Trabajar con instancias
Oracle Cloud Infrastructure Compute permite aprovisionar y gestionar hosts de recursos informáticos, conocidos como instancias. Puede crear instancias según sea necesario para cumplir con los requisitos de los recursos informáticos y la aplicación. Después de crear una instancia, puede acceder a ella de forma segura desde su equipo, reiniciarla, asociar y desasociar volúmenes y terminarla cuando haya finalizado.
- Creación de una instancia: siga los pasos que aparecen en este tema para crear una instancia informática dedicada o de máquina virtual (VM).
- Las instancias iniciadas con imágenes de Oracle Linux, CentOS o Ubuntu usan un par de claves SSH en lugar de una contraseña para autenticar a un usuario remoto. Por lo tanto, para conectarse a una instancia, puede que necesite crear un par de claves SSH.
- Puede crear instancias ampliables, instancias blindadas e instancias confidenciales.
- Puede configurar las instancias para que utilicen distintos tipos de capacidad.
- Puede agregar memoria ampliada y núcleos a instancias con instancias de VM de memoria ampliada.
- Conexión a una instancia: puede conectarse a una instancia en ejecución mediante una conexión de shell seguro (SSH) o escritorio remoto.
- Edición de una instancia: Puede editar las propiedades de una instancia informática sin tener que recrear la instancia ni volver a desplegar las aplicaciones.
- Parada, inicio o reinicio de una instancia: puede parar e iniciar una instancia según sea necesario para actualizar el software o resolver condiciones de error.
- Sustitución de un volumen de inicio: puede sustituir automáticamente el volumen de inicio de una instancia sin finalizar ni volver a crear la instancia.
- Configuración de notificaciones contextuales para una instancia: puede recibir mensajes si sucede algo relacionado con una instancia informática.
- Adición de usuarios a una instancia: puede agregar usuarios a una instancia informática.
- Ejecución de comandos en una instancia: puede configurar y gestionar instancia informáticas de forma remota, así como solucionar problemas, ejecutando scripts en la instancia mediante la función de ejecución de comando.
- Desactivación de multithreading simultáneo: puede desactivar el multithreading simultáneo (SMT) en las instancias mediante la consola o mediante comandos de la CLI.
- Obtención de metadatos de instancia: el servicio de metadatos de instancia (IMDS) proporciona información sobre una instancia en ejecución, incluidos los detalles sobre la instancia, sus tarjetas de interfaz de red virtual adjuntas (VNIC), sus asociaciones de volúmenes adjuntas activadas para rutas múltiples y los metadatos personalizados que defina. IMDS también proporciona información a cloud-init, que puede utilizar para varias tareas de inicialización del sistema.
- Actualización de metadatos de instancia: puede agregar y actualizar metadatos personalizados para una instancia informática mediante la CLI o las API de REST.
- Movimiento de una instancia informática a un nuevo host: puede cambiar la ubicación de las instancias mediante la migración con inicio o un proceso manual.
- Terminación de una instancia: puede suprimir (terminar) de forma permanente las instancias que ya no necesite. Cualquier VNIC y volumen asociados se desconectan automáticamente cuando finaliza la instancia.
Zonas de seguridad
Las zonas de seguridad garantizan que los recursos en la nube cumplen los principios de seguridad de Oracle. Si alguna operación en un recurso de un compartimento de zona de seguridad infringe una política para esa zona de seguridad, la operación se denegará.
Las siguientes políticas de zonas de seguridad afectan a la capacidad de crear instancias:
- El volumen de inicio de una instancia informática en una zona de seguridad debe estar en la misma zona de seguridad.
- Una instancia informática que no esté en una zona de seguridad no pueda utilizar un volumen de inicio que esté en una zona de seguridad.
- Una instancia informática que esté en una zona de seguridad debe utilizar subredes que estén en la misma zona de seguridad.
- Todas las instancias informáticas que estén en una zona de seguridad se deben crear mediante imágenes de plataforma. No puede crear una instancia informática a partir de una imagen personalizada en una zona de seguridad.
Si no se implementa una de las políticas de zona de seguridad mostradas, es posible que se impida la creación de una instancia.
Política de IAM necesaria para trabajar con instancias
Para utilizar Oracle Cloud Infrastructure, un administrador debe ser miembro de un grupo al que un administrador de arrendamiento haya otorgado acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si recibe un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador del arrendamiento el tipo de acceso que tiene y en qué compartimento trabaja el acceso.
