이 아키텍처 정보
이 아키텍처는 개발, 테스트 및 프로덕션을 위해 Oracle Integration3 인스턴스를 설정하는 방법을 설명하고 구현의 보안 측면에 중점을 둡니다. Oracle Integration 3의 특정 서비스를 중점적으로 다루는 Oracle Integration을 사용하여 랜딩 존 아키텍처 설정 링크를 보려면 이 플레이북의 끝에 있는 "자세히 살펴보기"를 참조하십시오.
Oracle Integration 3 환경에 대한 OCI IAM ID 도메인 설정
기본 OCI IAM ID 도메인은 매일 사용되지 않으므로 OCI 관리자에게 전용으로 지정해야 합니다. 기본 OCI IAM ID 도메인은 OCI 테넌시 레벨 관리 작업에 사용됩니다. 추가 개발, 테스트 및 운용 OCI IAM ID 도메인은 필요한 환경을 추가로 분리합니다.
기본 OCI IAM ID 도메인 인스턴스는 OCI 서비스와 통합되어, 조직의 사용자 및 그룹이 OCI IAM ID 도메인에 설정된 ID 정책에 따라 OCI 리소스를 인증하고 액세스할 수 있도록 보장합니다. 클라우드 계정 관리자는 기본 OCI IAM ID 도메인을 소유하며 하나 이상의 보조 OCI IAM ID 도메인 인스턴스를 생성할 수 있습니다. 이 경우 Oracle Integration 3 배포를 위한 OCI IAM ID 도메인 인스턴스를 개발, 테스트 및 운용합니다.
기본 OCI IAM ID 도메인에는 랜딩 존을 배포하는 동안 생성된 그룹이 포함됩니다.
랜딩 존에서 생성한 리소스 외에도 Oracle Integration 3 인스턴스를 처리하는 데 필요한 그룹 및 구획을 생성해야 합니다. 설정은 Oracle Integration 3 인스턴스를 생성 및 삭제하거나 Oracle Integration 3 인스턴스를 정지, 시작 및 업데이트할 수 있는 관리자와 Oracle Integration 3 인스턴스의 구획을 변경할 수 있는 관리자를 구분합니다. 이 설정은 개발, 테스트 또는 운용 환경 레벨의 개인이 Oracle Integration 3 인스턴스를 생성하거나 삭제할 수 없도록 합니다. 이러한 관리자는 자체 구획의 인스턴스만 시작, 정지 또는 업데이트할 수 있습니다.
인스턴스에 대한 OCI IAM ID 도메인 설정
개요 섹션에서 언급한 바와 같이, Oracle Integration 3을 배포하려면 Oracle Integration 3 인스턴스에 대한 OCI IAM ID 도메인 세트를 설정해야 합니다. 이러한 OCI IAM ID 도메인 인스턴스 내에는 다양한 수준의 권한을 가진 특정 그룹이 있습니다.
이름 지정 규칙 이해
관리자의 OCI IAM ID 도메인 내 이름 지정 규칙은 oci-iam-id-dev, oci-iam-id-test 및 oci-iam-id-prod입니다. 조직의 요구 사항 및 따라야 하는 특정 이름 지정 규칙에 따라 조직의 정확한 그룹 이름 및 권한을 사용자 정의할 수 있습니다.
사용자 그룹 생성
이러한 OCI IAM ID 도메인 인스턴스 내에서 서로 다른 레벨의 권한을 얻을 사용자 그룹을 생성합니다. OCI 배치용으로 필요한 그룹은 다음 표에 나와 있습니다.
