关于此体系结构
此体系结构介绍如何设置用于开发、测试和生产的 Oracle Integration 3 实例,并侧重于实施的安全方面。有关使用 Oracle Integration 设置登录区域体系结构的链接,请参阅本手册末尾的“了解详细信息”,该链接侧重于 Oracle Integration 3 的特定服务。
为 Oracle Integration 3 环境设置 OCI IAM 身份域
您应将默认 OCI IAM 身份域专用于 OCI 管理员,因为它不用于日常使用。而默认的 OCI IAM 身份域用于 OCI 租户级管理任务。其他开发、测试和生产 OCI IAM 身份域进一步分离了必要的环境。
默认 OCI IAM 身份域实例与 OCI 服务集成,确保组织中的用户和组可以根据 OCI IAM 身份域中设置的身份策略来验证和访问 OCI 资源。Cloud 账户管理员拥有默认 OCI IAM 身份域,可以创建一个或多个辅助 OCI IAM 身份域实例。在这种情况下,Oracle Integration 3 部署的开发、测试和生产 OCI IAM 身份域实例。
默认 OCI IAM 身份域包含部署着陆区域期间创建的组。
除了登录区域创建的资源之外,您还需要创建处理 Oracle Integration 3 实例所需的组和区间。此设置将区分允许创建和删除 Oracle Integration 3 实例或更改 Oracle Integration 3 实例的区间以及可以停止、启动和更新 Oracle Integration 3 实例的管理员。此设置可确保开发、测试或生产环境级别的个人无法创建或删除 Oracle Integration 3 实例。这些管理员只能在自己的区间中启动、停止或更新实例。
为您的实例设置 OCI IAM 身份域
如概览部分所述,要部署 Oracle Integration 3,您需要为 Oracle Integration 3 实例设置一组 OCI IAM 身份域。在这些 OCI IAM 身份域实例中,您将拥有具有不同权限级别的特定组。
了解命名惯例
管理员的 OCI IAM 身份域中的命名约定为 oci-iam-id-dev、oci-iam-id-test 和 oci-iam-id-prod。请注意,您可以根据组织的要求以及您遵循的特定命名约定定制组织的确切组名称和权限。
创建用户组
在这些 OCI IAM 身份域实例中,创建将获得不同权限级别的用户组。下表显示了用于 OCI 部署所需的组。
| 组名称 | 说明 | 权限 | 薪酬策略中的参考。 |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration 3 管理员 | 创建、删除、更改组件。 | xxx-oi3-admin-cmp |
| xxx-oi3- 操作员 -dev-grp | Oracle Integration 3 开发操作员组 | 更新、启动、停止 | xxx-oi3- 操作员 -dev-cmp |
| xxx-oi3- 操作员 -test-grp | Oracle Integration 用于测试的 3 个操作员组 | 更新、启动、停止 | xxx-oi3- 操作员 -test-cmp |
| xxx-oi3- operator-prod-grp | Oracle Integration 3 生产操作员组 | 更新、启动、停止 | xxx-oi3- operator-prod-cmp |
体系结构
下图说明了基于 OCI 体系框架的 Oracle Integration 3 部署的体系结构:
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。
- OCI IAM 身份域
身份和访问管理 (Identity and Access Management,IAM) 使用身份域提供身份和访问管理功能,例如 Oracle Cloud 以及 Oracle 和非 Oracle 应用(无论是 SaaS、云托管还是内部部署)的身份验证、单点登录 (SSO) 和身份生命周期管理。
- 堡垒
Oracle Cloud Infrastructure Bastion 提供对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database Service 、 Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (SSH) 访问的任何其他资源)的受限和限时安全访问。通过 OCI Bastion 服务,您可以启用对专用主机的访问,而无需部署和维护跳转主机。此外,您还可以利用基于身份的权限以及集中、经过审计和有时限的 SSH 会话来改善安全状况。OCI Bastion 消除了对堡垒访问的公共 IP 的需求,消除了提供远程访问的麻烦和潜在攻击面。
- Oracle 服务网络
Oracle 服务网络 (OSN) 是 Oracle Cloud Infrastructure 中为 Oracle 服务保留的一个概念性网络。这些服务具有可通过互联网访问的公共 IP 地址。Oracle Cloud 外部的主机可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 私下访问 OSN。VCN 中的主机可以通过服务网关对 OSN 进行专用访问。
了解区间结构
下图显示了用于部署的开发、测试和生产 Oracle Integration 3 实例的区间结构:
插图 oi3-compartment-structure.png 的说明
oi3-compartment-structure-oracle.zip
图中显示了名为 Oracle Integration 3 区间(使用 xxx-oi3-admin-cmp 的命名约定,其中 xxx 是三个字母,小写客户缩写)。此区间适用于有权创建 Oracle Integration 3 实例的管理员。在子区间 Oracle Integration 3 开发区间 (xxx-oi3-operator-dev-cmp) 中,用户通过组成员身份具有权限,允许您停止和启动 Oracle Integration 3 开发实例。测试和生产实例是单独的区间。
表 1 中提到了这些区间。(见上文)
每个区间都需要配置策略,以允许管理员对 Oracle Integration 3 实例执行操作。有关这些策略的详细信息,请参阅下文中的“部署 Oracle Integration 3”。