关于此体系结构
此架构介绍了如何为开发、测试和生产设置 Oracle Integration 3 实例,并重点介绍实施的安全方面。有关使用 Oracle Integration 设置登录区域体系结构(重点介绍 Oracle Integration 3 的特定服务)的链接,请参阅本手册末尾的“了解更多信息”。
为 Oracle Integration 3 环境设置 OCI IAM 身份域
您应该将默认 OCI IAM 身份域专用于 OCI 管理员,因为它不适合日常使用。默认 OCI IAM 身份域用于 OCI 租户级别管理任务。其他开发、测试和生产 OCI IAM 身份域可进一步隔离必要的环境。
默认 OCI IAM 身份域实例与 OCI 服务集成,确保组织中的用户和组可以根据 OCI IAM 身份域中设置的身份策略来验证和访问 OCI 资源。Cloud 账户管理员拥有默认 OCI IAM 身份域,并且可以创建一个或多个辅助 OCI IAM 身份域实例。在这种情况下,针对 Oracle Integration 3 部署开发、测试和生产 OCI IAM 身份域实例。
默认 OCI IAM 身份域包含部署到岸区域期间创建的组。
除了登录区域创建的资源外,您还需要创建组和区间,以处理 Oracle Integration 3 实例。此设置将区分允许创建和删除 Oracle Integration 3 实例的管理员,或更改 Oracle Integration 3 实例的区间以及可以停止、启动和更新 Oracle Integration 3 实例的管理员。此设置可确保开发、测试或生产环境级别的个人无法创建或删除 Oracle Integration 3 实例。这些管理员只能启动、停止或更新其自己的区间中的实例。
为实例设置 OCI IAM 身份域
如概览部分所述,要部署 Oracle Integration 3,您需要为 Oracle Integration 3 实例设置一组 OCI IAM 身份域。在这些 OCI IAM 身份域实例中,您将具有不同权限级别的特定组。
了解命名惯例
管理员的 OCI IAM 身份域中的命名约定为 oci-iam-id-dev、oci-iam-id-test 和 oci-iam-id-prod。请注意,您可以根据组织的要求和遵循的特定命名惯例,定制组织的确切组名和权限。
创建用户组
在这些 OCI IAM 身份域实例中,创建将获得不同权限级别的用户组。下表中显示了用于 OCI 部署所需的组。
| 组名称 | 说明 | 权限 | 公司政策中的参考。 |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration 3 管理员 | 创建、删除、更改组件。 | xxx-oi3-admin-cmp |
| xxx-oi3- 操作员 -dev-grp | Oracle Integration 3 Operators 组,用于开发 | 更新、启动、停止 | xxx-oi3- 操作员 -dev-cmp |
| xxx-oi3- 运算符 -test-grp | 用于测试的 Oracle Integration 3 Operators 组 | 更新、启动、停止 | xxx-oi3- 运算符 -test-cmp |
| xxx-oi3- 运算符 -prod-grp | Oracle Integration 3 Operators 组 - 生产 | 更新、启动、停止 | xxx-oi3- 运算符 -prod-cmp |
体系结构
下图说明了 Oracle Integration 3 部署在 Oracle Self-Service Landing Zone 之上的体系结构:
- 区间
区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定哪些人可以访问资源以及他们可以执行哪些操作。
- OCI IAM 身份域
身份和访问管理 (Identity and Access Management,IAM) 使用身份域为 Oracle Cloud 以及 Oracle 和非 Oracle 应用(无论是 SaaS、云托管还是内部部署)提供身份和访问管理功能,例如身份验证、单点登录 (SSO) 和身份生命周期管理。
- 堡垒
Oracle Cloud Infrastructure 堡垒可为没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database Service 、自治事务处理 (ATP)、Oracle Container Engine for Kubernetes (OKE) 以及允许安全 Shell 协议 (Secure Shell Protocol,SSH) 访问的任何其他资源提供受限且时间限制的安全访问。借助 Oracle Cloud Infrastructure 堡垒服务,您可以在不部署和维护跳转主机的情况下启用对专用主机的访问。此外,您还可以通过基于身份的权限和集中、经过审计且有时限的 SSH 会话来改善安全状况。Oracle Cloud Infrastructure Bastion 消除了对堡垒访问的公共 IP 的需求,消除了提供远程访问时的麻烦和潜在攻击面。
- Oracle 服务网络
Oracle 服务网络 (OSN) 是 Oracle Cloud Infrastructure 中为 Oracle 服务预留的概念性网络。这些服务具有可通过互联网访问的公共 IP 地址。Oracle Cloud 外部的主机可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 通过私密方式访问 OSN。您的 VCN 中的主机可以通过服务网关私密地访问 OSN。
了解区间结构
下图显示了部署的开发、测试和生产 Oracle Integration 3 实例的区间结构:
插图 oi3-compartment-structure.png 的说明
oi3-compartment-structure-oracle.zip
该图显示了一个名为 Oracle Integration 3 区间(使用 xxx-oi3-admin-cmp 的命名惯例,其中 xxx 是三个字母,小写为客户缩写)。此区间适用于有权创建 Oracle Integration 3 实例的管理员。在子区间 Oracle Integration 3 开发区间 (xxx-oi3-operator-dev-cmp) 中,用户通过组成员资格具有权限,您可以使用组成员资格来停止和启动 Oracle Integration 3 个开发实例。测试和生产实例是单独的区间。
表 1 中提到了区间。(见上文)
每个区间都需要配置策略来允许管理员对 Oracle Integration 3 实例执行操作。有关这些策略的详细信息,请参阅下面的“部署 Oracle Integration 3”。