Über diese Architektur
In dieser Architektur wird beschrieben, wie Oracle Integration3-Instanzen für Entwicklung, Test und Produktion eingerichtet werden. Der Schwerpunkt liegt auf den Sicherheitsaspekten einer Implementierung. Unter "Weitere Informationen" am Ende dieses Handbuchs finden Sie einen Link zum Einrichten einer Landing-Zone-Architektur mit Oracle Integration, bei dem der Schwerpunkt auf den spezifischen Services von Oracle Integration 3 liegt.
OCI IAM-Identitätsdomains für Ihre Oracle Integration 3-Umgebung einrichten
Beschreibung der Abbildung oi3-ss-lz.png
Sie sollten die OCI-IAM-Standardidentitätsdomain Ihren OCI-Administratoren dedizieren, da sie nicht täglich verwendet werden kann. Die Standard-OCI-IAM-Identitätsdomain wird vielmehr für administrative Aufgaben auf OCI-Mandantenebene verwendet. Zusätzliche Entwicklungs-, Test- und Produktions-OCI-IAM-Identitätsdomains trennen die erforderlichen Umgebungen weiter.
Die Standardinstanz der OCI-IAM-Identitätsdomain ist in OCI-Services integriert, sodass Benutzer und Gruppen in Ihrer Organisation OCI-Ressourcen gemäß den in der OCI-IAM-Identitätsdomain eingerichteten Identitäts-Policys authentifizieren und darauf zugreifen können. Der Cloud-Accountadministrator ist Eigentümer der OCI-IAM-Standardidentitätsdomain und kann eine oder mehrere sekundäre OCI-IAM-Identitätsdomaininstanzen erstellen. In diesem Fall die OCI-IAM-Identitätsdomaininstanzen für Entwicklung, Test und Produktion für ein Oracle Integration 3-Deployment.
Die OCI-IAM-Standardidentitätsdomain enthält die beim Deployment einer Landing Zone erstellten Gruppen.
Neben den von der Landing Zone erstellten Ressourcen müssen Sie auch die Gruppen und Compartments erstellen, die für die Verarbeitung von Oracle Integration 3-Instanzen erforderlich sind. Beim Setup wird zwischen Administratoren unterschieden, die eine Oracle Integration 3-Instanz erstellen und löschen oder das Compartment einer Oracle Integration 3-Instanz ändern dürfen, und Administratoren, die Oracle Integration 3-Instanzen stoppen, starten und aktualisieren können. Durch dieses Setup wird sichergestellt, dass Personen auf Entwicklungs-, Test- oder Produktionsumgebungsebene keine Oracle Integration 3-Instanz erstellen oder löschen können. Diese Administratoren können die Instanzen nur in ihrem eigenen Compartment starten, stoppen oder aktualisieren.
OCI-IAM-Identitätsdomains für Ihre Instanzen einrichten
Wie im Überblickabschnitt erwähnt, müssen Sie zum Deployment von Oracle Integration 3 eine Gruppe von OCI-IAM-Identitätsdomains für Ihre Oracle Integration 3-Instanzen einrichten. Innerhalb dieser OCI-IAM-Identitätsdomaininstanzen verfügen Sie über bestimmte Gruppen mit unterschiedlichen Berechtigungsstufen.
Namenskonventionen verstehen
Die Benennungskonvention in den OCI-IAM-Identitätsdomains eines Administrators lautet OCI-IAM-id-dev, OCI-IAM-id-test und OCI-IAM-id-prod. Beachten Sie, dass Sie die genauen Gruppennamen und Berechtigungen Ihres Unternehmens entsprechend den Anforderungen Ihres Unternehmens und den von Ihnen festgelegten Benennungskonventionen anpassen können.
