Documentazione di Oracle Cloud Infrastructure

Gestione dei principal risorse

È possibile gestire i principal delle risorse cluster del servizio Big Data dalla pagina Dettagli cluster.

Nota

È consentita una sola configurazione di principal risorsa attiva per cluster.

Big Data Service 3.0.28 e ODH versione 1.1.13/2.0.9 supportano i principal delle risorse. I cluster precedenti che seguono il percorso di aggiornamento con Big Data Service 3.0.27 minimo (creazione cluster diretta o aggiornamento) sono idonei per l'upgrade per supportare i principal delle risorse. Per utilizzare i principal delle risorse, è necessario aggiornare sia il servizio Big Data che ODH alle versioni elencate in precedenza. Con l'introduzione del supporto del principal delle risorse, Big Data Service può connettersi a diversi servizi OCI utilizzando l'autenticazione del principal delle risorse e i criteri possono essere definiti per più livelli (livello di risorsa, livello di compartimento e così via).

Per gestire i principal delle risorse cluster di Big Data Service, vedere:

Nota

Un nuovo token di sessione del principal risorsa viene emesso e distribuito a tutti i nodi del cluster nelle situazioni riportate di seguito.
  1. Sostituzione di un nodo
  2. Aggiunta di un nodo

Prerequisiti

  • Big Data Service 3.0.28 o versione successiva
  • ODH 1.1.13 o versione successiva per ODH 1
  • ODH 2.0.9 o versione successiva per ODH 2
  • L'autorizzazione update bds

    Per ulteriori informazioni sui criteri di Big Data Service, vedere Criteri di Big Data Service

Criteri di esempio

È possibile creare i criteri riportati di seguito anche per un gruppo specifico.

Consenti accesso in sola lettura a Big Data Service agli oggetti e ai bucket nella tenancy per un cluster

allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}

Consenti accesso in sola lettura a bucket specifici nella tenancy per il cluster Big Data Service

allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}

Consenti accesso in sola lettura agli oggetti e ai bucket nella tenancy per tutti i cluster del servizio Big Data che hanno origine da un compartimento specifico

allow any-user to read buckets in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}
allow any-user to read objects in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}

Consenti accesso in sola lettura agli oggetti e ai bucket in tenant diversi per il cluster Big Data Service (ad esempio, l'accesso tra tenancy)

Criteri necessari nella tenancy di origine in cui è stato creato il cluster Big Data Service effettivo.

Define tenancy <Target-Tenancy-Name> as <Target-Tenancy-OCID>
Endorse any-user to read object-family in tenancy <Target-Tenancy-Name>
Endorse any-user to read buckets in tenancy <Target-Tenancy-Name>
Endorse any-user to read objects in tenancy <Target-Tenancy-Name>

Criteri necessari nella tenancy di destinazione in cui si accede alle risorse.

Define tenancy <Source-BDS-Cluster-Tenancy-Name> as <Source-BDS-Cluster-Tenancy-OCID>
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read object-family in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read buckets in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read objects in tenancy where request.principal.id='<BDS Cluster OCID>'

Criterio IAM richiesto per principal risorsa

Per monitorare le metriche correlate al principal risorsa (RPST), è necessario disporre del tipo di accesso richiesto concesso tramite un criterio scritto da un amministratore. Il criterio deve consentire l'accesso al servizio di monitoraggio e ai compartimenti specifici del servizio Big Data monitorati.

Se si riceve l'autorizzazione negata o un errore non autorizzato, verificare:

  • Il criterio di accesso include le autorizzazioni oci_monitoring.
  • Si sta lavorando nel compartimento corretto.
Riferimento: per i dettagli sulle autorizzazioni richieste e sull'accesso al compartimento, vedere Monitoraggio del criterio IAM.

Metriche principal risorsa

Per ulteriori informazioni sulle metriche dei principal delle risorse, vedere Metriche disponibili: oci_big_data_service.

Casi d'uso delle metriche RPST e scenari di monitoraggio combinati:

Metrica: ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold

Scopo:

Utilizzato per monitorare in modo proattivo i token RPST che si avvicinano alla scadenza (oltre l'80% della loro durata) per nodo.

