Compartimenten zijn een van de onderscheidende factoren op Oracle Cloud Infrastructure, persoonlijk heb ik geen vergelijkbare service bij andere cloudproviders. Er zijn andere vergelijkbare concepten zoals tagging of projecten, maar met een andere focus.
Een compartiment is een verzameling gerelateerde bronnen, met name een logische verzameling van gerelateerde bronnen (zoals VCN, blokvolumes, instanties, subnetten). Deze collectie is alleen toegankelijk voor bepaalde groepsgebruikers die toestemming hebben gekregen van een beheerder.
Hier hebben we 10 dingen die u moet weten over compartimenten die handig kunnen zijn voordat u aan Oracle Cloud Infrastructure gaat werken:
1.-Wanneer u zich aanmeldt voor Oracle Cloud Infrastructure, maakt Oracle uw tenancy aan , het hoofdcompartiment dat al uw cloudbronnen bevat
Het rootcompartiment is vernoemd naar de huurovereenkomst zelf (Meer over huurovereenkomsten op een andere ingang), dit is de reden waarom de huurbeheerder (Onderdeel van Beheerdergroep) ook de wortelcompartimentbeheerder is.
Opmerking het is een goede gewoonte om het aantal leden van beheerdersgroepen zo klein mogelijk te houden en beheerdersgroepen te creëren om specifieke compartimenten te beheren (in de praktijk zijn dit subcompartimenten van het hoofdcompartiment)
Opmerking :Dit is slechts een van de opties om compartimentendistributie te ontwerpen, maar het is aan de architectuur die het beste bij de klant past
Momenteel worden alle gebruikers en groepen in het hoofdcompartiment gemaakt en u kunt beleid maken waarmee deze gebruikers toegang hebben tot bronnen in andere compartimenten.
2.-Een OCI-bron kan maar tot één compartiment behoren
OCI-bronnen kunnen geen deel uitmaken van twee compartimenten, u moet ofwel in een specifiek compartiment of in het hoofdcompartiment maken.
Onthoud dat we vermeldden dat compartimenten een logische verzameling zijn, wat betekent dat ze een logische structuur hebben, zodat u bijvoorbeeld twee instanties op verschillende compartimenten kunt hebben die tot hetzelfde VCN en hetzelfde subnet behoren.
Opmerking het is handig om compartimenten te zien als verantwoordelijkheidsgebied waar u machtigingen definieert in plaats van een fysieke container.
3.-Compartimenten kunnen onderliggende compartimenten of subcompartimenten hebben die 6 niveaus diep genest zijn
Op de datum van eerste publicatie van dit item is er een limiet van maximaal 6 geneste compartimenten.
U kunt bijvoorbeeld de volgende compartimenten hebben:
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users
Het is een goede gewoonte om een compartimenthiërarchie te ontwerpen voordat u begint met het maken van middelen, ook al kunt u een hele compartimentenboom tussen bovenliggende compartimenten verplaatsen en ook kunt u middelen tussen compartimenten verplaatsen.
U kunt het bijgewerkte nummer binnen bekijken:Veelgestelde vragen over identiteits- en toegangsbeheer
4.-U kunt compartimenten verwijderen
U kunt compartimenten verwijderen, maar u moet aan deze vereisten voldoen:
- U moet beheerderstoegang of het vereiste beleid hebben om het compartiment te verwijderen.
- Om een compartiment te verwijderen, mogen er geen middelen in zitten, inclusief eventuele polissen die aan het compartiment zijn gekoppeld.
Opmerking sommige soorten bronnen kunnen niet worden verwijderd, daarom kunnen compartimenten voor deze bronnen ook niet worden verwijderd. In dit geval kun je het compartiment hernoemen om de naam opnieuw te gebruiken.
Nadat u het compartiment hebt verwijderd, wordt een verwijdertaak gestart, wat Oracle doet is de naam van het compartiment wijzigen in iets als CompartmentA.qR5hP2BD en de status voor dit compartiment is ingesteld op verwijderd, maar u kunt het verwijderde compartiment nog steeds zien op de compartimentenpagina voor 365 dagen.
U kunt zien of alle middelen voor een compartiment zijn verwijderd met behulp van de Tenancy Explorer
5.-Huur en compartimenten zijn wereldwijde bronnen
Dit betekent dat compartimenten zich over verschillende regio's en beschikbaarheidsdomeinen uitstrekken, waardoor we resources in verschillende regio's kunnen groeperen, wat een goede manier is om kostenbeheer te implementeren.
Opmerking Onthoud dat compartimenten een logische groepering van bronnen zijn die niet gebonden zijn aan fysieke beperkingen.
6.-U kunt beveiligingsbeleid toepassen op compartimentbasis
Nadat je een compartiment hebt gemaakt, moet je ten minste één beleid maken zodat gebruikers of groepen toegang hebben tot bronnen in het nieuwe compartiment, anders hebben alleen beheerders toegang tot de bronnen van het compartiment.
Opmerking compartimenten permissies kunnen worden overgenomen, dus als je bijvoorbeeld een groep hebt met de naam db-operators met toegang tot alle bronnen op Compartment-A , en dan maak je een Compartiment-B binnen Compartiment-A , gebruikers van db-operators heeft toegang tot bronnen op Compartment-B tenzij u anders aangeeft.
Als u bijvoorbeeld wilt dat de OS-beheeragentservice informatie leest van instanties op een bepaald compartiment, moet u dit beleid maken:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
Om beheerders toegang te geven tot een compartiment
Allow group A-Admins to manage all-resources in compartment Project-A
Een ander voorbeeld, u wilt machtigingen geven zodat HR-beheerders objectopslag (OCI-service) in het compartiment HR kunnen beheren
Allow group hr-admins to manage object-family in compartment PROD-A
Opmerking Een individueel resourcetype is de meest gedetailleerde manier om resources te declareren, dit zijn vcn, instance, enz. Ook resourcetypes worden gegroepeerd in families, bijvoorbeeld instance-familie, volume-familie, enz.
U kunt meer details over het bijvoegen van polissen vinden in:Beleidsbijlage
7.-Je kunt quota instellen voor een compartiment
Compartimentquota zijn vergelijkbaar met servicelimieten.
Quota worden door beheerders ingesteld om de hoeveelheid middelen te beperken die in een compartiment kunnen worden gemaakt, op deze manier kunt u de kosten beheersen en voorkomen dat u middelen maakt die niet nodig zijn.
Hiervoor kunnen beheerders beleid instellen.
Er zijn 3 soorten quota:
- set - max aantal bronnen instellen
- uitgeschakeld - stelt het quotum opnieuw in op de standaard servicelimiet
- nul - verwijdert de toegang tot een cloudbron voor een compartiment. als u bijvoorbeeld het aanmaken van blokvolumes in een compartiment wilt vermijden, kunt u dit nulquotum voor die service maken.
Binnen een beleid worden quota-statements op volgorde geëvalueerd, en latere statements vervangen eerdere statements die op dezelfde resource zijn gericht.
Opmerking wanneer u middelen van het ene compartiment naar het andere verplaatst, moet u rekening houden met eventuele quota op het bestemmingscompartiment, anders kunt u de middelen niet maken totdat u het quotum aanpast.
OVERIGE MIDDELEN:
Compartimenten beheren
Compartimentquota
OCI-sleutelconcepten en terminologie
Oracle Cloud Infrastructure Compartimenten