Documentation sur Oracle Cloud Infrastructure

Enclaves et interfaces

Du point de vue de l'utilisateur du nuage, Private Cloud Appliance Compute Enclave offre une expérience pratiquement identique à Oracle Cloud Infrastructure. Toutefois, l'appliance gère également sa propre zone d'administration spécifique et distincte, appelée Service Enclave. Chaque enclave et ses interfaces sont destinées à différents groupes d'utilisateurs et d'administrateurs, avec des profils d'accès clairement distincts.

Limites de l'Enclave

L'enclave de calcul a été délibérément conçue pour assurer une compatibilité maximale avec OCI. Les utilisateurs de Compute Enclave disposent de certaines autorisations pour créer et gérer des ressources en nuage. Ces privilèges sont généralement basés sur l'appartenance à un groupe. Compute Enclave est l'endroit où les charges de travail sont créées, configurées et hébergées. Les principaux éléments constitutifs à la disposition des utilisateurs sont les instances de calcul et les ressources de réseau et de stockage associées.

Les instances de calcul sont créées à partir d'une image de calcul, qui contient un système d'exploitation préconfiguré et un logiciel supplémentaire facultatif. Les instances de calcul ont une forme particulière, qui est un modèle de ressources matérielles virtuelles telles que les UC et la mémoire. Pour un fonctionnement minimal, une instance de calcul a besoin d'un volume de démarrage et d'une connexion à un réseau en nuage virtuel (VCN). Comme vous continuez à créer l'infrastructure virtuelle pour votre charge de travail, vous allez probablement ajouter d'autres instances de calcul, affecter des interfaces réseau privées et publiques, configurer des partages NFS ou des seaux de stockage d'objets, etc. Toutes ces ressources sont entièrement compatibles avec OCI et peuvent être portées entre vos environnements en nuage privés et publics.

Enclave de service est la partie du système où l'infrastructure du boîtier est contrôlée. L'accès est étroitement surveillé et limité aux administrateurs privilégiés. Il s'exécute sur une grappe de trois noeuds de gestion. Comme Private Cloud Appliance est déconnecté d'OCI sur le plan opérationnel, il a besoin d'un plan de contrôle propre, propre à la conception et à l'échelle de l'appareil. L'API est spécifique à Private Cloud Appliance, et l'accès est très strictement contrôlé. Les fonctionnalités fournies par le Service Enclave comprennent la gestion du matériel et de la capacité, la prestation de services, la surveillance et les outils de service et de soutien.

Les deux enclaves sont strictement isolées l'une de l'autre. Chaque enclave fournit son propre jeu d'interfaces : interface Web, interface de ligne de commande et API par enclave. Un compte d'administrateur avec un accès complet à Service Enclave ne dispose d'aucune autorisation dans Compute Enclave. L'administrateur crée la location avec un compte d'utilisateur principal pour l'accès initial, mais n'a aucune information sur le contenu et l'activité de la location. Les utilisateurs de Compute Enclave sont autorisés à utiliser, gérer et créer des ressources en nuage, mais ils n'ont aucun contrôle sur la location dans laquelle ils travaillent ni sur le matériel sur lequel résident leurs ressources virtuelles.

Profils d'accès

Chaque enclave possède ses propres interfaces. Pour accéder à Compute Enclave, vous utilisez l'interface utilisateur Web de calcul ou l'interface de ligne de commande OCI. Pour accéder à Service Enclave, vous utilisez l'interface utilisateur Web de service ou l'interface de ligne de commande de service.

Note

Vous accédez aux interfaces graphiques des deux enclaves à l'aide d'un navigateur Web. Pour obtenir des informations de soutien, consultez la politique de soutien au navigateur Web des logiciels Oracle.

Les propriétés de votre compte déterminent les opérations que vous êtes autorisé à effectuer et les ressources que vous pouvez voir, gérer ou créer. Que vous utilisiez l'interface utilisateur Web ou l'interface de ligne de commande ne fait aucune différence en termes d'autorisations. Toutes les opérations entraînent des demandes à une troisième interface centrale de l'enclave : l'API. Les demandes entrantes provenant de l'API Service Enclave ou de l'API Compute Enclave sont évaluées, puis autorisées ou rejetées par le service d'API.

Différentes catégories d'utilisateurs interagissent avec l'appliance à des fins différentes. Au niveau de l'enclave, nous faisons la distinction entre les administrateurs de l'infrastructure du boîtier d'une part et les utilisateurs qui gèrent les ressources en nuage des locations d'autre part. Dans chaque enclave, il existe différents profils d'accès qui offrent des autorisations différentes.

Dans l'Enclave de service, seule une équipe d'administrateurs sélectionnée doit disposer d'un accès complet. Il existe d'autres rôles d'administrateur avec accès restreint, par exemple pour les personnes responsables spécifiquement de la surveillance du système, de la planification de la capacité, de la disponibilité, de la mise à niveau, etc. Pour plus d'informations sur les rôles d'administrateur, voir Administration de l'infrastructure sur boîtier privé en nuage. Chaque fois qu'Oracle accède à l'Enclave de service pour effectuer des opérations de service et de soutien, un compte avec accès complet doit être utilisé.

Lorsqu'une location est créée, elle n'a qu'un seul compte d'utilisateur Compute Enclave : l'administrateur de la location, qui dispose d'un accès complet à toutes les ressources de la location. En pratique, chaque compte supplémentaire avec accès à la location est un compte d'utilisateur Compute Enclave standard, avec des autorisations plus ou moins restrictives en fonction de l'appartenance à un groupe et des définitions de politique. L'administrateur de la location a pour tâche de configurer des comptes d'utilisateur et des groupes d'utilisateurs supplémentaires, de définir une organisation de ressources et une stratégie de gestion, et de créer des politiques pour appliquer cette stratégie.

Une fois qu'une stratégie de gestion des ressources a été définie et qu'une configuration de base des utilisateurs, des groupes et des compartiments existe, l'administrateur de la location peut déléguer des responsabilités à d'autres utilisateurs disposant de privilèges élevés. Vous pouvez décider d'utiliser une politique simple permettant à un groupe d'administrateurs de gérer les ressources pour l'ensemble de l'organisation, ou vous pouvez préférer une approche plus granulaire. Par exemple, vous pouvez organiser les ressources dans un compartiment par équipe ou projet et laisser un administrateur de compartiment les gérer. En outre, vous pouvez conserver les ressources réseau et les ressources de stockage contenues dans leurs propres compartiments distincts, contrôlés respectivement par un administrateur de réseau et un administrateur de stockage. Le cadre politique du service de gestion des identités et des accès offre de nombreuses options différentes pour organiser les ressources et contrôler l'accès à celles-ci. Pour plus d'informations, voir Gestion des identités et des accès (IAM).

Lors de la création de scripts ou d'outils d'automatisation pour interagir directement avec l'API, assurez-vous que les développeurs comprennent les principes d'authentification et d'autorisation et la séparation stricte des enclaves. La documentation de référence de base sur les API est disponible pour les deux enclaves.

Pour voir les informations de référence sur l'API, ajoutez /api-reference à l'URL de base de l'interface utilisateur Web de calcul ou de l'interface utilisateur Web de service. Exemple :

  • URL de base de l'interface utilisateur Web du service : https://adminconsole.myprivatecloud.example.com.

    Référence à l'API Service Enclave : https://adminconsole.myprivatecloud.example.com/api-reference.

  • URL de base de l'interface utilisateur Web de calcul : https://console.myprivatecloud.example.com.

    Référence à l'API Compute Enclave : https://console.myprivatecloud.example.com/api-reference.