Acerca de esta Arquitectura
Esta arquitectura describe cómo configurar instancias de Oracle Integration3 para el desarrollo, la prueba y la producción, y se centra en los aspectos de seguridad de una implantación. Consulte "Explorar más" al final de este manual de estrategias para obtener un enlace a Configuración de una arquitectura de zona de llegada con Oracle Integration, que se centra en los servicios específicos de Oracle Integration 3.
Configuración de dominios de identidad de OCI IAM para su entorno de Oracle Integration 3
Descripción de la ilustración oi3-ss-lz.png
Debe dedicar el dominio de identidad de OCI IAM por defecto a sus administradores de OCI, ya que no es para uso diario. El dominio de identidad de OCI IAM por defecto, en su lugar, se utiliza para tareas administrativas de nivel de arrendamiento de OCI. Los dominios de identidad de OCI IAM de desarrollo, prueba y producción adicionales separan aún más los entornos necesarios.
La instancia de dominio de identidad de OCI IAM por defecto está integrada con los servicios de OCI, lo que garantiza que los usuarios y los grupos de su organización puedan autenticarse y acceder a los recursos de OCI según las políticas de identidad configuradas en el dominio de identidad de OCI IAM. El administrador de la cuenta en la nube es propietario del dominio de identidad de OCI IAM por defecto y puede crear una o más instancias de dominio de identidad de OCI IAM secundarias. En este caso, las instancias de dominio de identidad de OCI IAM de desarrollo, prueba y producción para un despliegue de Oracle Integration 3.
El dominio de identidad de OCI IAM por defecto contiene los grupos creados durante el despliegue de una zona de llegada.
Además de los recursos creados por la zona de llegada, también debe crear los grupos y compartimentos necesarios para manejar las instancias de Oracle Integration 3. La configuración distinguirá entre administradores que pueden crear y suprimir una instancia de Oracle Integration 3 o cambiar el compartimento de una instancia de Oracle Integration 3 y administradores que pueden parar, iniciar y actualizar instancias de Oracle Integration 3. Esta configuración garantiza que las personas en el nivel de entorno de desarrollo, prueba o producción no puedan crear ni suprimir una instancia de Oracle Integration 3. Estos administradores solo pueden iniciar, parar o actualizar las instancias de su propio compartimento.
Configuración de dominios de identidad de OCI IAM para sus instancias
Como se menciona en la sección Visión general, para desplegar Oracle Integration 3, debe configurar un juego de dominios de identidad de OCI IAM para sus instancias de Oracle Integration 3. En estas instancias de dominio de identidad de OCI IAM, tendrá grupos específicos con diferentes niveles de permisos.
Descripción de las reglas de nombre
La convención de nomenclatura de los dominios de identidad de OCI IAM de un administrador son oci-iam-id-dev
, oci-iam-id-test
y oci-iam-id-prod
. Tenga en cuenta que puede personalizar los nombres de grupo y permisos exactos de su organización según los requisitos de su organización y las convenciones de nomenclatura específicas que siga.
Crear Grupos de Usuarios
En estas instancias de dominio de identidad de OCI IAM, cree grupos de usuarios que obtendrán diferentes niveles de permisos. Los grupos necesarios para el despliegue de OCI se muestran en la siguiente tabla.
Nombre de grupo | Descripción | Permisos | Ref. en políticas de compensación. |
---|---|---|---|
xxx-oi3-admin-grp | Administradores de Oracle Integration3 | Cree, suprima y cambie la partición. | xxx-oi3-admin-cmp |
xxx-oi3- operador-dev-grp | Grupo de operadores de Oracle Integration 3 para desarrollo | Actualizar, Iniciar, Parar | xxx-oi3- operador-dev-cmp |
xxx-oi3- operator-test-grp | Grupo de operadores de Oracle Integration 3 para pruebas | Actualizar, Iniciar, Parar | xxx-oi3- operador-prueba-cmp |
xxx-oi3- operador-prod-grp | Grupo de operadores de Oracle Integration 3 para producción | Actualizar, Iniciar, Parar | xxx-oi3- operador-prod-cmp |
Arquitectura
El siguiente diagrama ilustra la arquitectura de un despliegue de Oracle Integration 3 sobre una zona de llegada de autoservicio de Oracle:
Descripción de la ilustración oi3-ss-lz-arch.png
- Compartimento
Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.
- Dominio de identidad de OCI IAM
Identity and Access Management (IAM) utiliza dominios de identidad para proporcionar funciones de gestión de identidad y acceso como autenticación, conexión única (SSO) y gestión del ciclo de vida de identidad para Oracle Cloud, así como para aplicaciones de Oracle y no Oracle, ya sean SaaS, alojadas en la nube o locales.
- Bastion
Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a recursos, como máquinas virtuales y con hardware dedicado, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) y cualquier otro recurso que permita el acceso al protocolo de shell seguro (SSH). Con el servicio Oracle Cloud Infrastructure Bastion, puede activar el acceso a hosts privados sin desplegar y mantener un host de salto. Además, obtendrá una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. El bastión de Oracle Cloud Infrastructure elimina la necesidad de una IP pública para el acceso bastión, lo que elimina los problemas y la posible superficie de ataque al proporcionar acceso remoto.
- Oracle Services Network
Oracle Services Network (OSN) es una red conceptual que forma parte de Oracle Cloud Infrastructure y solo pueden utilizarla los servicios de Oracle. Estos servicios tienen direcciones IP públicas a las que puede acceder a través de Internet. Los hosts de fuera de Oracle Cloud pueden acceder a OSN de forma privada mediante Oracle Cloud Infrastructure FastConnect o VPN Connect. Los hosts de las redes virtuales en la nube pueden acceder a OSN de forma privada mediante un gateway de servicio.
Descripción de la estructura de compartimentos
En el siguiente diagrama se muestra la estructura de compartimentos para las instancias de Oracle Integration 3 de desarrollo, prueba y producción desplegadas:
Descripción de la ilustración oi3-compartment-structure.png
oi3-compartment-structure-oracle.zip
El diagrama muestra un compartimento denominado Oracle Integration 3 Compartment (mediante una convención de nomenclatura de xxx-oi3-admin-cmp
donde xxx
es una abreviatura de cliente en minúscula de tres letras). Este compartimento es para administradores que tienen permisos para crear instancias de Oracle Integration 3. En el subcompartimento de desarrollo de Oracle Integration 3 (xxx-oi3-operator-dev-cmp
), los usuarios tienen permisos a través de una afiliación de grupo que permite parar e iniciar instancias de desarrollo de Oracle Integration 3. La instancia de prueba y producción son compartimentos independientes.
Los compartimentos se mencionan en el cuadro 1. (Consulte la información anterior)
Cada compartimento debe tener políticas configuradas para permitir a los administradores realizar las acciones en la instancia de Oracle Integration 3. Consulte "Despliegue de Oracle Integration 3" a continuación para obtener más información sobre estas políticas.