Documentación de Oracle Cloud Infrastructure

Gestión de principales de recursos

Puede gestionar principales de recursos de cluster de Big Data Service desde la página de detalles del cluster.

Nota

Solo se permite una configuración de entidad de recurso activa por cluster.

Big Data Service 3.0.28 y ODH versión 1.1.13/2.0.9 admiten principales de recursos. Los clusters más antiguos que siguen la ruta de actualización con Big Data Service 3.0.27 como mínimo (creación o actualización directa de cluster) son elegibles para la actualización para admitir principales de recursos. Para utilizar principales de recursos, tanto Big Data Service como ODH se deben actualizar a las versiones enumeradas anteriormente. Con la introducción del soporte de entidad de recurso, Big Data Service se puede conectar a diferentes servicios de OCI mediante la autenticación de entidad de recurso y se pueden definir políticas para varios niveles (nivel de recurso, nivel de compartimento, etc.).

Para gestionar entidades de recurso de cluster de Big Data Service, consulte:

Nota

Se emite un nuevo token de sesión de entidad de recurso y se distribuye a todos los nodos del cluster en las siguientes situaciones:
  1. Sustitución de un Nodo
  2. Adición de un nodo

Requisitos

  • Big Data Service 3.0.28 o posterior
  • ODH 1.1.13 o posterior para ODH 1
  • ODH 2.0.9 o posterior para ODH 2
  • Permiso update bds

    Para obtener más información sobre las políticas de Big Data Service, consulte Políticas de Big Data Service.

Políticas de ejemplo

También se pueden crear las siguientes políticas para un grupo específico.

Permitir acceso de solo lectura a Big Data Service de los objetos y cubos del arrendamiento para un cluster

allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}

Permitir acceso de solo lectura a cubos específicos del arrendamiento para el cluster de Big Data Service

allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}

Permitir acceso de solo lectura a los objetos y cubos del arrendamiento para todos los clusters de Big Data Service que se originan desde un compartimento específico

allow any-user to read buckets in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}
allow any-user to read objects in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}

Permitir acceso de solo lectura a los objetos y cubos de diferentes inquilinos para el cluster de Big Data Service (acceso entre arrendamientos, por ejemplo)

Políticas necesarias en el arrendamiento de origen donde se ha creado el cluster de Big Data Service real.

Define tenancy <Target-Tenancy-Name> as <Target-Tenancy-OCID>
Endorse any-user to read object-family in tenancy <Target-Tenancy-Name>
Endorse any-user to read buckets in tenancy <Target-Tenancy-Name>
Endorse any-user to read objects in tenancy <Target-Tenancy-Name>

Políticas necesarias en el arrendamiento de destino donde se accede a los recursos.

Define tenancy <Source-BDS-Cluster-Tenancy-Name> as <Source-BDS-Cluster-Tenancy-OCID>
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read object-family in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read buckets in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read objects in tenancy where request.principal.id='<BDS Cluster OCID>'

Política de IAM necesaria de entidad de recurso

Para supervisar las métricas relacionadas con la entidad de recurso (RPST), debe tener el tipo de acceso necesario otorgado mediante una política escrita por un administrador. La política debe permitir el acceso al servicio Monitoring y a los compartimentos de Big Data Service específicos que se están supervisando.

Si recibe un permiso denegado o un error no autorizado, verifique:

  • La política de acceso incluye permisos oci_monitoring.
  • Está trabajando en el compartimento correcto.
Referencia: consulte Supervisión de la política de IAM para obtener más información sobre los permisos necesarios y el acceso al compartimento.

Métricas de entidad de recurso

Para obtener más información sobre las métricas de entidad de recurso, consulte Métricas disponibles: oci_big_data_service.

Casos de uso de métricas RPST y escenarios de supervisión combinados:

Métrica: ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold

Objetivo:

Se usa para monitorear proactivamente los tokens RPST que están a punto de caducar (más allá del 80% de su vida útil) por nodo.

