이 구조 정보
이 아키텍처는 개발, 테스트 및 운영을 위해 Oracle Integration 3 인스턴스를 설정하는 방법을 설명하고 구현의 보안 측면에 중점을 둡니다. Oracle Integration 3의 특정 서비스를 중점적으로 다루는 Oracle Integration으로 랜딩 존 아키텍처 설정에 대한 링크는 이 플레이북 끝에 있는 "자세히 탐색"을 참조하십시오.
Oracle Integration 3 환경에 대한 OCI IAM ID 도메인 설정
기본 OCI IAM ID 도메인은 매일 사용하지 않으므로 OCI 관리자 전용으로 사용해야 합니다. 기본 OCI IAM ID 도메인은 OCI 테넌시 레벨 관리 작업에 사용됩니다. 추가 개발, 테스트 및 프로덕션 OCI IAM ID 도메인은 필요한 환경을 추가로 구분합니다.
기본 OCI IAM ID 도메인 인스턴스는 OCI 서비스와 통합되어 조직의 사용자 및 그룹이 OCI IAM ID 도메인에 설정된 ID 정책에 따라 OCI 리소스를 인증하고 액세스할 수 있도록 보장합니다. 클라우드 계정 관리자는 기본 OCI IAM ID 도메인을 소유하고 보조 OCI IAM ID 도메인 인스턴스를 하나 이상 생성할 수 있습니다. 이 경우 Oracle Integration 3 배치용 OCI IAM ID 도메인 인스턴스를 개발, 테스트 및 운용합니다.
기본 OCI IAM ID 도메인에는 랜딩 존 배포 중 생성된 그룹이 포함됩니다.
랜딩 존에서 생성된 리소스 외에도 Oracle Integration 3 인스턴스를 처리하는 데 필요한 그룹 및 구획을 생성해야 합니다. 이 설정은 Oracle Integration 3 인스턴스를 생성 및 삭제하거나 Oracle Integration 3 인스턴스의 컴파트먼트를 변경할 수 있는 관리자와 Oracle Integration 3 인스턴스를 중지, 시작 및 업데이트할 수 있는 관리자를 구분합니다. 이 설정은 개발, 테스트 또는 운영 환경 레벨의 개인이 Oracle Integration 3 인스턴스를 생성하거나 삭제할 수 없도록 합니다. 이러한 관리자는 자신의 컴파트먼트에서만 인스턴스를 시작, 정지 또는 업데이트할 수 있습니다.
인스턴스에 대한 OCI IAM ID 도메인 설정
개요 섹션에서 언급한 바와 같이 Oracle Integration 3을 배포하려면 Oracle Integration 3 인스턴스에 대해 일련의 OCI IAM ID 도메인을 설정해야 합니다. 이러한 OCI IAM ID 도메인 인스턴스 내에서 다양한 레벨의 권한을 가진 특정 그룹이 제공됩니다.
이름 지정 규칙 이해
관리자의 OCI IAM ID 도메인 내 이름 지정 규칙은 oci-iam-id-dev, oci-iam-id-test 및 oci-iam-id-prod입니다. 조직의 요구 사항 및 따르는 특정 이름 지정 규칙에 따라 조직의 정확한 그룹 이름 및 권한을 사용자 정의할 수 있습니다.
사용자 그룹 생성
이러한 OCI IAM ID 도메인 인스턴스 내에서 서로 다른 레벨의 권한을 얻을 사용자 그룹을 생성합니다. OCI 배치를 위해 필요한 그룹은 다음 표에 나와 있습니다.
| 그룹 이름 | 설명 | 권한 | 보상에 대한 정책의 참조입니다. |
|---|---|---|---|
| xxx-oi3-관리자-grp | Oracle Integration3 관리자 | 구획을 생성, 삭제, 변경합니다. | xxx-oi3-관리자-cmp |
| xxx-oi3- 운영자-dev-grp | 개발용 Oracle Integration 3 Operators 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 운영자-dev-cmp |
| xxx-oi3- 운영자-테스트-grp | 테스트를 위한 Oracle Integration 3 Operators 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 운영자-테스트-cmp |
| xxx-oi3- 운영자-prod-grp | 프로덕션용 Oracle Integration 3 운영자 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 운영자-prod-cmp |
구조
다음 다이어그램은 OCI Landing Zone 위에 있는 Oracle Integration 3 배포의 아키텍처를 보여 줍니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud 리소스에 대한 사용 할당량을 구성, 제어 및 설정할 수 있습니다. 지정된 구획에서 액세스를 제어하고 리소스에 대한 권한을 설정하는 정책을 정의합니다.
