1. 在租户中的隔离分区之间共享专用网络
  2. 在租户内跨隔离的分区共享专用网络

在租户内跨隔离的分区共享专用网络

您可能会获得业务和 IT 原因,以便在不同的内部业务单位或账户之间细分云网络。本文档介绍如何创建由多个账户共享的集中管理的专用网络,以及不同业务单位的用户在使用共享专用网络时如何隔离其云资源。

在以下示例中,组织的 IT 部门负责管理共享专用网络。人力资源部门在网络分区内管理与人力资源相关的资源,财务部门在其网络分区内管理与财务部门相关的资源。还有一个共享子网供人力资源和财务使用,但不能由营销使用。


区间结构和所需策略

配置

Oracle Cloud Infrastructure Web 控制台中完成以下步骤:

  1. 为 IT 部门创建一个区间(例如:demo-IT)。

    创建 IT 区间

  2. demo-IT 区间中创建 VCN。
  3. 定义 IAM 策略以仅向 IT 用户提供管理 demo-IT 区间中资源的权限,如以下示例所示:

    为 IT 区间创建策略

  4. demo-IT 区间中,为您需要分区的业务单位创建子区间。
    此外,还要为在所有业务单位之间共享的资源创建区间(例如:demo-Shared)。

    创建部门划分

  5. 创建以下用户、组和策略:
    • 用户 demo-it-user,位于组 demo-it-users

      策略:

      allow group demo-it-users to manage all-resources in compartment demo-IT
allow group demo-it-users to manage all-resources in compartment demo-HR
allow group demo-it-users to manage all-resources in compartment demo-Finance
allow group demo-it-users to manage all-resources in compartment demo-shared
    • 用户 demo-finance-user,位于组 demo-finance-users
      策略:
      allow group demo-finance-users to read virtual-network-family in compartment demo-IT
allow group demo-finance-users to manage all-resources in compartment demo-Finance
allow group demo-finance-users to manage all-resources in compartment demo-Shared
    • 用户 demo-hr-user,位于组 demo-hr-users
      策略:
      allow group demo-hr-users to read virtual-network-family in compartment demo-IT
allow group demo-hr-users to manage all-resources in compartment demo-HR
allow group demo-hr-users to manage all-resources in compartment demo-Shared
    • 用户 demo-marketing-user,位于组 demo-marketing-users
      策略:
      allow group demo-marketing-users to read virtual-network-family in compartment demo-IT
allow group demo-marketing-users to use all-resources in compartment demo-Marketing
  6. 在之前创建的 VCN 中,创建四个子网,每个区间中一个:
    子网 区间
    Subnet_Shared demo-Shared
    Subnet_Finance demo-Finance
    Subnet_HR demo-HR
    Subnet_Marketing demo-Marketing
现在,您已配置了区间、网络和访问支持以下操作的策略:
  • IT 用户可以访问和管理所有子网、VCN 和相关资源。
  • Finance 用户可将资源附加到 Subnet_Finance
  • 人力资源用户可以将资源附加到 Subnet_HR
  • 营销用户可以将资源附加到 Subnet_Marketing
  • 财务和人力资源用户可以将资源附加到 Subnet_Shared;但营销用户不能使用共享子网。

验证

测试所定义访问策略的效果。

  1. demo-hr-user 身份登录到 Oracle Cloud Infrastructure Web 控制台。
  2. 尝试使用 Subnet_HRdemo-HR 区间中创建计算实例。

    HR 用户在 HR 区间中创建实例

    已成功创建实例。
    人力资源用户在人力资源区间中创建了实例

  3. 尝试使用 Subnet_Shareddemo-Shared 区间中创建计算实例。

    人力资源用户在共享区间中创建实例

    已成功创建实例。
    人力资源用户在共享区间中创建了实例

  4. 尝试查看 demo-Marketing 区间中的实例。

    HR 用户无法查看营销区间中的实例

    无法查看实例。
  5. 尝试在 demo-Marketing 区间中创建计算实例。

    HR 用户尝试在营销区间中创建实例

    无法创建实例。
    人力资源用户无法在市场营销区间中创建实例

您现在已在云中创建了共享专用网络,并在各种账户和用户之间对它进行了分区以实现灵活的策略控制,同时仍允许 IT 组织拥有管理权限。您还配置了可供多个帐户使用的共享子网。

如果要进一步展开此模式,则可以在多个 Vcn 中重复此模式。

了解详细信息