Informazioni sull'architettura
Questa architettura descrive come impostare le istanze di Oracle Integration 3 per lo sviluppo, il test e la produzione. È incentrata sugli aspetti correlati alla sicurezza di un'implementazione. Per un collegamento a Configura un'architettura di zona di destinazione con Oracle Integration, incentrata sui servizi specifici di Oracle Integration 3, consulta la sezione "Ulteriori informazioni" alla fine di questa guida.
Impostare i domini di Identity IAM OCI per l'ambiente Oracle Integration 3
Descrizione dell'immagine oi3-ss-lz.png
Dovresti dedicare il dominio di Identity IAM OCI predefinito agli amministratori OCI, poiché non è destinato all'uso quotidiano. Il dominio di Identity IAM OCI predefinito, invece, viene utilizzato per i task amministrativi a livello di tenancy OCI. Domini di identità IAM OCI di sviluppo, test e produzione aggiuntivi separano ulteriormente gli ambienti necessari.
L'istanza predefinita del dominio di Identity OCI IAM è integrata con i servizi OCI, garantendo che gli utenti e i gruppi dell'organizzazione possano autenticare e accedere alle risorse OCI in base ai criteri di identità impostati nel dominio di Identity OCI IAM. L'amministratore dell'account cloud è proprietario del dominio di Identity IAM OCI predefinito e può creare una o più istanze secondarie del dominio di Identity IAM OCI. In questo caso, le istanze del dominio di Identity IAM OCI di sviluppo, test e produzione per una distribuzione Oracle Integration 3.
Il dominio di Identity IAM OCI predefinito contiene i gruppi creati durante la distribuzione di una zona di destinazione.
Oltre alle risorse create dalla zona di destinazione, è necessario creare anche i gruppi e i compartimenti necessari per gestire le istanze di Oracle Integration 3. L'impostazione distinguerà tra gli amministratori autorizzati a creare ed eliminare un'istanza di Oracle Integration 3 o a modificare il compartimento di un'istanza di Oracle Integration 3 e gli amministratori che possono arrestare, avviare e aggiornare le istanze di Oracle Integration 3. Questa impostazione garantisce che i singoli utenti a livello di ambiente di sviluppo, test o produzione non possano creare o eliminare un'istanza di Oracle Integration 3. Questi amministratori possono solo avviare, arrestare o aggiornare le istanze nel proprio compartimento.
Impostare i domini di Identity IAM OCI per le istanze
Come indicato nella sezione di panoramica, per distribuire Oracle Integration 3, è necessario impostare un set di domini di Identity IAM OCI per le istanze di Oracle Integration 3. All'interno di queste istanze del dominio di Identity IAM OCI, avrai gruppi specifici con diversi livelli di autorizzazioni.
Comprendere le convenzioni di denominazione
La convenzione di denominazione all'interno dei domini di Identity IAM OCI di un amministratore è oci-iam-id-dev, oci-iam-id-test e oci-iam-id-prod. Si noti che è possibile personalizzare i nomi e le autorizzazioni esatti dei gruppi dell'organizzazione in base ai requisiti dell'organizzazione e alle convenzioni di denominazione specifiche seguite.
Crea gruppi di utenti
All'interno di queste istanze del dominio di Identity IAM OCI, creare gruppi di utenti che otterranno livelli di autorizzazioni diversi. Nella tabella riportata di seguito sono riportati i gruppi necessari per la distribuzione di OCI.
| Nome gruppo | Descrizione | Autorizzazioni | Rif. in polizze per comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration3 amministratori | Creazione, eliminazione, modifica del compartimento. | xxx-oi3-admin-cmp |
| xxx-oi3- operatore-disp-grp | Gruppo di operatori Oracle Integration 3 per lo sviluppo | Aggiorna, avvia, arresta | xxx-oi3- operatore-disp-cmp |
| xxx-oi3- operatore-test-grp | Gruppo di operatori Oracle Integration 3 per il test | Aggiorna, avvia, arresta | xxx-oi3- operatore-test-cmp |
| xxx-oi3- operatore-prod-grp | Gruppo di operatori Oracle Integration 3 per la produzione | Aggiorna, avvia, arresta | xxx-oi3- operatore-prod-cmp |
Architettura
Il diagramma riportato di seguito illustra l'architettura di una distribuzione di Oracle Integration 3 a monte della zona di destinazione OCI:
- Compartimento
I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare, controllare l'accesso e impostare le quote d'uso per le risorse Oracle Cloud. In un determinato compartimento, si definiscono i criteri che controllano l'accesso e impostano i privilegi per le risorse.
- Dominio di Identity IAM OCI
Identity and Access Management (IAM) utilizza i domini di Identity per fornire funzioni di gestione delle identità e degli accessi, come autenticazione, Single Sign-On (SSO) e gestione del ciclo di vita delle identità per Oracle Cloud, nonché per applicazioni Oracle e non Oracle, siano esse SaaS, in hosting nel cloud o on premise.
- Bastion
Oracle Cloud Infrastructure Bastion offre un accesso sicuro limitato e limitato nel tempo alle risorse che non dispongono di endpoint pubblici e che richiedono severi controlli di accesso alle risorse, come bare metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualsiasi altra risorsa che consente l'accesso al protocollo SSH (Secure Shell Protocol). Con il servizio OCI Bastion, puoi abilitare l'accesso agli host privati senza distribuire e gestire un jump host. Inoltre, è possibile migliorare le impostazioni di sicurezza con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e con limiti di tempo. OCI Bastion elimina la necessità di un IP pubblico per l'accesso bastion, eliminando la seccatura e la potenziale superficie di attacco quando si fornisce l'accesso remoto.
- Oracle Services Network
Oracle Services Network (OSN) è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi hanno indirizzi IP pubblici che è possibile raggiungere su Internet. Gli host esterni a Oracle Cloud possono accedere privatamente a OSN utilizzando Oracle Cloud Infrastructure FastConnect o VPN Connect. Gli host nelle reti VCN possono accedere privatamente all'OSN tramite un gateway di servizi.
Comprendere la struttura del compartimento
Il diagramma riportato di seguito mostra la struttura del compartimento per le istanze di sviluppo, test e produzione distribuite di Oracle Integration 3:
Descrizione dell'immagine oi3-compartimento-structure.png
oi3-compartimento-struttura-oracle.zip
Il diagramma mostra un compartimento denominato Compartimento Oracle Integration 3 (utilizzando una convenzione di denominazione xxx-oi3-admin-cmp dove xxx è un'abbreviazione di cliente con lettere minuscole e tre lettere). Questo compartimento è destinato agli amministratori che dispongono delle autorizzazioni per creare istanze di Oracle Integration 3. Nel compartimento secondario Oracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp), gli utenti dispongono delle autorizzazioni tramite un'appartenenza a un gruppo che consente di arrestare e avviare le istanze di sviluppo di Oracle Integration 3. Le istanze di test e produzione sono compartimenti separati.
I compartimenti sono indicati nella tabella 1. (Vedere la descrizione precedente)
Ogni compartimento deve disporre di criteri configurati per consentire agli amministratori di eseguire le azioni sull'istanza di Oracle Integration 3. Per ulteriori informazioni su questi criteri, consulta la sezione "Distribuisci Oracle Integration 3".