OCI

将 Oracle OCI 租户连接到 多云防御控制器 概述

要将 OCI 租户载入 多云防御控制器,需要正确设置租户。以下是准备租户所需的一般步骤。 OCI 设置中提供了更详细的说明。


Note

多云防御 支持 OCI 入口和出口/东西向保护。不支持资产和流量发现。

要载入 OCI 租户,需要先订用美国西部(圣荷西)区域。如果未订用此区域,则 OCI 租户的自行激活将导致错误。

要将 多云防御网关 部署到 OCI 中,每个 OCI 隔离专区必须接受 多云防御 计算映像的条款和条件。否则,部署将出现未经授权的错误。

步骤概述

租户设置

  1. 创建组。

  2. 创建策略。

  3. 创建用户。

  4. 将该用户添加到组。

  5. 为用户创建 API 密钥。

  6. 记录 用户 租户 OCID。

  7. 接受条款和条件。

后续操作:

使用 从 多云防御 控制面板将 Oracle OCI 租户连接到 多云防御控制器 ]载入 OCI 租户。

登录 OCI

  1. 登录到您的 OCI 租户。

创建组

Procedure

Step 1

导航到 身份和安全 >

Step 2

点击 Create Group

Step 3

指定以下项:

  • 名称: 多云防御-controller-group

  • 说明: 多云防御

Step 4

单击创建 (Create)

创建策略

Procedure

Step 1

导航至 身份和安全 > 策略

Step 2

选择 隔离区

Step 3

点击创建策略

Step 4

指定以下项:

  • 名称: 多云防御-controller-policy。

  • 说明: 多云防御 策略。

  • 隔间: [必须是“根”隔间]。

Step 5

策略生成器 下,启用 显示手动编辑器

Step 6

修改并粘贴以下策略


Allow group <group_name> to inspect instance-images in compartment<compartment_name>
Allow group <group_name> to read app-catalog-listing in compartment<compartment_name>
Allow group <group_name> to use volume-family in compartment<compartment_name>
Allow group <group_name> to use virtual-network-family in compartment<compartment_name>
Allow group <group_name> to manage volume-attachments in compartment<compartment_name>
Allow group <group_name> to manage instances in compartment<compartment_name>
Allow group <group_name> to {INSTANCE_IMAGE_READ} in compartment<compartment_name>
Allow group <group_name> to manage load-balancers in compartment<compartment_name>
Allow group <group_name> to inspect instance-images in compartment<compartment_name>
Allow group <group_name> to read app-catalog-listing in compartment<compartment_name>
Allow group <group_name> to use volume-family in compartment<compartment_name>
Allow group <group_name> to use virtual-network-family in compartment<compartment_name>
Allow group <group_name> to manage volume-attachments in compartment<compartment_name>
Allow group <group_name> to manage instances in compartment<compartment_name>
Allow group <group_name> to {INSTANCE_IMAGE_READ} in compartment<compartment_name>
Allow group <group_name> to manage load-balancers in compartment<compartment_name>
Allow group <group_name> to read marketplace-listings in tenancy
Allow group <group_name> to read marketplace-community-listings in tenancy 
Allow group <group_name> to inspect compartments in tenancy
Allow group <group_name> to read marketplace-listings in tenancy
Allow group <group_name> to read marketplace-community-listings in tenancy 
Allow group <group_name> to inspect compartments in tenancy

  • group_name: 多云防御-controller-group.

  • 隔离区名称:[将部署 多云防御 的隔离区]。

    Note

     

    更换<compartment_name>如果隔离专区是子隔离专区,则名称格式为“隔离专区:子隔离专区”(例如,Prod:App1)。

    如果 <compartment_name> 指定为根隔离专区(例如,多云 (root)),则 OCI 将不会接受该策略,并将生成错误: 参数无效。需要为特定隔离专区定义策略,并且该隔离专区不能是根隔离专区。

Step 7

单击创建 (Create)

创建用户

Procedure

Step 1

导航到 身份和安全 > 用户

Step 2

点击创建用户

Step 3

指定以下项:

  • 名称: 多云防御-controller-user

  • 说明: 多云防御 User

Step 4

单击创建 (Create)

用户添加到组

Procedure

Step 1

从用户的 用户详细信息 视图中,选择

Step 2

点击 添加用户至组

Step 3

指定以下项:

  • 用户: 多云防御-controller-user

Step 4

点击 Add

创建 API 密钥

Procedure

Step 1

从用户的 用户详细信息 视图中,选择 API 密钥

Step 2

点击 添加 API 密钥

Step 3

选择 下载私钥 并保留私钥以供将来使用。

Step 4

选择 下载公共密钥 并保留公共密钥以供将来使用。

Step 5

点击 Add

配置文件预览

  1. 配置文件预览中,记录以下内容

    • 用户: [user=ocid1.user.oc1...]

    • 租户: [tenancy=ocid1.tenancy.oc1...]

接受条款和条件

Procedure

Step 1

选择 计算 > 实例

Step 2

选择所需的 隔间

Step 3

创建 实例

Step 4

图像和形状下,选择 更改图像

Step 5

映像源下,选择 社区映像

Step 6

搜索 多云防御

Step 7

选中 多云防御对应的复选框

Step 8

选中 我已阅读并接受发布者使用条款、Oracle 使用条款和 Oracle 一般隐私政策复选框

Step 9

点击 选择映像

Step 10

退出(不部署映像)。

对计划部署 多云防御网关的每个隔间重复上述步骤。

多云防御 控制面板将 Oracle OCI 租户连接到 多云防御控制器 ]

开始之前

查看 将 Oracle OCI 租户连接到 多云防御控制器 概述中的要求。

过程

步骤 1

在 CDO 控制面板中,点击 CDO 菜单栏中的 多云防御

步骤 2

点击 多云防御控制器 按钮。

步骤 3

在云账户窗格中,点击 添加账户。

步骤 4

在“常规信息”页面的“账户类型”列表框中选择 OCI

步骤 5

填写以下字段:

  • OCI 账户名称- 用于在 多云防御控制器中标识此 OCI 租户。

  • 租户 OCID - 从 OCI 用户获取的租户 Oracle 云标识符。

  • 用户 OCID - 从 OCI 用户获取的用户 OCID。

  • 私钥 - 分配给 OCI 用户的 API 私钥。

下一步做什么

启用流量可视性。