Oracle
 sql >> Base de Dados >  >> RDS >> Oracle

7 coisas para saber sobre compartimentos no Oracle Cloud Infrastructure


Os compartimentos são um dos diferenciais do Oracle Cloud Infrastructure, pessoalmente não pareço um serviço semelhante em outro provedor de nuvem. Existem outros conceitos semelhantes, como marcação ou projetos, mas com foco diferente.

Um compartimento é uma coleção de recursos relacionados, especificamente um lógico coleção de recursos relacionados (como VCN, volumes de blocos, instâncias, sub-redes). Essa coleção só pode ser acessada por determinados usuários do grupo que receberam permissão de um administrador.

Aqui temos 10 coisas para saber sobre compartimentos que podem ser úteis antes de você começar a trabalhar no Oracle Cloud Infrastructure:
1.-Quando você se inscreve no Oracle Cloud Infrastructure, a Oracle cria sua locação , que é o compartimento raiz que contém todos os seus recursos de nuvem

O compartimento raiz é nomeado após a própria locação (mais sobre locações em outra entrada), esta é a razão pela qual o administrador de locação (Parte do grupo Administrador) também é o administrador do compartimento raiz.

Observação é uma boa prática manter o número de membros dos grupos de administradores o menor possível e criar grupos de administradores para controlar compartimentos específicos (nas práticas, são subcompartimentos do compartimento raiz)



Observação :Esta é apenas uma das opções para projetar a distribuição de compartimentos, mas fica a critério da arquitetura que melhor se adapta ao cliente

Atualmente todos os usuários e grupos são criados dentro do compartimento raiz e você pode criar políticas que permitem que esses usuários acessem recursos em outros compartimentos.
2.-Um recurso OCI só pode pertencer a um compartimento

Os recursos OCI não podem fazer parte de dois compartimentos, você deve criá-los dentro de um compartimento específico ou dentro do compartimento raiz.

Lembre-se que mencionamos que compartimentos são coleções lógicas, o que significa que são estruturas lógicas, então você pode ter, por exemplo, duas instâncias em compartimentos diferentes, que pertencem à mesma VCN e mesma sub-rede.

Observação é útil pensar nos compartimentos como uma área de responsabilidade onde você define permissões em vez de um contêiner físico.
3.-Os compartimentos podem ter compartimentos filho ou subcompartimentos aninhados em 6 níveis de profundidade

Na data da primeira publicação desta entrada, há um limite máximo de 6 compartimentos aninhados.

Por exemplo, você pode ter os seguintes compartimentos:
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users

É uma boa prática projetar a hierarquia de compartimentos antes de começar a criar recursos, mesmo que seja possível mover uma árvore de compartimentos inteira entre os compartimentos pai e também mover recursos entre compartimentos.

Você pode revisar o número atualizado em:Perguntas frequentes sobre gerenciamento de identidade e acesso
4.-Você pode excluir compartimentos

Você pode excluir compartimentos, mas precisa atender a estes requisitos:
  1. Você precisa ter acesso de administrador ou a política necessária para excluir o compartimento.
  2. Para excluir um compartimento, não deve haver recursos dentro dele, incluindo qualquer política anexada ao compartimento.

Observação alguns tipos de recursos não podem ser excluídos, portanto, os compartimentos para esses recursos também não podem ser excluídos. Nesse caso, você pode renomear o compartimento para reutilizar o nome.

Depois de excluir o compartimento, ele inicia um trabalho de exclusão, o que o Oracle faz é alterar o nome do compartimento para algo como CompartmentA.qR5hP2BD e o status desse compartimento é definido como excluído, mas você ainda pode ver o compartimento excluído no página de compartimentos por 365 dias.

Você pode ver se todos os recursos de um compartimento foram excluídos usando o Tenancy Explorer
5.-Tenancy e compartimentos são recursos globais

Isso significa que os compartimentos se estendem por regiões e domínios de disponibilidade, o que nos permite agrupar recursos que estão em diferentes regiões, representando uma boa maneira de implementar o gerenciamento de custos.

Observação Lembre-se de que os compartimentos são agrupamentos lógicos de recursos não limitados a limitações físicas.
6.-Você pode aplicar políticas de segurança por compartimento

Depois de criar um compartimento, você precisa criar pelo menos uma política para que usuários ou grupos possam acessar recursos dentro do novo compartimento, caso contrário, apenas administradores terão acesso aos recursos do compartimento.

Observação as permissões de compartimentos podem ser herdadas, portanto, se você tiver, digamos, um grupo chamado db-operators com acesso a todos os recursos no Compartimento-A e, em seguida, você cria um Compartimento-B dentro do Compartimento-A , usuários de db-operators terá acesso a recursos no Compartimento-B também, a menos que você especifique o contrário.

Por exemplo, se você deseja permitir que o serviço do agente de gerenciamento do SO leia informações de instâncias em um determinado compartimento, você precisa criar esta política:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A

Para fornecer acesso de administrador a um compartimento
Allow group A-Admins to manage all-resources in compartment Project-A

Outro exemplo, você deseja fornecer permissões para que os administradores de RH possam gerenciar o armazenamento de objetos (Serviço OCI) dentro do compartimento RH
Allow group hr-admins to manage object-family in compartment PROD-A

Observação Um tipo de recurso individual é a maneira mais granular de declarar recursos, são vcn, instância etc. Além disso, o tipo de recurso é agrupado em famílias, por exemplo, família de instâncias, família de volumes etc.

Você pode encontrar mais detalhes sobre como anexar políticas em:Anexo de política
7.-Você pode definir cotas em um compartimento

As cotas de compartimento são semelhantes aos limites de serviço.

As cotas são definidas pelos administradores para limitar a quantidade de recursos que podem ser criados dentro de um compartimento, dessa forma você pode controlar o custo e evitar a criação de recursos desnecessários.

Para isso os administradores podem definir políticas.

Existem 3 tipos de cotas:
  • definir - definir o número máximo de recursos
  • unset - redefine a cota para o limite de serviço padrão
  • zero - remove o acesso a um recurso de nuvem para um compartimento. por exemplo, se você quiser evitar a criação de volumes de blocos em um compartimento, você pode criar essa cota zero para esse serviço.

Dentro de uma política, as instruções de cota são avaliadas em ordem e as instruções posteriores substituem as instruções anteriores que visam o mesmo recurso.

Observação ao mover recursos de um compartimento para outro, você deve levar em consideração qualquer cota no compartimento de destino, caso contrário, você não poderá criar os recursos até ajustar a cota.

OUTROS RECURSOS:


Gerenciando compartimentos
Cotas do Compartimento
Conceitos-chave e terminologia da OCI
Compartimentos do Oracle Cloud Infrastructure