1. Configuration d'une architecture de zone de renvoi avec Oracle Integration
  2. Configuration d'une architecture de zone de renvoi avec Oracle Integration

Configuration d'une architecture de zone de renvoi avec Oracle Integration

Pour exécuter des intégrations dans Oracle Cloud, vous avez besoin d'un environnement sécurisé capable de fonctionner efficacement. Oracle Integration est un service natif du cloud conçu pour répondre à vos exigences en matière de sécurité. Cette architecture de référence décrit les composants et les concepts permettant de créer des intégrations hybrides. Ces composants sont conformes au modèle de zone de renvoi et aux concepts qui répondent aux directives de sécurité prescrites pour la référence CIS Foundation d'Oracle Cloud Infrastructure. Cette architecture de référence fait généralement référence à tous les concepts décrits dans l'architecture de référence, Déployer une zone de renvoi sécurisée conforme à la référence CIS Foundations pour Oracle Cloud. Vous devez également consulter Déployer Oracle Integration 3 sur une zone de renvoi Oracle Self-Service, qui explique comment configurer des instances Oracle Integration à des fins de développement, de test et de production, tout en vous concentrant sur les aspects de sécurité d'un déploiement. Vous pouvez accéder à ces deux documents à partir de la rubrique "En savoir plus" à la fin de cet article.

Architecture

Les concepts d'architecture de zone de renvoi jouent un rôle clé lorsque vous devez créer des intégrations hybrides et, généralement, lorsque vous devez interagir avec des systèmes disponibles dans des réseaux privés qui dépendent de directives de sécurité strictes.

Oracle Integration est exécuté sur Oracle Cloud Infrastructure (OCI), où il est géré par le réseau Oracle Service (OSN). Dans certains cas, Oracle Integration s'intègre uniquement aux applications et systèmes cloud (applications Oracle SaaS ou autres applications d'autres fournisseurs), accessibles via le réseau Internet public. Dans ce cas, une architecture d'intégration hybride n'est pas nécessaire.

Lorsque l'intégration hybride est requise, Oracle Integration l'active et fournit deux méthodes d'intégration des systèmes sur site et dans les réseaux privés :

Remarques :

Vous trouverez ci-dessous des liens vers les documents suivants :
  • Agent de connectivité : reportez-vous à Modèles de connexion pour les intégrations hybrides dans Oracle Integration Generation 2 pour plus de détails sur ses fonctionnalités et sur sa configuration.
  • Adresse privée : reportez-vous à Configuration d'une adresse privée pour une instance dans Provisionnement et administration d'Oracle Integration 3 pour plus de détails sur ses fonctionnalités et sur sa configuration. Cette documentation explique également les principales différences entre un agent de connectivité et une adresse privée.

Pour plus de détails sur les différences entre un agent de connectivité et une adresse privée, reportez-vous à Différences entre les adresses privées et l'agent de connectivité dans la documentation Oracle Integration 3.

Une autre option pour intégrer des systèmes sur site consiste à impliquer un autre service cloud : API Gateway. Pour mieux comprendre cette approche, reportez-vous à l'architecture de référence Déployer un service Oracle API Gateway dans un environnement hybride.

Cette rubrique décrit l'architecture de niveau supérieur pour chacune de ces approches.

Architecture hybride avec agent de connectivité

Cette architecture explique comment déployer l'agent de connectivité pour gérer l'intégration hybride :


La description de landingzone-wad-1.3-scenario2.png suit :
Description de l'illustration landingzone-wad-1.3-scenario2.png

architecture hybride-adresse privée-oracle.zip

Cette architecture contient les composants suivants :
  • Oracle Integration

    Oracle Integration connecte n'importe quelle application et source de données pour automatiser les processus de bout en bout et centraliser la gestion.

  • Agent de connectivité Oracle Integration

    L'agent de connectivité Oracle Integration permet des intégrations hybrides et une méthode d'échange de messages entre des applications dans des réseaux privés ou sur site et OIC.

  • Domaine d'identité

    Oracle Identity Domain fournit la gestion des identités, l'accès avec connexion unique (SSO) et la gouvernance des identités pour un large éventail d'applications SaaS et sur site.

