Świat Oracle: Wprowadzenie do najważniejszych pojęć związanych z platformą Oracle Cloud Infrastructure
W tym artykule przedstawiamy najważniejsze pojęcia związane z platformą Oracle Cloud Infrastructure (OCI). Są one używane w całym centrum zasobów dla programistów (Developer Resource Center) i stanowią podstawę infrastruktury OCI oraz zasobów chmurowych, które będziemy omawiać w kolejnych postach.
*Materiał pochodzi od Partnera – Oracle Cloud *
Dzierżawy i przedziały
Gdy użytkownik rejestruje konto w Oracle Cloud Infrastructure, w infrastrukturze chmury jest do niego przypisywana bezpieczna, odizolowana partycja nazywana dzierżawą.
Dzierżawa ma taką samą nazwę jak konto chmury, które użytkownik wybrał podczas procesu rejestracji. Nazwę dzierżawy można zmienić, wykonując te czynności.
Dzierżawa to pojęcie logiczne. Można ją sobie wyobrażać jako kontener najwyższego poziomu, w którym użytkownik może tworzyć i organizować zasoby chmurowe oraz nimi zarządzać.
Drugim pojęciem logicznym używanym do organizacji i kontroli dostępu do zasobów chmurowych są przedziały. Przedział to zbiór powiązanych zasobów chmurowych. Dzierżawa jest zarazem przedziałem najwyższego poziomu.
Użytkownik może stworzyć w obrębie swojej dzierżawy więcej przedziałów (maksymalnie na głębokość 6 poziomów) i używać określonych zasad do kontrolowania dostępu do zasobów w każdym przedziale. Przy tworzeniu każdego zasobu w chmurze trzeba określić przedział, do którego dany zasób ma należeć.
Na poniższym rysunku przedstawiono przedział o nazwie „Engineering” wewnątrz przedziału najwyższego poziomu. Ma on dwa podprzedziały (Project-A i Project-B), a każdy z nich jest podzielony na kilka mniejszych przedziałów.
Rysunek 1. Dzierżawa najwyższego poziomu i podprzedziały
Ta struktura pozwala odizolować zasoby między różnymi środowiskami (Dev — programowanie, QA — zapewnianie jakości, Prod — produkcja) i projektami. Dla każdego przedziału można stosować zasady i wyznaczyć administratorów. Stworzenie bardziej precyzyjnych zasad pozwala zadbać o to, aby użytkownicy mieli dostęp do potrzebnych im przedziałów i aby zasoby mogły się ze sobą komunikować.
Tworzenie przedziałów
Stwórzmy strukturę przedziałów przypominającą tę na powyższym rysunku.
1) Zaloguj się na swoje konto OCI.
2) Otwórz menu nawigacyjne, wybierz pozycję Identity & Security (Tożsamość), a następnie Compartments (Przedziały).
Rysunek 2. Menu Identity (Tożsamość)
3) Aby stworzyć podprzedział w dzierżawie, kliknij polecenie Create Compartment (Utwórz przedział).
4) W wyświetlonym oknie dialogowym wpisz nazwę pierwszego przedziału (w naszym przykładzie będzie to nazwa Engineering (Inżynieria)) i jego opis, a następnie z menu Parent Compartment (Przedział macierzysty) wybierz dzierżawę lub przedział najwyższego poziomu. Kliknij polecenie Create Compartment (Utwórz przedział).
UWAGA: Nazwy przedziałów nie mogą zawierać spacji,
mogą jednak zawierać łączniki (-) i kropki (.).
Rysunek 3. Okno dialogowe tworzenia przedziału
Utworzony przedział otrzymuje identyfikator Oracle Cloud (OCID) tak jak każdy inny zasób w OCI. Więcej informacji na temat OCID i identyfikatorów innych zasobów można znaleźć w dokumentacji TUTAJ.
Identyfikator OCID jest tworzony według następującej składni:
ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE ID>
Poniższy przykład pokazuje, jak może wyglądać OCID utworzonego przedziału:
ocid1.compartment.oc1..aaaaaaaaexampleuniqueID
Za pomocą tych samych czynności można utworzyć podprzedziały Project-A i Project-B w przedziale Engineering oraz przedziały Dev, QA i Prod wewnątrz każdego projektu.
Tak wygląda strona danych szczegółowych przedziału Project-A po utworzeniu jego podprzedziałów:
Rysunek 4. Przedział Project-A
Dziedziczenie i przypisywanie zasad
Gdy hierarchia przedziałów jest ustawiona zgodnie z opisem, podprzedziały dziedziczą wszystkie uprawnienia dostępu z przedziałów znajdujących się na wyższych szczeblach w hierarchii. Przykładowo, przedział Prod dziedziczy uprawnienia przedziału Project-A, a przedział Project-A dziedziczy uprawnienia przedziału Engineering.
Podczas tworzenia zasad dostępu trzeba określić przedział, do którego będą one przypisane. To ustawienie definiuje zarazem, kto będzie mógł potem zmienić lub usunąć zasady. Można na przykład stworzyć zasadę dostępu dla przedziału Project-A i przypisać ją do tego samego przedziału. Wtedy administratorzy przedziału Project-A otrzymują dostęp do zarządzania zasadami własnego przedziału. Jeśli jednak tę samą zasadę dostępu przypiszemy do przedziału Engineering, wówczas będą ją mogli zmieniać i usuwać tylko ci administratorzy, którzy mają dostęp do zarządzania zasadami w przedziale Engineering.
Przenoszenie zasobów między przedziałami
Większość zasobów utworzonych w określonym przedziale można przenieść do innego przedziału. Niektórych zasobów, na przykład klastrów, funkcji lub zasad Container Engine for Kubernetes, nie można jednak przenosić.
