1. Oracle Utilities Cloud 서비스를 외부 애플리케이션과 통합하기 위한 네트워크 연결 옵션
  2. 사용 가능한 통합 채널 이해

사용 가능한 통합 채널 이해

Oracle Utilities Cloud 서비스는 웹 서비스 기반 채널 및 파일 전송 기반 채널을 지원하여 온프레미스 또는 Oracle PaaS에서 호스팅되는 외부 애플리케이션과 Oracle Utilities Cloud 서비스 또는 Oracle IaaS 또는 타사 데이터 센터 간에 데이터를 이동할 수 있습니다.

통합에 사용되는 채널을 기반으로 외부 애플리케이션/API는 Oracle Utilities Cloud 서비스와 통합하기 위한 특정 기준을 충족해야 합니다.

웹 서비스를 사용하여 유틸리티 통합

이 통합 채널은 Oracle Utilities Cloud 서비스와 외부 애플리케이션 모두에서 웹 서비스 API를 사용합니다.

웹 서비스를 사용한 통합에 산업 표준 모범 사례, 프로토콜 및 인증 방식을 사용해야 합니다. 경험에 따라 모든 통신은 https 프로토콜 기반이어야 합니다. 요청이 Oracle Utilities Cloud 서비스에서 벗어나는지 아니면 요청이 Oracle Utilities Cloud 서비스로 들어오면 다음 개념이 적용됩니다.

아웃바운드 커뮤니케이션에 대해 알아보기

이 정보는 Oracle Utilities Cloud 서비스에서 나가는 통신/요청과 Oracle Utilities Cloud 서비스 외부에 있는 애플리케이션에 적용됩니다.

Oracle Utilities Cloud 서비스가 외부 시스템에 대한 아웃바운드 또는 인바운드 웹 서비스 호출을 수행하려면 외부 시스템의 웹 서비스 API에서 다음 기준을 충족해야 합니다.
  • 접근성 API.
  • 유효한 CA 서명 인증서입니다.
  • HTTPS 프로토콜을 통한 기본 인증/OAuth 클라이언트 자격 증명 지원.
  • SSL 포트 번호 443입니다. 외부 응용 프로그램의 API에 포트 번호로 443이 없는 경우 포트를 443으로 변경하거나 포트 번호를 변경할 수 없는 경우 추가 기반구조/소프트웨어를 중개자로 추가하는 것이 좋습니다. 예를 들어, 포트 443에서 수신하는 역방향 프록시를 추가하는 것이 좋습니다.
액세스 가능한 API 이해

외부 애플리케이션에 속하는 웹 서비스 API는 Oracle Utilities Cloud 서비스에서 액세스할 수 있어야 하므로 Oracle Utilities Cloud 서비스에서 외부 시스템의 웹 서비스 API로 요청을 수행하려면 공용 IP 주소를 통해 해당 API에 액세스할 수 있어야 합니다.

외부 애플리케이션 API가 아직 공용이 아닌 경우 IT 팀/파트너/구현자의 네트워킹 관리자가 공용 IP를 통해 전용 API를 노출하도록 적절한 구성요소를 설정하고 구성할 수 있어야 합니다. 다음은 공용 API를 통해 외부 시스템의 전용 웹 서비스 API를 노출하는 데 도움이 되는 몇 가지 예제입니다.
  • 방화벽에 규칙을 설정하고 외부 응용 프로그램이 상주하는 데이터 센터에서 역 프록시를 사용하여 외부 응용 프로그램의 API를 공용 인터넷에 노출합니다. 단일 역 프록시를 사용하여 여러 응용 프로그램/API를 표시할 수 있습니다.
  • Oracle VPN Connect & 역 프록시를 통해 API에 접근할 수 있도록 합니다. 외부 애플리케이션이 전용 네트워크 내에 있고 공용 인터넷에 API를 노출할 수 없거나 노출되지 않는 경우 적용할 수 있습니다. Oracle Utilities Cloud 서비스는 외부 애플리케이션의 전용 API와 통합될 수 없습니다. 따라서 VPN과 함께 OCI의 역 프록시가 통합 작업에 필요합니다. 역 프록시는 VPN을 통해 Oracle Utilities Cloud 서비스와 외부 애플리케이션 간에 중재됩니다. SaaS 응용 프로그램이 역 프록시를 호출할 수 있으려면 DNS 이름이 "allowlist"에 있어야 합니다.
  • FastConnect 퍼블릭 피어링을 통해 API를 노출합니다. 이 경우 역 프록시가 필요하지 않습니다. FastConnect를 사용하면 외부 애플리케이션의 데이터 센터에서 전용 전용 전용 전용 라인을 통해 Oracle Cloud Infrastructure에 연결할 수 있습니다.
  • 또 다른 옵션은 광범위한 방화벽 구성이나 VPN 없이 Oracle Integration Cloud에 연결할 수 있는 온프레미스 에이전트가 포함된 Oracle Integration Cloud와 같은 미들웨어 소프트웨어를 사용하는 것일 수 있습니다.
CA 서명 인증서 이해

외부 애플리케이션의 웹 서비스 API에는 적합한 CA 발행 인증서가 있어야 합니다. TLS 핸드셰이크를 사용하여 인증서가 Oracle Utilities Cloud 서비스 허용 목록에 있는 것과 일치하는지 확인하고, 양호한 경우 Oracle Utilities Cloud 서비스가 외부 애플리케이션에 아웃바운드 요청을 게시할 수 있습니다.