- OCI IAM ID 도메인
IAM(Identity and Access Management)은 ID 도메인을 사용하여 SaaS, 클라우드 호스팅 또는 온프레미스 등 Oracle 및 비Oracle 애플리케이션뿐만 아니라 Oracle Cloud에 대한 인증, SSO(Single Sign-On), ID 수명 주기 관리 등의 ID 및 액세스 관리 기능을 제공합니다.
- 배스천
Oracle Cloud Infrastructure Bastion은 퍼블릭 엔드포인트가 없고 베어메탈 및 가상 머신, Oracle MySQL Database Service, Autonomous Transaction Processing(ATP), Oracle Cloud Infrastructure Kubernetes Engine(OKE) 및 SSH(Secure Shell Protocol) 액세스를 허용하는 기타 리소스와 같은 엄격한 리소스 액세스 제어가 필요한 리소스에 대해 제한적이고 시간 제한적인 보안 액세스를 제공합니다. OCI Bastion 서비스를 사용하면 점프 호스트를 배포 및 유지 관리하지 않고도 개인 호스트에 대한 액세스를 활성화할 수 있습니다. 또한 ID 기반 권한과 중앙 집중식, 감사 및 시간 제한 SSH 세션을 통해 보안 상태를 개선할 수 있습니다. OCI Bastion은 배스천 액세스를 위한 공용 IP가 필요하지 않으므로 원격 액세스를 제공할 때 번거롭고 잠재적인 공격 표면을 제거합니다.
- Oracle Services Network
OSN(Oracle Services Network)은 Oracle 서비스에 예약된 Oracle Cloud Infrastructure의 개념적 네트워크입니다. 이러한 서비스에는 인터넷을 통해 연결할 수 있는 공용 IP 주소가 있습니다. Oracle Cloud 외부의 호스트는 Oracle Cloud Infrastructure FastConnect 또는 VPN Connect를 사용하여 전용으로 OSN에 접근할 수 있습니다. VCN의 호스트는 서비스 게이트웨이를 통해 전용으로 OSN에 액세스할 수 있습니다.
컴파트먼트 구조 이해
다음 다이어그램은 배포된 개발, 테스트 및 운영 Oracle Integration 3개 인스턴스에 대한 구획 구조를 보여줍니다.
그림 oi3-compartment-structure.png에 대한 설명
다이어그램은 Oracle Integration 3 컴파트먼트(xxx-oi3-admin-cmp의 이름 지정 규칙을 사용함)라는 컴파트먼트를 보여줍니다. 여기서 xxx은 세 자, 소문자 고객 약어입니다. 이 컴파트먼트는 Oracle Integration 3개 인스턴스를 생성할 수 있는 권한이 있는 관리자를 위한 것입니다. 하위 구획 Oracle Integration 3 개발 컴파트먼트(xxx-oi3-operator-dev-cmp)에서 사용자는 그룹 멤버쉽을 통해 Oracle Integration 3 개발 인스턴스를 정지하고 시작할 수 있는 권한을 가집니다. 테스트 및 운용 인스턴스는 별도의 구획입니다.
구획은 테이블 1에서 언급됩니다. (위의 내용을 참조하십시오)
각 구획에는 관리자가 Oracle Integration 3 인스턴스에 대해 작업을 수행할 수 있도록 구성된 정책이 있어야 합니다. 해당 정책에 대한 자세한 내용은 아래의 "Oracle Integration 3 배포"를 참조하십시오.