Fack är en av skillnaderna på Oracle Cloud Infrastructure, personligen verkar jag inte ha en liknande tjänst hos andra molnleverantörer. Det finns andra liknande koncept som taggning eller projekt men med olika fokus.
Ett fack är en samling relaterade resurser, särskilt en logisk samling av relaterade resurser (som VCN, blockvolymer, instanser, undernät). Denna samling kan endast nås av vissa gruppanvändare som har fått tillstånd av en administratör.
Här har vi 10 saker att veta om fack som kan vara användbara innan du börjar arbeta med Oracle Cloud Infrastructure:
1.-När du registrerar dig för Oracle Cloud Infrastructure skapar Oracle din hyresrätt , som är rotfacket som rymmer alla dina molnresurser
Rotfacket är uppkallat efter själva hyresrätten (Mer om hyresrätter på annan post), detta är anledningen till att hyresförvaltaren (En del av Administratörsgruppen) också är rotavdelningsadmin.
Obs Det är en god praxis att hålla antalet medlemmar från administratörsgrupper så litet som möjligt och skapa administratörsgrupper för att kontrollera specifika fack (i praktiken är detta underavdelningar från rotfack)
Obs :Detta är bara ett av alternativen för att designa fackdistribution men det är upp till den arkitektur som bäst passar kunden
För närvarande skapas alla användare och grupper i rotfacket och du kan skapa policyer som tillåter dessa användare att komma åt resurser på andra fack.
2.-En OCI-resurs kan bara tillhöra ett fack
OCI-resurser kan inte vara en del av två fack, du måste skapas antingen i ett specifikt fack eller inuti rotfacket.
Kom ihåg att vi nämnde att fack är logisk samling, vilket betyder att de är logiska strukturer, så att du till exempel kan ha två instanser på olika fack, som tillhör samma VCN och samma subnät.
Obs det är användbart att tänka på fack som ansvarsområde där du definierar behörigheter snarare än en fysisk behållare.
3.-Fack kan ha barnfack eller underfack kapslade 6 nivåer djupa
Vid datumet för den första publiceringen av detta inlägg finns det en gräns på maximalt 6 kapslade fack.
Du kan till exempel ha följande fack:
nosomoscavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users
Det är en god praxis att utforma fackhierarki innan du börjar skapa resurser även om du kan flytta ett helt fackträd mellan överordnade fack och även kan du flytta resurser mellan fack.
Du kan granska det uppdaterade numret inuti:Vanliga frågor om identitets- och åtkomsthantering
4.-Du kan ta bort fack
Du kan ta bort fack men du måste uppfylla dessa krav:
- Du måste ha administratörsbehörighet eller den nödvändiga policyn för att ta bort avdelningen.
- För att radera ett fack bör det inte finnas några resurser inuti det, inklusive eventuell policy kopplad till facket.
Obs vissa resurstyper kan inte tas bort, därför kan fack för dessa resurser inte heller tas bort. I det här fodralet kan du byta namn på facket för att återanvända namnet.
När du har raderat facket startar det ett raderingsjobb, vad Oracle gör är att ändra namnet på facket för något som CompartmentA.qR5hP2BD och statusen för dessa avdelningar är inställd på raderad men du kan fortfarande se det borttagna facket på facksida i 365 dagar.
Du kan se om alla resurser för ett fack raderas med Tenancy Explorer
5.-Hyresrätt och bostäder är globala resurser
Detta innebär att fack sträcker sig över regioner och tillgänglighetsdomäner vilket låter oss gruppera resurser som finns i olika regioner, vilket representerar ett bra sätt att implementera kostnadshantering.
Obs Kom ihåg att fack är en logisk gruppering av resurser som inte är begränsade till fysiska begränsningar.
6.-Du kan tillämpa säkerhetspolicyer på avdelningsbasis
När du har skapat ett fack måste du skapa minst en policy så att användare eller grupper kan komma åt resurser i det nya utrymmet, annars har bara administratörer tillgång till avdelningens resurser.
Obs fackbehörigheter kan ärvas så om du har, låt oss säga, en grupp som heter db-operators med tillgång till alla resurser på Fack-A , och sedan skapar du ett Fack-B inuti Fack-A , användare från db-operatörer kommer att ha tillgång till resurser på Fack-B också om du inte anger något annat.
Om du till exempel vill tillåta att OS Management Agent-tjänsten kan läsa information från instanser i ett visst fack måste du skapa denna policy:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
För att ge administratörsåtkomst till ett fack
Allow group A-Admins to manage all-resources in compartment Project-A
Ett annat exempel, du vill ge behörigheter så att HR-administratörer kan hantera objektlagring (OCI Service) inuti avdelningen HR
Allow group hr-admins to manage object-family in compartment PROD-A
Obs En individuell resurstyp är det mest detaljerade sättet att deklarera resurser, dessa är vcn, instans, etc. Även resurstyp grupperas i familjer, till exempel instans-familj, volym-familj, etc.
Du kan hitta mer information om att bifoga policyer från:Policybilaga
7.-Du kan ställa in kvoter på ett fack
Fackkvoter liknar servicegränser.
Kvoter sätts av administratörer för att begränsa mängden resurser som kan skapas inuti ett fack, på så sätt kan du kontrollera kostnaden och undvika att skapa resurser som inte behövs.
För detta kan administratörer ställa in policyer.
Det finns tre typer av kvoter:
- set - ange max antal resurser
- avstängd – återställer kvoten till standardtjänstgränsen
- noll – tar bort åtkomst till en molnresurs för ett fack. till exempel, om du vill undvika att det skapas blockvolymer i ett fack kan du skapa denna nollkvot för den tjänsten.
Inom en policy utvärderas kvotuttalanden i ordning, och senare uttalanden ersätter tidigare uttalanden som riktar sig mot samma resurs.
Obs när du flyttar resurser från ett fack till ett annat måste du ta hänsyn till eventuell kvot på destinationsfacket, annars kommer du inte att kunna skapa resurserna förrän du justerar kvoten.
ANDRA RESURSER:
Hantera fack
Fackkvoter
OCI:s nyckelbegrepp och terminologi
Oracle Cloud Infrastructure Compartments