherheitseinblicke mit zentralisiertem Netzwerk-Logging, Analysen und Reporting.
- Fortinet FortiManager
Stellt Einfaserverwaltung über das Netzwerk bereit und bietet Echtzeit- und historische Ansichten für Netzwerkaktivitäten.
- Fortinet FortiADC
Gleicht Datenverkehr für mehrere geografische Regionen aus. Der Content wird basierend auf dem Policy-Routing dynamisch neu geschrieben, um das Load Balancing von Anwendungen und Servern sicherzustellen. FortiADC verarbeitet außerdem Komprimierungs-, Caching-, HTTP 2.0 - und HTTP PageSpeed-Optimierungen.
- PeopleSoft-Webebene
Verfassen des FortiADC Load Balancers, PeopleSoft-Webservers und der ElasticSearch-Server.
- PeopleSoft-Anwendungsebene
Verfassen von PeopleSoft-Anwendungsservern und PeopleSoft Process Scheduler-Servern.
- PeopleSoft-Datenbank-Tier
Verfassen von Oracle Database, jedoch nicht auf Oracle Exadata-Datenbank- oder Oracle Database-Services beschränkt.
- PeopleTools-Client-Tier
Der PeopleTools-Client für Administrationsaktivitäten wie Entwicklung, Migration und Upgrade.
- Region
Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center enthält, die als Availability-Domains bezeichnet werden. Regionen sind unabhängig von anderen Regionen, und größte Distanzen können diese voneinander trennen (über Länder oder sogar Kontinente).
- Availability-Domains
Availability-Domains sind eigenständige, unabhängige Data Center in einer Region. Die physischen Ressourcen in jeder Availability-Domain werden von den Ressourcen in den anderen Availability-Domains isoliert, wodurch Fehlertoleranz ermöglicht wird. Availability-Domains verwenden keine Infrastruktur, wie z. B. Stromversorgung oder Kühlung, oder das interne Availability-Domainnetzwerk. Somit ist es unwahrscheinlich, dass sich ein Fehler in einer Availability-Domain auf die anderen Availability-Domains in der Region auswirkt.
- Faultdomains
Eine Faultdomain ist eine Gruppierung von Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain verfügt über drei Faultdomains mit unabhängiger Leistung und Hardware. Wenn Sie Ressourcen über mehrere Faultdomains verteilen, können Ihre Anwendungen physikalische Serverfehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.
- Virtuelles Cloud-Netzwerk (VCN) und Subnetze
Ein VCN ist ein anpassbares, privates Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region eingerichtet haben. Wie bei herkömmlichen Data Center-Netzwerken haben VCNs vollständige Kontrolle über Ihre Netzwerkumgebung. Sie können VCNs in Subnetze segmentieren, die einer Region oder einer Availability-Domain zugeordnet werden können. Sowohl regionale Subnetze als auch domainspezifische Subnetze können in derselben VCN vorhanden sein. Ein Subnetz kann öffentlich oder privat sein.
- Hub VCN
Ein zentrales Netzwerk, in dem FortiGate bereitgestellt werden muss. Sie kann Verbindungen zu allen Spoke-VCNs, Oracle Cloud Infrastructure-Services, öffentlichen Endpunkten und Clients und On-Premise-Data-Center-Netzwerken bereitstellen. Sie besteht normalerweise aus den folgenden vier Subnetzen:
- Managementsubnetz
Öffentliches Subnetz, in dem die primäre VNIC für FortiGate angehängt ist. Er ist für Vorgänge auf FortiGate Control Plane und allgemeine Managementaktivitäten verantwortlich.
- Nicht vertrauenswürdiges Subnetz
Öffentliches Subnetz mit FortiGate VNIC-Anhang. Sie dient als Gateway/Endpunkt für Ingress-Traffic aus dem Internet oder aus einem On-Premise-Data Center.
- Trust-Subnetz
Privates Subnetz, das den FortiGate VNIC-Anhang enthält. Er leitet den Datenverkehr an die LPG weiter, die an den Hub VCN angeschlossen ist, und an die ordnungsgemäße Spoke-VCN. Er muss auch Ingress-Pakete von Spoke-VCNs empfangen.
- HA-Subnetz
Privates Subnetz, das den FortiGate VNIC-Anhang enthält. Er ist für Heartbeat-/HA-Datenverkehr dediziert.
- Managementsubnetz
- Web Tier Spoke VCN
Ein privates Subnetz der PeopleSoft-Web-Tier, das aus FortiADC Load Balancer Setup im HA-Modus, PeopleSoft-Webservern und PeopleSoft elastic-Suchservern besteht.
