Utilizzo delle istanze

Oracle Cloud Infrastructure Compute ti consente di eseguire il provisioning e gestire gli host di computazione, noti come istanze. Puoi creare le istanze in base alle esigenze per soddisfare i requisiti di computazione e applicazione. Dopo averla creata, è possibile accedere all'istanza in modo sicuro dal computer in uso, riavviarla, collegare e scollegare volumi e terminarla quando non è più necessaria.

Creazione di un'istanza: attenersi alla procedura descritta in questo argomento per creare un'istanza di computazione Bare Metal o Virtual Machine (VM).
- Le istanze avviate utilizzando le immagini Oracle Linux, CentOS o Ubuntu utilizzano una coppia di chiavi SSH anziché una password per autenticare un utente remoto. Pertanto, per connettersi a un'istanza, potrebbe essere necessario creare una coppia di chiavi SSH.
- È possibile creare istanze espandibili, istanze schermate e istanze riservate.
- È possibile configurare le istanze in modo che utilizzino tipi di capacità diversi.
- Puoi aggiungere memoria estesa e memorie centrali alle istanze con istanze VM con memoria estesa.
Connessione a un'istanza: è possibile connettersi a un'istanza in esecuzione utilizzando Secure Shell (SSH) o una connessione desktop remoto.
Modifica di un'istanza: è possibile modificare le proprietà di un'istanza di computazione senza dover ricreare l'istanza o ridistribuire le applicazioni.
Arresto, avvio o riavvio di un'istanza: è possibile arrestare e avviare un'istanza in base alle esigenze per aggiornare il software o risolvere le condizioni di errore.
Sostituzione di un volume di avvio: è possibile sostituire automaticamente il volume di avvio di un'istanza senza interrompere e ricreare l'istanza.
Impostazione delle notifiche contestuali per un'istanza: è possibile ottenere messaggi quando si verifica un problema con un'istanza di computazione.
Aggiunta di utenti a un'istanza: è possibile aggiungere utenti a un'istanza di computazione.
Esecuzione dei comandi su un'istanza: è possibile configurare, gestire e risolvere in remoto i problemi delle istanze di computazione eseguendo script all'interno dell'istanza utilizzando la funzione Esegui comando.
Disabilitazione del multithreading simultaneo: è possibile disabilitare il multithreading simultaneo (SMT) nelle istanze tramite la console o utilizzando i comandi dell'interfaccia CLI.
Recupero dei metadati dell'istanza: il servizio IMDS (Instance Metadata Service) fornisce informazioni su un'istanza in esecuzione, inclusi i dettagli sull'istanza, le schede VNIC (Virtual Network Interface Card) collegate, i collegamenti dei volumi abilitati per multipath collegati e tutti i metadati personalizzati definiti dall'utente. IMDS fornisce inoltre informazioni al cloud-init che è possibile utilizzare per vari task di inizializzazione del sistema.
Aggiornamento dei metadati dell'istanza: è possibile aggiungere e aggiornare i metadati personalizzati per un'istanza di computazione utilizzando l'interfaccia CLI o le API REST.
Spostamento di un'istanza di computazione in un nuovo host: è possibile riposizionare le istanze utilizzando la migrazione di riavvio o un processo manuale.
Arresto di un'istanza: è possibile eliminare definitivamente (terminare) le istanze non più necessarie. Tutte le VNIC e i volumi collegati vengono scollegati automaticamente quando l'istanza viene interrotta.

Security Zones

Security Zones garantisce che le tue risorse cloud siano conformi ai principi di sicurezza di Oracle. Se un'operazione su una risorsa in un compartimento della zona di sicurezza viola un criterio per tale zona di sicurezza, l'operazione viene negata.

I criteri delle zone di sicurezza riportati di seguito influiscono sulla capacità di creare istanze.

Anche il volume di avvio per un'istanza di computazione in una zona di sicurezza deve trovarsi nella stessa zona di sicurezza.
Un'istanza di computazione che non si trova in una zona di sicurezza non può utilizzare un volume di avvio che si trova in una zona di sicurezza.
Un'istanza di computazione in una zona di sicurezza deve utilizzare subnet che si trovano anche nella stessa zona di sicurezza.
Tutte le istanze di computazione in una zona di sicurezza devono essere create utilizzando le immagini della piattaforma. Non è possibile creare un'istanza di computazione da un'immagine personalizzata in una zona di sicurezza.

Importante

La mancata implementazione di uno dei criteri della zona di sicurezza elencati potrebbe impedire la creazione di un'istanza.