Dans ce document, l'agent de connectivité Oracle Integration est placé dans Oracle Integration. Il existe de nombreuses façons de positionner l'agent de connectivité Oracle Integration dans l'architecture globale du client. L'option mentionnée dans l'architecture ci-dessus est décrite dans la section "Modèles de connexion pour les intégrations hybrides" dans Utilisation des intégrations dans Oracle Integration Generation 2. Le même document décrit les différentes options que vous pouvez utiliser pour déployer des agents de connectivité. Vous trouverez un lien vers "Modèles de connexion pour les intégrations hybrides" dans la rubrique "En savoir plus".

Architecture hybride avec adresse privée

Cette architecture explique comment gérer l'intégration hybride en déployant une adresse privée.


Description de l'image hybrid-architecture-private-endpoint.png
Description de l'illustration hybrid-architecture-private-endpoint.png

GUID-438A7CEF-1DA5-4B79-A70D-10E3E525BAC0

Cette architecture contient les composants suivants :
  • Oracle Integration

    Oracle Integration connecte n'importe quelle application et source de données pour automatiser les processus de bout en bout et centraliser la gestion.

  • Adresse privée Oracle Integration

    L'adresse privée Oracle Integration permet des intégrations hybrides et une méthode d'échange de messages entre des applications dans des réseaux privés et Oracle Integration. L'adresse privée gère le trafic sortant à partir d'Oracle Integration.

  • Domaine d'identité

    Oracle Identity Domain fournit la gestion des identités, l'accès avec connexion unique (SSO) et la gouvernance des identités pour un large éventail d'applications SaaS et sur site.

Architecture hybride avec API Gateway

Cette architecture explique comment activer l'intégration hybride à l'aide d'Oracle API Gateway.


La description de landingzone-wad-1.3-scenario1.png suit :
Description de l'illustration landingzone-wad-1.3-scenario1.png

landingzone-wad-1.3-scenario1-oracle.zip

Cette architecture repose sur les composants suivants :
  • Oracle Integration

    Oracle Integration connecte n'importe quelle application et source de données pour automatiser les processus de bout en bout et centraliser la gestion.

  • Oracle API Gateway

    Le service Oracle API Gateway vous permet de publier des API avec des adresses privées accessibles à partir de votre réseau, et que vous pouvez exposer avec des adresses IP publiques.

  • Domaine d'identité

    Oracle Identity Domain fournit la gestion des identités, l'accès avec connexion unique (SSO) et la gouvernance des identités pour un large éventail d'applications SaaS et sur site.

Vous pouvez combiner ces trois architectures ; par exemple, une solution peut choisir d'utiliser à la fois un agent de connectivité et une passerelle d'API pour atteindre des réseaux sur site/privés.

Recommandations

Vous pouvez constater que l'intégration hybride peut être réalisée à l'aide de différents composants, soit par le biais de composants Oracle Integration standard récurrents, soit par le biais d'autres composants (par exemple, une passerelle d'API). Utilisez les recommandations suivantes pour déterminer le composant à utiliser.
  • Déploiement et sécurité pour l'intégration hybride

    Déployer Oracle Integration 3 sur une zone de renvoi Oracle Self-Service, référencée au début de ce document (et accessible à partir de "Explorer plus", ci-dessous), fournit des instructions pour configurer correctement les composants d'intégration du point de vue de la sécurité. L'image suivante montre comment les directives ci-dessus s'appliquent aux composants d'intégration mentionnés ci-dessus.


    Voici la description de int-deploy-security.png
    Description de l'image int-deploy-security.png

    int-deploy-security-oracle.zip

    Plus particulièrement :
    • Oracle Integration est déployé dans un compartiment Oracle Integration.
    • Tout agent de connectivité requis est déployé dans le compartiment Oracle Integration pour la charge globale.
    • Toute passerelle d'API requise est déployée dans le compartiment Oracle Integration pour la charge globale. Si vous utilisez une passerelle d'API générique, vous pouvez utiliser celle généralement déployée dans le compartiment de sécurité.
    • L'adresse privée appartient au compartiment réseau.
  • Accès aux services privés exposés via des API

    Si vous avez besoin d'accéder à des services privés exposés via des API, vous pouvez utiliser :