외부 애플리케이션의 웹 서비스 API에서 자체 서명된 인증서를 사용하는 경우 CA 서명된 인증서를 지원하도록 API를 구성해야 합니다. 다음은 이러한 작업을 수행하는 방법에 대한 몇 가지 예입니다.
  • 유효한 CA 서명 인증서를 사용하십시오.
  • 외부 애플리케이션의 데이터 센터에 적합한 CA 서명 인증서와 역 프록시를 사용합니다. 외부 애플리케이션 API를 간접적으로 노출하는 게이트웨이 역할을 할 수 있습니다. 구성에 따라 단일 프록시를 여러 웹 서비스 또는 응용 프로그램에 사용할 수 있습니다.
  • 동일한 목적으로 OCI에서 역 프록시를 설정할 수 있습니다. 이 경우 외부 애플리케이션의 웹 서비스 API가 공용인지 여부에 따라 VPN Connect가 필요할 수 있습니다.

인바운드 커뮤니케이션에 대해 알아보기

요청/통신이 Oracle Utilities Cloud 서비스 외부에서 호스팅되는 외부 시스템에서 제공하는 Oracle Utilities Cloud 서비스 애플리케이션의 웹 서비스 API에 제공될 경우 호출 애플리케이션/서비스는 다음 기준을 충족해야 합니다.

  • Oracle Utilities Cloud 서비스 애플리케이션의 웹 서비스 API에 접근합니다.
  • 호출 애플리케이션은 HTTPS를 통해 IDCS 토큰 기반 인증 또는 기본 인증을 지원해야 합니다.
Oracle Utilities Cloud Services 애플리케이션의 웹 서비스 API에 대한 외부 애플리케이션 액세스

Oracle Utilities Cloud 서비스 애플리케이션에 대한 인바운드 통신을 위한 웹 서비스 API는 공용 인터넷을 통해 사용할 수 있습니다. 외부 애플리케이션이 공용 인터넷에 액세스할 수 있는 경우 웹 서비스 API에 액세스할 수 있어야 합니다.

외부 애플리케이션/서비스에 공용 인터넷에 액세스할 수 없는 경우 외부 애플리케이션이 Oracle Utlities Cloud Services로 메시지를 전송할 수 있도록 적절한 설정을 수행해야 합니다. 다음은 설정 예입니다.
  • 외부 애플리케이션이 Oracle Utilities Cloud 서비스 애플리케이션의 공용 API에 액세스할 수 있도록 외부 애플리케이션의 데이터 센터에 있는 프록시입니다.
  • Oracle VPN Connect를 사용하여 외부 애플리케이션/데이터 센터의 전용 네트워크를 OCI VCN으로 확장하고 외부 애플리케이션에서 API에 접근할 수 있도록 Oracle Utilities Cloud 서비스 VCN으로 요청을 라우팅합니다.
  • FastConnect를 사용하여 OCI 데이터 센터와 외부 애플리케이션의 데이터 센터 간에 전용 전용 라인을 통해 통신을 설정할 수 있습니다.
  • Oracle Integration Cloud 서비스 등의 통합 소프트웨어를 사용하여 외부 애플리케이션과 Oracle Utilities Cloud 서비스 애플리케이션 간의 다리 역할을 수행합니다.

파일 전송을 사용하여 유틸리티 통합

Oracle Utilities Cloud 서비스 애플리케이션은 웹 서비스 기반 통합과 함께 파일 전송을 사용하여 통합을 지원합니다. 즉, 파일을 전송하여 Oracle Utilities Cloud 서비스 애플리케이션과 외부 애플리케이션 간에 데이터를 이동할 수도 있습니다.

일반적으로 Oracle Utilities Cloud 서비스 애플리케이션은 Oracle Object Storage Cloud Service에 내장된 파일 어댑터를 통해 일괄 처리 프로그램을 사용하여 인바운드 파일과 아웃바운드 파일을 모두 처리합니다. 따라서 모든 인바운드 및 아웃바운드 파일 전송은 Oracle Object Storage Cloud Service를 통해서만 지원됩니다. 파일을 사용하여 Oracle Utilities Cloud 서비스 애플리케이션과 통합해야 하는 외부 애플리케이션은 Oracle Object Storage Cloud Service에서 파일을 푸시하고 풀링할 수 있는 기능이 있어야 합니다.

파일 전송을 사용하여 인바운드-아웃바운드 통신 허용

외부 애플리케이션과의 통합의 일환으로 Oracle Utilities Cloud 서비스 애플리케이션에서 파일을 이동하는 기준/방법은 동일하거나 적습니다. Oracle Object Storage Cloud Service는 Oracle Utilities Cloud 서비스 애플리케이션에서 파일을 푸시하고 가져오는 데 사용해야 합니다.

