1. 建立基本 Oracle Cloud Infrastructure 治理模型
  2. Oracle Cloud Infrastructure 资源和服务

Oracle Cloud Infrastructure 资源和服务

Oracle Cloud Infrastructure (OCI) 提供了各种资源和服务,帮助您监管资源。了解 OCI 服务及其如何帮助您的组织实施治理模型。

资源

Oracle Cloud Infrastructure (OCI) 允许您组织资源并在组织中实施监管。了解 OCI 资源和服务的物理和逻辑组织。

区域

OCI 以物理方式托管在地理区域和可用性域中。区域是一个本地化地理区域,可用性域是一个区域中的一个或多个数据中心。

Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心(称为可用性域)。区域与其他区域无关,它们的距离可以分离(跨国家 / 地区甚至大陆)。

一个区域由一个或多个可用性域组成。OCI 资源既可以是特定于区域的资源,例如虚拟云网络,也可以是特定于可用性域的资源,例如计算实例。

可用性域

可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,以提供容错功能。可用性域不共享基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。

配置云服务时,使用多个可用性域来确保高可用性并防范资源故障。请注意,必须在同一可用性域中创建一些资源,例如实例和连接到它的存储卷。

容错域

容错域是可用性域内的一系列硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。当您在多个容错域中分配资源时,应用可以承受容错域中的物理服务器故障、系统维护和电源故障。

例如,影响一个故障域的硬件故障或计算硬件维护事件不影响其他故障域中的实例。

确定资源

用于标识 OCI 资源的基本概念是 OCID(Oracle Cloud 标识符)。它是一个唯一标识符,用于标识 Oracle Cloud Infrastructure (OCI) 服务中包含有关资源的元数据的资源。资源可以是用户或组,也可以是实例或服务。作为服务或主体实例的资源是特定资源的完整 OCID 的组件。

在组织中实施监管时,OCI 使用 OCID 来识别和实施资源策略。下面显示了 OCID 语法及其组件:

Oracle Cloud Infrastructure 提供了以下服务,可用于创建、组织和管理云资源。 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1:指示 OCID 版本的文字字符串。
  • 资源类型:资源的类型,例如实例、VCN、用户或组。
  • 领域:领域是一组共享实体的区域,例如 oc1(商业领域)、oc2(政府云)、oc3(联邦政府)。
  • 区域:资源的居住地地理区域在 fx、iad 中。
  • 将来使用:指定是否保留资源以供将来使用。
  • 唯一 ID:ID 的唯一部分。

租户

租户是安全隔离的分区,在您注册 Oracle Cloud Infrastructure 时,Oracle 将在 Oracle Cloud 中设置该分区。您可以在租户中的 Oracle Cloud 中创建、组织和管理资源。租户与公司或组织同义词。通常,公司具有单个租户并反映在该租户中的组织结构。单个租户通常与单个订阅关联,单个订阅通常只有一个租户。

租户结构中的每个资源都属于某个区间(少数例外),该区间允许对资源进行逻辑分组和管理以符合定义的监管模型。资源预配在与 IaaS、PaaS 和基础设施组件相关的租户中,但不仅限于虚拟云网络 (Virtual Cloud Network, VCN)、子网、安全性和路由规则。

大多数核心资源都属于租户中的区间。然而,核心资源是全局性的,存在于区间之外。

划分

区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定谁可以访问资源以及他们可以执行的操作。

使用设计完善的区间,您的组织可以执行以下操作:

  • 按区间控制访问,强制实施职责分离并基于网络资源或数据库等功能控制访问
  • 将管理权限授予区间管理员以管理其各自的资源
  • 根据各个部门各自的区间,按部门开发计费模式
  • 根据区间定义定额和欺诈

服务限制

当您注册 OCI 时,将为租户配置一组服务限制。服务限制是对资源设置的定额或限额。例如,您的租户可能允许最大数量的数据科学服务实例。每个资源都有定义的限制和范围。租户中最初设置的限制基于在物料清单中采购的资源和确定为默认值的值的组合。服务限制的范围针对区域或可用性域,可以提供更大的灵活性。您可以根据 OCI 资源使用情况和账户声誉自动提高这些限制。

预算

您可以指定预算来对 OCI 支出设置软限制。您还可以在预算上设置预警,以便在使用量超出预算时通知您。您可以使用 OCI 控制台在一个位置查看所有预算和支出。

区间限额

区间限额可以为租户和区间管理员更好地控制 OCI 中资源使用方式。使用限额,管理员可以使用控制台轻松地将资源分配给区间。区间限额提供了一种强大的机制来管理您在 OCI 租户中的支出。

事件记录

日志记录是一项高度可扩展且完全托管的服务,可以访问来自云中资源的以下类型的日志:
  • 审计日志:与审计服务发出的事件相关的日志。
  • 服务日志:由各个服务(例如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志)发出的日志。
  • 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。

