Các khoang là một trong những điểm khác biệt trên Cơ sở hạ tầng đám mây Oracle, cá nhân tôi dường như không có dịch vụ tương tự trên nhà cung cấp đám mây khác. Có những khái niệm tương tự khác như gắn thẻ hoặc dự án nhưng có trọng tâm khác.
Một ngăn là một tập hợp các tài nguyên có liên quan, cụ thể là một lôgic tập hợp các tài nguyên liên quan (chẳng hạn như VCN, khối lượng khối, phiên bản, mạng con). Bộ sưu tập này chỉ có thể được truy cập bởi một số người dùng nhóm nhất định đã được cấp quyền bởi quản trị viên.
Dưới đây chúng tôi có 10 điều cần biết về các ngăn có thể hữu ích trước khi bạn bắt đầu làm việc trên Cơ sở hạ tầng đám mây Oracle:
1.-Khi bạn đăng ký Cơ sở hạ tầng đám mây Oracle, Oracle sẽ tạo thuê nhà của bạn , là ngăn gốc chứa tất cả tài nguyên đám mây của bạn
Ngăn gốc được đặt theo tên của chính việc thuê nhà (Thông tin thêm về việc thuê nhà ở một mục khác), đây là lý do tại sao quản trị viên thuê nhà (Một phần của nhóm Quản trị viên) cũng là Quản trị viên ngăn gốc.
Lưu ý một thực tiễn tốt là giữ cho số lượng thành viên từ các nhóm quản trị viên càng ít càng tốt và tạo các nhóm quản trị viên để kiểm soát các ngăn cụ thể (trong thực tế, đây là các ngăn con từ ngăn gốc)
Lưu ý :Đây chỉ là một trong những tùy chọn để thiết kế phân bổ các ngăn nhưng nó tùy thuộc vào kiến trúc phù hợp nhất với khách hàng
Hiện tại, tất cả người dùng và nhóm đều được tạo bên trong ngăn gốc và bạn có thể tạo các chính sách cho phép những người dùng này truy cập tài nguyên trên các ngăn khác.
2.-Tài nguyên OCI chỉ có thể thuộc về một ngăn
Tài nguyên OCI không thể là một phần của hai ngăn, bạn phải tạo bên trong một ngăn cụ thể hoặc bên trong ngăn gốc.
Hãy nhớ rằng chúng tôi đã đề cập rằng ngăn là tập hợp logic, có nghĩa là đó là cấu trúc logic, vì vậy, bạn có thể có, chẳng hạn như hai phiên bản trên các ngăn khác nhau, thuộc cùng một VCN và cùng một mạng con.
Lưu ý sẽ hữu ích khi coi các ngăn là khu vực trách nhiệm nơi bạn xác định quyền hơn là một vùng chứa vật lý.
3.-Các ngăn có thể có ngăn trẻ em hoặc ngăn phụ lồng nhau sâu 6 tầng
Vào ngày xuất bản đầu tiên của mục này, có giới hạn tối đa là 6 ngăn lồng nhau.
Ví dụ, bạn có thể có các ngăn sau:
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users
Một phương pháp hay là thiết kế phân cấp ngăn trước khi bạn bắt đầu tạo tài nguyên mặc dù bạn có thể di chuyển toàn bộ cây ngăn giữa ngăn chính và bạn cũng có thể di chuyển tài nguyên giữa các ngăn.
Bạn có thể xem lại số được cập nhật bên trong:Câu hỏi thường gặp về quản lý danh tính và quyền truy cập
4.-Bạn có thể xóa các ngăn
Bạn có thể xóa các ngăn nhưng bạn cần đáp ứng các yêu cầu sau:
- Bạn cần có quyền truy cập của quản trị viên hoặc chính sách bắt buộc để xóa ngăn.
- Để xóa một ngăn, không được có tài nguyên nào bên trong ngăn đó, kể cả bất kỳ chính sách nào được đính kèm với ngăn đó.
Lưu ý một số loại tài nguyên không thể bị xóa do đó các ngăn dành cho các tài nguyên này cũng không thể bị xóa. Trong trường hợp này, bạn có thể đổi tên ngăn để sử dụng lại tên.
