Informazioni sull'architettura
Questa architettura descrive come impostare le istanze di Oracle Integration3 per lo sviluppo, il test e la produzione e si concentra sugli aspetti di sicurezza di un'implementazione. Consulta "Scopri di più" alla fine di questa guida per un collegamento a Configura un'architettura della zona di destinazione con Oracle Integration, che si concentra sui servizi specifici di Oracle Integration 3.
Impostare i domini di Identity IAM OCI per l'ambiente Oracle Integration 3
La descrizione della figura oi3-ss-lz.png
Dovresti dedicare il dominio di Identity IAM OCI predefinito agli amministratori OCI, in quanto non è destinato all'uso quotidiano. Il dominio di Identity IAM OCI predefinito, invece, viene utilizzato per i task amministrativi a livello di tenancy OCI. Domini di identità IAM OCI di sviluppo, test e produzione aggiuntivi separano ulteriormente gli ambienti necessari.
L'istanza predefinita del dominio di Identity OCI IAM è integrata con i servizi OCI, garantendo che gli utenti e i gruppi dell'organizzazione possano autenticare e accedere alle risorse OCI in base ai criteri di identità impostati nel dominio di Identity OCI IAM. L'amministratore dell'account cloud è proprietario del dominio di Identity IAM OCI predefinito e può creare una o più istanze secondarie del dominio di Identity IAM OCI. In questo caso, le istanze del dominio di Identity IAM OCI di sviluppo, test e produzione per una distribuzione Oracle Integration 3.
Il dominio di Identity IAM OCI predefinito contiene i gruppi creati durante la distribuzione di una zona di destinazione.
Oltre alle risorse create dalla zona di destinazione, è necessario creare anche gruppi e compartimenti diversi per gestire le istanze di Oracle Integration 3. L'impostazione distinguerà tra gli amministratori autorizzati a creare ed eliminare un'istanza di Oracle Integration 3 o a modificare il compartimento di un'istanza di Oracle Integration 3 e gli amministratori che possono arrestare, avviare e aggiornare le istanze di Oracle Integration 3. Questa impostazione garantisce che i singoli utenti a livello di ambiente di sviluppo, test o produzione non possano creare o eliminare un'istanza di Oracle Integration 3. Questi amministratori possono solo avviare, arrestare o aggiornare le istanze nel proprio compartimento.
Impostare i domini di Identity IAM OCI per le istanze
Come indicato nella sezione di panoramica, per distribuire Oracle Integration 3, è necessario impostare un set di domini di Identity IAM OCI per le istanze di Oracle Integration 3. All'interno di queste istanze del dominio di Identity IAM OCI, avrai gruppi specifici con diversi livelli di autorizzazioni.
Comprendere le convenzioni di denominazione
La convenzione di denominazione all'interno dei domini di Identity IAM OCI di un amministratore è oci-iam-id-dev
, oci-iam-id-test
e oci-iam-id-prod
. Si noti che è possibile personalizzare i nomi e le autorizzazioni esatti dei gruppi dell'organizzazione in base ai requisiti dell'organizzazione e alle convenzioni di denominazione specifiche seguite.
Crea gruppi utenti
All'interno di queste istanze del dominio di Identity IAM OCI, creare gruppi di utenti che otterranno livelli di autorizzazioni diversi. Nella tabella riportata di seguito sono riportati i gruppi necessari per la distribuzione di OCI.
Nome gruppo | Descrizione | Autorizzazioni | Rif. in polizze per comp. |
---|---|---|---|
xxx-oi3-admin-grp | Oracle Integration3 amministratori | Creazione, eliminazione e modifica del compartimento. | xxx-oi3-admin-cmp |
xxx-oi3- operatore-disp-grp | Gruppo di operatori Oracle Integration 3 per lo sviluppo | Aggiornamento, avvio, arresto | xxx-oi3- operatore-disp-cmp |
xxx-oi3- operatore-test-grp | Gruppo di operatori Oracle Integration 3 per il test | Aggiornamento, avvio, arresto | xxx-oi3- operatore-test-cmp |
xxx-oi3- operatore-prod-grp | Gruppo di operatori Oracle Integration 3 per la produzione | Aggiornamento, avvio, arresto | xxx-oi3- operatore-prod-cmp |
Architettura
Il diagramma riportato di seguito illustra l'architettura di una distribuzione di Oracle Integration 3 a monte di una zona di destinazione self-service Oracle:
La descrizione della figura oi3-ss-lz-arch.png
- Compartimento
I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, definire criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.
- Dominio di Identity IAM OCI
Identity and Access Management (IAM) uses identity domains to provide identity and access management features such as authentication, single sign-on (SSO), and identity lifecycle management for Oracle Cloud as well as for Oracle and non-Oracle applications, whether SaaS, cloud hosted, or on premises.
- Bastion
Oracle Cloud Infrastructure Bastion offre un accesso sicuro limitato e a tempo limitato a risorse che non dispongono di endpoint pubblici e che richiedono severi controlli di accesso alle risorse, come bare metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) e qualsiasi altra risorsa che consente l'accesso SSH (Secure Shell Protocol). Con il servizio Oracle Cloud Infrastructure Bastion, puoi abilitare l'accesso agli host privati senza distribuire e gestire un jump host. Inoltre, è possibile migliorare le impostazioni di sicurezza con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e con limiti di tempo. Oracle Cloud Infrastructure Bastion elimina la necessità di un IP pubblico per l'accesso bastion, eliminando la seccatura e la potenziale superficie di attacco quando si fornisce l'accesso remoto.
- Oracle Services Network
Oracle Services Network (OSN) è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi hanno indirizzi IP pubblici che è possibile raggiungere su Internet. Gli host esterni a Oracle Cloud possono accedere privatamente a OSN utilizzando Oracle Cloud Infrastructure FastConnect o VPN Connect. Gli host nelle reti VCN possono accedere privatamente all'OSN tramite un gateway di servizi.
Comprendere la struttura del compartimento
Il diagramma riportato di seguito mostra la struttura del compartimento per le istanze di sviluppo, test e produzione distribuite di Oracle Integration 3:
Descrizione della figura oi3-compartimento-structure.png
oi3-compartimento-struttura-oracle.zip
Il diagramma mostra un compartimento denominato Compartimento Oracle Integration 3 (utilizzando una convenzione di denominazione xxx-oi3-admin-cmp
dove xxx
è un'abbreviazione di cliente con lettere minuscole e tre lettere). Questo compartimento è destinato agli amministratori che dispongono delle autorizzazioni per creare istanze di Oracle Integration 3. Nel compartimento secondario Oracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp
), gli utenti dispongono delle autorizzazioni tramite un'appartenenza a un gruppo che consente di arrestare e avviare le istanze di sviluppo di Oracle Integration 3. Le istanze di test e produzione sono compartimenti separati.
I compartimenti sono indicati nella tabella 1. (Vedere la descrizione precedente)
Ogni compartimento deve disporre di criteri configurati per consentire agli amministratori di eseguire le azioni sull'istanza di Oracle Integration 3. Per ulteriori informazioni su questi criteri, consulta la sezione "Distribuisci Oracle Integration 3".