Cuando crea una instancia, intervienen varios otros recursos, como una imagen, una red en la nube y una subred. Esos otros recursos pueden estar en el mismo compartimento con la instancia o en otros compartimentos. Debe tener el nivel de acceso necesario para cada uno de los compartimentos implicados para iniciar la instancia. Esto también ocurre al asociar un volumen a una instancia; no tienen que estar en el mismo compartimento, pero si no lo están, necesita el nivel de acceso necesario a cada uno de los compartimentos.
Para administradores: la política más sencilla para permitir a los usuarios crear, editar y terminar (suprimir) instancias se muestra en Permitir a los usuarios iniciar instancias informáticas. Proporciona al grupo especificado acceso general a la gestión de instancias e imágenes, junto con el nivel de acceso necesario para asociar los volúmenes en bloque existentes a las instancias. Si el grupo especificado no necesita iniciar instancias o asociar volúmenes, puede simplificar esa política para que solo incluya manage instance-family y elimine las sentencias que involucran volume-family y virtual-network-family.
Si el grupo necesita crear volúmenes en bloque, necesitará la capacidad de gestionar volúmenes en bloque. Consulte Permitir a los administradores de volúmenes gestionar volúmenes en bloque, copias de seguridad y grupos de volúmenes.
Si el grupo necesita acceso específicamente a imágenes de la comunidad, necesitará la capacidad de leer imágenes de la comunidad. Consulte Publicación de aplicaciones de comunidad.
Algunas tareas de Compute requieren políticas adicionales, como se describe en las siguientes secciones.
Catálogo de imágenes de socio
Si el grupo necesita crear instancias basadas en imágenes de socio, necesitarán gestionar el permiso de activación de la aplicación para crear suscripciones a imágenes del catálogo de imágenes de socio. Consulte Permitir a los usuarios mostrar y suscribirse a imágenes del catálogo de imágenes del socio .
Acceso a SSH y escritorio remoto
Para usuarios: para conectarse a una instancia en ejecución con una conexión de shell seguro (SSH) o escritorio remoto, no necesita una política de IAM para otorgarle acceso. Sin embargo, necesita la dirección IP pública de la instancia.
Para administradores: si hay una política que permite a los usuarios iniciar una instancia, es probable que también permita a los usuarios obtener la dirección IP de la instancia. La política más simple para ambos se muestra en Permitir que los usuarios inicien instancias de Compute.
A continuación, se muestra una política más restrictiva que permite que el grupo especificado obtenga la dirección IP de las instancias existentes y utilice acciones de potencia en las instancias (por ejemplo, parar o iniciar la instancia), pero no iniciar o terminar instancias. La política supone que las instancias y la red en la nube están juntas en un solo compartimento (XYZ).
Allow group InstanceUsers to read virtual-network-family in compartment XYZ
Allow group InstanceUsers to use instance-family in compartment XYZServicio de metadatos de instancia (IMDS)
Para usuarios: no es necesaria ninguna política de IAM si se ha conectado a la instancia y utiliza cURL para obtener los metadatos de la instancia.
Para administradores: los usuarios también pueden obtener metadatos de instancia a través de la API de Compute (por ejemplo, con GetInstance ). La política de Permitir que los usuarios inicien instancias de Compute abarca esa capacidad.
Para requerir que los puntos finales IMDSv1 heredados estén desactivados en cualquier instancia nueva que se cree, utilice la siguiente política:
Allow group InstanceLaunchers to manage instances in compartment ABC
where request.instanceOptions.areLegacyEndpointsDisabled= 'true'Reservas de capacidad
Para administradores: los siguientes ejemplos muestran políticas típicas que proporcionan acceso a reservas de capacidad. Cree la política en el arrendamiento para que el acceso se conceda fácilmente a todos los compartimentos mediante la herencia de políticas. Para reducir el ámbito de acceso a las reservas de capacidad de un compartimento concreto, especifique ese compartimento en lugar del arrendamiento.
Tipo de acceso: capacidad para iniciar una instancia en una reserva.
Allow group InstanceLaunchers to use compute-capacity-reservations in tenancy
Tipo de acceso: capacidad para gestionar reservas de capacidad.