Do niektórych zasobów mogą być też przypisane zależności. Przy przenoszeniu takich zasobów powiązane zależności są przenoszone asynchronicznie. Dlatego nawet jeśli zasoby macierzyste zostaną przeniesione i będą od razu widoczne w nowym przedziale, przeniesienie i pojawienie się przypisanych zależności w nowym przedziale może trochę potrwać.
W przypadku niektórych zasobów przypisane zależności nie są przenoszone do nowego przedziału automatycznie. Takie zasoby trzeba przenieść indywidualnie.
Przy przenoszeniu zasobów między przedziałami trzeba także pamiętać o tym, jak działają zasady. Gdy przeniesiemy określony zasób do nowego przedziału, zasady, które dotyczą tego nowego przedziału, zostaną natychmiast zastosowane do zasobu i będą od razu wpływać na dostęp do niego.
Więcej informacji na temat przedziałów można znaleźć w dokumentacji dotyczącej zarządzania przedziałami.
Regiony i obszary
Wiemy już, czym są dzierżawy i przedziały oraz jak działają. Teraz przyjrzyjmy się regionom i obszarom. Przy rejestrowaniu konta użytkownik wybiera region główny. W tym regionie jest też tworzona dla niego dzierżawa. Region główny to lokalizacja geograficzna, w której tworzone są zasoby konta oraz zasoby zarządzania tożsamością i dostępem (IAM) dla użytkownika.
Poniższe zasoby można stworzyć i zaktualizować tylko w regionie głównym:
- Użytkownicy
- Grupy
- Zasady
- Przedziały
- Grupy dynamiczne
- Zasoby federacji
Regionu głównego nie można zmienić. Poprzez konsolę lub interfejs wiersza poleceń w Oracle Cloud Infrastructure można jednak zasubskrybować dla dzierżawy inne regiony.
UWAGA: W przypadku dzierżawy próbnej, bezpłatnej lub używanej w modelu płatności za faktyczne wykorzystanie użytkownik może używać tylko jednego regionu.
Po subskrypcji określonego regionu zasoby IAM w regionie głównym są przekazywane do tego regionu i w nim egzekwowane. Za pomocą zasad można zdefiniować poziomy dostępu osobno dla każdego regionu.
UWAGA: Aktualizacje zasobów IAM nie są egzekwowane od razu we wszystkich regionach. Rozpowszechnienie zmian może potrwać kilka minut.
Jeśli weźmiemy hierarchię przedziałów z poprzedniego przykładu i zasubskrybujemy dwa dodatkowe regiony, możemy stworzyć w tych regionach indywidualne zasoby, co pokazano na poniższym rysunku. Należy zauważyć, że przedziały obejmują różne regiony, ale zasoby w tych przedziałach są tworzone w konkretnych regionach.
Rysunek 5. Subskrybowane regiony
Więcej informacji na temat obsługiwanych regionów można znaleźć na stronie dotyczącej regionów danych. Wszystkie zasoby Oracle Cloud Infrastructure są hostowane fizycznie w regionach i w co najmniej jednej domenie dostępności. Domena dostępności to centrum przetwarzania danych zlokalizowane w określonym regionie. Domeny dostępności są od siebie odizolowane — nie współużytkują infrastruktury, takiej jak zasilanie czy instalacje chłodzenia. Ta izolacja minimalizuje możliwość jednoczesnych awarii. Korzystając z wielu domen dostępności, można stworzyć architekturę o dużej dostępności i odporności.
Obszar to logiczny zbiór regionów. Obszary są odizolowane od siebie nawzajem i nie współużytkują żadnych danych. Dzierżawa może istnieć w pojedynczym obszarze i ma dostęp do należących do niego regionów. Oracle Cloud Infrastructure ma obecnie jeden obszar dla zastosowań komercyjnych i wiele obszarów dla środowiska Government Cloud.
Dodatkowe zasoby
- Zmiana nazwy konta w chmurze
- Identyfikatory zasobów
- Zarządzanie przedziałami
- Regiony danych dla usług w zakresie platform i infrastruktury
Każdy przypadek użycia jest inny. Jedynym sposobem na sprawdzenie, czy infrastruktura Oracle Cloud Infrastructure to w danym przypadku dobre rozwiązanie, jest jej przetestowanie. Możesz skorzystać z programu Oracle Cloud Free Tier lub z 30-dniowej bezpłatnej wersji próbnej, w ramach której dostępnych jest 300 USD do wykorzystania na szereg usług, w tym usługi obliczeniowe, pamięć masową i sieci.
Już 21 czerwca dowiesz się, jak możesz wykorzystać AI w Twojej firmie. Damian Mazurek i Piotr Kalinowski wprowadzą Cię w świat sztucznej inteligencji i LLM.
Przed nami nowy rozdział! Chmurowisko dokonało połączenia z polskim Software Mind – firmą, która od 20 lat tworzy rozwiązania przyczyniające się do sukcesu organizacji z całego świata…
Grupa Dynamic Precision podjęła decyzję o unowocześnieniu swojej infrastruktury. Razem z Oracle Polska prowadzimy migrację aplikacji firmy do chmury OCI.
Już 21 czerwca dowiesz się, jak możesz wykorzystać AI w Twojej firmie. Damian Mazurek i Piotr Kalinowski wprowadzą Cię w świat sztucznej inteligencji i LLM.
Zapisz się do naszego newslettera i
bądź z chmurami na bieżąco!
z chmur Azure, AWS i GCP, z krótkimi opisami i linkami.