1. Etablir un modèle de gouvernance Oracle Cloud Infrastructure de base
  2. Ressources et services Oracle Cloud Infrastructure

Ressources et services Oracle Cloud Infrastructure

Oracle Cloud Infrastructure (OCI) fournit divers services et ressources qui vous permettent de régir vos ressources. Découvrez les services OCI et comment ils peuvent permettre à votre organisation d'implémenter un modèle de gouvernance.

Ressources

Oracle Cloud Infrastructure (OCI) vous permet d'organiser vos ressources et d'implémenter la gouvernance dans votre organisation. Découvrez l'organisation physique et logique des ressources et services OCI.

Région

OCI est hébergé physiquement dans les régions géographiques et les domaines de disponibilité. Une région est une zone géographique précise, tandis qu'un domaine de disponibilité désigne un ou plusieurs centres de données situés dans une région.

Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (elles peuvent se trouver dans des pays voire des continents différents).

Une région est composée de domaines de disponibilité. Les ressources OCI sont propres à une région (par exemple, un réseau cloud virtuel) ou à un domaine de disponibilité (par exemple, une instance de calcul).

Domaine de disponibilité

Les domaines de disponibilité sont des centres de données indépendants et autonomes au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure une tolérance de panne. Les domaines de disponibilité ne partagent ni infrastructure (système d'alimentation ou de refroidissement par exemple), ni le réseau interne du domaine de disponibilité. Ainsi, il est peu probable qu'un problème survenant dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

Lorsque vous configurez des services cloud, utilisez plusieurs domaines de disponibilité pour assurer une haute disponibilité et vous protéger contre les échecs des ressources. Notez que certaines ressources doivent être créées dans le même domaine de disponibilité, par exemple, une instance et le volume de stockage associé.

Domaine de pannes

Un domaine de disponibilité est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous distribuez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes de serveur physique, de maintenance système et d'alimentation au sein d'un domaine de pannes.

Par exemple, une panne matérielle ou un événement de maintenance matérielle de calcul qui affecte un domaine de pannes n'a pas d'incidence sur les instances d'autres domaines de pannes.

Identification des ressources

L'OCID (identificateur Oracle Cloud) constitue un concept fondamental pour identifier les ressources OCI. Il s'agit d'un identificateur unique qui identifie les ressources d'un service Oracle Cloud Infrastructure (OCI) contenant des métadonnées sur les ressources. La ressource peut être un utilisateur, un groupe, une instance ou un service. La ressource qui est une instance d'un service ou d'un principal est un composant de l'OCID complet d'une ressource particulière.

OCI utilise l'OCID pour identifier et appliquer des stratégies aux ressources lorsque vous implémentez la gouvernance dans votre organisation. Voici la syntaxe de l'OCID et ses composants :

Oracle Cloud Infrastructure fournit les services suivants qui vous permettent de créer, d'organiser et d'administrer vos ressources cloud. 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1 : chaîne littérale indiquant la version de l'OCID.
  • Type de ressource : type de ressource, tel qu'instance, VCN, utilisateur ou groupe.
  • Domaine : un domaine est un ensemble de régions qui partagent des entités telles que oc1 pour le domaine commercial, oc2 pour le cloud gouvernemental, oc3 pour le gouvernement fédéral.
  • Région : la région géographique de résidence de la ressource est telle que phx, iad.
  • Utilisation future : indique si les ressources sont réservées pour une utilisation ultérieure.
  • Unique ID : partie unique de l'ID.

Location

Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lors de l'inscription à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud dans votre location. Une location est synonyme de société ou d'organisation. En général, une entreprise a une seule location et reflète sa structure organisationnelle au sein de cette location. Une location unique est généralement associée à un seul abonnement, et un seul abonnement ne comporte généralement qu'une location.

Chaque ressource d'une structure de location de la location appartient à un compartiment (à quelques exceptions près) qui permet de regrouper logiquement les ressources et de les gérer pour se conformer au modèle de gouvernance défini. Une ressource est provisionnée dans la location associée aux composants IaaS, PaaS et d'infrastructure, mais pas uniquement aux réseaux cloud virtuels, aux sous-réseaux, à la sécurité et aux règles de routage.

La plupart des ressources de base appartiennent à un compartiment dans la location. Toutefois, il existe des ressources de base globales qui vivent en dehors des compartiments.

Catégories

Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions qu'elles peuvent effectuer.