| 그룹 이름 | 설명 | 권한 | 보상에 대한 정책의 참조입니다. |
|---|---|---|---|
| xxx-oi3-관리-grp | Oracle Integration3 관리자 | 구획 생성, 삭제, 변경 | xxx-oi3-관리-cmp |
| xxx-oi3- 운영자-dev-grp | Oracle Integration 개발용 3 운영자 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 연산자-dev-cmp |
| xxx-oi3- 운영자-테스트-grp | Oracle Integration 테스트를 위한 3개의 운영자 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 운영자-테스트-cmp |
| xxx-oi3- 운영자-prod-grp | Oracle Integration 3 운용에 대한 연산자 그룹 | 업데이트, 시작, 정지 | xxx-oi3- 운영자-prod-cmp |
구조
다음 다이어그램은 Oracle Self-Service Landing Zone을 기반으로 하는 Oracle Integration 3 배포의 구조를 보여 줍니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 영역 간 논리적 분할 영역입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용 할당량을 설정합니다. 지정된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 지정하는 정책을 정의합니다.
- OCI IAM ID 도메인
IAM(ID 및 접근 관리)은 ID 도메인을 사용하여 SaaS, 클라우드 호스팅 또는 온프레미스에 관계없이 Oracle 및 비Oracle 애플리케이션은 물론 Oracle Cloud에 대한 인증, SSO(Single Sign-On), ID 수명 주기 관리와 같은 ID 및 접근 관리 기능을 제공합니다.
- 배스천
Oracle Cloud Infrastructure Bastion은 퍼블릭 엔드포인트가 없고 베어메탈 및 가상 머신, Oracle MySQL Database Service, Autonomous Transaction Processing(ATP), Oracle Container Engine for Kubernetes(OKE) 및 SSH(Secure Shell Protocol) 액세스를 허용하는 기타 리소스와 같은 엄격한 리소스 액세스 제어가 필요한 리소스에 대해 제한적이고 시간 제한적인 보안 액세스를 제공합니다. Oracle Cloud Infrastructure 배스천 서비스를 사용하면 점프 호스트를 배치하고 유지 관리하지 않고도 전용 호스트에 액세스할 수 있습니다. 또한 ID 기반 권한과 중앙 집중식, 감사 및 시간 제한 SSH 세션을 통해 보안 상태를 개선할 수 있습니다. Oracle Cloud Infrastructure Bastion은 배스천 액세스를 위해 공용 IP가 필요하지 않으므로 원격 액세스를 제공할 때 번거롭고 잠재적인 공격 영역이 제거됩니다.
- Oracle Services Network
OSN(Oracle Services Network)은 Oracle 서비스에 예약된 Oracle Cloud Infrastructure의 개념적 네트워크입니다. 이러한 서비스에는 인터넷을 통해 연결할 수 있는 공용 IP 주소가 있습니다. Oracle Cloud 외부의 호스트는 Oracle Cloud Infrastructure FastConnect 또는 VPN Connect를 사용하여 전용으로 OSN에 액세스할 수 있습니다. VCN의 호스트는 서비스 게이트웨이를 통해 전용으로 OSN에 액세스할 수 있습니다.
구획 구조 이해
다음 다이어그램은 배치된 개발, 테스트 및 운용 Oracle Integration 3 인스턴스에 대한 구획 구조를 보여줍니다.
설명 oi3-compartment-structure.png
다이어그램은 xxx-oi3-admin-cmp의 이름 지정 규칙을 사용하여 Oracle Integration 3 구획이라는 구획을 보여줍니다. 여기서 xxx은 세 글자, 소문자 고객 약어입니다. 이 구획은 Oracle Integration 3 인스턴스를 생성할 수 있는 권한이 있는 관리자를 위한 것입니다. 하위 구획 Oracle Integration 3 개발 구획(xxx-oi3-operator-dev-cmp)에서 사용자는 그룹 멤버쉽을 통해 권한을 가지므로 Oracle Integration 3개 개발 인스턴스를 정지하고 시작할 수 있습니다. 테스트 및 운용 인스턴스는 별도의 구획입니다.
구획은 테이블 1에서 언급됩니다. (위의 내용을 참조하십시오)
각 구획에는 관리자가 Oracle Integration 3 인스턴스에서 작업을 수행할 수 있도록 구성된 정책이 있어야 합니다. 이러한 정책에 대한 자세한 내용은 아래의 "Oracle Integration 3 배치"를 참조하십시오.