À propos de cette architecture
Cette architecture décrit comment configurer Oracle Integration 3 instances pour le développement, les tests et la production et se concentre sur les aspects de sécurité d'une mise en oeuvre. Voir "Explorer plus" à la fin de ce livre de jeu pour obtenir un lien vers Configurer une architecture de zone d'atterrissage avec Oracle Integration, qui se concentre sur les services spécifiques d'Oracle Integration 3.
Configurer des domaines d'identité IAM OCI pour votre environnement Oracle Integration 3
Description de l'illustration oi3-ss-lz.png
Vous devez dédier le domaine d'identité IAM OCI par défaut à vos administrateurs OCI, car il n'est pas destiné à une utilisation quotidienne. Le domaine d'identité IAM OCI par défaut est plutôt utilisé pour les tâches d'administration au niveau de la location OCI. Des domaines d'identité IAM OCI supplémentaires pour le développement, les tests et la production séparent davantage les environnements nécessaires.
L'instance de domaine d'identité IAM OCI par défaut est intégrée aux services OCI, ce qui garantit que les utilisateurs et les groupes de votre organisation peuvent s'authentifier et accéder aux ressources OCI en fonction des politiques d'identité configurées dans le domaine d'identité IAM OCI. L'administrateur de compte en nuage est responsable du domaine d'identité IAM OCI par défaut et peut créer une ou plusieurs instances de domaine d'identité IAM OCI secondaires. Dans ce cas, les instances de domaine d'identité IAM OCI de développement, de test et de production pour un déploiement Oracle Integration 3.
Le domaine d'identité IAM OCI par défaut contient les groupes créés lors du déploiement d'une zone d'atterrissage.
En plus des ressources créées par la zone d'atterrissage, vous devez également créer les groupes et les compartiments nécessaires pour gérer les instances Oracle Integration 3. La configuration distingue les administrateurs autorisés à créer et supprimer une instance Oracle Integration 3 ou à modifier le compartiment d'une instance Oracle Integration 3 et les administrateurs qui peuvent arrêter, démarrer et mettre à jour les instances Oracle Integration 3. Cette configuration garantit que les personnes au niveau de l'environnement de développement, de test ou de production ne peuvent pas créer ou supprimer une instance Oracle Integration 3. Ces administrateurs peuvent uniquement démarrer, arrêter ou mettre à jour les instances dans leur propre compartiment.
Configurer les domaines d'identité IAM OCI pour vos instances
Comme indiqué dans la section d'aperçu, pour déployer Oracle Integration 3, vous devez configurer un jeu de domaines d'identité IAM pour OCI pour vos instances Oracle Integration 3. Dans ces instances de domaine d'identité IAM OCI, vous aurez des groupes spécifiques avec différents niveaux d'autorisation.
Comprendre les conventions d'attribution de nom
La convention d'attribution de nom dans les domaines d'identité IAM OCI d'un administrateur est oci-iam-id-dev, oci-iam-id-test et oci-iam-id-prod. Notez que vous pouvez personnaliser les noms et les autorisations de groupe exacts de votre organisation en fonction des exigences de votre organisation et des conventions d'attribution de nom spécifiques que vous suivez.
Créer des groupes d'utilisateurs
Dans ces instances de domaine d'identité IAM OCI, créez des groupes d'utilisateurs qui obtiendront différents niveaux d'autorisation. Les groupes nécessaires aux fins du déploiement OCI sont présentés dans le tableau suivant.
| Nom de groupe | Description | Autorisations | Réf. dans les politiques pour comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Administrateurs d'Oracle Integration3 | Créer, supprimer, modifier le compartiment. | xxx-oi3-admin-cmp |
| xxx-oi3- opérateur-dev-grp | Oracle Integration 3 - Groupe d'opérateurs pour le développement | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-dev-cmp |
| xxx-oi3- opérateur-test-grp | Groupe d'opérateurs Oracle Integration 3 pour les tests | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-test-cmp |
| xxx-oi3- opérateur-prod-grp | Groupe d'opérateurs Oracle Integration 3 pour la production | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-prod-cmp |
Architecture
Le diagramme suivant illustre l'architecture d'un déploiement Oracle Integration 3 au-dessus de la zone d'atterrissage OCI :
- Compartiment
Les compartiments sont des partitions logiques inter-régions dans une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser, contrôler l'accès et définir des quotas d'utilisation pour vos ressources Oracle Cloud. Dans un compartiment donné, vous définissez des politiques qui contrôlent l'accès et définissent des privilèges pour les ressources.
- Domaine d'identité IAM OCI
Le service de gestion des identités et des accès (GIA) utilise des domaines d'identité pour fournir des fonctions de gestion des identités et des accès, telles que l'authentification, l'authentification unique (SSO) et la gestion du cycle de vie des identités pour Oracle Cloud, ainsi que pour les applications Oracle et non Oracle (SaaS, hébergées dans le nuage ou sur place).
- Hôte bastion
Oracle Cloud Infrastructure Bastion fournit un accès sécurisé restreint et limité dans le temps aux ressources qui n'ont pas de points d'extrémité publics et qui nécessitent des contrôles d'accès stricts aux ressources, tels que les machines sans système d'exploitation et virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) et toute autre ressource qui autorise l'accès au protocole SSH. Avec le service Hôte bastion OCI, vous pouvez permettre l'accès à des hôtes privés sans déployer et tenir à jour un hôte de saut. En outre, vous bénéficiez d'une meilleure sécurité grâce à des autorisations basées sur l'identité et à une session SSH centralisée, auditée et limitée dans le temps. Le service Hôte bastion OCI élimine le besoin d'une adresse IP publique pour l'accès bastion, éliminant ainsi les tracas et la surface d'attaque potentielle lors de la fourniture d'un accès distant.
- Oracle Services Network
Oracle Services Network (OSN) est un réseau conceptuel dans Oracle Cloud Infrastructure réservé aux services Oracle. Ces services ont des adresses IP publiques accessibles sur Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder au réseau OSN en privé à l'aide d'Oracle Cloud Infrastructure FastConnect ou d'une connexion RPV. Les hôtes de vos réseaux en nuage virtuels peuvent accéder au réseau OSN en privé au moyen d'une passerelle de service.
Comprendre la structure de compartiments
Le diagramme suivant présente la structure de compartiment pour les instances Oracle Integration 3 de développement, de test et de production déployées :
Description de l'illustration oi3-compartment-structure.png
oi3-compartiment-structure-oracle.zip
Le diagramme présente un compartiment appelé compartiment Oracle Integration 3 (à l'aide d'une convention d'attribution de nom de xxx-oi3-admin-cmp où xxx est une abréviation de client de trois lettres minuscules). Ce compartiment est destiné aux administrateurs autorisés à créer des instances Oracle Integration 3. Dans le sous-compartiment Oracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp), les utilisateurs disposent d'autorisations au moyen d'une appartenance à un groupe qui vous permet d'arrêter et de démarrer des instances de développement Oracle Integration 3. Les instances de test et de production sont des compartiments distincts.
Les compartiments sont mentionnés dans le tableau 1. (Voir plus haut)
Chaque compartiment doit avoir des politiques configurées pour permettre aux administrateurs d'effectuer les actions sur l'instance Oracle Integration 3. Pour plus d'informations sur ces politiques, voir "Déployer Oracle Integration 3" ci-dessous.