Préparation de votre location

Pour que l'appareil en périphérie de réseau Rover soit connecté à Oracle Cloud Infrastructure, l'administrateur de la location doit configurer des compartiments, créer des politiques et configurer un réseau en nuage virtuel. Cette configuration permet d'associer l'appareil en périphérie de réseau Rover à Oracle Cloud Infrastructure.

Vous pouvez préparer votre location avant la livraison de l'appareil en périphérie de réseau Rover sur votre site.

Si vous ne connaissez pas l'environnement Oracle Cloud Infrastructure, envisagez de consulter Découvrir les meilleures pratiques de configuration de votre location.

Préparez votre location en effectuant les activités suivantes :

Note

Les tâches que vous effectuez dans cette section sont requises pour établir une association entre OCI et l'appareil en périphérie de réseau Rover.

Établir un fournisseur d'identités fédéré

Avant l'installation d'un appareil en périphérie de réseau Rover, votre location doit être configurée pour utiliser un fournisseur d'identités fédéré afin de gérer l'authentification.

Si votre location est déjà configurée pour utiliser un fournisseur d'identités fédéré, y compris le service Identity Cloud Service d'Oracle, vous êtes tous définis. Partagez vos informations d'identité fédérée avec votre représentant Oracle. Sinon, communiquez avec votre représentant Oracle pour établir un fournisseur d'identités fédéré.

Vous pouvez utiliser un fournisseur d'identités externe ou Oracle Identity Cloud Service. Le type de fournisseur d'identités que vous pouvez utiliser dépend du type de location que vous avez (une location avec des domaines d'identité IAM ou sans domaines d'identité IAM).

Pour plus d'informations, consultez les ressources suivantes :

Détermination du type de location
Locations avec des domaines d'identité - Fédération à l'aide des fournisseurs d'identités
Locations sans domaines d'identité – Fédération avec les fournisseurs d'identités

Note

Si vous modifiez la configuration de votre fournisseur d'identités dans Oracle Cloud Infrastructure, les mêmes modifications doivent être appliquées aux appareils en périphérie de réseau Rover. Dans ce cas, ouvrez une demande Oracle Support pour demander de l'aide. Voir Création d'une demande de soutien.

Pour plus d'informations sur la sécurisation de la fédération IAM, voir Fédération IAM.

Créer des utilisateurs et des groupes

Pour préparer votre location Oracle Cloud Infrastructure (OCI), identifiez les utilisateurs et créez des groupes pour les personnes de votre organisation qui administrent les appareils en périphérie de réseau Rover.

Effectuez cette tâche avant d'installer un appareil en périphérie de réseau Rover.

Pour plus d'informations sur l'ajout d'utilisateurs et de groupes, voir Gestion des utilisateurs et des groupes Oracle Identity Cloud Service dans la console Oracle Cloud Infrastructure.

Identifiez l'administrateur de votre location.
Créez au moins un groupe avec des utilisateurs qui peuvent effectuer les tâches d'administration suivantes :
- Créer, mettre à jour et supprimer des infrastructures en périphérie de réseau Rover.
- Créer, mettre à jour et supprimer des programmes de mise à niveau en périphérie de réseau Rover.
- Exécutez le processus d'enregistrement basé sur un certificat qui établit la connexion sécurisée de l'infrastructure à votre location. Nous vous recommandons de créer un groupe spécifique pour cette tâche d'administration et d'accorder uniquement des autorisations limitées à l'exécution de cette tâche.

Les groupes sont inclus dans les politiques que vous définissez ultérieurement. Voir Ajouter les politiques requises.

Créer ou identifier des compartiments

Lorsqu'un appareil en périphérie de réseau Rover est associé à Oracle Cloud Infrastructure, un ou plusieurs compartiments sont nécessaires.

Un compartiment est une collection de ressources connexes. Les compartiments sont des composants essentiels d'Oracle Cloud Infrastructure qui permettent d'organiser et d'isoler vos ressources en nuage. Vous les utilisez pour séparer les ressources aux fins de contrôle d'accès (à l'aide de politiques) et d'isolement (en séparant les ressources d'un projet ou d'une unité d'affaires).

Pour les appareils en périphérie de réseau Rover, au moins un compartiment est nécessaire pour les éléments suivants :

Association d'appareils en périphérie de réseau Rover à Oracle Cloud Infrastructure.
VCN que vous créez éventuellement pour l'association à Oracle Cloud Infrastructure.

