Sobre esta arquitetura
Essa arquitetura descreve como configurar instâncias do Oracle Integration3 para desenvolvimento, teste e produção e se concentra nos aspectos de segurança de uma implementação. Consulte "Explorar Mais" no final deste manual para obter um link para Configurar uma arquitetura de zona de destino com o Oracle Integration, que se concentra nos serviços específicos do Oracle Integration 3.
Configurar Domínios de Identidade do OCI IAM para o Seu Ambiente do Oracle Integration 3
Descrição da ilustração oi3-ss-lz.png
Você deve dedicar o Domínio de Identidades padrão do OCI IAM aos seus Administradores do OCI, pois ele não é para uso diário. O Domínio de Identidades padrão do OCI IAM, em vez disso, é usado para tarefas administrativas no nível da tenancy do OCI. Os Domínios de Identidade do OCI IAM de desenvolvimento, teste e produção adicionais separam ainda mais os ambientes necessários.
A instância padrão do Domínio de Identidades do OCI IAM é integrada aos serviços do OCI, garantindo que os usuários e grupos em sua organização possam autenticar e acessar recursos do OCI de acordo com as políticas de identidade configuradas no Domínio de Identidades do OCI IAM. O administrador da conta da nuvem possui o Domínio de Identidades Padrão do OCI IAM e pode criar uma ou mais instâncias secundárias do Domínio de Identidades do OCI IAM. Nesse caso, as instâncias de Desenvolvimento, Teste e Produção do Domínio de Identidades do OCI IAM para uma implantação do Oracle Integration 3.
O Domínio de Identidades padrão do OCI IAM contém os grupos criados durante a implantação de uma zona de destino.
Além dos recursos criados pela zona de destino, você também precisa criar os grupos e compartimentos necessários para tratar instâncias do Oracle Integration 3. A configuração distinguirá entre administradores com permissão para criar e excluir uma instância do Oracle Integration 3 ou alterar o compartimento de instâncias do Oracle Integration 3 e administradores que podem interromper, iniciar e atualizar instâncias do Oracle Integration 3. Essa configuração garante que os indivíduos no nível do ambiente de desenvolvimento, teste ou produção não possam criar ou excluir uma instância do Oracle Integration 3. Esses administradores só podem iniciar, interromper ou atualizar as instâncias em seu próprio compartimento.
Configurar os Domínios de Identidade do OCI IAM para Suas Instâncias
Conforme mencionado na seção de visão geral, para implantar o Oracle Integration 3, você precisa configurar um conjunto de Domínios de Identidade do OCI IAM para suas instâncias do Oracle Integration 3. Nessas instâncias do Domínio de Identidades do OCI IAM, você terá grupos específicos com níveis variados de permissões.
Compreender as Convenções de Nomeação
A convenção de nomenclatura nos Domínios de Identidade do OCI IAM de um administrador é oci-iam-id-dev, oci-iam-id-test e oci-iam-id-prod. Observe que você pode personalizar os nomes e permissões exatos de grupo da sua organização com base nos requisitos da sua organização e nas convenções de nomenclatura específicas seguidas.
Criar Grupos de Usuários
Nessas instâncias do Domínio de Identidades do OCI IAM, crie grupos de usuários que obterão diferentes níveis de permissões. Os grupos necessários para a finalidade da implantação do OCI são mostrados na tabela a seguir.
| Nome do Grupo | Descrição | Permissões | Ref. em políticas para comp. |
|---|---|---|---|
| xxx-oi3-admin-grp | Administradores do Oracle Integration3 | Criar, Excluir, Alterar Compartimento. | xxx-oi3-admin-cmp |
| xxx-oi3- operador-dev-grp | Grupo de Operadores do Oracle Integration 3 para Desenvolvimento | Atualizar, Iniciar, Interromper | xxx-oi3- operador-dev-cmp |
| xxx-oi3- operador-teste-grp | Grupo de Operadores do Oracle Integration 3 para Teste | Atualizar, Iniciar, Interromper | xxx-oi3- operador-teste-cmp |
| xxx-oi3- operador-prod-grp | Grupo de Operadores do Oracle Integration 3 para Produção | Atualizar, Iniciar, Interromper | xxx-oi3- operador-prod-cmp |
Arquitetura
O diagrama a seguir ilustra a arquitetura de uma implantação do Oracle Integration 3 em cima de uma Zona de Destino do Oracle Self-Service:
Descrição da ilustração oi3-ss-lz-arch.png
- Compartimento
Compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.
- Domínio de Identidades do OCI IAM
O serviço IAM (Identity and Access Management) usa domínios de identidade para fornecer recursos de gerenciamento de identidade e acesso, como autenticação, sign-on único (SSO) e gerenciamento do ciclo de vida de identidade para o Oracle Cloud, bem como para aplicativos Oracle e não pertencentes à Oracle, seja aplicativos SaaS, hospedado na nuvem ou local.
- Bastion
O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e limitado por tempo a recursos que não têm pontos finais públicos e que exigem controles de acesso de recursos rigorosos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Container Engine for Kubernetes (OKE) e qualquer outro recurso que permita o acesso SSH (Secure Shell Protocol). Com o serviço Bastion do Oracle Cloud Infrastructure, você pode ativar o acesso a hosts privados sem implantar e manter um jump host. Além disso, você obtém uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e limitada por tempo. O Oracle Cloud Infrastructure Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o aborrecimento e a potencial superfície de ataque ao fornecer acesso remoto.
- Oracle Services Network
O OSN (Oracle Services Network) é uma rede conceito no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você pode acessar pela internet. Os hosts fora do Oracle Cloud podem acessar o OSN de forma privada usando o Oracle Cloud Infrastructure FastConnect ou o VPN Connect. Os hosts em suas VCNs podem acessar o OSN de forma privada por meio de um gateway de serviço.
Entender a Estrutura de Compartimento
O diagrama a seguir mostra a estrutura do compartimento para instâncias implantadas do Oracle Integration 3 de desenvolvimento, teste e produção:
Descrição da ilustração oi3-compartment-structure.png
oi3-estrutura-compartimento-oracle.zip
O diagrama mostra um compartimento chamado Compartimento do Oracle Integration 3 (usando uma convenção de nomenclatura de xxx-oi3-admin-cmp, em que xxx é uma abreviação de cliente de três letras minúsculas). Este compartimento é para administradores que têm permissões para criar instâncias do Oracle Integration 3. No Compartimento de Desenvolvimento do Oracle Integration 3 (xxx-oi3-operator-dev-cmp) do subcompartimento, os usuários têm permissões por meio de uma associação de grupo que permite interromper e iniciar instâncias de desenvolvimento do Oracle Integration 3. A instância de teste e produção são compartimentos separados.
Os compartimentos são mencionados no quadro 1. (Consulte acima)
Cada compartimento precisa ter políticas configuradas para permitir que os administradores executem as ações na instância do Oracle Integration 3. Consulte "Implantar o Oracle Integration 3", abaixo, para obter mais informações sobre essas políticas.