日志组

用于组织日志的逻辑容器,用于定义 / 限制对有限用户组的日志访问。可以根据日志数据的敏感性创建单独的日志组。

例如,创建三个日志组:安全、网络和应用程序。

  • 然后,为每个日志组创建 OCI IAM 策略,以允许管理员用户访问日志组中的读取博客。
  • 允许组 SecOps 在区间日志记录中读取日志内容,其中:
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

日志记录分析

OCI 中的云解决方案,可用于对来自应用和系统基础设施的所有日志数据进行索引、扩充、汇总、浏览、搜索、分析、关联、可视化以及监视。

日志分析提供了多种方法来从日志中获取运营洞察。

  • 使用日志浏览器 UI
  • 将日志信息汇总到仪表盘中
  • 利用 API 来摄取和分析数据
  • 与其他 OCI 服务集成

Cloud Guard

后面是 cloud-guard-detector-recipe.png 的说明
插图 cloud-guard-detector-recipe.png 的说明

您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中的资源安全性。Cloud Guard 使用检测器配方,您可以定义这些检测器配方来检查资源是否存在安全漏洞,并监视操作员和用户是否存在有风险的活动。检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可定义的响应器配方建议采取更正操作并帮助执行这些操作。

检测器配方

一组用于确定潜在安全问题的规则 / 检查。Oracle 为对象存储桶、计算实例、VCN 实例、IAM 用户和组、负载平衡器、安全列表和网络安全组等服务提供了一些基准检测器配方。无法更新 Oracle 管理的配方的配方规则。然而,您可以克隆 Oracle 管理的配方并创建称为用户管理的检测器配方的新配方。

用于检测问题的规则的配方

  • 由 Oracle 管理的配方
  • 用户管理的配方
  • 配置检测器配方
    • 公用存储桶
    • 实例具有公共 IP 地址
    • LB SSL 证书即将过期
  • 活动检测器配方
    • 已添加到组中的用户
    • 已删除计算实例

配置检测器配方检查资源配置。例如,检查存储桶是否为公共存储桶,或者 VCN 中是否创建了 NAT 网关或 Internet 网关。其他检测器配方会检测活动,例如创建动态组或向 VM 添加 VNIC。

响应器配方

一组规则,用于补救检测到的问题或发送请求操作的通知。默认响应器配方不提供纠正每个问题的选项。但是,您可以通过从事件调用函数来解决该问题。您通过 OCI 功能采取纠正措施或解决问题。

与检测器配方一样,存在 Oracle 管理的响应器配方和客户管理的响应器配方。客户管理的响应器配方是 Oracle 管理的配方的克隆,您可以在其中禁用一些预定义的响应器规则。

目标

目标定义 Cloud Guard 应检查的范围。它包括区间列表。添加区间作为目标时,Cloud Guard 也会检查所有子区间。目标是定义区间、检测器配方和响应器配方结合在一起的位置。

标记

标记包含附加到资源的元数据、键 - 值对并定义其属性,例如使用、成本或所有权。

标记基础

标记名称空间(仅适用于定义的标记)

标记名称空间是标记的容器。它包含一个名称与 0 个或多个标记键定义。标记名称空间在租户中是唯一的。

标记键

用于引用标记的名称。标记键在名称空间中是唯一的。

标记值类型

它指定值允许的数据类型。支持两种数据类型:字符串和字符串列表。

标记值

这是用户应用于标记的值。某些标记具有预定义的值。用户必须从其他标记的值列表中选择一个值。

资源(区间上服务的实例)可以具有一个或多个标记。分配给区间的标记会分配给区间中的所有资源。

有两种方法可以将标记分配给资源。

定义的标记

管理员管理元数据的预定义标记更常用。例如,要创建资源元数据来管理资源或收集数据,可以使用定义的标记。根据定义标记的使用情况和值分配方式,有三种类型的标记。

  • 具有预定义值的标记

    您可以创建值列表并将该列表与标记键定义关联。当用户将标记应用于资源时,他们必须从预定义值列表中选择一个值。使用预定义值的列表对用户可以应用于标记的值施加限制。

  • 成本跟踪标记

    设置预算以管理资源使用成本时使用的标记。

  • 标记默认值

    您可以定义在特定区间中创建所有资源时应用于所有资源的默认标记。设置标记默认值可确保在创建资源时应用适当的标记,而不要求创建资源的用户有权访问标记名称空间。使用标记变量可以为区间中创建的资源高效创建标记默认值。例如:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

自由形式标记

在资源的生命周期中应用于资源的自定义未管理元数据。

要了解详细信息,请参阅了解更多部分中链接的 Oracle Cloud 基础指南。