Enclaves e interfaces
Desde la perspectiva del usuario de la nube, el Enclave de recursos informáticos de Private Cloud Appliance ofrece una experiencia prácticamente idéntica a Oracle Cloud Infrastructure. Sin embargo, el dispositivo también ejecuta su propio área de administración específica e independiente conocida como el Enclave de servicio. Cada enclave y sus interfaces están destinados a diferentes grupos de usuarios y administradores, con perfiles de acceso claramente distintos.
Límites del Enclave
El enclave informático se diseñó deliberadamente para ofrecer la máxima compatibilidad con OCI. Los usuarios de Compute Enclave tienen determinados permisos para crear y gestionar recursos en la nube. Estos privilegios normalmente se basan en la pertenencia al grupo. En Compute Enclave es donde se crean, configuran y alojan las cargas de trabajo. Los principales bloques de creación a disposición de los usuarios son las instancias informáticas y los recursos de red y almacenamiento asociados.
Las instancias informáticas se crean a partir de una imagen informática, que contiene un sistema operativo preconfigurado y software adicional opcional. Las instancias informáticas tienen una unidad concreta, que es una plantilla de recursos de hardware virtual como CPU y memoria. Para una operación mínima, una instancia informática necesita un volumen de inicio y una conexión a una red virtual en la nube (VCN). A medida que siga creando la infraestructura virtual para su carga de trabajo, es probable que agregue más instancias informáticas, asigne interfaces de red públicas y privadas, configure recursos compartidos de NFS o bloques de almacenamiento de objetos, etc. Todos esos recursos son totalmente compatibles con OCI y se pueden migrar entre sus entornos de nube privada y pública.
Service Enclave (Enclave de servicio) es la parte del sistema donde se controla la infraestructura del dispositivo. El acceso se supervisa de cerca y está restringido a administradores con privilegios. Se ejecuta en un cluster de tres nodos de gestión. Debido a que Private Cloud Appliance está desconectado operacionalmente de OCI, necesita un plano de control propio, específico para el diseño y la escala del dispositivo. La API es específica de Private Cloud Appliance y el acceso está muy controlado. La funcionalidad proporcionada por el Enclave de servicio incluye gestión de hardware y capacidad, prestación de servicios, supervisión y herramientas para el servicio y el soporte.
Ambos enclaves están estrictamente aislados entre sí. Cada enclave proporciona su propio conjunto de interfaces: una interfaz de usuario web, una CLI y una API por enclave. Una cuenta de administrador con acceso completo al Enclave de servicio no tiene ningún permiso en el Enclave de recursos informáticos. El administrador crea el arrendamiento con una cuenta de usuario principal para el acceso inicial, pero no tiene información sobre el contenido y la actividad del arrendamiento. Los usuarios del Enclave de recursos informáticos tienen permiso para utilizar, gestionar y crear recursos en la nube, pero no tienen control sobre el arrendamiento en el que trabajan ni sobre el hardware en el que residen sus recursos virtuales.
Perfiles de acceso
Cada enclave tiene sus propias interfaces. Para acceder a Compute Enclave, utilice la interfaz de usuario web de Compute o la CLI de OCI. Para acceder al Enclave de servicio, utilice la interfaz de usuario web de servicio o la CLI de servicio.
Puede acceder a las interfaces gráficas de ambos enclaves mediante un explorador web. Para obtener información de soporte, consulte la Política de soporte del explorador web de software de Oracle.
Las propiedades de su cuenta determinan qué operaciones está autorizado a realizar y qué recursos puede ver, gestionar o crear. Tanto si utiliza la interfaz de usuario web como la CLI, no hay diferencia en términos de permisos. Todas las operaciones generan solicitudes a una tercera interfaz central del enclave: la API. Las solicitudes entrantes de la API de Enclave de servicio o la API de Enclave de recursos informáticos son evaluadas y posteriormente autorizadas o rechazadas por el servicio de API.
Diferentes categorías de usuarios interactúan con el dispositivo para diferentes fines. En el nivel de enclave, distinguimos entre los administradores de la infraestructura del dispositivo, por un lado, y los usuarios que gestionan recursos en la nube dentro de los arrendamientos, por otro. Dentro de cada enclave existen diferentes perfiles de acceso que ofrecen diferentes permisos.
En el Enclave de servicio, solo se debe otorgar acceso completo a un equipo seleccionado de administradores. Hay otros roles de administrador con acceso restringido, por ejemplo, para los responsables específicamente de la supervisión del sistema, la planificación de la capacidad, la disponibilidad, la actualización, etc. Para obtener más información sobre los roles de administrador, consulte Administración de infraestructura privada de Cloud Appliance. Siempre que Oracle acceda al Enclave de servicio para realizar operaciones de servicio y soporte, se debe utilizar una cuenta con acceso completo.
Cuando se crea un arrendamiento, solo tiene una cuenta de usuario de Compute Enclave: el administrador del arrendamiento, que tiene acceso completo a todos los recursos del arrendamiento. En la práctica, cada cuenta adicional con acceso al arrendamiento es una cuenta de usuario normal de Compute Enclave, con permisos más o menos restrictivos en función de la pertenencia al grupo y las definiciones de políticas. Es tarea del administrador del arrendamiento configurar cuentas de usuario y grupos de usuarios adicionales, definir una estrategia de gestión y organización de recursos y crear políticas para aplicar esa estrategia.
Una vez que se ha definido una estrategia de gestión de recursos y existe una configuración básica de usuarios, grupos y compartimentos, el administrador del arrendamiento puede delegar responsabilidades a otros usuarios con privilegios elevados. Puede decidir utilizar una política simple que permita a un grupo de administradores gestionar recursos para toda la organización, o bien puede preferir un enfoque más granular. Por ejemplo, puede organizar recursos en un compartimento por equipo o proyecto y permitir que un administrador de compartimentos los gestione. Además, puede que desee mantener los recursos de red y los recursos de almacenamiento incluidos en sus propios compartimentos independientes, controlados respectivamente por un administrador de red y un administrador de almacenamiento. El marco de políticas del servicio Identity and Access Management ofrece muchas opciones diferentes para organizar los recursos y controlar el acceso a ellos. Para obtener más información, consulte Gestión de identidad y acceso (IAM).
Al crear scripts o herramientas de automatización para interactuar directamente con la API, asegúrese de que los desarrolladores entiendan los principios de autenticación y autorización y la separación estricta de los enclaves. La documentación de referencia de API básica está disponible para ambos enclaves.
Para ver la referencia de API, agregue /api-reference a la URL base de la interfaz de usuario web de Compute o la interfaz de usuario web de servicio. Por ejemplo:
-
URL base de interfaz de usuario web de servicio: https://adminconsole.myprivatecloud.example.com.
Referencia de API de Enclave de servicio: https://adminconsole.myprivatecloud.example.com/api-reference.
-
URL base de la interfaz de usuario web informática: https://console.myprivatecloud.example.com.
Referencia de la API de Compute Enclave: https://console.myprivatecloud.example.com/api-reference.