Configuration et politiques requises pour le service de flux de données OCI pour exécuter des tâches
Seules les tâches d'intégration que vous créez et publiez dans le service d'intégration de données peuvent être configurées pour s'exécuter dans le service de flux de données OCI.
Pour exécuter les tâches du service de flux de données OCI, assurez-vous d'avoir configuré les ressources et politiques suivantes.
-
Doit être configuré pour utiliser les clés secrètes du service de chambre forte OCI pour les mots de passe afin de se connecter aux sources de données. C'est nécessaire pour transmettre les données d'identification en toute sécurité entre les services OCI. Voir Clés secrètes de chambre forte OCI et portefeuilles Oracle.
-
Doit être spécifié à l'aide du nom de domaine complet (FQDN) des hôtes de base de données. Le service de flux de données OCI ne permet pas les connexions au moyen d'adresses IP directes.
Service de stockage d'objets OCI
-
Les seaux de stockage d'objets sont requis pour :
- Service de flux de données OCI pour charger les journaux d'exécution de l'application de flux de données.
- Service d'intégration de données permettant de charger les artefacts pour les tâches d'exécution telles que les fichiers JAR et zip.
Lors de la modification de la première heure d'exécution de la configuration du service de flux de données OCI d'une tâche, le service d'intégration de données sélectionne automatiquement le seau
dis-df-system-buckets'il existe déjà. Sinon, vous devez sélectionner un journal et un seau d'artefacts lorsque vous mettez à jour la configuration d'exécution de tâche pour utiliser le service de flux de données. -
Autorisations pertinentes et politiques IAM pour accéder au service de stockage d'objets, comme décrit dans Exemples de politiques pour activer l'accès au service de stockage d'objets pour OCI.
Différents types de politique (principal de ressource et au nom de) sont requis pour l'utilisation du stockage d'objets. Les politiques requises dépendent également si l'instance de stockage d'objets et l'espace de travail d'intégration de données se trouvent dans la même location ou dans des locations différentes, et si vous créez les politiques au niveau du compartiment ou de la location. D'autres exemples sont disponibles dans les politiques du service d'intégration de données pour Oracle Cloud Infrastructure (OCI) du blogue pour vous aider à identifier les politiques correspondant à des besoins spécifiques.
Service de flux de données pour OCI
-
Une piscine. Voir Création d'un groupe dans la documentation sur le service de flux de données pour OCI.
Pour exécuter les tâches du service d'intégration de données dans le service de flux de données pour OCI, le groupe requis doit avoir une configuration unique avec au moins deux formes de calcul.
-
Point d'extrémité privé. Voir Création d'un point d'extrémité privé dans la documentation sur le service de flux de données pour OCI.
Si les tâches du service d'intégration de données accèdent à des sources de données qui ne sont disponibles qu'à l'aide d'adresses IP privées, un point d'extrémité privé est requis pour accorder l'accès au service de flux de données OCI à un réseau privé de la location afin d'utiliser ces sources de données.
-
Politiques pertinentes pour publier à partir du service d'intégration de données les tâches pour lesquelles la configuration d'exécution du service de flux de données est activée et exécuter les tâches sur le service de flux de données (avec ou sans points d'extrémité privés).
Pour que le service d'intégration de données exécute des tâches dans le service de flux de données :
allow any-user to manage dataflow-family in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}Pour que l'utilisateur puisse accéder directement au service de flux de données :
allow group <group-name> to read dataflow-application in compartment <compartment-name>allow group <group-name> to manage dataflow-run in compartment <compartment-name>Pour que l'utilisateur puisse gérer les points d'extrémité privés et les ensembles de clés secrètes du service de flux de données :
allow any-user to read dataflow-private-endpoint in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}allow any-user to read secret-bundles in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}Pour que le service de flux de données puisse lire les journaux d'exécution de l'application à partir du seau de stockage d'objets spécifié dans la configuration d'exécution de la tâche d'intégration de données pour le service de flux de données :
ALLOW SERVICE dataflow TO READ objects IN tenancy WHERE target.bucket.name = '<log-bucket-name>'Pour les utilisateurs non administrateurs, ces politiques sont requises :
allow group <group-name> to inspect dataflow-private-endpoint in compartment <compartment-name>allow group <group-name> to read secret-bundles in compartment <compartment-name>
Après avoir satisfait aux exigences préalables en matière de ressources et de politiques, modifiez la configuration d'exécution de la tâche à exécuter dans le service de flux de données OCI. Voir Mise à jour de la configuration d'exécution de tâche pour le service de flux de données OCI.
Après avoir ajouté des composants IAM (par exemple, des groupes dynamiques et des énoncés de politique), n'essayez pas d'effectuer les tâches associées immédiatement. Les nouvelles politiques IAM nécessitent environ cinq à 10 minutes pour entrer en vigueur.