Sau khi bạn xóa ngăn, nó sẽ bắt đầu công việc xóa, những gì Oracle làm là thay đổi tên của ngăn cho một cái gì đó như KhoangA.qR5hP2BD và trạng thái của ngăn này được đặt thành xóa nhưng bạn vẫn có thể thấy ngăn đã xóa trên trang ngăn trong 365 ngày.
Bạn có thể xem liệu tất cả các tài nguyên cho một khu vực có bị xóa hay không bằng cách sử dụng Trình khám phá thuê nhà
5.-Thuê nhà và các khoang là tài nguyên toàn cầu
Điều này có nghĩa là các ngăn trải dài trên các khu vực và các miền khả dụng cho phép chúng tôi nhóm các tài nguyên trên các khu vực khác nhau, đại diện cho một cách tốt để triển khai quản lý chi phí.
Lưu ý Hãy nhớ rằng các ngăn là nhóm tài nguyên hợp lý không bị giới hạn bởi các giới hạn vật lý.
6.-Bạn có thể áp dụng các chính sách bảo mật trên cơ sở ngăn
Sau khi bạn tạo một ngăn, bạn cần tạo ít nhất một chính sách để người dùng hoặc nhóm có thể truy cập tài nguyên bên trong ngăn mới, nếu không chỉ quản trị viên mới có quyền truy cập vào tài nguyên của ngăn.
Lưu ý quyền của ngăn có thể được kế thừa vì vậy nếu bạn có, giả sử, một nhóm được gọi là db-operator có quyền truy cập vào tất cả các tài nguyên trên Ngăn-A và sau đó bạn tạo Ngăn-B bên trong Ngăn-A , người dùng từ db-operator sẽ có quyền truy cập vào các tài nguyên trên Khoang-B trừ khi bạn chỉ định khác.
Ví dụ:nếu bạn muốn cho phép dịch vụ tác nhân quản lý hệ điều hành đọc thông tin từ các phiên bản trên một ngăn nhất định, bạn cần tạo chính sách này:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
Để cung cấp quyền truy cập của quản trị viên vào một ngăn
Allow group A-Admins to manage all-resources in compartment Project-A
Một ví dụ khác, bạn muốn cung cấp quyền để quản trị viên nhân sự có thể quản lý lưu trữ đối tượng (Dịch vụ OCI) bên trong ngăn HR
Allow group hr-admins to manage object-family in compartment PROD-A
Lưu ý Một loại tài nguyên riêng lẻ là cách chi tiết nhất để khai báo các tài nguyên, đó là vcn, instance, v.v. Ngoài ra, loại tài nguyên được nhóm thành các họ, ví dụ:instance-family, volume-family, v.v.
Bạn có thể tìm thêm chi tiết về đính kèm chính sách từ:Đính kèm chính sách
7.-Bạn có thể đặt hạn ngạch trên một ngăn
Hạn ngạch phân khu tương tự như giới hạn dịch vụ.
Hạn ngạch do quản trị viên đặt để giới hạn số lượng tài nguyên có thể được tạo bên trong một ngăn, bằng cách này, bạn có thể kiểm soát chi phí và tránh tạo tài nguyên không cần thiết.
Đối với điều này, quản trị viên có thể thiết lập các chính sách.
Có 3 loại hạn ngạch:
- set - đặt số lượng tài nguyên tối đa
- unset - đặt lại hạn ngạch thành giới hạn dịch vụ mặc định
- không - xóa quyền truy cập vào tài nguyên đám mây cho một ngăn. ví dụ:nếu bạn muốn tránh việc tạo khối lượng trong một ngăn, bạn có thể tạo hạn ngạch bằng 0 này cho dịch vụ đó.
Trong một chính sách, các câu lệnh hạn ngạch được đánh giá theo thứ tự và các câu lệnh sau thay thế các câu lệnh trước đó nhắm mục tiêu đến cùng một tài nguyên.
Lưu ý khi bạn di chuyển tài nguyên từ ngăn này sang ngăn khác, bạn phải tính đến mọi hạn ngạch trên ngăn đích, nếu không, bạn sẽ không thể tạo tài nguyên cho đến khi bạn điều chỉnh hạn ngạch.
CÁC NGUỒN LỰC KHÁC:
Quản lý các ngăn
Hạn ngạch ngăn
Các khái niệm và thuật ngữ chính của OCI
Khoang cơ sở hạ tầng đám mây của Oracle
