關於此架構
此架構說明如何設定 Oracle Integration 3 執行處理以進行開發、測試及生產,並著重於導入的安全層面。請參閱本手冊結尾的「深入瞭解」以取得使用 Oracle Integration 設定登陸區架構連結,該連結著重於 Oracle Integration 3 的特定服務。
為您的 Oracle Integration 3 環境設定 OCI IAM 識別網域
您應該為 OCI 管理員指定預設的 OCI IAM 識別網域,因為它不是每日使用。預設的 OCI IAM 識別網域會用於 OCI 租用戶層級的管理作業。其他開發、測試及生產環境 OCI IAM 身分識別網域會進一步區隔必要的環境。
預設的 OCI IAM 識別網域執行處理已與 OCI 服務整合,可確保組織中的使用者和群組能夠根據 OCI IAM 識別網域中設定的識別原則進行認證和存取 OCI 資源。雲端帳戶管理員擁有預設 OCI IAM 識別網域,可以建立一或多個次要 OCI IAM 識別網域執行處理。在此情況下,開發、測試及生產 Oracle Integration 3 部署的 OCI IAM 識別網域執行處理。
預設的 OCI IAM 識別網域包含部署登陸區期間建立的群組。
除了登陸區建立的資源之外,您還需要建立處理 Oracle Integration 3 執行處理所需的群組和區間。此設定將區分允許建立和刪除 Oracle Integration 3 執行處理的管理員,或變更可停止、啟動和更新 Oracle Integration 3 執行處理的 Oracle Integration 3 執行處理的區間和管理員。此設定可確保開發、測試或生產環境層級的個人無法建立或刪除 Oracle Integration 3 例項。這些管理員只能啟動、停止或更新他們自己區間中的執行處理。
設定您執行處理的 OCI IAM 識別網域
如概要區段所述,若要部署 Oracle Integration 3,您必須為 Oracle Integration 3 執行處理設定一組 OCI IAM 識別網域。在這些 OCI IAM 識別網域執行處理中,您將擁有不同權限層級的特定群組。
瞭解命名慣例
管理員的 OCI IAM 識別網域內的命名慣例為 oci-iam-id-dev、oci-iam-id-test 和 oci-iam-id-prod。請注意,您可以根據組織的需求和您遵循的特定命名慣例,自訂組織的確切群組名稱和權限。
建立使用者群組
在這些 OCI IAM 識別網域執行處理內,建立將取得不同權限層級的使用者群組。下表顯示用於 OCI 部署所需的群組。
| 群組名稱 | 描述 | 權限 | 公司政策中的參考。 |
|---|---|---|---|
| xxx-oi3-admin-grp | Oracle Integration 3 管理員 | 建立、刪除、變更區間。 | xxx-oi3-admin-cmp |
| xxx-oi3- 運算子 -dev-grp | 開發適用的 Oracle Integration 3 操作員群組 | 更新,啟動,停止 | xxx-oi3- 運算子 -dev-cmp |
| xxx-oi3- 運算子測試群組 | 用於測試的 Oracle Integration 3 運算子群組 | 更新,啟動,停止 | xxx-oi3- 運算子測試 -cmp |
| xxx-oi3- 運算子 - 產品群組 | 生產的 Oracle Integration 3 操作員群組 | 更新,啟動,停止 | xxx-oi3- 運算子 - 產品 -cmp |
架構
下圖說明 OCI 登陸區上 Oracle Integration 3 部署的架構:
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
- OCI IAM 識別網域
Identity and Access Management (IAM) 使用識別網域來提供識別和存取管理功能,例如 Oracle Cloud 的認證、單一登入 (SSO) 和識別生命週期管理,以及 Oracle 和非 Oracle 應用程式 (無論是 SaaS、雲端代管還是內部部署)。
- 堡壘主機
Oracle Cloud Infrastructure Bastion 可針對沒有公用端點且需要嚴格資源存取控制的資源,例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE),以及允許 Secure Shell 通訊協定 (SSH) 存取的任何其他資源,提供有限且具時限的安全存取。有了 OCI 堡壘主機服務,您便可以存取專用主機,無須部署和維護跳躍主機。此外,您還可以透過識別權限以及集中式、稽核及時間導向 SSH 階段作業來改善安全態勢。OCI 堡壘主機可免除對堡壘主機存取的公用 IP 需求,在提供遠端存取時消除麻煩和潛在攻擊面。
- Oracle Services Network
Oracle Services Network (OSN) 是 Oracle Cloud Infrastructure 中專為 Oracle 服務保留的概念性網路。這些服務具有公用 IP 位址,您可以透過網際網路連線。Oracle Cloud 外部的主機可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 來私下存取 OSN。VCN 中的主機可以透過服務閘道私密存取 OSN。
瞭解區間結構
下圖顯示已部署開發、測試和生產 Oracle Integration 3 執行處理的區間結構:
oi3-compartment-structure.png 圖解描述
圖表顯示一個稱為「Oracle Integration 3 區間」的區間 (使用 xxx-oi3-admin-cmp 的命名慣例,其中 xxx 是三個字母、小寫的客戶縮寫)。此區間適用於具備建立 Oracle Integration 3 執行處理權限的管理員。在子區間的 Oracle Integration 3 開發區間 (xxx-oi3-operator-dev-cmp) 中,使用者可透過群組成員身分取得權限,允許您停止和啟動 Oracle Integration 3 開發執行處理。測試和生產環境執行處理都是個別的區間。
表 1 提及區間。(請參閱上述內容)
每個區間都必須設定原則,以允許管理員在 Oracle Integration 3 執行處理上執行動作。請參閱下方的「部署 Oracle Integration 3」,瞭解這些原則的詳細資訊。