Acerca de esta Arquitectura
Esta arquitectura describe cómo configurar instancias de Oracle Integration 3 para desarrollo, prueba y producción y se centra en los aspectos de seguridad de una implantación. Consulte "Explorar más" al final de este manual para obtener un enlace a Configuración de una arquitectura de zona de llegada con Oracle Integration, que se centra en los servicios específicos de Oracle Integration 3.
Configuración de dominios de identidad de OCI IAM para su entorno de Oracle Integration 3
Descripción de la ilustración oi3-ss-lz.png
Debe dedicar el dominio de identidad de OCI IAM por defecto a sus administradores de OCI, ya que no es para uso diario. En su lugar, el dominio de identidad de OCI IAM por defecto se utiliza para tareas administrativas de nivel de arrendamiento de OCI. Los dominios de identidad de IAM de OCI de desarrollo, prueba y producción adicionales separan aún más los entornos necesarios.
La instancia por defecto del dominio de identidad de OCI IAM está integrada con los servicios de OCI, lo que garantiza que los usuarios y grupos de su organización puedan autenticarse y acceder a los recursos de OCI de acuerdo con las políticas de identidad configuradas en el dominio de identidad de OCI IAM. El administrador de la cuenta en la nube es propietario del dominio de identidad de OCI IAM por defecto y puede crear una o más instancias secundarias del dominio de identidad de OCI IAM. En este caso, las instancias de OCI IAM Identity Domain de desarrollo, prueba y producción para un despliegue de Oracle Integration 3.
El dominio de identidad de OCI IAM por defecto contiene los grupos creados durante el despliegue de una zona de llegada.
Además de los recursos creados por la zona de llegada, también debe crear los grupos y compartimentos necesarios para manejar instancias de Oracle Integration 3. La configuración distinguirá entre los administradores que pueden crear y suprimir una instancia de Oracle Integration 3 o cambiar el compartimento de una instancia de Oracle Integration 3 y los administradores que pueden parar, iniciar y actualizar instancias de Oracle Integration 3. Esta configuración garantiza que las personas de nivel de entorno de desarrollo, prueba o producción no puedan crear ni suprimir una instancia de Oracle Integration 3. Estos administradores solo pueden iniciar, parar o actualizar las instancias de su propio compartimento.
Configuración de dominios de identidad de OCI IAM para sus instancias
Como se menciona en la sección de visión general, para desplegar Oracle Integration 3, debe configurar un juego de dominios de identidad de OCI IAM para las instancias de Oracle Integration 3. En estas instancias de dominio de identidad de OCI IAM, tendrá grupos específicos con distintos niveles de permisos.
Descripción de las Reglas de Nomenclatura
La convención de nomenclatura en los dominios de identidad de OCI IAM de un administrador es oci-iam-id-dev, oci-iam-id-test y oci-iam-id-prod. Tenga en cuenta que puede personalizar los permisos y nombres de grupo exactos de su organización en función de los requisitos de su organización y las convenciones de nomenclatura específicas que siga.
Crear Grupos de Usuarios
En estas instancias de dominio de identidad de OCI IAM, cree grupos de usuarios que obtendrán diferentes niveles de permisos. Los grupos necesarios para el despliegue de OCI se muestran en la siguiente tabla.
| Nombre de grupo | Descripción | Permisos | Ref. en políticas para comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Administradores de Oracle Integration3 | Cree, suprima y cambie Compart. | xxx-oi3-admin-cmp |
| xxx-oi3- operator-dev-grp | Grupo de operadores de Oracle Integration 3 para desarrollo | Actualizar, Iniciar, Parar | xxx-oi3- operator-dev-cmp |
| xxx-oi3- operator-test-grp | Grupo de operadores de Oracle Integration 3 para pruebas | Actualizar, Iniciar, Parar | xxx-oi3- operator-test-cmp |
| xxx-oi3- operador-prod-grp | Grupo de operadores de Oracle Integration 3 para producción | Actualizar, Iniciar, Parar | xxx-oi3- operador-prod-cmp |
Arquitectura
En el siguiente diagrama se ilustra la arquitectura de un despliegue de Oracle Integration 3 sobre la zona de llegada de OCI:
- Compartimento
Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar, controlar el acceso y definir cuotas de uso para los recursos de Oracle Cloud. En un compartimento determinado, defina políticas que controlen el acceso y definan privilegios para los recursos.
- Dominio de identidad de OCI IAM
Identity and Access Management (IAM) utiliza dominios de identidad para proporcionar funciones de gestión de identidad y acceso como autenticación, conexión única (SSO) y gestión del ciclo de vida de identidad para Oracle Cloud, así como para aplicaciones de Oracle y no Oracle, ya sean SaaS, alojadas en la nube o locales.
- Bastion
Oracle Cloud Infrastructure Bastion proporciona acceso seguro restringido y limitado en el tiempo a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a recursos, como hardware dedicado y máquinas virtuales, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) y cualquier otro recurso que permita el acceso al protocolo de shell seguro (SSH). Con el servicio OCI Bastion, puede permitir el acceso a hosts privados sin desplegar y mantener un host de salto. Además, obtiene una estrategia de seguridad mejorada con permisos basados en identidad y una sesión SSH centralizada, auditada y con límite de tiempo. OCI Bastion elimina la necesidad de una IP pública para el acceso al bastión, eliminando la molestia y la posible superficie de ataque al proporcionar acceso remoto.
- Oracle Services Network
Oracle Services Network (OSN) es una red conceptual reservada para los servicios de Oracle en Oracle Cloud Infrastructure. Estos servicios tienen direcciones IP públicas que puede acceder a través de Internet. Los hosts fuera de Oracle Cloud pueden acceder a OSN de forma privada mediante Oracle Cloud Infrastructure FastConnect o VPN Connect. Los hosts de sus redes virtuales en la nube pueden acceder a OSN de forma privada a través de un gateway de servicios.
Descripción de la estructura de compartimentos
En el siguiente diagrama se muestra la estructura de compartimentos para las instancias de Oracle Integration 3 de desarrollo, prueba y producción desplegadas:
Descripción de la ilustración oi3-compartment-structure.png
oi3-compartment-structure-oracle.zip
El diagrama muestra un compartimento denominado Oracle Integration 3 Compartment (mediante una convención de nomenclatura de xxx-oi3-admin-cmp, donde xxx es una abreviatura de cliente en minúscula de tres letras). Este compartimento es para administradores que tienen permisos para crear instancias de Oracle Integration 3. En el subcompartimento Oracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp), los usuarios tienen permisos a través de una afiliación de grupo que le permite parar e iniciar instancias de desarrollo de Oracle Integration 3. Las instancias de prueba y producción son compartimentos independientes.
Los compartimentos se mencionan en la tabla 1. (Consulte la información anterior)
Cada compartimento debe tener políticas configuradas para permitir a los administradores realizar las acciones en la instancia de Oracle Integration 3. Consulte "Despliegue de Oracle Integration 3", a continuación, para obtener más información sobre estas políticas.