Benutzergruppen erstellen
Erstellen Sie in diesen OCI-IAM-Identitätsdomaininstanzen Benutzergruppen, die unterschiedliche Berechtigungsstufen erhalten. Die Gruppen, die für das OCI-Deployment erforderlich sind, werden in der folgenden Tabelle angezeigt.
| Gruppenname | Beschreibung | Berechtigungen | Ref. in Richtlinien für Comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration3-Administratoren | Erstellen, Löschen, Vergleich ändern | xxx-oi3-admin-cmp |
| xxx-oi3- operator-dev-grp | Oracle Integration 3 Operatorengruppe für die Entwicklung | Aktualisieren, starten, stoppen | xxx-oi3- Operator-dev-cmp |
| xxx-oi3- Operatortest-grp | Oracle Integration 3-Operatorgruppe für Tests | Aktualisieren, starten, stoppen | xxx-oi3- Operatortest-cmp |
| xxx-oi3- Operator-prod-grp | Oracle Integration 3-Operatorengruppe für die Produktion | Aktualisieren, starten, stoppen | xxx-oi3- Operator-prod-cmp |
Architektur
Das folgende Diagramm veranschaulicht die Architektur eines Oracle Integration 3-Deployments auf einer Oracle Self-Service-Landing Zone:
Beschreibung der Abbildung oi3-ss-lz-arch.png
- Compartment
Compartments sind regionsübergreifende logische Partitionen in einem Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Ihre Ressourcen in Oracle Cloud organisieren, den Zugriff auf die Ressourcen kontrollieren und Nutzungs-Quotas festlegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.
- OCI-IAM-Identitätsdomain
Identity and Access Management (IAM) verwendet Identitätsdomains, um Identitäts- und Zugriffsmanagementfeatures wie Authentifizierung, Single Sign-On (SSO) und Identitätslebenszyklusmanagement für Oracle Cloud sowie für Oracle- und Nicht-Oracle-Anwendungen (SaaS, in der Cloud gehostet oder On Premise) bereitzustellen.
- Bastion
Oracle Cloud Infrastructure Bastion bietet eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte haben und strenge Ressourcenzugriffskontrollen erfordern, wie Bare Metal und virtuelle Maschinen, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) und jede andere Ressource, die Secure Shell Protocol-(SSH-)Zugriff ermöglicht. Mit dem Oracle Cloud Infrastructure Bastion-Service können Sie den Zugriff auf private Hosts aktivieren, ohne einen Jump-Host bereitzustellen und zu verwalten. Darüber hinaus erhalten Sie eine verbesserte Sicherheitslage mit identitätsbasierten Berechtigungen und einer zentralisierten, auditierten und zeitgebundenen SSH-Session. Mit Oracle Cloud Infrastructure Bastion ist keine öffentliche IP mehr für den Bastionzugriff erforderlich. Dadurch entfallen der Aufwand und die potenzielle Angriffsfläche beim Remotezugriff.
- Oracle Services Network
Das Oracle Services Network (OSN) ist ein konzeptionelles Netzwerk in Oracle Cloud Infrastructure, das für Oracle-Services reserviert ist. Diese Services verfügen über öffentliche IP-Adressen, die Sie über das Internet erreichen können. Hosts außerhalb der Oracle Cloud können mit Oracle Cloud Infrastructure FastConnect oder VPN Connect privat auf das OSN zugreifen. Hosts in Ihren VCNs können über ein Servicegateway privat auf das OSN zugreifen.
Compartment-Struktur verstehen
Das folgende Diagramm zeigt die Compartment-Struktur für bereitgestellte Oracle Integration 3-Entwicklungs-, Test- und Produktionsinstanzen:
Beschreibung der Abbildung oi3-compartment-structure.png
oi3-compartment-struktur-oracle.zip
Das Diagramm zeigt ein Compartment mit der Bezeichnung "Oracle Integration 3 Compartment" (mit der Benennungskonvention xxx-oi3-admin-cmp, wobei xxx eine dreistellige, kleingeschriebene Kundenabkürzung ist). Dieses Compartment richtet sich an Administratoren, die über Berechtigungen zum Erstellen von Oracle Integration 3-Instanzen verfügen. Im Entwicklungs-Compartment von Oracle Integration 3 (xxx-oi3-operator-dev-cmp) im Unter-Compartment verfügen Benutzer über Berechtigungen über eine Gruppenmitgliedschaft, mit der Sie Oracle Integration 3-Entwicklungsinstanzen stoppen und starten können. Test- und Produktionsinstanz sind separate Compartments.
Die Fächer sind in Tabelle 1 aufgeführt. (Siehe oben)
Für jedes Compartment müssen Policys konfiguriert sein, damit die Administratoren die Aktionen für die Oracle Integration 3-Instanz ausführen können. Weitere Informationen zu diesen Policys finden Sie unten unter "Oracle Integration 3 bereitstellen".