외부 애플리케이션을 Oracle Object Storage Cloud Service와 통합할 수 있어야 합니다. Oracle Object Storage Cloud Service에는 외부 애플리케이션에서 Oracle Object Storage Cloud Service로 파일을 가져오거나 푸시하는 데 사용할 수 있는 공용 인터넷을 통해 REST API가 제공됩니다. 외부 애플리케이션이 REST API 기반 파일 전송을 지원하지 않는 경우 오브젝트 스토리지에서 파일을 푸시 및 풀링하려면 중개자 설정을 수행해야 합니다. 다음은 외부 애플리케이션에 REST API 기능이 없는 파일 기반 통합에 대한 몇 가지 샘플 설정입니다.
  • 외부 애플리케이션이 SFTP 기반 파일 전송을 지원하는 경우 외부 애플리케이션과 Oracle Object Storage Cloud Service에서 사용 중인 SFTP 스토리지 사이에 사용자정의 어댑터를 생성할 수 있습니다. 사용자정의 어댑터는 Oracle Object Storage Cloud Service의 REST API를 사용하여 Oracle Object Storage Cloud Service와 SFTP 스토리지 서버 간에 파일을 이동할 수 있습니다.
  • SOA 클라우드 서비스의 일부인 Managed File Transfer Cloud Service를 사용할 수 있습니다. Managed File Transfer Cloud Service는 Oracle Object Storage Cloud Service에 대한 어댑터가 내장되어 있습니다. 외부 애플리케이션은 SFTP를 사용하여 Managed File Transfer Cloud Service와 인터페이스할 수 있습니다.
  • 파일 기반 통합을 위해 Oracle Integration Cloud Service 사용

허용 목록 이해

허용 목록 옵션을 사용하면 Oracle Utilities Cloud Services에서 통신이 허용되는 대상과 소스를 지정할 수 있습니다.

아웃바운드 커뮤니케이션의 경우:

allow-list 옵션을 사용하면 Oracle Utilities Cloud Services로부터 통신이 허용될 수 있는 대상을 지정할 수 있습니다. 기본적으로 외부 인터페이스에 대한 통신은 사용 안함으로 설정됩니다. 허용 목록에 대상을 추가하여 이 동작을 변경할 수 있습니다. 지원 티켓을 올려 허용 목록을 업데이트하면 대상 추가/제거를 수행할 수 있습니다. 지원 티켓에서 다음 정보를 사용할 수 있도록 해야 합니다.
  • 허용에 대한 근거와 함께 이름이 지정된 DNS OR URL입니다. 아웃바운드 통신의 이전 섹션에서 이미 언급한 대로
  • SSL 포트 443을 사용해야 합니다.
  • 호스트에는 신뢰할 수 있는 공용 인증 기관에서 서명한 유효한 TLS 인증서가 있어야 합니다.

인바운드 커뮤니케이션의 경우:

허용 목록 옵션을 사용하여 Oracle Utilities Cloud Services에 대한 통신이 허용되는 소스를 지정할 수 있습니다. 기본적으로 인증 정보가 유효한 모든 소스에서 통신이 허용됩니다. 허용 목록에 소스를 추가하여 이 동작을 변경할 수 있습니다. 허용 목록을 업데이트하기 위해 지원 티켓을 올려 소스 추가/제거를 수행할 수 있습니다. 하나 이상의 소스에서 액세스할 수 있는 리소스를 지정할 수도 있습니다.
  • 소스는 다음 방법으로 식별할 수 있습니다.
    • CIDR 블록으로 정의된 IP 주소 범위
    • VCN OCID - OCI 서비스 게이트웨이를 통해 리소스에 액세스하는 소스에 대해서만 사용됩니다.
    • IP 및 VCN OCID입니다. 선택적으로 지원 티켓을 사용하여 CIDR 블록 및/또는 VCN OCID 그룹을 생성하고 이름을 지정할 수 있습니다.
  • 리소스는 다음 방법으로 식별할 수 있습니다.
    • 애플리케이션에 따른 경로입니다. 예: 온라인 웹 응용 프로그램의 경우 /web, ORDS의 경우 /sql, 휴식 서비스의 경우 /rest 등
    • 특정 하위 경로로 시작하는 경로의 그룹입니다. 예: 모든 K1-owned 휴식 서비스의 경우 /rest/busSvc/K1
    • 특정 경로입니다. 예를 들어, 소스 집합을 통해 액세스할 수 있도록 /rest/busSvc/F1-HealthCheck를 구성할 수 있습니다. 선택적으로 지원 티켓을 사용하여 경로 그룹을 생성하고 이름을 지정할 수 있습니다.
허용 규칙은 소스와 경로 간의 매핑입니다. 즉, 소스/소스에서 어떤 경로/경로에 액세스할 수 있는지에 대한 매핑입니다. 각 규칙은 경로 그룹과 경로 그룹에 액세스할 수 있는 하나 이상의 소스로 구성됩니다. 지원 티켓을 사용하여 허용 규칙 그룹을 만들고 이름을 지정하는 옵션이 있습니다.

주:

허용 목록 규칙을 생성, 업데이트 또는 제거하려면 지원 티켓을 생성해야 합니다.