このアーキテクチャについて
このアーキテクチャでは、開発、テストおよび本番用にOracle Integration3インスタンスを設定する方法について説明し、実装のセキュリティ面に重点を置いています。Oracle Integration 3固有のサービスに焦点を当てたOracle Integrationを使用したランディング・ゾーン・アーキテクチャの設定へのリンクについては、このプレイブックの最後にある「詳細」を参照してください。
Oracle Integration 3環境用のOCI IAMアイデンティティ・ドメインの設定
デフォルトのOCI IAMアイデンティティ・ドメインは、日常的には使用されないため、OCI管理者専用にする必要があります。デフォルトのOCI IAMアイデンティティ・ドメインは、OCIテナンシ・レベルの管理タスクに使用されます。追加の開発、テストおよび本番OCI IAMアイデンティティ・ドメインにより、必要な環境がさらに分離されます。
デフォルトのOCI IAMアイデンティティ・ドメイン・インスタンスはOCIサービスと統合されているため、組織内のユーザーおよびグループは、OCI IAMアイデンティティ・ドメインで設定されたアイデンティティ・ポリシーに従ってOCIリソースを認証およびアクセスできます。クラウド・アカウント管理者は、デフォルトのOCI IAMアイデンティティ・ドメインを所有し、1つ以上のセカンダリOCI IAMアイデンティティ・ドメイン・インスタンスを作成できます。この場合、Oracle Integration 3デプロイメントの開発、テストおよび本番のOCI IAMアイデンティティ・ドメイン・インスタンス。
デフォルトのOCI IAMアイデンティティ・ドメインには、ランディング・ゾーンのデプロイメント中に作成されたグループが含まれます。
ランディング・ゾーンによって作成されたリソースに加えて、Oracle Integration 3インスタンスを処理するために必要なグループおよびコンパートメントも作成する必要があります。この設定では、Oracle Integration 3インスタンスの作成および削除を許可された管理者、またはOracle Integration 3インスタンスのコンパートメントの変更を許可された管理者と、Oracle Integration 3インスタンスの停止、起動および更新を許可された管理者を区別します。この設定により、開発、テストまたは本番環境の個人がOracle Integration 3インスタンスを作成または削除できなくなります。これらの管理者は、独自のコンパートメント内のインスタンスのみを起動、停止または更新できます。
インスタンスのOCI IAMアイデンティティ・ドメインの設定
概要の項で説明したように、Oracle Integration 3をデプロイするには、Oracle Integration 3インスタンス用のOCI IAMアイデンティティ・ドメインのセットを設定する必要があります。これらのOCI IAMアイデンティティ・ドメイン・インスタンス内には、様々なレベルの権限を持つ特定のグループがあります。
ネーミング規則の理解
管理者のOCI IAMアイデンティティ・ドメイン内のネーミング規則は、OCI-IAM-id-dev、OCI-IAM-id-testおよびOCI-IAM-id-prodです。組織の要件および従う特定の命名規則に基づいて、組織の正確なグループ名と権限をカスタマイズできます。
ユーザー・グループの作成
これらのOCI IAMアイデンティティ・ドメイン・インスタンス内で、様々なレベルの権限を取得するユーザー・グループを作成します。次の表に、OCIデプロイメントの目的で必要なグループを示します。
| グループ名 | 説明 | 権限 | Compのポリシー内の参照。 |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration3管理者 | コンパートメントの作成、削除、変更。 | xxx-oi3-admin-cmp |
| xxx-oi3- オペレータ-dev-grp | Oracle Integration 3開発用のオペレータ・グループ | 更新、開始、停止 | xxx-oi3- オペレータ-dev-cmp |
| xxx-oi3- オペレータ- テスト- グループ | テスト用のOracle Integration 3オペレータ・グループ | 更新、開始、停止 | xxx-oi3- オペレータ- テスト- コンポーネント |
| xxx-oi3- 演算子prod-grp | 本番用Oracle Integration 3オペレータ・グループ | 更新、開始、停止 | xxx-oi3- オペレータ-prod-cmp |
アーキテクチャ
次の図は、Oracle Self-Service Landing Zoneの上のOracle Integration 3デプロイメントのアーキテクチャを示しています。
- コンパートメント
コンパートメントは、Oracle Cloud Infrastructureテナンシ内のクロスリージョン論理パーティションです。コンパートメントを使用して、Oracle Cloudでリソースを編成、リソースへのアクセスを制御および使用割当てを設定します。特定のコンパートメント内のリソースへのアクセスを制御するには、誰がリソースにアクセスできるか、どのアクションを実行できるかを指定するポリシーを定義します。
- OCI IAMアイデンティティ・ドメイン
アイデンティティおよびアクセス管理(IAM)では、アイデンティティ・ドメインを使用してアイデンティティおよびアクセス管理機能(認証、シングル・サインオン(SSO)、アイデンティティ・ライフサイクル管理など)をOracle CloudやOracleおよびOracle以外のアプリケーション(SaaS、クラウド・ホスティングまたはオンプレミス)に提供します。
- 要塞
Oracle Cloud Infrastructure Bastionは、パブリック・エンドポイントがなく、ベア・メタルや仮想マシン、Oracle MySQL Database Service、Autonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE)、およびSecure Shell Protocol (SSH)アクセスを許可するその他のリソースなど、厳格なリソース・アクセス制御を必要とするリソースへの制限付きで時間制限付きのセキュア・アクセスを提供します。Oracle Cloud Infrastructure Bastionサービスを使用すると、ジャンプ・ホストをデプロイおよび保守せずにプライベート・ホストへのアクセスを有効にできます。また、アイデンティティ・ベースの権限と一元化された監査済および期限付きのSSHセッションにより、セキュリティ・ポスチャが向上します。Oracle Cloud Infrastructure Bastionは、要塞アクセス用のパブリックIPの必要性を排除し、リモート・アクセスを提供する際の手間や潜在的な攻撃対象領域を排除します。
- Oracle Services Network
Oracle Services Network (OSN)は、Oracleサービス用に予約されているOracle Cloud Infrastructure内の概念ネットワークです。これらのサービスには、インターネットを介してアクセスできるパブリックIPアドレスがあります。Oracle Cloud外部のホストは、Oracle Cloud Infrastructure FastConnectまたはVPN接続を使用してOSNにプライベートにアクセスできます。VCN内のホストは、サービス・ゲートウェイを介してOSNにプライベートにアクセスできます。
コンパートメント構造の理解
次の図は、デプロイされた開発、テストおよび本番Oracle Integration 3インスタンスのコンパートメント構造を示しています:
図oi3-compartment-structure.pngの説明
この図は、Oracle Integration 3コンパートメントと呼ばれるコンパートメントを示しています(xxx-oi3-admin-cmpという命名規則を使用します。xxxは3文字、小文字の顧客略称です)。このコンパートメントは、Oracle Integration 3インスタンスを作成する権限を持つ管理者用です。サブコンパートメントOracle Integration 3開発コンパートメント(xxx-oi3-operator-dev-cmp)では、ユーザーは、Oracle Integration 3開発インスタンスを停止および起動できるグループ・メンバーシップを介した権限を持ちます。テスト・インスタンスと本番インスタンスは別々のコンパートメントです。
コンパートメントについては、表1で説明します。(前述を参照してください)
各コンパートメントには、管理者がOracle Integration 3インスタンスでアクションを実行できるようにポリシーを構成する必要があります。これらのポリシーの詳細は、後述の「Oracle Integration 3のデプロイ」を参照してください。