Les compartiments bien conçus permettent à votre organisation d'effectuer les opérations suivantes :

  • Contrôler l'accès par compartiment pour assurer la séparation des tâches et contrôler l'accès en fonction de fonctions telles que les ressources réseau ou les bases de données
  • Déléguer des privilèges d'administration aux administrateurs de compartiment pour gérer leurs ressources respectives
  • Développer un modèle de facturation interne par service en fonction de leurs compartiments respectifs
  • Définir des quotas et des bourgeons en fonction des compartiments

Limites de service

Lorsque vous inscrivez-vous à OCI, un ensemble de limites de service est configuré pour votre location. La limite de service est l'autorisation ou le quota appliqué à une ressource. Par exemple, votre location peut autoriser un nombre maximal d'instances Data Science Service. Chaque ressource a une limite et une portée définies. Les limites initialement définies dans la location sont basées sur une combinaison de ressources achetées dans la nomenclature et de valeurs déterminées en tant que valeurs par défaut. La portée des limites de service est régionale ou propre au domaine de disponibilité, ce qui offre une plus grande flexibilité. Ces limites peuvent être augmentées automatiquement en fonction de votre utilisation des ressources OCI et de votre niveau de compte.

Budgets

Vous pouvez spécifier un budget pour définir des limites ajustables sur vos dépenses OCI. Vous pouvez également définir des alertes sur votre budget pour vous avertir lorsque l'utilisation dépasse votre budget. Vous pouvez visualiser l'ensemble de vos budgets et de vos dépenses en un seul emplacement à l'aide de la console OCI.

Quotas de compartiment

Les quotas de compartiment permettent aux administrateurs de location et de compartiment de mieux contrôler la façon dont les ressources sont utilisées dans OCI. Les quotas permettent aux administrateurs d'allouer facilement des ressources aux compartiments à l'aide de la console. Les quotas de compartiment fournissent un mécanisme puissant pour gérer vos dépenses dans les locations OCI.

Consignation

La journalisation est un service hautement évolutif et entièrement géré qui permet d'accéder aux types de journal suivants à partir de vos ressources dans le cloud :
  • Journaux d'audit : journaux associés aux événements émis par le service Audit.
  • Journaux de service : journaux émis par des services individuels tels qu'API Gateway, Events, Functions, Load Balancing, Object Storage et les journaux de flux VCN.
  • Journaux personnalisés : journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs cloud ou d'un environnement sur site.

Groupes de journaux

Conteneurs logiques pour l'organisation des journaux utilisés pour définir/limiter l'accès aux journaux à un groupe limité d'utilisateurs. Vous pouvez créer des groupes de journaux distincts en fonction de la sensibilité des données de journal.

Par exemple, créez trois groupes de journaux : Security, Network et Application.

  • Ensuite, pour chaque groupe de journaux, créez des stratégies OCI IAM afin de permettre aux administrateurs d'accéder à la lecture de blogs à partir de groupes de journaux.
  • Autoriser le groupe SecOps à lire le contenu de journal dans la journalisation de compartiment où :
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

Analyses de journalisation

Une solution cloud dans OCI qui vous permet d'indexer, d'enrichir, d'agréger, d'explorer, de rechercher, d'analyser, de corréler, de visualiser et de surveiller toutes les données de journal à partir de vos applications et de votre infrastructure système.

Logging Analytics offre plusieurs façons d'obtenir des informations opérationnelles à partir de vos journaux.

  • Passer par l'interface utilisateur de l'explorateur de journaux
  • Agréger les informations des journaux dans des tableaux de bord
  • Utiliser les API pour inclure et analyser les données
  • Intégration à d'autres services OCI

Cloud Guard

Description de l'image cloud-guard-detector-recipe.png ci-après
Description de l'illustration cloud-guard-detector-recipe.png ci-après

Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner les failles de sécurité de vos ressources et pour surveiller les activités risquées des opérateurs et des utilisateurs. Lorsqu'une mauvaise configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.

recette de détecteur

Ensemble de règles/vérifications permettant d'identifier les problèmes de sécurité potentiels. Oracle fournit des recettes de détecteur de référence pour les services tels que les buckets de stockage d'objets, les instances de calcul, les instances VCN, les utilisateurs et les groupes IAM, les équilibreurs de charge, les listes de sécurité et les groupes de sécurité réseau. Vous ne pouvez pas mettre à jour la règle de recette pour les recettes gérées par Oracle. Toutefois, vous pouvez cloner des recettes gérées par Oracle et créer des recettes appelées recettes de détecteur gérées par l'utilisateur.

