この図は、Oracle Self-Service Landing Zoneの上のOracle Integration 3デプロイメントのアーキテクチャを示しています。次の管理グループのコレクションであるテナンシが表示されます:
- SDDC管理者
- クレジット管理者
- お知らせの管理者
- 監査者
- ポリシーを管理するIdentity and Access Management (IAM)管理者
- 包含するコンパートメントにアクセスできるネットワーク管理者
- セキュリティ管理者、イベントおよびクラウド・ガード・インスタンスの管理者
- AppDev管理者
- データベース管理
含まれるコンパートメントは次のとおりです。
- オプションの囲みコンパートメント
- セキュリティ・コンパートメント
- アプリケーション・コンパートメント
- データベース・コンパートメント
ネットワーク管理者は、プライマリVCNを含むオプションの包含コンパートメントと通信し、それ自体にはWebサブネット、アプリケーション・サブネットおよびデータベース・サブネットの3つのサブネットが含まれます。これらのサブネットへのアクセスは、セキュリティ・リストによって制御されます。各サブネットには、宛先とそのターゲットに到達するサービスを識別する表があります。
- Webサブネットの場合:
- 宛先: インターネット、ターゲット: インターネット・ゲートウェイ(IGW)
- 宛先: AWSテナンシ、ターゲット: 動的ルーティング・ゲートウェイ(DRG)
- アプリケーション・サブネットの場合:
- 宛先: インターネット、ターゲット: NATゲートウェイ
- 宛先: AWSテナンシ、ターゲット: DRG
- 宛先: customer; ターゲット: サービス・ゲートウェイ(SGW)
- データベース・サブネットの場合
- 宛先: AWSテナンシ、ターゲット: DRG
- 宛先: Oracle Service Network (OSN)、ターゲット: SGW
VCNには、要塞ネットワーク・セキュリティ・グループ、ロード・バランサ・ネットワーク・セキュリティ・グループ、アプリケーション・ネットワーク・セキュリティ・グループおよびデータベース・ネットワーク・セキュリティ・グループの4つのネットワーク・セキュリティ・グループも含まれています。各セキュリティ・グループへのアクセスは、セキュリティ・リストによって制御されます。
また、内には、プロビジョニング・サブネットを含むOAC VCNがあります。
セキュリティ管理者は、次のサービスを含むセキュリティ・コンパートメントと通信します:
- 通知
- トピック
- Vault/顧客管理キー
- ロギング
- サービス・コネクタ・ハブ
- オブジェクト・ストレージ・バケット
- 要塞
AppDev管理者は、次のサービスを含むappsコンパートメントと通信します(このアーキテクチャでは一部が無効になっていることに注意してください):
- オブジェクト・ストレージ・バケット
- コンピュート(無効)
- 関数(無効)
- Kubernetes用コンテナ・エンジン(無効)
- ブロック・ストレージ(無効)
- OCIストリーミング(無効)
- ファイル・ストレージ(無効)
- APIゲートウェイ(無効)
- 4つのDMインスタンスを持つCCVSサービス:
データベース管理者は、次のサービスを含むデータベース・コンパートメントと通信します。これらはすべて、このアーキテクチャでは無効化されます:
- Oracle自律型トランザクション処理(ATP)
- Oracle自律型データウェアハウス
- VMデータベース
- ベアメタル・データベース
- Exadataクラウド・サービス
インターネット・ユーザーはインターネット・ゲートウェイを介してプライマリVCNと通信しますが、プライマリVCNはNATゲートウェイを介して応答します。顧客データ・センターは、サイト間VPNまたはFastConnectを使用して、DRGを介してプライマリVCNまたはOAC VCNにアクセスし、DRGアタッチメントを介したトラフィックを各VCNに渡します。その後、Botht hese VCNSは、サービス・ゲートウェイを介してOSNインスタンスにトラフィックを転送できます。
