Claves et interfaces
Du point de vue des utilisateurs du cloud, l'environnement de calcul de Private Cloud Appliance offre une expérience pratiquement identique à celle d'Oracle Cloud Infrastructure. Toutefois, l'appareil exécute également sa propre zone d'administration spécifique et distincte appelée Service Enclave. Chaque enclave et ses interfaces sont destinées à différents groupes d'utilisateurs et d'administrateurs, avec des profils d'accès clairement distincts.
Limites de l'enclave
L'clave de calcul a été délibérément conçu pour une compatibilité maximale avec OCI. Les utilisateurs de l'enclave de calcul disposent de certains droits d'accès permettant de créer et de gérer des ressources cloud. Ces privilèges sont généralement basés sur l'appartenance à un groupe. L'enclave de calcul est l'endroit où les charges globales sont créées, configurées et hébergées. Les principaux blocs de construction dont disposent les utilisateurs sont les instances de calcul et les ressources de stockage et de réseau associées.
Les instances de calcul sont créées à partir d'une image de calcul, qui contient un système d'exploitation préconfiguré et des logiciels supplémentaires en option. Les instances de calcul ont une forme particulière, qui est un modèle de ressources matérielles virtuelles telles que les CPU et la mémoire. Pour un fonctionnement minimal, une instance de calcul a besoin d'un volume d'initialisation et d'une connexion à un réseau cloud virtuel (VCN). Au fur et à mesure de la création de l'infrastructure virtuelle pour votre charge de travail, vous allez probablement ajouter d'autres instances de calcul, affecter des interfaces de réseau privé et public, configurer des partages NFS ou des buckets de stockage d'objets, etc. Toutes ces ressources sont entièrement compatibles avec OCI et peuvent être adaptées entre vos environnements de cloud privé et public.
L'clave de service est la partie du système sur laquelle l'infrastructure de l'appareil est contrôlée. L'accès est étroitement surveillé et restreint aux administrateurs privilégiés. Il s'exécute sur un cluster de trois noeuds de gestion. Etant donné que Private Cloud Appliance est déconnecté d'OCI sur le plan opérationnel, il a besoin d'un plan de contrôle propre, propre à la conception et à l'échelle de l'appliance. L'API est spécifique à Private Cloud Appliance et l'accès est très strictement contrôlé. La fonctionnalité fournie par l'Enclave du Service inclut la gestion du matériel et des capacités, la prestation de services, la surveillance et les outils de service et de support.
Les deux enclaves sont strictement isolées les unes des autres. Chaque enclave fournit son propre ensemble d'interfaces : une interface utilisateur Web, une CLI et une API par enclave. Un compte administrateur disposant d'un accès complet à l'enclave de service n'a aucun droit d'accès dans l'enclave de calcul. L'administrateur crée la location avec un compte utilisateur principal pour l'accès initial, mais ne dispose d'aucune information sur le contenu et l'activité de la location. Les utilisateurs de l'enclave de calcul disposent de droits d'accès leur permettant d'utiliser, de gérer et de créer des ressources cloud, mais ils n'ont aucun contrôle sur la location dans laquelle ils travaillent ou sur le matériel sur lequel résident leurs ressources virtuelles.
Profils d'accès
Chaque enclave possède ses propres interfaces. Pour accéder à l'enclave de calcul, utilisez l'interface utilisateur Web de calcul ou l'interface de ligne de commande OCI. Pour accéder à l'enclave de service, utilisez l'interface utilisateur Web de service ou l'interface de ligne de commande de service.
Vous accédez aux interfaces graphiques des deux enclaves à l'aide d'un navigateur Web. Pour plus d'informations sur le support, reportez-vous à la stratégie de support du navigateur Web Oracle.
Les propriétés de votre compte déterminent les opérations que vous êtes autorisé à effectuer et les ressources que vous pouvez afficher, gérer ou créer. Que vous utilisiez l'interface utilisateur Web ou l'interface de ligne de commande ne fait aucune différence en termes d'autorisations. Toutes les opérations entraînent des demandes à une troisième interface centrale de l'enclave : l'API. Les demandes entrantes de l'API Service Enclave ou de l'API Compute Enclave sont évaluées, puis autorisées ou rejetées par le service d'API.
Différentes catégories d'utilisateurs interagissent avec l'appliance à des fins différentes. Au niveau de l'enclave, nous faisons la distinction entre les administrateurs de l'infrastructure d'appliance d'une part et les utilisateurs gérant les ressources cloud au sein des locations d'autre part. Dans chaque enclave, il existe différents profils d'accès qui offrent des droits d'accès différents.
Dans l'enclave de service, seule une équipe d'administrateurs sélectionnée doit disposer d'un accès complet. D'autres rôles d'administrateur disposent d'un accès restreint, par exemple pour les responsables de la surveillance du système, de la planification des capacités, de la disponibilité, de la mise à niveau, etc. Pour plus d'informations sur les rôles d'administrateur, reportez-vous à Administration de l'infrastructure Private Cloud Appliance. Chaque fois qu'Oracle accède à Service Enclave pour effectuer des opérations de service et de support, un compte avec accès complet doit être utilisé.
Lorsqu'une location est créée, elle ne dispose que d'un seul compte utilisateur Compute Enclave : l'administrateur de location, qui dispose d'un accès complet à toutes les ressources de la location. Pratiquement parlant, chaque compte supplémentaire ayant accès à la location est un compte utilisateur Compute Enclave standard, avec des droits d'accès plus ou moins restrictifs en fonction de l'appartenance à un groupe et des définitions de stratégie. L'administrateur de location a pour tâche de configurer des comptes utilisateur et des groupes d'utilisateurs supplémentaires, de définir une stratégie d'organisation et de gestion des ressources et de créer des stratégies pour appliquer cette stratégie.
Une fois qu'une stratégie de gestion des ressources a été définie et qu'une configuration de base des utilisateurs, des groupes et des compartiments existe, l'administrateur de location peut déléguer des responsabilités à d'autres utilisateurs disposant de privilèges élevés. Vous pouvez décider d'utiliser une stratégie simple permettant à un groupe d'administrateurs de gérer les ressources pour l'ensemble de l'organisation, ou vous pouvez préférer une approche plus détaillée. Par exemple, vous pouvez organiser les ressources dans un compartiment par équipe ou projet et laisser un administrateur de compartiment les gérer. En outre, vous pouvez conserver les ressources réseau et de stockage contenues dans leurs propres compartiments distincts, contrôlés respectivement par un administrateur réseau et un administrateur de stockage. La structure de stratégie du service Identity and Access Management offre de nombreuses options différentes pour organiser les ressources et contrôler leur accès. Pour plus d'informations, reportez-vous àIdentity and Access Management (IAM).
Lorsque vous créez des scripts ou des outils d'automatisation pour interagir directement avec l'API, assurez-vous que les développeurs comprennent les principes d'authentification et d'autorisation et la séparation stricte des enclaves. La documentation de référence d'API de base est disponible pour les deux enclaves.
Pour afficher la référence d'API, ajoutez /api-reference à l'URL de base de l'interface utilisateur Web de calcul ou de service. Par exemple :
-
URL de base de l'interface utilisateur Web de service : https://adminconsole.myprivatecloud.example.com.
Référence d'API d'enclave de service : https://adminconsole.myprivatecloud.example.com/api-reference.
-
URL de base de l'interface utilisateur Web de calcul : https://console.myprivatecloud.example.com.
Référence d'API d'enclave de calcul : https://console.myprivatecloud.example.com/api-reference.