Sobre esta Arquitetura
Essa arquitetura descreve como configurar instâncias do Oracle Integration 3 para desenvolvimento, teste e produção e se concentra nos aspectos de segurança de uma implementação. Consulte "Explore Mais" no final deste manual para obter um link para Configurar uma arquitetura de zona de destino com o Oracle Integration, que se concentra nos serviços específicos do Oracle Integration 3.
Configurar Domínios de Identidade do IAM do OCI para Seu Ambiente do Oracle Integration 3
Descrição da ilustração oi3-ss-lz.png
Você deve dedicar o Domínio de Identidade de IAM do OCI padrão aos seus administradores de OCI, pois ele não é para uso diário. O Domínio de Identidade de IAM do OCI padrão, em vez disso, é usado para tarefas administrativas no nível de tenancy do OCI. Os Domínios de Identidade de IAM do OCI de desenvolvimento, teste e produção adicionais separam ainda mais os ambientes necessários.
A instância padrão do Domínio de Identidades do OCI IAM é integrada aos serviços do OCI, garantindo que usuários e grupos em sua organização possam autenticar e acessar recursos do OCI de acordo com as políticas de identidade configuradas no Domínio de Identidades do OCI IAM. O administrador da conta da nuvem possui o Domínio de Identidades Padrão do OCI IAM e pode criar uma ou mais instâncias secundárias do Domínio de Identidades do OCI IAM. Nesse caso, as instâncias de Domínio de Identidade do OCI IAM para desenvolvimento, teste e produção de uma implantação do Oracle Integration 3.
O Domínio de Identidade do IAM do OCI padrão contém os grupos criados durante a implantação de uma zona de destino.
Além dos recursos criados pela zona de destino, você também precisa criar os grupos e compartimentos necessários para tratar instâncias do Oracle Integration 3. A configuração distinguirá entre os administradores autorizados a criar e excluir uma instância do Oracle Integration 3 ou alterar o compartimento de uma instância do Oracle Integration 3 e os administradores que podem interromper, iniciar e atualizar instâncias do Oracle Integration 3. Essa configuração garante que os indivíduos no nível do ambiente de desenvolvimento, teste ou produção não possam criar ou excluir uma instância do Oracle Integration 3. Esses administradores só podem iniciar, interromper ou atualizar as instâncias em seu próprio compartimento.
Configurar os Domínios de Identidade do Serviço IAM do OCI para Suas Instâncias
Conforme mencionado na seção de visão geral, para implantar o Oracle Integration 3, você precisa configurar um conjunto de Domínios de Identidade do OCI IAM para suas instâncias do Oracle Integration 3. Nessas instâncias do Domínio de Identidades do OCI IAM, você terá grupos específicos com vários níveis de permissões.
Compreender as Convenções de Nomeação
A convenção de nomenclatura nos Domínios de Identidade de IAM do OCI de um administrador é oci-iam-id-dev
, oci-iam-id-test
e oci-iam-id-prod
. Observe que você pode personalizar os nomes de grupo e permissões exatos da sua organização com base nos requisitos da sua organização e nas convenções de nomenclatura específicas que você segue.
Criar Grupos de Usuários
Nessas instâncias do Domínio de Identidades do OCI IAM, crie grupos de usuários que obterão diferentes níveis de permissões. Os grupos necessários para a finalidade da implantação do OCI são mostrados na tabela a seguir.
Nome do Grupo | Descrição | Permissões | Ref. em apólices para comp. |
---|---|---|---|
xxx-oi3-admin-grp | Administradores do Oracle Integration3 | Criar, Excluir, Alterar Compart. | xxx-oi3-admin-cmp |
xxx-oi3- operador-dev-grp | Grupo de Operadores do Oracle Integration 3 para Desenvolvimento | Atualizar, Iniciar, Interromper | xxx-oi3- operador-dev-cmp |
xxx-oi3- operador-teste-grp | Grupo de Operadores do Oracle Integration 3 para Teste | Atualizar, Iniciar, Interromper | xxx-oi3- operador-teste-cmp |
xxx-oi3- operador-prod-grp | Grupo de Operadores do Oracle Integration 3 para Produção | Atualizar, Iniciar, Interromper | xxx-oi3- operador-prod-cmp |
Arquitetura
O diagrama a seguir ilustra a arquitetura de uma implantação do Oracle Integration 3 na Zona de Destino do OCI:
- Compartimento
Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar, controlar o acesso e definir metas de uso para seus recursos do Oracle Cloud. Em um determinado compartimento, você define políticas que controlam o acesso e definem privilégios para recursos.
- Domínio de Identidades do OCI IAM
O serviço IAM (Identity and Access Management) usa domínios de identidade para fornecer recursos de gerenciamento de identidade e acesso, como autenticação, sign-on único (SSO) e gerenciamento do ciclo de vida de identidade para o Oracle Cloud, bem como para aplicativos Oracle e não pertencentes à Oracle, seja aplicativos SaaS, hospedado na nuvem ou local.
- Bastion
O Oracle Cloud Infrastructure Bastion fornece acesso seguro restrito e limitado por tempo a recursos que não têm pontos finais públicos e que exigem controles rígidos de acesso a recursos, como bare metal e máquinas virtuais, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualquer outro recurso que permita acesso ao Secure Shell Protocol (SSH). Com o serviço OCI Bastion, você pode permitir o acesso a hosts privados sem implantar e manter um jump host. Além disso, você ganha uma postura de segurança aprimorada com permissões baseadas em identidade e uma sessão SSH centralizada, auditada e limitada por tempo. O OCI Bastion elimina a necessidade de um IP público para acesso ao bastion, eliminando o aborrecimento e a potencial superfície de ataque ao fornecer acesso remoto.
- Oracle Services Network
O Oracle Services Network (OSN) é uma rede conceitual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você pode acessar pela internet. Os hosts fora do Oracle Cloud podem acessar o OSN de forma privada usando o Oracle Cloud Infrastructure FastConnect ou o VPN Connect. Os hosts em suas VCNs podem acessar o OSN de forma privada por meio de um gateway de serviço.
Compreender a Estrutura de Compartimento
O diagrama a seguir mostra a estrutura de compartimento para instâncias implantadas do Oracle Integration 3 de desenvolvimento, teste e produção:
Descrição da ilustração oi3-compartment-structure.png
oi3-compartimento-estrutura-oracle.zip
O diagrama mostra um compartimento chamado Compartimento do Oracle Integration 3 (usando uma convenção de nomenclatura de xxx-oi3-admin-cmp
em que xxx
é uma abreviação de cliente em letras minúsculas e de três letras). Este compartimento é para administradores que têm permissões para criar instâncias do Oracle Integration 3. No subcompartimento Compartimento de Desenvolvimento do Oracle Integration 3 (xxx-oi3-operator-dev-cmp
), os usuários têm permissões por meio de uma associação de grupo que permite interromper e iniciar instâncias de desenvolvimento do Oracle Integration 3. A instância de teste e produção são compartimentos separados.
Os compartimentos são mencionados na tabela 1. (Consulte acima)
Cada compartimento precisa ter políticas configuradas para permitir que os administradores executem as ações na instância do Oracle Integration 3. Consulte "Implantar o Oracle Integration 3" abaixo para obter mais informações sobre essas políticas.