    • Une passerelle d'API, car elle acheminera la connectivité vers le bon service.
    • Agent de connectivité via un adaptateur SOAP/REST.
    • Adresse privée via un adaptateur SOAP/REST, mais uniquement si ces services sont exécutés dans OCI. En effet, la mise en tunnel IPSec et FastConnect ne sont actuellement pas prises en charge pour une utilisation avec des adresses privées.
  • Accès aux ressources privées nécessitant un adaptateur spécifique

    Si vous avez besoin d'accéder à des ressources privées nécessitant un adaptateur spécifique, vous pouvez utiliser :

    • Agent de connectivité via l'adaptateur spécifique.
    • Adresse privée via l'adaptateur spécifique, mais uniquement si :
      • Ces services sont exécutés dans Oracle Integration car la mise en tunnel IPSec et FastConnect ne sont actuellement pas prises en charge pour une utilisation avec des adresses privées ; et
      • L'adresse privée Oracle Integration prend en charge l'adaptateur.

Points à prendre en compte

Tenez compte des points suivants lors du déploiement de cette architecture de référence.

  • Sécurité

    L'agent de connectivité et la passerelle d'API assurent la sécurité nécessaire.

  • Disponibilité

    Vous pouvez utiliser l'agent de connectivité dans les environnements haute disponibilité avec Oracle Integration. Il suffit de l'installer deux fois sur différents hôtes, comme décrit dans la section "Utiliser l'agent de connectivité dans les environnements haute disponibilité" (à laquelle vous pouvez accéder à partir de la section "Explorer plus", ci-dessous). Par défaut, la passerelle d'API fournit une haute disponibilité.

  • Coût
    Lors de l'analyse des coûts, tenez compte des éléments suivants :
    • L'agent de connectivité Oracle Integration n'augmente pas les coûts d'implémentation. Ses fonctionnalités sont incluses dans votre abonnement Oracle Integration (édition Standard ou Enterprise) et son coût est basé sur les packs de messages.
    • La passerelle d'API est un composant OCI supplémentaire et son coût spécifique est basé sur des appels d'API, en millions, par mois. Une adresse privée n'entraîne aucun coût supplémentaire.
    • Le seul coût concerne les ressources de calcul requises.

Déployez

Vous pouvez déployer cette architecture de référence sur OCI en procédant comme suit :

  1. Connexion à la console OCI avec vos informations d'identification Oracle Cloud
  2. Si vous voulez utiliser l'agent de connectivité :
    1. Selon l'architecture d'agent souhaitée, configurez l'infrastructure réseau requise, comme indiqué dans le diagramme d'architecture. Elle inclut les composants suivants : VCN, Sous-réseau, DRG, Liste de sécurité, Table de routage, Passerelle de service, FastConnect/VPN et CPE.
    2. Accédez à la console OIC et créez un groupe d'agents.
    3. Suivez les instructions de téléchargement et d'exécution du programme d'installation de l'agent de connectivité.
    4. Dans la console OCI, sélectionnez des formes de calcul avec un minimum de 8 Go de RAM pour installer l'agent de connectivité.
    Pour plus d'informations sur l'installation de l'agent de connectivité, reportez-vous aux liens de la section "En savoir plus"
  3. Si vous voulez utiliser une adresse privée, configurez-la comme indiqué dans la section Configuration d'une adresse privée pour une instance (pour obtenir un lien vers cette procédure, reportez-vous à En savoir plus).
  4. Si vous voulez utiliser une passerelle d'API, configurez l'infrastructure réseau requise comme indiqué dans le diagramme d'architecture. Elle inclut les composants suivants : VCNSubnet, DRG, Liste de sécurité, Table de routage, Passerelle de service, FastConnect/VPN et CPE. Vous trouverez des instructions dans "Création d'une passerelle d'API" dans la documentation OCI (reportez-vous à "Explorer plus" pour obtenir un lien vers cette procédure).

En savoir plus

En savoir plus sur la configuration d'une architecture de zone de renvoi avec Oracle Integration.

Consultez les ressources supplémentaires suivantes :

Remerciements

  • Author: Giovanni Conte
  • Contributors: Jacco Steur