Utilizzare questa metrica quando:

  • Si desidera identificare i token che scadono a breve.
  • È necessario attivare gli avvisi prima della scadenza effettiva del token per evitare interruzioni.
  • Si desidera consentire il tempo del buffer per la rigenerazione automatica o manuale dei token.

Query di esempio:

ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[2h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqa7h57hcu6f5pvxpwl6j5u2ipl3qqdcavjlqyixtgjjiva"}.count()

Metrica: ResourcePrincipalSessionTokenStatus

Scopo:

Utilizzato per rilevare problemi di token critici, ad esempio il token RPST scaduto o mancante a livello di nodo.

Utilizzare questa metrica quando:

  • Si desidera eseguire controlli dello stato in tempo reale sulla disponibilità dei token.
  • Si desidera eseguire un'azione immediata se un nodo dispone di un token interrotto o scaduto.
  • Si desidera classificare il tipo di errore: 1 per scaduto, 2 per mancante.

Query di esempio:

ResourcePrincipalSessionTokenStatus[30m]{resourceId = "ocid1.instance.oc1.iad.anuwcljtanx7lvqc7uvyibak2qlvjwvzz4mtb6qiusn6x4zsvpx4kpfydczq"}.count()

Metrica: ResourcePrincipalTokenRefreshedInLast30Mins

Scopo:

Utilizzato per tenere traccia se i token RPST sono stati aggiornati di recente e valutati a livello di cluster. Ciò dovrebbe essere vero se ResourcePrincipalSessionTokenStatus è scaduto o mancante per qualsiasi nodo.

Utilizzare questa metrica quando:

  • Assicurarsi che i processi di rinnovo del token periodico siano in esecuzione correttamente.

  • Si desidera che un heartbeat a livello di cluster indichi che la gestione dei token funziona correttamente.

  • Si desidera rilevare i token non più validi in tutti i nodi se questa metrica è false.

Query di esempio:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()

Monitoraggio proattivo + risoluzione immediata

Obiettivo: rilevare i token prossimi alla scadenza e assicurarsi che nessuno sia mancante o scaduto.

Utilizzare insieme le metriche riportate di seguito.

  • ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold
  • ResourcePrincipalSessionTokenStatus

Query di esempio (aggregare le query riportate di seguito):

Query 1:

 ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()

Query 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Controllo dello stato con convalida aggiornamento

Obiettivo: confermare che tutti i token vengono aggiornati periodicamente e che non sono presenti token scaduti o mancanti.

Utilizzare insieme le metriche riportate di seguito.

  • ResourcePrincipalTokenRefreshedInLast30Mins
  • ResourcePrincipalSessionTokenStatus

Query di esempio (aggregare le query riportate di seguito):

Query 1:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()

Query 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Verifica disponibilità cluster

Obiettivo: assicurarsi che tutti i nodi siano pronti (token attivi, aggiornati di recente, nessuna scadenza imminente).

Utilizza tutte e tre le metriche:

  • ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold
  • ResourcePrincipalSessionTokenStatus
  • ResourcePrincipalTokenRefreshedInLast30Mins

Query di esempio (aggregare le query riportate di seguito):

Query 1:

ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()

Query 2:

ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()

Query 3:

ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.max()

Attributi supportati

I seguenti attributi sono supportati dai principal delle risorse di Big Data Service. Può essere utilizzato sia a livello di criteri che a livello di gruppo dinamico. Quando si utilizzano gli attributi del principal risorsa a livello di gruppo dinamico, assicurarsi di rigenerare il token di accesso al principal risorsa per renderlo effettivo.

  • request.principal.id: ID principal risorsa. Il valore è uguale all'ID del servizio Big Data e viene utilizzato per l'isolamento specifico a livello di risorsa.
  • request.resource.compartment.id: l'ID compartimento delle risorse del servizio Big Data utilizzato per l'isolamento a livello di compartimento.
  • request.resource.tenancy.id: l'ID tenancy della risorsa Big Data Service viene utilizzato per l'isolamento a livello di tenancy.
  • request.principal.type: il tipo di principal della risorsa Big Data Service. Tutti i valori dei principal delle risorse specifici di Big Data Service sono 'bigdataservice'.