Oracle
 sql >> Base de données >  >> RDS >> Oracle

7 choses à savoir sur les compartiments sur Oracle Cloud Infrastructure

Les compartiments sont l'un des différenciateurs sur Oracle Cloud Infrastructure, personnellement, je n'ai pas trouvé de service similaire sur un autre fournisseur de cloud. Il existe d'autres concepts similaires tels que le balisage ou les projets, mais avec un objectif différent.

Un compartiment est une collection de ressources connexes, en particulier une logique collection de ressources associées (telles que VCN, volumes de blocs, instances, sous-réseaux). Cette collection n'est accessible qu'à certains utilisateurs du groupe auxquels un administrateur a accordé l'autorisation.

Nous avons ici 10 choses à savoir sur les compartiments qui peuvent être utiles avant de commencer à travailler sur Oracle Cloud Infrastructure :

1.-Lorsque vous vous inscrivez à Oracle Cloud Infrastructure, Oracle crée votre location , qui est le compartiment racine qui contient toutes vos ressources cloud

Le compartiment racine porte le nom de la location elle-même (plus d'informations sur les locations dans une autre entrée), c'est la raison pour laquelle l'administrateur de la location (partie du groupe Administrateur) est également l'administrateur du compartiment racine.

Remarque il est recommandé de limiter autant que possible le nombre de membres des groupes d'administrateurs et de créer des groupes d'administrateurs pour contrôler des compartiments spécifiques (en pratique, il s'agit de sous-compartiments du compartiment racine)

Remarque :Ce n'est qu'une des options pour concevoir des compartiments de distribution mais c'est à l'architecture qui s'adapte le mieux au client

Actuellement, tous les utilisateurs et groupes sont créés dans le compartiment racine et vous pouvez créer des politiques permettant à ces utilisateurs d'accéder aux ressources d'autres compartiments.

2.-Une ressource OCI ne peut appartenir qu'à un seul compartiment

Les ressources OCI ne peuvent pas faire partie de deux compartiments, vous devez les créer soit à l'intérieur d'un compartiment spécifique, soit à l'intérieur du compartiment racine.

N'oubliez pas que nous avons mentionné que les compartiments sont une collection logique, ce qui signifie qu'ils sont une structure logique, vous pouvez donc avoir, par exemple, deux instances sur des compartiments différents, qui appartiennent au même VCN et au même sous-réseau.

Remarque il est utile de considérer les compartiments comme une zone de responsabilité dans laquelle vous définissez des autorisations plutôt qu'un conteneur physique.

3.-Les compartiments peuvent avoir des compartiments enfants ou des sous-compartiments imbriqués sur 6 niveaux de profondeur

À la date de première publication de cette entrée, il y a une limite de maximum 6 compartiments imbriqués.

Par exemple, vous pouvez avoir les compartiments suivants :
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users

Il est recommandé de concevoir une hiérarchie de compartiments avant de commencer à créer des ressources, même si vous pouvez déplacer une arborescence de compartiments entière entre un compartiment parent et que vous pouvez également déplacer des ressources entre des compartiments.

Vous pouvez consulter le numéro mis à jour dans :FAQ sur la gestion des identités et des accès

4.-Vous pouvez supprimer des compartiments

Vous pouvez supprimer des compartiments, mais vous devez satisfaire à ces exigences :

  1. Vous devez disposer d'un accès administrateur ou de la stratégie requise pour supprimer le compartiment.
  2. Pour supprimer un compartiment, il ne doit y avoir aucune ressource à l'intérieur, y compris une stratégie attachée au compartiment.

Remarque certains types de ressources ne peuvent pas être supprimés, par conséquent, les compartiments de ces ressources ne peuvent pas non plus être supprimés. Dans ce cas, vous pouvez renommer le compartiment pour réutiliser le nom.

Après avoir supprimé le compartiment, il démarre une tâche de suppression, ce qu'Oracle fait est de changer le nom du compartiment pour quelque chose comme CompartmentA.qR5hP2BD et le statut de ces compartiments est défini sur supprimé mais vous pouvez toujours voir le compartiment supprimé sur le compartiments pendant 365 jours.

Vous pouvez voir si toutes les ressources d'un compartiment sont supprimées à l'aide de l'explorateur de location

5.-La location et les compartiments sont des ressources globales

Cela signifie que les compartiments s'étendent sur les régions et les domaines de disponibilité, ce qui nous permet de regrouper les ressources qui se trouvent dans différentes régions, ce qui représente un bon moyen de mettre en œuvre la gestion des coûts.

Remarque N'oubliez pas que les compartiments sont des regroupements logiques de ressources non limités par des limitations physiques.

6.-Vous pouvez appliquer des politiques de sécurité par compartiment

Après avoir créé un compartiment, vous devez créer au moins une stratégie afin que les utilisateurs ou les groupes puissent accéder aux ressources à l'intérieur du nouveau compartiment, sinon seuls les administrateurs auront accès aux ressources du compartiment.

Remarque les autorisations de compartiments peuvent être héritées, donc si vous avez, disons, un groupe appelé db-operators avec accès à toutes les ressources du compartiment-A , puis vous créez un Compartiment-B à l'intérieur du compartiment-A , utilisateurs de db-operators aura accès aux ressources du Compartiment-B aussi, sauf indication contraire de votre part.

Par exemple, si vous souhaitez autoriser le service d'agent de gestion du système d'exploitation à lire les informations des instances d'un certain compartiment, vous devez créer cette stratégie :
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A

Pour fournir un accès administrateur à un compartiment
Allow group A-Admins to manage all-resources in compartment Project-A

Autre exemple, vous souhaitez fournir des autorisations afin que les administrateurs RH puissent gérer le stockage d'objets (service OCI) à l'intérieur du compartiment HR
Allow group hr-admins to manage object-family in compartment PROD-A

Remarque Un type de ressource individuel est le moyen le plus précis de déclarer des ressources, il s'agit de vcn, d'instance, etc. Les types de ressources sont également regroupés en familles, par exemple famille d'instance, famille de volume, etc.

Vous pouvez trouver plus de détails sur l'attachement des stratégies à partir de :Pièce jointe à la stratégie

7.-Vous pouvez définir des quotas sur un compartiment

Les quotas de compartiment sont similaires aux limites de service.

Les quotas sont définis par les administrateurs pour limiter la quantité de ressources qui peuvent être créées dans un compartiment, de cette façon vous pouvez contrôler le coût et éviter de créer des ressources qui ne sont pas nécessaires.

Pour cela, les administrateurs peuvent définir des politiques.

Il existe 3 types de quotas :

  • set - définir le nombre maximum de ressources
  • unset - réinitialise le quota à la limite de service par défaut
  • zéro - supprime l'accès à une ressource cloud pour un compartiment. par exemple, si vous souhaitez éviter la création de volumes de blocs dans un compartiment, vous pouvez créer ce quota zéro pour ce service.

Dans une stratégie, les déclarations de quota sont évaluées dans l'ordre, et les déclarations ultérieures remplacent les déclarations précédentes qui ciblent la même ressource.

Remarque lorsque vous déplacez des ressources d'un compartiment à un autre, vous devez tenir compte de tout quota sur le compartiment de destination, sinon vous ne pourrez pas créer les ressources tant que vous n'aurez pas ajusté le quota.

AUTRES RESSOURCES :

Gestion des compartiments
Quotas de compartiment
Concepts clés et terminologie OCI
Compartiments Oracle Cloud Infrastructure