1. Compartir una red privada en particiones aisladas dentro de un arrendamiento
  2. Compartir una red privada en particiones aisladas dentro de un arrendamiento

Compartir una red privada en particiones aisladas dentro de un arrendamiento

Puede que tenga razones de negocio y de TI para segmentar la red en la nube entre diferentes cuentas o unidades de negocio internas. En este documento se describe cómo puede crear una red privada gestionada centralmente que comparten varias cuentas y cómo los usuarios de diferentes unidades de negocio pueden aislar sus recursos en la nube mientras utiliza una red privada compartida.

En el ejemplo siguiente, el departamento de TI de una organización gestiona la red privada compartida. El departamento de RR. HH. gestiona los recursos relacionados con recursos humanos dentro de su partición de la red, y el departamento de finanzas gestiona los recursos relacionados con la financiación dentro de su partición de la red. También hay una subred compartida para su uso por parte de recursos humanos y finanzas, pero no por marketing.


Estructura de compartimento y políticas necesarias

Configurar

Realice los siguientes pasos en la consola web de Oracle Cloud Infrastructure:

  1. Cree un compartimento para el departamento de TI (ejemplo: demo-IT).

    Crear compartimento de TI

  2. Crear un VCN en el compartimento demo-IT.
  3. Defina una política de IAM para proporcionar solo el permiso de usuarios de TI para gestionar los recursos en el compartimento demo-IT, como se muestra en el siguiente ejemplo:

    Crear política para compartimento de TI

  4. Dentro del compartimento demo-IT, cree subcompartimientos para las unidades de negocio para las que necesita particiones.
    Además, cree un compartimento para los recursos que se comparten en todas las unidades de negocio (ejemplo: demo-Shared).

    Crear Compartimentos de Departamento

  5. Cree los siguientes usuarios, grupos y políticas:
    • Usuario demo-it-user, en el grupo demo-it-users

      Política:

      allow group demo-it-users to manage all-resources in compartment demo-IT
allow group demo-it-users to manage all-resources in compartment demo-HR
allow group demo-it-users to manage all-resources in compartment demo-Finance
allow group demo-it-users to manage all-resources in compartment demo-shared
    • Usuario demo-finance-user, en el grupo demo-finance-users
      Política:
      allow group demo-finance-users to read virtual-network-family in compartment demo-IT
allow group demo-finance-users to manage all-resources in compartment demo-Finance
allow group demo-finance-users to manage all-resources in compartment demo-Shared
    • Usuario demo-hr-user, en el grupo demo-hr-users
      Política:
      allow group demo-hr-users to read virtual-network-family in compartment demo-IT
allow group demo-hr-users to manage all-resources in compartment demo-HR
allow group demo-hr-users to manage all-resources in compartment demo-Shared
    • Usuario demo-marketing-user, en el grupo demo-marketing-users
      Política:
      allow group demo-marketing-users to read virtual-network-family in compartment demo-IT
allow group demo-marketing-users to use all-resources in compartment demo-Marketing
  6. En el VCN que creó anteriormente, cree cuatro subredes, una en cada compartimento:
    Subred Compartimento
    Subnet_Shared demo-Shared
    Subnet_Finance demo-Finance
    Subnet_HR demo-HR
    Subnet_Marketing demo-Marketing
Ahora ha configurado compartimentos, redes y políticas de acceso que soportan las siguientes acciones:
  • Los usuarios de TI pueden acceder y administrar todas las subredes, VCN y los recursos relacionados.
  • Los usuarios de finanzas pueden adjuntar recursos a Subnet_Finance.
  • Los usuarios de recursos humanos pueden anexar recursos a Subnet_HR.
  • Los usuarios de marketing pueden adjuntar recursos a Subnet_Marketing.
  • Los usuarios de finanzas y recursos humanos pueden anexar recursos a Subnet_Shared, pero los usuarios de marketing no pueden utilizar la subred compartida.

Verificar

Pruebe el efecto de las políticas de acceso definidas.

  1. Inicie sesión en la consola web de Oracle Cloud Infrastructure como demo-hr-user.
  2. Intente crear una instancia informática en el compartimento demo-HR, mediante Subnet_HR.

    El usuario de RR. HH. crea una instancia en el compartimento de recursos humanos

    La instancia se ha creado correctamente.
    El usuario de RR. HH. creó una instancia en el compartimento de recursos humanos

  3. Intente crear una instancia informática en el compartimento demo-Shared, mediante Subnet_Shared.

    El usuario de RR. HH. crea una instancia en el compartimento compartido

    La instancia se ha creado correctamente.
    El usuario de RR. HH. creó una instancia en el compartimento compartido

  4. Intente ver las instancias en el compartimento demo-Marketing.

    El usuario de RR. HH. no puede ver instancias en el compartimento de marketing

    No puede ver las instancias.
  5. Intente crear una instancia informática en el compartimento demo-Marketing.

    El usuario de RR. HH. intenta crear una instancia en el compartimento de marketing.

    No puede crear la instancia.
    El usuario de RR. HH. no puede crear instancias en el compartimento de marketing

Ahora ha creado una red privada compartida en la nube y la ha particionado entre varias cuentas y usuarios para lograr un control de política flexible, al mismo tiempo que le permite a su organización de TI tener autoridad de gestión. También ha configurado una subred compartida que pueden utilizar varias cuentas.

Puede repetir este patrón en varias VCN si desea ampliarlo más.

Más Información