L'appareil en périphérie de réseau Rover peut être associé à votre location (compartiment racine), à un compartiment existant ou à un nouveau compartiment. Vous pouvez utiliser plusieurs compartiments. Par exemple, vous pouvez utiliser un compartiment pour la connexion à l'infrastructure et un autre pour le VCN.

Créez ou sélectionnez un compartiment existant en fonction de la façon dont vous utilisez les compartiments pour contrôler l'accès aux ressources.

Si vous prévoyez de créer un nouveau compartiment, connectez-vous à OCI et utilisez la console Oracle Cloud, l'interface de ligne de commande OCI ou l'API OCI pour créer le compartiment dans votre location.

Pour une présentation des compartiments et pour obtenir des instructions sur la gestion des compartiments, voir Gestion des compartiments.

Ajouter les politiques requises

Certaines politiques IAM doivent être configurées pour que la périphérie de réseau Rover soit associée à votre location.

Configurez les politiques suivantes dans votre location.

Pour plus d'informations sur l'utilisation des politiques, voir Gestion des politiques.

Si votre location prend en charge les domaines d'identité, vous pouvez créer des politiques qui spécifient le groupe dynamique. Pour déterminer si votre location a des domaines d'identité ou non, voir Détermination du type de location.

Note

Différents énoncés de politique peuvent être construits pour atteindre le même niveau d'accès aux ressources. La liste suivante de politiques fournit des exemples. Vous pouvez utiliser l'exemple ou créer des variations de politique, à condition que les politiques autorisent l'accès à l'utilisateur ou au groupe approprié pour la ressource particulière.
Politique 1 – Permet aux utilisateurs de créer, lire, mettre à jour et supprimer des programmes de mise à niveau et des programmes en périphérie de réseau Rover.

Important

Spécifiez un groupe IAM qui inclut uniquement les utilisateurs qui ont besoin d'autorisations pour gérer les infrastructures et les programmes de mise à niveau. L'administration de ces ressources est essentielle à la fonctionnalité des appareils en périphérie de réseau Rover et ne doit pas être autorisée pour des utilisateurs non autorisés.

Exemple de politique pour le service IAM avec ou sans domaines d'identité :
```
allow group <group_name> to manage ccc-family in tenancy
```
Politique 2 – Permet aux appareils en périphérie de réseau Rover d'utiliser vos données IAM pour la gestion des identités et des accès sur les ressources en périphérie de réseau Rover.

Exemple de politique pour le service IAM avec ou sans domaines d'identité :
```
allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }
```
Exemple de politique pour le service IAM avec des domaines d'identité :
```
allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy
```
Politique 3 – Permet au service en périphérie de réseau Rover de vous envoyer des avis sur les mises à niveau.

Les exemples suivants présentent des politiques pour le service IAM avec ou sans domaines d'identité :
```
allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'
```
Vous pouvez modifier la politique pour restreindre l'accès au compartiment racine, comme illustré dans l'exemple suivant :
```
allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }
```
Si vous limitez l'accès à un compartiment, celui-ci doit se trouver dans le compartiment racine (location).
Politique 4 – Permet à un utilisateur du groupe spécifié de lancer le processus d'enregistrement qui permet à l'infrastructure de communiquer avec votre location OCI.

Note

Ne spécifiez pas de groupe d'administrateurs standard. Créez plutôt un groupe avec un utilisateur dont le seul but est d'exécuter le processus d'inscription.

Pour plus d'informations, voir Association d'un appareil en périphérie de réseau Rover à votre emplacement OCI.

Les exemples de politique suivants concernent le service IAM avec ou sans domaines d'identité.
Cet exemple définit la politique au niveau de la location :
```
allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy
```
Cet exemple définit la politique au niveau du compartiment. Le compartiment doit être le compartiment associé à l'infrastructure :
```
allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'
```

Créer un VCN et un sous-réseau

Avant la connexion d'un appareil en périphérie de réseau Rover à votre location, créez un VCN avec un sous-réseau dans la location.

Les infrastructures nécessitent les ressources de réseau suivantes dans la location :

Un réseau en nuage virtuel (VCN). Voir Création d'un réseau VCN. Nous recommandons un petit bloc CIDR, par exemple 192.168.100.0/29.
Pour chaque infrastructure, créez un sous-réseau dans le VCN. Voir Création d'un sous-réseau. Par exemple, 192.168.100.0/30.

Étape suivante

Créez une infrastructure dans votre location de base OCI. Voir Création d'un service d'infrastructure en périphérie de réseau Rover dans OCI.