Criteri IAM necessari per l'utilizzo delle istanze

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Suggerimento

Quando crei un'istanza, sono coinvolte diverse altre risorse, come un'immagine, una rete cloud e una subnet. Tali altre risorse possono trovarsi nello stesso compartimento con l'istanza o in altri compartimenti. Per avviare l'istanza, è necessario disporre del livello di accesso richiesto a ciascuno dei compartimenti coinvolti. Ciò vale anche quando colleghi un volume a un'istanza; non deve trovarsi nello stesso compartimento, ma in caso contrario, hai bisogno del livello di accesso richiesto a ciascuno dei compartimenti.

Per gli amministratori: il criterio più semplice che consente agli utenti di creare, modificare e terminare (eliminare) le istanze è elencato in Consenti agli utenti di avviare le istanze di computazione. Fornisce al gruppo specificato l'accesso generale per gestire le istanze e le immagini, insieme al livello di accesso richiesto per collegare i volumi a blocchi esistenti alle istanze. Se il gruppo specificato non deve avviare istanze o collegare volumi, è possibile semplificare il criterio in modo che includa solo manage instance-family e rimuovere le istruzioni che coinvolgono volume-family e virtual-network-family.

Se il gruppo deve creare volumi a blocchi, avrà bisogno della possibilità di gestire i volumi a blocchi. Vedere Consenti agli amministratori dei volumi di gestire volumi a blocchi, backup e gruppi di volumi.

Se il gruppo ha bisogno di accedere alle immagini della community in modo specifico, avrà bisogno della possibilità di leggere le immagini della community. Vedere Pubblicazione di applicazioni della community.

Se non si ha familiarità con i criteri, vedere Gestione dei domini di Identity e Criteri comuni. Per il materiale di riferimento sulla scrittura di criteri per istanze, reti cloud o altre risorse API di Core Services, vedere Dettagli per i servizi di base.

Alcuni task di computazione richiedono criteri aggiuntivi, come descritto nelle sezioni seguenti.

Catalogo immagini partner

Se il gruppo deve creare istanze in base alle immagini dei partner, avrà bisogno dell'autorizzazione di gestione per l'elenco dei cataloghi di applicazioni per creare sottoscrizioni alle immagini dal catalogo di immagini dei partner. Vedere Consenti agli utenti di elencare e sottoscrivere immagini dal catalogo di immagini partner.

Accesso SSH e desktop remoto

Per gli utenti: per connettersi a un'istanza in esecuzione con una connessione Secure Shell (SSH) o Remote Desktop, non è necessario un criterio IAM per concedere l'accesso. Tuttavia, hai bisogno dell'indirizzo IP pubblico dell'istanza.

Per gli amministratori: se esiste un criterio che consente agli utenti di avviare un'istanza, tale criterio probabilmente consente anche agli utenti di ottenere l'indirizzo IP dell'istanza. Il criterio più semplice per entrambe le operazioni è elencato in Consenti agli utenti di avviare le istanze di computazione.

Di seguito è riportato un criterio più restrittivo che consente al gruppo specificato di ottenere l'indirizzo IP delle istanze esistenti e di utilizzare le azioni di alimentazione sulle istanze (ad esempio, arrestare o avviare l'istanza), ma non di avviare o arrestare le istanze. Il criterio presuppone che le istanze e la rete cloud siano insieme in un singolo compartimento (XYZ).

Allow group InstanceUsers to read virtual-network-family in compartment XYZ
Allow group InstanceUsers to use instance-family in compartment XYZ

IMDS (Instance Metadata Service)

Per gli utenti: non è richiesto alcun criterio IAM se si è connessi all'istanza e si utilizza cURL per ottenere i metadati dell'istanza.

Per gli amministratori: gli utenti possono anche recuperare i metadati dell'istanza tramite l'API di computazione (ad esempio, con GetInstance). Il criterio in Consenti agli utenti di avviare le istanze di computazione copre tale capacità.

Per richiedere che gli endpoint IMDSv1 precedenti siano disabilitati su qualsiasi nuova istanza creata, utilizzare il criterio seguente:

Allow group InstanceLaunchers to manage instances in compartment ABC 
  where request.instanceOptions.areLegacyEndpointsDisabled= 'true'

Assegnazioni capacità

Per gli amministratori: gli esempi seguenti mostrano i criteri standard che consentono di accedere alle riserve di capacità. Creare il criterio nella tenancy in modo che l'accesso venga concesso facilmente a tutti i compartimenti mediante l'ereditarietà dei criteri. Per ridurre l'ambito dell'accesso solo alle riserve di capacità in un determinato compartimento, specificare tale compartimento anziché la tenancy.

