A propos de cette architecture
Cette architecture explique comment configurer des instances Oracle Integration3 pour le développement, les tests et la production, et se concentre sur les aspects de sécurité d'une implémentation. Reportez-vous à "En savoir plus" à la fin de ce guide stratégique pour obtenir un lien vers la configuration d'une architecture de zone de renvoi avec Oracle Integration, qui se concentre sur les services spécifiques d'Oracle Integration 3.
Configuration des domaines d'identité OCI IAM pour votre environnement Oracle Integration 3
Description de l'illustration oi3-ss-lz.png
Vous devez dédier le domaine d'identité OCI IAM par défaut à vos administrateurs OCI, car il n'est pas destiné à une utilisation quotidienne. Le domaine d'identité OCI IAM par défaut est plutôt utilisé pour les tâches d'administration au niveau de la location OCI. Les domaines d'identité OCI IAM de développement, de test et de production supplémentaires séparent davantage les environnements nécessaires.
L'instance de domaine d'identité OCI IAM par défaut est intégrée aux services OCI, ce qui garantit que les utilisateurs et les groupes de votre organisation peuvent authentifier les ressources OCI et y accéder en fonction des stratégies d'identité configurées dans le domaine d'identité OCI IAM. L'administrateur de compte cloud est propriétaire du domaine d'identité OCI IAM par défaut et peut créer des instances de domaine d'identité OCI IAM secondaires. Dans ce cas, les instances de domaine d'identité OCI IAM de développement, de test et de production pour un déploiement Oracle Integration 3.
Le domaine d'identité OCI IAM par défaut contient les groupes créés lors du déploiement d'une zone de renvoi.
Outre les ressources créées par la zone de renvoi, vous devez également créer les groupes et les compartiments nécessaires pour gérer les instances Oracle Integration 3. La configuration fait la distinction entre les administrateurs autorisés à créer et à supprimer une instance Oracle Integration 3 ou à modifier le compartiment d'une instance Oracle Integration 3 et les administrateurs autorisés à arrêter, démarrer et mettre à jour des instances Oracle Integration 3. Cette configuration garantit que les personnes au niveau de l'environnement de développement, de test ou de production ne peuvent pas créer ou supprimer une instance Oracle Integration 3. Ces administrateurs peuvent uniquement démarrer, arrêter ou mettre à jour les instances dans leur propre compartiment.
Configuration des domaines d'identité OCI IAM pour vos instances
Comme indiqué dans la section de présentation, pour déployer Oracle Integration 3, vous devez configurer un ensemble de domaines d'identité OCI IAM pour vos instances Oracle Integration 3. Dans ces instances de domaine d'identité OCI IAM, vous disposez de groupes spécifiques avec différents niveaux d'accès.
Comprendre les conventions d'appellation
La convention de dénomination dans les domaines d'identité OCI IAM d'un administrateur est oci-iam-id-dev, oci-iam-id-test et oci-iam-id-prod. Notez que vous pouvez personnaliser les noms de groupe et les autorisations exacts de votre organisation en fonction des exigences de votre organisation et des conventions de dénomination spécifiques que vous suivez.
Créer des groupes d'utilisateurs
Dans ces instances de domaine d'identité OCI IAM, créez des groupes d'utilisateurs qui obtiendront différents niveaux de droits d'accès. Les groupes nécessaires au déploiement OCI sont présentés dans le tableau suivant.
| Nom de groupe | Description | Autorisations d'accès | Réf. dans les politiques pour comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Administrateurs Oracle Integration3 | Créer, supprimer, modifier le composant. | xxx-oi3-admin-cmp |
| xxx-oi3- opérateur-dev-grp | Groupe d'opérateurs Oracle Integration 3 pour le développement | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-dev-cmp |
| xxx-oi3- opérateur-test-grp | Groupe d'opérateurs Oracle Integration 3 pour le test | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-test-cmp |
| xxx-oi3- opérateur-prod-grp | Groupe d'opérateurs Oracle Integration 3 pour la production | Mettre à jour, démarrer, arrêter | xxx-oi3- opérateur-prod-cmp |
Architecture
Le diagramme suivant illustre l'architecture d'un déploiement Oracle Integration 3 au-dessus d'une zone de renvoi Oracle Self-Service :
Description de l'illustration oi3-ss-lz-arch.png
- Compartiment
Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser les ressources dans Oracle Cloud, en contrôler l'accès et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables.
- Domaine d'identité OCI IAM
Identity and Access Management (IAM) utilise des domaines d'identité afin de fournir des fonctionnalités de gestion des identités et des accès, telles que l'authentification, l'accès avec connexion unique (SSO) et la gestion du cycle de vie d'identité, pour Oracle Cloud, ainsi que pour les applications Oracle et tierces, qu'il s'agisse d'applications SaaS, hébergées dans le cloud ou sur site.
- Bastion
Oracle Cloud Infrastructure Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui ne disposent pas d'adresses publiques et qui nécessitent des contrôles d'accès aux ressources stricts, tels que Bare Metal et machines virtuelles, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) et toute autre ressource qui autorise l'accès SSH (Secure Shell Protocol). Avec le service Oracle Cloud Infrastructure Bastion, vous pouvez activer l'accès aux hôtes privés sans déployer ni gérer d'hôte de saut. En outre, vous bénéficiez d'une sécurité améliorée grâce à des droits d'accès basés sur l'identité et à une session SSH centralisée, auditée et limitée dans le temps. Le bastion Oracle Cloud Infrastructure élimine le besoin d'une adresse IP publique pour l'accès au bastion, ce qui élimine les tracas et la surface d'attaque potentielle lors de l'accès à distance.
- Oracle Services Network
Oracle Services Network (OSN) est un réseau conceptuel dans Oracle Cloud Infrastructure réservé aux services Oracle. Ces services possèdent des adresses IP publiques auxquelles vous pouvez accéder par Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder à OSN en privé à l'aide d'Oracle Cloud Infrastructure FastConnect ou de VPN Connect. Les hôtes de vos réseaux cloud virtuels peuvent accéder au réseau OSN en privé via une passerelle de service.
Comprendre la structure de compartiments
Le diagramme suivant présente la structure de compartiment pour les instances Oracle Integration 3 de développement, de test et de production déployées :
Description de l'illustration oi3-compartment-structure.png
oi3-structure-compartiment-oracle.zip
Le diagramme présente un compartiment appelé compartiment Oracle Integration 3 (à l'aide d'une convention de dénomination de xxx-oi3-admin-cmp, où xxx est une abréviation client de trois lettres en minuscules). Ce compartiment est destiné aux administrateurs qui disposent des droits d'accès permettant de créer des instances Oracle Integration 3. Dans le compartiment de développement Oracle Integration 3 (xxx-oi3-operator-dev-cmp), les utilisateurs disposent de droits d'accès via une appartenance à un groupe qui vous permet d'arrêter et de démarrer des instances de développement Oracle Integration 3. Les instances de test et de production sont des compartiments distincts.
Les compartiments sont mentionnés dans le tableau 1. (Voir ci-dessus)
Des stratégies doivent être configurées pour chaque compartiment afin que les administrateurs puissent effectuer les actions sur l'instance Oracle Integration 3. Pour plus d'informations sur ces stratégies, reportez-vous à "Déployer Oracle Integration 3" ci-dessous.