關於此架構
此架構描述如何設定 Oracle Integration 3 執行處理以進行開發、測試及生產,並將焦點放在實行的安全層面。如需使用 Oracle Integration 設定登陸區域架構 (著重於 Oracle Integration 3 的特定服務) 的連結,請參閱本手冊結尾的「探索更多」。
為您的 Oracle Integration 3 環境設定 OCI IAM 識別網域
您應該將預設 OCI IAM 識別網域指定給 OCI 管理員,因為此網域不適用於每日使用。預設的 OCI IAM 識別網域用於 OCI 租用戶層級管理作業。其他開發、測試和生產環境 OCI IAM 識別網域會進一步區分必要的環境。
預設的 OCI IAM 識別網域執行處理已與 OCI 服務整合,可確保您組織中的使用者和群組能夠根據 OCI IAM 識別網域中設定的識別原則認證及存取 OCI 資源。雲端帳戶管理員擁有預設 OCI IAM 識別網域,而且可以建立一或多個次要 OCI IAM 識別網域執行處理。在此情況下,開發、測試及生產 Oracle Integration 3 部署的 OCI IAM 識別網域執行處理。
預設的「OCI IAM 識別網域」包含部署登陸區域期間建立的群組。
除了登陸區域建立的資源之外,您還需要建立處理 Oracle Integration 3 執行處理所需的群組和區間。此設定將區分允許建立和刪除 Oracle Integration 3 執行處理的管理員,或變更 Oracle Integration 3 執行處理的區間,以及可停止、啟動和更新 Oracle Integration 3 執行處理的管理員。此設定可確保開發、測試或生產環境層級的個人無法建立或刪除 Oracle Integration 3 執行處理。這些管理員只能在自己的區間中啟動、停止或更新執行處理。
設定執行處理的 OCI IAM 識別網域
如總覽段落所述,若要部署 Oracle Integration 3,您必須為 Oracle Integration 3 執行處理設定一組 OCI IAM 識別網域。在這些「OCI IAM 識別網域」執行處理內,您將擁有具有不同權限層次的特定群組。
瞭解命名慣例
管理員的 OCI IAM 識別網域內的命名慣例為 oci-iam-id-dev、oci-iam-id-test 和 oci-iam-id-prod。請注意,您可以根據組織需求和您遵循的特定命名慣例,自訂組織的確切群組名稱和權限。
建立使用者群組
在這些 OCI IAM 識別網域執行處理內,建立會取得不同權限層次的使用者群組。下表顯示 OCI 部署所需的群組。
| 群組名稱 | 描述 | 權限 | 公司政策中的參考 |
|---|---|---|---|
| xxx-oi3- 管理群組 | Oracle Integration 3 管理員 | 建立、刪除、變更區間。 | xxx-oi3-admin-cmp |
| xxx-oi3- 運算子 -dev-grp | 用於開發的 Oracle Integration 3 運算子群組 | 更新、啟動、停止 | xxx-oi3- 運算子 -dev-cmp |
| xxx-oi3- 運算子 -test-grp | 用於測試的 Oracle Integration 3 運算子群組 | 更新、啟動、停止 | xxx-oi3- 運算子 -test-cmp |
| xxx-oi3- 運算子 -prod-grp | Oracle Integration 3 生產作業員群組 | 更新、啟動、停止 | xxx-oi3- 運算子 -prod-cmp |
架構
下圖說明 Oracle Integration 3 部署在 Oracle Self-Service Landing Zone 上的架構:
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您必須定義原則,指定能夠存取資源的人員及其可執行的動作。
- OCI IAM 識別網域
Identity and Access Management (IAM) 使用識別網域來提供識別和存取管理功能,例如 Oracle Cloud 的認證、單一登入 (SSO) 和識別生命週期管理,以及 Oracle 和非 Oracle 應用程式 (無論是 SaaS、雲端代管還是內部部署)。
- 堡壘主機
Oracle Cloud Infrastructure 堡壘主機針對沒有公用端點且需要嚴格資源存取控制 (例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Container Engine for Kubernetes (OKE) 的資源,以及允許 Secure Shell Protocol (SSH) 存取的任何其他資源,提供受限且受時間限制的安全存取。有了 Oracle Cloud Infrastructure 堡壘主機服務,您就可以存取專用主機,無需部署和維護跳板主機。此外,您還可以透過識別型權限以及集中式、稽核式和時間導向 SSH 階段作業來改善安全態勢。Oracle Cloud Infrastructure 堡壘主機不需要公用 IP 進行堡壘主機存取,因此在提供遠端存取時,可免除麻煩和潛在攻擊面。
- Oracle Services Network
Oracle Services Network (OSN) 是 Oracle Cloud Infrastructure 中為 Oracle 服務保留的概念性網路。這些服務具有可透過網際網路連線的公用 IP 位址。Oracle Cloud 外部的主機可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 以私密方式存取 OSN。您 VCN 中的主機可以透過服務閘道以私密方式存取 OSN。
瞭解區間結構
下圖顯示已部署開發、測試和生產環境 Oracle Integration 3 執行處理的區間結構:
oi3-compartment-structure.png 圖解描述
此圖顯示一個稱為 Oracle Integration 3 區間的區間 (使用 xxx-oi3-admin-cmp 的命名慣例,其中 xxx 是三個字母,小寫客戶縮寫)。此區間適用於具備建立 Oracle Integration 3 執行處理權限的管理員。在 Oracle Integration 3 開發區間 (xxx-oi3-operator-dev-cmp) 子區間中,使用者具有透過群組成員身分的權限,可讓您停止和啟動 Oracle Integration 3 開發執行處理。測試和生產執行處理是個別的區間。
區間請參閱表格 1。(請參閱上述內容)
每個區間都必須設定原則,管理員才能對 Oracle Integration 3 執行處理執行動作。如需這些原則的詳細資訊,請參閱下方的「部署 Oracle Integration 3」。