- Application Tier Spoke VCN
Ein privates Subnetz für die Hosts des Anwendungsservers und die Hosts des PeopleSoft-Tools.
- Database Tier Spoke VCN
Ein privates Subnetz für das Hosting von Oracle-Datenbanken.
- Routentabellen
Virtuelle Routentabellen für VCN. Sie verfügen über Routingregeln, um Datenverkehr von Subnetzen zu Zielen außerhalb von VCN zu leiten, z. B. an das Internet, an ein On-Premise-Netzwerk oder ein Peer-VCN. Jede VCN wird automatisch mit einer Standardroutingtabelle geliefert, die keine Regeln enthält.
- Internetgateway oder NAT-Gateway
FortiGate verwendet ein Internetgateway oder ein NAT-Gateway zur Kommunikation mit externen öffentlichen Endpunkten. FortiGate erfordert mindestens ein bereitgestelltes NAT-Gateway für den Zugriff auf Fortinet-Lizenzserver, falls ein Internetgateway aufgrund einer FastConnect-Verbindung nicht erforderlich ist.
- Lokales Peering-Gateway
Das lokale Peering-Gateway (LPG) ist die Komponente in einer VCN, die für das Routing des Datenverkehrs an ein lokal gestelltes VCN innerhalb derselben Oracle Cloud Infrastructure-Region verantwortlich ist. Für jeden Hub und Spoke VCN wurde LPG bereitgestellt. Es gibt maximal 10 LPG-Anhänge pro VCN.
- Servicegateway
Ein Servicegateway ist für die Kommunikation mit Oracle-Services wie Infrastruktur, PaaS oder SaaS über das Hub-VCN oder das On-Premise-Netzwerk erforderlich.
- Dynamisches Routinggateway
Das dynamische Routinggateway (DRG) ist ein virtueller Router, der einen Pfad für privaten Datenverkehr zwischen VCNs und Netzwerken außerhalb der VCN-Region bereitstellt.
- Virtuelle Netzwerkkarten (VNICs)
Die Services in Oracle Cloud Infrastructure-Data Centern haben physische Netzwerkkarten (NICs). Instanzen von virtuellen Rechnern kommunizieren mit virtuellen NICs (VNICs), die mit den physischen NICs verknüpft sind. Jede Instanz verfügt über eine primäre VNIC, die beim Start automatisch erstellt und angehängt wird und während der Gültigkeitsdauer der Instanz verfügbar ist. DHCP wird nur der primären VNIC angeboten. Sie können sekundäre VNICs nach dem Starten der Instanz hinzufügen, und statische IPs müssen für jede Schnittstelle eingerichtet werden.
- Private IP-Adressen
Eine private IPv4-Adresse und zugehörige Informationen zur Adressierung einer Instanz. Jede VNIC verfügt über eine primäre private IP, und Sie können sekundäre private IPs hinzufügen und entfernen. Die primäre private IP-Adresse einer Instanz wird beim Starten der Instanz angehängt und ändert sich während der Gültigkeitsdauer der Instanz nicht. Sekundäre IPs müssen ebenfalls zum selben CIDR des VNIC-Subnetzes gehören. Die sekundäre IP wird als unverankerte IP verwendet, weil sie zwischen verschiedenen VNICs auf verschiedenen Instanzen innerhalb desselben Subnetzes verschoben werden kann. Sie können sie auch als einen anderen Endpunkt verwenden, um verschiedene Services zu hosten.
- Öffentliche IP-Adressen
Die Networking-Services definieren eine öffentliche IPv4-Adresse, die von Oracle ausgewählt wurde und einer privaten IP zugeordnet ist.
- Flüchtig: Diese Adresse ist temporär und ist für die Lebensdauer der Instanz vorhanden
- Reserviert: Diese Adresse ist persistent und liegt über der Lebensdauer der Instanz. Sie kann nicht zugewiesen und einer anderen Instanz zugewiesen werden.
- Quell- und Zielprüfung
Jede VNIC führt die Quell- und Zielprüfung am Netzwerkverkehr durch. Durch Deaktivierung dieses Kennzeichens kann FortiGate Netzwerkverkehr bearbeiten, der nicht für die Firewall als Ziel definiert ist.
- Sicherheitsliste
Für jedes Subnetz können Sie Sicherheitsregeln erstellen, mit denen Quelle, Ziel und Typ des Traffics angegeben werden, die in und aus dem Subnetz zugelassen werden müssen.
- Rechenleistungseinheit
In Compute gibt die Form die Anzahl der CPUs und den Speicherplatz an, der der Instanz zugewiesen ist. Die Rechenleistungseinheit bestimmt auch die Anzahl der VNICs und die maximale Bandbreite, die für die Compute-Instanz verfügbar ist.
