このアーキテクチャについて
このアーキテクチャでは、開発、テストおよび本番用にOracle Integration 3インスタンスを設定する方法について説明し、実装のセキュリティ面に焦点を当てます。Oracle Integration 3の特定のサービスに重点を置いたOracle Integrationを使用したランディング・ゾーン・アーキテクチャの設定へのリンクについては、このプレイブックの最後にある「詳細」を参照してください。
Oracle Integration 3環境向けのOCI IAMアイデンティティ・ドメインの設定
デフォルトのOCI IAMアイデンティティ・ドメインは、日常的に使用するためではないため、OCI管理者に専用にする必要があります。デフォルトのOCI IAMアイデンティティ・ドメインは、OCIテナンシ・レベルの管理タスクに使用されます。追加の開発、テストおよび本番OCI IAMアイデンティティ・ドメインが、必要な環境をさらに分離します。
デフォルトのOCI IAMアイデンティティ・ドメイン・インスタンスはOCIサービスと統合されており、OCI IAMアイデンティティ・ドメインで設定されたアイデンティティ・ポリシーに従って、組織内のユーザーおよびグループがOCIリソースを認証およびアクセスできるようにします。クラウド・アカウント管理者は、デフォルトのOCI IAMアイデンティティ・ドメインを所有し、1つ以上のセカンダリOCI IAMアイデンティティ・ドメイン・インスタンスを作成できます。この場合、Oracle Integration 3デプロイメントの開発、テストおよび本番OCI IAMアイデンティティ・ドメイン・インスタンス。
デフォルトのOCI IAMアイデンティティ・ドメインには、ランディング・ゾーンのデプロイメント中に作成されたグループが含まれます。
ランディング・ゾーンによって作成されたリソースに加えて、Oracle Integration 3インスタンスの処理に必要なグループおよびコンパートメントも作成する必要があります。この設定では、Oracle Integration 3インスタンスを作成および削除したり、Oracle Integration 3インスタンスのコンパートメントを変更したりできる管理者と、Oracle Integration 3インスタンスの停止、起動および更新が可能な管理者を区別します。この設定により、開発、テストまたは本番環境レベルの個人がOracle Integration 3インスタンスを作成または削除できないことが保証されます。これらの管理者は、自身のコンパートメント内のインスタンスのみを起動、停止または更新できます。
インスタンス用のOCI IAMアイデンティティ・ドメインの設定
概要の項で説明したように、Oracle Integration 3をデプロイするには、Oracle Integration 3インスタンスに対して一連のOCI IAMアイデンティティ・ドメインを設定する必要があります。これらのOCI IAMアイデンティティ・ドメイン・インスタンス内には、様々なレベルの権限を持つ特定のグループがあります。
命名規則の理解
管理者のOCI IAMアイデンティティ・ドメイン内のネーミング規則は、oci-iam-id-dev、oci-iam-id-testおよびoci-iam-id-prodです。組織の要件および従う特定の命名規則に基づいて、組織の正確なグループ名と権限をカスタマイズできます。
ユーザー・グループの作成
これらのOCI IAMアイデンティティ・ドメイン・インスタンス内で、様々なレベルの権限を取得するユーザー・グループを作成します。次の表に、OCIデプロイメントの目的で必要なグループを示します。
| グループ名 | 説明 | 権限 | Compのポリシーを参照。 |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration3の管理者 | コンパートメントの作成、削除、変更。 | xxx-oi3-admin-cmp |
| xxx-oi3- operator-dev-grp | 開発用のOracle Integration 3オペレータ・グループ | 更新、開始、停止 | xxx-oi3- operator-dev-cmp |
| xxx-oi3- operator-test-grp | テスト用のOracle Integration 3演算子グループ | 更新、開始、停止 | xxx-oi3- operator-test-cmp |
| xxx-oi3- operator-prod-grp | 本番用のOracle Integration 3演算子グループ | 更新、開始、停止 | xxx-oi3- operator-prod-cmp |
アーキテクチャ
次の図は、OCIランディング・ゾーン上でのOracle Integration 3デプロイメントのアーキテクチャを示しています:
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のリージョン間論理パーティションです。Oracle Cloudリソースの使用割当てを編成、制御および設定するには、コンパートメントを使用します。特定のコンパートメントでは、アクセスを制御し、リソースの権限を設定するポリシーを定義します。
- OCI IAMアイデンティティ・ドメイン
アイデンティティおよびアクセス管理(IAM)では、アイデンティティ・ドメインを使用してアイデンティティおよびアクセス管理機能(認証、シングル・サインオン(SSO)、アイデンティティ・ライフサイクル管理など)をOracle CloudやOracleおよびOracle以外のアプリケーション(SaaS、クラウド・ホスティングまたはオンプレミス)に提供します。
- 要塞
Oracle Cloud Infrastructure Bastionは、パブリック・エンドポイントがなく、ベア・メタルや仮想マシン、Oracle MySQL Database Service、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine (OKE)、およびSecure Shell Protocol (SSH)アクセスを許可するその他のリソースなど、厳密なリソース・アクセス制御を必要とするリソースへの制限付きで時間制限付きのセキュアなアクセスを提供します。OCI Bastionサービスを使用すると、ジャンプ・ホストをデプロイおよびメンテナンスせずにプライベート・ホストへのアクセスを有効にできます。さらに、アイデンティティベースの権限と一元化された監査済みの期限付きSSHセッションにより、セキュリティ・ポスチャが向上します。OCI Bastionは、要塞アクセスのパブリックIPの必要性をなくし、リモート・アクセスを提供する際の手間と潜在的な攻撃対象領域を排除します。
- Oracle Services Network
Oracle Services Network (OSN)は、Oracleサービス用に予約されているOracle Cloud Infrastructureの概念的なネットワークです。これらのサービスには、インターネットを介してアクセスできるパブリックIPアドレスがあります。Oracle Cloud外部のホストは、Oracle Cloud Infrastructure FastConnectまたはVPN接続を使用してOSNにプライベートにアクセスできます。VCNs内のホストは、サービス・ゲートウェイを介してOSNにプライベートにアクセスできます。
コンパートメント構造の理解
次の図は、デプロイされた開発、テストおよび本番のOracle Integration 3インスタンスのコンパートメント構造を示しています:
図oi3-compartment-structure.pngの説明
oi3-compartment-structure-oracle.zip
この図は、Oracle Integration 3 Compartmentというコンパートメントを示しています(xxx-oi3-admin-cmpというネーミング規則を使用します。xxxは3文字の小文字の顧客の略称です)。このコンパートメントは、Oracle Integration 3インスタンスを作成する権限を持つ管理者用です。サブコンパートメントのOracle Integration 3 Development Compartment (xxx-oi3-operator-dev-cmp)では、ユーザーは、Oracle Integration 3開発インスタンスを停止および起動できるグループ・メンバーシップを介して権限を持ちます。テスト・インスタンスと本番インスタンスは別々のコンパートメントです。
コンパートメントについては、表1で説明します。(前述を参照)
各コンパートメントには、管理者がOracle Integration 3インスタンスでアクションを実行できるようにポリシーを構成する必要があります。これらのポリシーの詳細は、後述の「Oracle Integration 3のデプロイ」を参照してください。