Tipo di accesso: consente di avviare un'istanza in una prenotazione.

Allow group InstanceLaunchers to use compute-capacity-reservations in tenancy

Tipo di accesso: capacità di gestire le assegnazioni capacità.

Allow group InstanceLaunchers to manage compute-capacity-reservations in tenancy

Esegui comando

Per gli amministratori: per scrivere i criteri per la funzione Esegui comando, effettuare le operazioni riportate di seguito.

Creare un gruppo che includa gli utenti che si desidera consentire di eseguire comandi, annullare i comandi e visualizzare l'output dei comandi per le istanze in un compartimento. Quindi, scrivere il seguente criterio per concedere l'accesso per il gruppo:
```
Allow group RunCommandUsers to manage instance-agent-command-family in compartment ABC
```
Creare un gruppo dinamico che includa le istanze su cui si desidera consentire l'esecuzione dei comandi. Ad esempio, una regola all'interno del gruppo dinamico può indicare:
```
any { instance.id1 = 'ocid1.instance.oc1.phx.<unique_ID_1>', instance.id2 = 'ocid2.instance.oc1.phx.<unique_ID_2>' }
```
Scrivere il seguente criterio per concedere l'accesso per il gruppo dinamico:
Nota

Se si crea un'istanza e quindi la si aggiunge a un gruppo dinamico, l'avvio del polling dei comandi da parte dell'istanza richiederà fino a 30 minuti. Se si crea prima il gruppo dinamico e quindi l'istanza, l'istanza inizia a eseguire il polling dei comandi non appena viene creata l'istanza.
```
Allow dynamic-group RunCommandDynamicGroup to use instance-agent-command-execution-family in compartment ABC where request.instance.id=target.instance.id
```

Per consentire al gruppo dinamico di accedere al file di script da un bucket di storage degli oggetti e salvare la risposta in un bucket di storage degli oggetti, scrivere i criteri riportati di seguito.

Allow dynamic-group RunCommandDynamicGroup to read objects in compartment ABC where all {target.bucket.name = '<bucket_with_script_file>'}
Allow dynamic-group RunCommandDynamicGroup to manage objects in compartment ABC where all {target.bucket.name = '<bucket_for_command_output>'}

Tipi di avvio di networking consigliati per le istanze di computazione

Quando crei un'istanza VM, per impostazione predefinita, Oracle Cloud Infrastructure sceglie un tipo di networking consigliato per la VNIC in base alla forma dell'istanza e all'immagine del sistema operativo. L'interfaccia di rete gestisce funzioni quali input/output del disco e comunicazione di rete.

Sono disponibili i tipi di rete elencati di seguito.

Networking pseudo-virtualizzato: per i carichi di lavoro generali quali applicazioni enterprise, microservizi e database di dimensioni ridotte. Il networking pseudo-virtualizzato offre inoltre una maggiore flessibilità per utilizzare la stessa immagine su piattaforme hardware diverse. Le immagini Linux con networking pseudo-virtualizzato supportano la migrazione in tempo reale durante la manutenzione dell'infrastruttura.
Networking SR-IOV (Hardware-assisted): Virtualizzazione di input/output root singola. Per i carichi di lavoro con bassa latenza quali streaming video, applicazioni in tempo reale e database di grandi dimensioni o in cluster. La rete SR-IOV (Hardware-Assisted) utilizza la struttura dei driver VFIO.

Importante

Per utilizzare un determinato tipo di rete, sia la forma che l'immagine devono supportare tale tipo di rete.

Forme: nella tabella seguente sono elencati i tipi di rete predefiniti e supportati per le forme VM.


Forma	Tipo di rete predefinito	Tipi di rete supportati
Serie VM.Standard1	SR-IOV	pseudo-virtualizzato, SR-IOV
Serie VM.Standard2	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.Standard3.Flex	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
Serie VM.Standard.E2	Pseudo-irtualizzazione	Solo pseudo-virtualizzati
VM.Standard.E3.Flex	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.Standard.E4.Flex	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.Standard.E5.Flex	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.Standard.E6. Flexfield	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.Standard.A1.Flex¹	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
Serie VM.DenseIO1	SR-IOV	pseudo-virtualizzato, SR-IOV
Serie VM.DenseIO2	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
VM.DenseIO.E4. Flexfield	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV
Serie VM.GPU2	SR-IOV	pseudo-virtualizzato, SR-IOV
Serie VM.GPU3	SR-IOV	pseudo-virtualizzato, SR-IOV
Serie VM.GPU.A10	SR-IOV	pseudo-virtualizzato, SR-IOV
VM.Optimized3. Flexfield	Pseudo-irtualizzazione	pseudo-virtualizzato, SR-IOV

Immagini: la rete pseudo-virtualizzata è supportata nelle immagini della piattaforma riportate di seguito.

