I compartimenti sono uno dei fattori di differenziazione su Oracle Cloud Infrastructure, personalmente non mi sembra un servizio simile su altri provider cloud. Esistono altri concetti simili come tagging o progetti ma con focus diversi.
Uno scomparto è una raccolta di risorse correlate, in particolare una logica raccolta di risorse correlate (come VCN, volumi a blocchi, istanze, sottoreti). È possibile accedere a questa raccolta solo da determinati utenti del gruppo a cui è stata concessa l'autorizzazione da un amministratore.
Qui abbiamo 10 cose da sapere sui compartimenti che possono essere utili prima di iniziare a lavorare su Oracle Cloud Infrastructure:
1.-Quando ti iscrivi a Oracle Cloud Infrastructure, Oracle crea la tua tenancy , che è il compartimento principale che contiene tutte le tue risorse cloud
Il compartimento principale prende il nome dalla locazione stessa (ulteriori informazioni sulle locazioni in un'altra voce), questo è il motivo per cui l'amministratore della locazione (parte del gruppo di amministratori) è anche l'amministratore del compartimento principale.
Nota è buona norma mantenere il numero di membri dei gruppi di amministratori il più piccolo possibile e creare gruppi di amministratori per controllare compartimenti specifici (in pratica si tratta di sottocompartimenti del compartimento principale)
Nota :Questa è solo una delle opzioni per progettare la distribuzione a scomparti, ma dipende dall'architettura che meglio si adatta al cliente
Attualmente tutti gli utenti e i gruppi vengono creati all'interno del compartimento principale ed è possibile creare criteri che consentano a questi utenti di accedere alle risorse su altri compartimenti.
2.-Una risorsa OCI può appartenere a un solo compartimento
Le risorse OCI non possono far parte di due compartimenti, è necessario crearle all'interno di un compartimento specifico o all'interno del compartimento radice.
Ricorda che abbiamo menzionato che il compartimento è una raccolta logica, il che significa che è una struttura logica, quindi puoi avere, ad esempio, due istanze su compartimenti diversi, che appartengono alla stessa rete VCN e alla stessa sottorete.
Nota è utile pensare ai compartimenti come un'area di responsabilità in cui si definiscono i permessi piuttosto che un contenitore fisico.
3.-Gli scomparti possono avere scomparti per bambini o sottoscomparti annidati a 6 livelli di profondità
Alla data di prima pubblicazione di questa voce, esiste un limite massimo di 6 scomparti nidificati.
Ad esempio, puoi avere i seguenti scomparti:
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users
È buona norma progettare una gerarchia di compartimenti prima di iniziare a creare risorse, anche se puoi spostare un intero albero di compartimenti tra compartimenti principali e puoi anche spostare risorse tra compartimenti.
Puoi rivedere il numero aggiornato all'interno:Domande frequenti sulla gestione dell'identità e degli accessi
4.-Puoi eliminare scomparti
Puoi eliminare i compartimenti ma devi soddisfare questi requisiti:
- È necessario disporre dell'accesso come amministratore o della politica richiesta per eliminare il compartimento.
- Per eliminare un compartimento, non devono esserci risorse al suo interno, comprese le norme collegate al compartimento.
Nota alcuni tipi di risorse non possono essere eliminati, pertanto non è possibile eliminare nemmeno i compartimenti per queste risorse. In questo caso puoi rinominare lo scomparto per riutilizzare il nome.
Dopo aver eliminato il compartimento, avvia un processo di eliminazione, ciò che fa Oracle è cambiare il nome del compartimento per qualcosa come CompartmentA.qR5hP2BD e lo stato di questi compartimenti è impostato su eliminato ma puoi comunque vedere il compartimento eliminato sul pagina scomparti per 365 giorni.
Puoi vedere se tutte le risorse di un compartimento vengono eliminate utilizzando Tenancy Explorer
5.-Locazione e comparti sono risorse globali
Ciò significa che i compartimenti si estendono tra regioni e domini di disponibilità, il che ci consente di raggruppare risorse che si trovano in regioni diverse, rappresentando un buon modo per implementare la gestione dei costi.
Nota Ricorda che i compartimenti sono raggruppamenti logici di risorse non vincolati a limitazioni fisiche.
6.-Puoi applicare le politiche di sicurezza su base compartimentale
Dopo aver creato un compartimento, devi creare almeno un criterio in modo che utenti o gruppi possano accedere alle risorse all'interno del nuovo compartimento, altrimenti solo gli amministratori avranno accesso alle risorse del compartimento.
Nota i permessi dei compartimenti possono essere ereditati, quindi se hai, diciamo, un gruppo chiamato db-operators con accesso a tutte le risorse nel Scomparto A , quindi crei un Scomparto-B all'interno del Scomparto A , utenti di db-operators avrà accesso alle risorse su Scomparto-B anche se non diversamente specificato.
Ad esempio, se si desidera consentire al servizio dell'agente di gestione del sistema operativo di leggere le informazioni dalle istanze in un determinato compartimento, è necessario creare questa policy:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
Per fornire l'accesso amministrativo a un compartimento
Allow group A-Admins to manage all-resources in compartment Project-A
Un altro esempio, vuoi fornire le autorizzazioni in modo che gli amministratori delle risorse umane possano gestire l'archiviazione degli oggetti (servizio OCI) all'interno del compartimento risorse umane
Allow group hr-admins to manage object-family in compartment PROD-A
Nota Un tipo di risorsa individuale è il modo più granulare per dichiarare le risorse, si tratta di vcn, instance, ecc. Anche i tipi di risorsa sono raggruppati in famiglie, ad esempio instance-family, volume-family, ecc.
Puoi trovare maggiori dettagli su come allegare le polizze da:Allegato polizza
7.-Puoi impostare le quote su un compartimento
Le quote dei compartimenti sono simili ai limiti del servizio.
Le quote sono impostate dagli amministratori per limitare la quantità di risorse che possono essere create all'interno di un compartimento, in questo modo puoi controllare il costo ed evitare di creare risorse che non sono necessarie.
Per questo gli amministratori possono impostare criteri.
Esistono 3 tipi di quote:
- set - imposta il numero massimo di risorse
- non impostato:reimposta la quota sul limite di servizio predefinito
- zero:rimuove l'accesso a una risorsa cloud per un compartimento. ad esempio, se vuoi evitare la creazione di volumi a blocchi in un compartimento puoi creare questa quota zero per quel servizio.
All'interno di una policy, le istruzioni di quota vengono valutate in ordine e le istruzioni successive sostituiscono le precedenti che hanno come target la stessa risorsa.
Nota quando sposti risorse da un compartimento all'altro devi tenere in considerazione l'eventuale quota sul compartimento di destinazione, altrimenti non potrai creare le risorse fino a quando non modificherai la quota.
ALTRE RISORSE:
Gestione dei compartimenti
Quote dei compartimenti
Concetti chiave e terminologia dell'OCI
Comparti dell'infrastruttura Oracle Cloud
