この図は、OCIテナンシ内のセキュアなアーキテクチャを示しており、セキュアな操作を可能にするためにコンパートメントとネットワーク分離によって編成されています。

テナンシ(ルート・コンパートメント)には、管理コンポーネントとガバナンス・コンポーネント(タグ・ネームスペース、監査機能、クリーン・ルーム管理者、Vault管理者、動的グループおよびルート・レベルのIAMポリシー)が含まれます。追加の要素には、クリーンルーム管理者、Vault管理者、および動的グループのポリシーと、クリーンルームアーキテクチャー(CRA)のスクリプトバケットが含まれます。テナンシ・コンパートメント内の親コンパートメントには、セーフ・ルームとVaultという2つの主要なセキュアな環境があります。

セーフ・ルーム環境には、仮想クラウド・ネットワーク(VCN)と、アドレス範囲が192.168.1.0/24のサブネットが含まれます。このサブネットは、現在使用されていないとしてマークされています。

Vault環境には、独自のVCNと、アドレス範囲が10.01.0.0/24のサブネットがあります。この環境には、オーケストレーション・サーバー、1つ以上のワーカー・ノード、およびファイル・ストレージ保護が有効になっている場合は、可用性ドメインごとにマウント・ターゲットがあるファイル・ストレージという複数のリソースがあります。

Vault環境には、クラウド・ガード・セキュリティ・ゾーン、OCIキュー、セキュア・アクセス用の要塞サービス、ロギング・グループ、サービス・ゲートウェイ、不変オブジェクト・ストレージ・バケット、OCI通知およびクラウド・ガード・ディテクタ・レシピなど、いくつかのサービスおよびセキュリティ機能も含まれています。