Recettes pour les règles de détection des problèmes

  • Recettes gérées par Oracle
  • Recettes gérées par l'utilisateur
  • Formules de détecteur de configuration
    • Bucket public
    • L'instance possède une adresse IP publique
    • Le certificat SSL LB est sur le point d'expirer
  • Recettes de détecteur d'activité
    • Utilisateur ajouté à un groupe
    • Instance Compute supprimée

Les recettes de détecteur de configuration vérifient les configurations de ressource. Par exemple, vérifiez si le bucket de stockage est public ou s'il existe une passerelle NAT ou Internet créée dans un VCN. D'autres recettes de détecteur détectent l'activité, comme la création d'un groupe dynamique ou l'ajout d'une carte d'interface réseau virtuelle à la machine virtuelle.

Formule de réponse

Ensemble de règles permettant de résoudre le problème détecté ou d'envoyer une action de demande de notification. La recette de répondeur par défaut ne permet pas de résoudre chaque problème. Toutefois, vous pouvez résoudre ce problème en appelant des fonctions à partir d'événements. Vous prenez des mesures correctives ou résolvez le problème à partir de la fonction OCI.

Comme les recettes de détecteur, il existe des recettes de répondeur gérées par Oracle et des recettes de répondeur gérées par le client. Les recettes de répondeur gérées par le client sont un clone des recettes gérées par Oracle dans lesquelles vous pouvez désactiver certaines des règles de répondeur prédéfinies.

Cible

Une cible définit la portée de ce que Cloud Guard doit vérifier. Elle inclut la liste des compartiments. Lorsque vous ajoutez un compartiment en tant que cible, Cloud Guard vérifie également tous les sous-compartiments. Les cibles sont définies lorsque les compartiments, les recettes de détecteur et les recettes de répondeur sont reliés entre eux.

Balisage

Les balises contiennent des métadonnées, des paires clé-valeur, qui sont attachées aux ressources et définissent leurs attributs tels que l'utilisation, le coût ou la propriété.

Bases des balises

Espace de noms de balise (uniquement applicable aux balises définies)

L'espace de noms de balise est un conteneur pour vos balises. Il comprend un nom, et aucune définition de clé de balise. L'espace de noms de balise est unique dans la location.

Clé de balise

Nom que vous utilisez pour faire référence à la balise. Les clés de balise sont uniques dans l'espace de noms.

Type de valeur de balise

Elle indique le type de données autorisé pour la valeur. Il existe deux types de données pris en charge : String et list de chaînes.

Valeur de balise

Il s'agit de la valeur que l'utilisateur applique aux balises. Certaines balises ont des valeurs prédéfinies. Les utilisateurs doivent choisir une valeur dans la liste des valeurs des autres balises.

Une ressource, qui est une instance d'un service sur un compartiment, peut comporter des balises. Les balises affectées à un compartiment sont affectées à toutes les ressources du compartiment.

Il existe deux façons d'affecter des balises aux ressources.

Balises définies

Les balises prédéfinies dans lesquelles les administrateurs gèrent les métadonnées sont plus fréquemment utilisées. Par exemple, pour créer des métadonnées de ressource afin de gérer des ressources ou de collecter des données, vous pouvez utiliser des balises définies. Il existe trois types de balise définie en fonction de leur utilisation et de la façon dont les valeurs sont affectées.

  • Balises avec des valeurs prédéfinies

    Vous pouvez créer une liste de valeurs et l'associer à une définition de clé de balise. Lorsque les utilisateurs appliquent la balise à une ressource, ils doivent sélectionner une valeur dans la liste des valeurs prédéfinies. Utilisez des listes de valeurs prédéfinies pour imposer des limites aux valeurs que les utilisateurs peuvent appliquer aux balises.

  • Balises de suivi des coûts

    Balises utilisées lors de la définition des budgets pour gérer le coût d'utilisation des ressources.

  • Valeurs de balise par défaut

    Vous pouvez définir des balises par défaut qui seront appliquées à toutes les ressources lors de leur création dans un compartiment spécifique. La configuration des valeurs de balise par défaut garantit que les balises appropriées sont appliquées lors de la création de la ressource, sans que l'utilisateur qui crée la ressource n'y ait accès. Utilisez des variables de balise pour créer efficacement des valeurs de balise par défaut pour les ressources créées dans un compartiment. Par exemple :
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

Balises à format libre

Métadonnées non gérées définies par l'utilisateur appliquées aux ressources pendant le cycle de vie d'une ressource.

Pour en savoir plus, reportez-vous au guide Fondations Oracle Cloud lié à la section Découvrir plus.