Allow group InstanceLaunchers to manage compute-capacity-reservations in tenancy
Ejecutar comando
Para administradores: para escribir una política para la función de ejecución de comando, realice lo siguiente:
-
Cree un grupo que incluya a los usuarios a los que desea permitir emitir comandos, cancelar comandos y ver la salida de comando para las instancias de un compartimento. A continuación, escriba la siguiente política para otorgar acceso al grupo:
Allow group RunCommandUsers to manage instance-agent-command-family in compartment ABC -
Cree un grupo dinámico que incluya las instancias en las que desea permitir que se ejecuten comandos. Por ejemplo, una regla dentro del grupo dinámico puede indicar lo siguiente:
any { instance.id1 = 'ocid1.instance.oc1.phx.<unique_ID_1>', instance.id2 = 'ocid2.instance.oc1.phx.<unique_ID_2>' } -
Escriba la siguiente política para otorgar acceso al grupo dinámico:Nota
Si crea una instancia y, a continuación, la agrega a un grupo dinámico, la instancia tarda hasta 30 minutos en empezar a sondear los comandos. Si primero crea el grupo dinámico y, a continuación, crea la instancia, la instancia comienza a sondear los comandos tan pronto como se crea la instancia.Allow dynamic-group RunCommandDynamicGroup to use instance-agent-command-execution-family in compartment ABC where request.instance.id=target.instance.id -
Para permitir que el grupo dinámico acceda al archivo de script desde un cubo de Object Storage y guarde la respuesta en un cubo de Object Storage, escriba las siguientes políticas:
Allow dynamic-group RunCommandDynamicGroup to read objects in compartment ABC where all {target.bucket.name = '<bucket_with_script_file>'} Allow dynamic-group RunCommandDynamicGroup to manage objects in compartment ABC where all {target.bucket.name = '<bucket_for_command_output>'}
Tipos de inicio de red recomendados para instancias informáticas
Cuando crea una instancia de VM, por defecto, Oracle Cloud Infrastructure selecciona un tipo de red recomendado para la VNIC en función de la unidad de instancia y la imagen del sistema operativo. La interfaz de red maneja funciones como la entrada/salida de disco y la comunicación de red.
Están disponibles los siguientes tipos de redes:
- Redes virtualizadas: para cargas de trabajo de uso general, como aplicaciones empresariales, microservicios y pequeñas bases de datos. Las redes paravirtualizadas también proporcionan una mayor flexibilidad para utilizar la misma imagen en distintas plataformas de hardware. Las imágenes de Linux con redes paravirtualizadas soportan la migración en directo durante el mantenimiento de la infraestructura.
- Red asistida por hardware (SR-IOV): virtualización de entrada/salida de raíz única. Para cargas de trabajo de baja latencia, como la transmisión de vídeo, las aplicaciones en tiempo real y las bases de datos de gran tamaño o agrupadas en cluster. La red asistida mediante hardware (SR-IOV) utiliza el marco del controlador VFIO.
Para utilizar un tipo de red concreta, tanto la unidad como la imagen deben soportar ese tipo de red.
Unidades: En la siguiente tabla se muestran los tipos de red soportados y por defecto para unidades de máquina virtual.
| Unidad | Tipo de red por defecto | Tipos de red soportados |
|---|---|---|
| Serie VM.Standard1 | SR-IOV | Paravirtualizado, SR-IOV |
| Serie VM.Standard2 | Paravirtualizado | Paravirtualizado, SR-IOV |
| VM.Standard3.Flex | Paravirtualizado | Paravirtualizado, SR-IOV |
| Serie VM.Standard.E2 | Paravirtualizado | Solo paravirtualizado |
| VM.Standard.E3.Flex |
Paravirtualizado |
Paravirtualizado, SR-IOV |
| VM.Standard.E4.Flex |
Paravirtualizado |
Paravirtualizado, SR-IOV |
| VM.Standard.E5.Flex |
Paravirtualizado |
Paravirtualizado, SR-IOV |
| VM.Standard.E6Flexible |
Paravirtualizado |
Paravirtualizado, SR-IOV |
| VM.Standard.A1.Flex1 | Paravirtualizado | Paravirtualizado, SR-IOV |
| Serie VM.DenseIO1 | SR-IOV | Paravirtualizado, SR-IOV |
| Serie VM.DenseIO2 | Paravirtualizado | Paravirtualizado, SR-IOV |
| VM.DenseIO.E4.Flex | Paravirtualizado | Paravirtualizado, SR-IOV |
| Serie VM.GPU2 | SR-IOV | Paravirtualizado, SR-IOV |
| Serie VM.GPU3 | SR-IOV | Paravirtualizado, SR-IOV |
| Serie VM.GPU.A10 | SR-IOV | Paravirtualizado, SR-IOV |
| VM.Optimized3.Flex |
Paravirtualizado |
Paravirtualizado, SR-IOV |
Imágenes: las redes paravirtualizadas están soportadas en estas imágenes de plataforma:
- Oracle Linux 9, Oracle Linux 8, Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7.x, Oracle Linux Cloud Developer 8: todas las imágenes.