Utilice esta métrica cuando:

  • Desea identificar los tokens que caducan pronto.
  • Debe disparar alertas antes de la caducidad real del token para evitar interrupciones.
  • Desea permitir el tiempo de buffer para la regeneración automática o manual de tokens.

Consulta de ejemplo:

ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[2h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqa7h57hcu6f5pvxpwl6j5u2ipl3qqdcavjlqyixtgjjiva"}.count()

Métrica: ResourcePrincipalSessionTokenStatus

Objetivo:

Se utiliza para detectar problemas críticos de token, como que el token RPST ha caducado o falta en un nivel por nodo.

Utilice esta métrica cuando:

  • Desea realizar comprobaciones del sistema en tiempo real sobre la disponibilidad del token.
  • Desea realizar una acción inmediata si un nodo tiene un token roto o caducado.
  • Desea clasificar el tipo de fallo: 1 para caducado, 2 para faltante.

Consulta de ejemplo:

ResourcePrincipalSessionTokenStatus[30m]{resourceId = "ocid1.instance.oc1.iad.anuwcljtanx7lvqc7uvyibak2qlvjwvzz4mtb6qiusn6x4zsvpx4kpfydczq"}.count()

Métrica: ResourcePrincipalTokenRefreshedInLast30Mins

Objetivo:

Se utiliza para realizar un seguimiento de si los tokens RPST se han refrescado recientemente, evaluados en el nivel de cluster. Esto debe ser cierto en caso de que ResourcePrincipalSessionTokenStatus indique que ha caducado o falta para cualquier nodo.

Utilice esta métrica cuando:

  • Desea asegurarse de que los trabajos de renovación de token periódicos se están ejecutando correctamente.

  • Desea que un latido de nivel de cluster indique que la gestión de tokens funciona correctamente.

  • Desea detectar tokens obsoletos en todos los nodos si esta métrica es falsa.

Consulta de ejemplo:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()

Supervisión proactiva + corrección inmediata

Objetivo: detecte los tokens que están a punto de caducar y asegúrese de que ninguno falta o ha caducado.

Utilice las siguientes métricas juntas:

  • ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold
  • ResourcePrincipalSessionTokenStatus

Consulta de ejemplo (agregación a continuación de consultas):

Consulta 1:

 ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()

Consulta 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Comprobación del sistema con validación de actualización

Objetivo: confirme que todos los tokens se refrescan periódicamente y que no hay tokens caducados o que faltan.

Utilice las siguientes métricas juntas:

  • ResourcePrincipalTokenRefreshedInLast30Mins
  • ResourcePrincipalSessionTokenStatus

Consulta de ejemplo (agregación a continuación de consultas):

Consulta 1:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()

Consulta 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Verificación de preparación de cluster

Objetivo: asegúrese de que todos los nodos estén listos (tokens activos, refrescados recientemente, sin próxima caducidad).

Utilice las tres métricas juntas:

  • ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold
  • ResourcePrincipalSessionTokenStatus
  • ResourcePrincipalTokenRefreshedInLast30Mins

Consulta de ejemplo (agregación a continuación de consultas):

Consulta 1:

ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()

Consulta 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Consulta 3:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.max()

Atributos admitidos

Los siguientes atributos están soportados por principales de recursos de Big Data Service. Se puede utilizar tanto en el nivel de política como en el nivel de grupo dinámico. Al consumir atributos de entidad de recurso en el nivel de grupo dinámico, asegúrese de que regenerar token de acceso de entidad de recurso sea efectivo.

  • request.principal.id: ID de entidad de recurso. El valor es el mismo que el ID de Big Data Service y se utiliza para el aislamiento de nivel de recurso específico.
  • request.resource.compartment.id: ID de compartimento de recurso de Big Data Service y se utiliza para el aislamiento de nivel de compartimento.
  • request.resource.tenancy.id: ID de arrendamiento del recurso de Big Data Service y se utiliza para el aislamiento de nivel de arrendamiento.
  • request.principal.type: tipo de entidad de recurso de Big Data Service. Todos los valores de principales de recursos específicos de Big Data Service son 'bigdataservice'.