1. Compartilhar uma rede privada em partições isoladas em uma tenancy
  2. Compartilhar uma Rede Privada entre Partições Isoladas em uma Tenancy

Compartilhar uma Rede Privada entre Partições Isoladas em uma Tenancy

Você pode ter motivos de negócios e TI para segmentar sua rede na nuvem entre diferentes unidades de negócios ou contas internas. Este documento descreve como você pode criar uma rede privada gerenciada centralmente que é compartilhada por várias contas e como os usuários em diferentes unidades de negócios podem isolar seus recursos de nuvem enquanto usa uma rede privada compartilhada.

No exemplo a seguir, o departamento de TI de uma organização gerencia a rede privada compartilhada. O departamento de RH gerencia recursos relacionados ao RH dentro de sua partição da rede e o departamento de Finanças gerencia recursos relacionados a finanças dentro de sua partição da rede. Há também uma sub-rede compartilhada para uso pelo RH e pelo Financeiro, mas não por Marketing.


Estrutura do compartimento e políticas obrigatórias

Configurar

Faça o seguinte na console web do Oracle Cloud Infrastructure:

  1. Crie um compartimento para o departamento de TI (exemplo: demo-IT).

    Criar compartimento de TI

  2. Crie uma VCN no compartimento demo-IT.
  3. Defina uma política do IAM para fornecer somente a permissão dos usuários de TI para gerenciar recursos no compartimento demo-IT, conforme mostrado no exemplo a seguir:

    Criar política para compartimento de TI

  4. No compartimento demo-IT, crie subcompartimentos para as unidades de negócio para as quais você precisa de partições.
    Além disso, crie um compartimento para os recursos que são compartilhados em todas as unidades de negócio (exemplo: demo-Shared).

    Criar compartimentos departamentais

  5. Crie os seguintes usuários, grupos e políticas:
    • Usuário demo-it-user, no grupo demo-it-users

      Política:

      allow group demo-it-users to manage all-resources in compartment demo-IT
allow group demo-it-users to manage all-resources in compartment demo-HR
allow group demo-it-users to manage all-resources in compartment demo-Finance
allow group demo-it-users to manage all-resources in compartment demo-shared
    • Usuário demo-finance-user, no grupo demo-finance-users
      Política:
      allow group demo-finance-users to read virtual-network-family in compartment demo-IT
allow group demo-finance-users to manage all-resources in compartment demo-Finance
allow group demo-finance-users to manage all-resources in compartment demo-Shared
    • Usuário demo-hr-user, no grupo demo-hr-users
      Política:
      allow group demo-hr-users to read virtual-network-family in compartment demo-IT
allow group demo-hr-users to manage all-resources in compartment demo-HR
allow group demo-hr-users to manage all-resources in compartment demo-Shared
    • Usuário demo-marketing-user, no grupo demo-marketing-users
      Política:
      allow group demo-marketing-users to read virtual-network-family in compartment demo-IT
allow group demo-marketing-users to use all-resources in compartment demo-Marketing
  6. Na VCN que você criou anteriormente, crie quatro sub-redes, uma em cada compartimento:
    Sub-rede Compartimento
    Subnet_Shared demo-Shared
    Subnet_Finance demo-Finance
    Subnet_HR demo-HR
    Subnet_Marketing demo-Marketing
Você agora configurou compartimentos, redes e políticas de acesso que oferecem suporte às seguintes ações:
  • Os usuários de TI podem acessar e gerenciar todas as sub-redes, a VCN e recursos relacionados.
  • Os usuários financeiros podem anexar recursos ao Subnet_Finance.
  • Os usuários de RH podem anexar recursos a Subnet_HR.
  • Os usuários de marketing podem anexar recursos a Subnet_Marketing.
  • Os usuários financeiros e de RH podem anexar recursos ao Subnet_Shared; mas os usuários de Marketing não podem usar a sub-rede compartilhada.

Verificar

Teste o efeito das políticas de acesso definidas.

  1. Efetue sign-in na console web do Oracle Cloud Infrastructure como demo-hr-user.
  2. Tente criar uma instância de computação no compartimento demo-HR, usando Subnet_HR.

    O usuário do RH cria uma instância no compartimento do RH

    A instância foi criada com sucesso.
    O usuário de RH criou uma instância no compartimento de RH

  3. Tente criar uma instância de computação no compartimento demo-Shared, usando Subnet_Shared.

    O usuário do RH cria uma instância no compartimento compartilhado

    A instância foi criada com sucesso.
    O usuário de RH criou uma instância no compartimento compartilhado

  4. Tente exibir as instâncias no compartimento demo-Marketing.

    O usuário HR não pode exibir instâncias no compartimento de marketing

    Você não pode exibir as instâncias.
  5. Tente criar uma instância de computação no compartimento demo-Marketing.

    O usuário de RH tenta criar uma instância no compartimento de marketing

    Não é possível criar a instância.
    O usuário HR não pode criar instâncias no compartimento de marketing

Agora você criou uma rede privada compartilhada na nuvem e a particionou entre várias contas e usuários para obter controle de política flexível, permitindo que sua organização de TI tenha autoridade de gerenciamento. Você também configurou uma sub-rede compartilhada que pode ser usada por várias contas.

Você poderá repetir esse padrão em várias VCNs se quiser expandi-lo.

Saiba Mais