- Oracle Linux 7: imágenes publicadas a partir de marzo de 2019.
- CentOS Flujo 8, CentOS 7: imágenes publicadas a partir de julio de 2019.
- Ubuntu 22.04, Ubuntu 20.04: todas las imágenes.
- Ubuntu 18.04: imágenes publicadas a partir de marzo de 2019.
- Windows Server 2022, Windows Server 2019: todas las imágenes.
- Windows Server 2016, Windows Server 2012 R2: imágenes publicadas a partir de agosto de 2019.
Las redes SR-IOV están soportadas en todas las imágenes de la plataforma, con las siguientes excepciones:
- Las imágenes para las unidades basadas en Arm no soportan la red SR-IOV.
- En Windows Server 2019 y Windows Server 2022, cuando se inicia con una unidad de la serie VM.Standard2, la red SR-IOV no está soportada.
- En Windows Server 2012 R2, las redes SR-IOV están soportadas en imágenes de plataforma publicadas a partir de abril de 2021.
- La opción de instalación del núcleo del servidor para Windows Server no soporta redes SR-IOV.
Solución de Errores de Creación mediante Solicitudes de Trabajo
Las solicitudes de trabajo le ayudan a supervisar las operaciones de larga duración como, por ejemplo, las copias de seguridad de base de datos o el aprovisionamiento de instancias informáticas.
Si una operación como la operación de creación de instancia falla o si el estado de la instancia pasa directamente del aprovisionamiento a la terminación, utilice solicitudes de trabajo para determinar dónde se ha producido el error en el flujo de trabajo. Se pueden producir errores debido a problemas con la configuración o problemas con los datos del usuario. Se producen errores síncronos durante la llamada inicial a la API de Compute para crear la instancia. Los errores asíncronos se producen durante el flujo de trabajo de creación de la instancia que tiene lugar después de la llamada inicial a la API. Las solicitudes de trabajo capturan fallos de validación asíncronos. Una llamada de API de creación de instancia correcta que devuelva una respuesta de HTTP 200 puede ir seguida de un error asíncrono durante el flujo de trabajo de creación de instancia posterior.
La respuesta a la llamada a la API de REST contiene el OCID de la solicitud de trabajo en la cabecera opc-work-request-id. Puede supervisar el estado de la solicitud de trabajo en cualquier momento llamando a GetWorkRequest en la API de solicitudes de trabajo y transfiriendo el identificador de trabajo que se encuentra en la cabecera opc-work-request-id. Si se produce un error durante el flujo de trabajo, puede llamar a ListWorkRequestErrors en la API de solicitudes de trabajo y transferir el identificador de solicitud de trabajo para recuperar una lista de errores.
Para obtener información sobre el uso de solicitudes de trabajo para solucionar errores, consulte Solicitudes de trabajo. Para obtener información detallada sobre las solicitudes de trabajo asíncronas, incluido cómo filtrar la respuesta de la solicitud y una solicitud y una respuesta de muestra, consulte Solicitudes de trabajo asíncronas.
Gestión de etiquetas para una instancia
Puede aplicar etiquetas a los recursos para facilitar su organización según las necesidades de su negocio. Puede aplicar etiquetas al crear un recurso y actualizar un recurso más tarde para agregar, revisar o eliminar etiquetas. Para obtener información general sobre la aplicación de etiquetas, consulte Etiquetas de recursos.
Gestionar etiquetas de una instancia:
- Abra el menú de navegación y seleccione Recursos informáticos. En Recursos informáticos, seleccione Instancias.
-
Seleccione la instancia en la que está interesado.
-
Seleccione el separador Etiquetas para ver o editar las etiquetas existentes. O haga clic en Más acciones y, a continuación, en Agregar etiquetas para agregar nuevas.