Oracle Linux 9, Oracle Linux 8, Oracle Autonomous Linux 8.x, Oracle Autonomous Linux 7.x, Oracle Linux Cloud Developer 8: Tutte le immagini.
Oracle Linux 7: immagini pubblicate a marzo 2019 o in un secondo momento.
CentOS Stream 8, CentOS 7: immagini pubblicate a luglio 2019 o versioni successive.
Ubuntu 22.04, Ubuntu 20.04: tutte le immagini.
Ubuntu 18.04: Immagini pubblicate a marzo 2019 o versioni successive.
Windows Server 2022, Windows Server 2019: tutte le immagini.
Windows Server 2016, Windows Server 2012 R2: immagini pubblicate ad agosto 2019 o versioni successive.

Il networking SR-IOV è supportato su tutte le immagini della piattaforma, con le seguenti eccezioni:

Le immagini per le forme basate su Arm non supportano la rete SR-IOV.
In Windows Server 2019 e Windows Server 2022, se avviato utilizzando una forma della serie VM.Standard2, la rete SR-IOV non è supportata.
Su Windows Server 2012 R2, la rete SR-IOV è supportata sulle immagini della piattaforma rilasciate ad aprile 2021 o versioni successive.
L'opzione di installazione Server Core per Windows Server non supporta la rete SR-IOV.

Risoluzione dei problemi relativi agli errori di creazione mediante le richieste di lavoro

Le richieste di lavoro consentono di monitorare le operazioni con tempi di esecuzione lunghi, ad esempio i backup del database o il provisioning delle istanze di computazione.

Se un'operazione, ad esempio l'operazione di creazione dell'istanza, non riesce o se lo stato dell'istanza passa direttamente dal provisioning all'arresto, utilizzare le richieste di lavoro per determinare dove si è verificato l'errore nel workflow. Si possono verificare errori a causa di problemi di configurazione o di problemi con i dati utente. Si sono verificati errori sincroni durante la chiamata iniziale all'API di computazione per creare l'istanza. Si sono verificati errori asincroni durante il workflow di creazione dell'istanza che si verifica dopo la chiamata API iniziale. Le richieste di lavoro acquisiscono errori di convalida asincrona. Una chiamata API di creazione istanza riuscita che restituisce una risposta HTTP 200 potrebbe essere seguita da un errore asincrono durante il successivo workflow di creazione istanza.

La risposta alla chiamata all'API REST contiene l'OCID della richiesta di lavoro nell'intestazione opc-work-request-id. È possibile monitorare lo stato della richiesta di lavoro in qualsiasi momento chiamando GetWorkRequest nell'API Richieste di lavoro e passando l'ID della richiesta di lavoro trovato nell'intestazione opc-work-request-id. Se si verifica un errore durante il workflow, è possibile chiamare ListWorkRequestErrors nell'API Richieste di lavoro e passare l'ID della richiesta di lavoro per recuperare un elenco di errori.

Per informazioni sull'utilizzo delle richieste di lavoro per la risoluzione degli errori, vedere Richieste di lavoro. Per informazioni dettagliate sulle richieste di lavoro asincrone, tra cui la modalità di filtro della risposta alla richiesta e una richiesta e una risposta di esempio, vedere Richieste di lavoro asincrone.

Gestione delle tag per un'istanza

Applica tag alle risorse per organizzarle in base alle esigenze aziendali. È possibile applicare le tag quando si crea una risorsa ed è possibile aggiornare una risorsa in un secondo momento per aggiungere, rivedere o rimuovere le tag. Per informazioni generali sull'applicazione delle tag, vedere Tag risorsa.

Per gestire le tag per un'istanza, effettuare le operazioni riportate di seguito.

Aprire il menu di navigazione e selezionare Computazione. In Computazione, selezionare Istanze.
Selezionare l'istanza a cui si è interessati.
Selezionare la scheda Tag per visualizzare o modificare le tag esistenti. In alternativa, fare clic su Altre azioni, quindi su Aggiungi tag per aggiungerne di nuove.

¹ Vedere Limita in base alla dimensione di VM.Standard.A1. Forma flessibile che utilizza il tipo di rete SR-IOV

Documentazione di Oracle Cloud Infrastructure