Documentazione dell'infrastruttura Oracle Cloud

Impostazione e criteri obbligatori per il servizio OCI Data Flow per l'esecuzione dei task

Solo i task di integrazione creati e pubblicati in Data Integration possono essere configurati per l'esecuzione nel servizio OCI Data Flow.

Per eseguire i task nel servizio OCI Data Flow, assicurarsi di aver impostato le risorse e i criteri riportati di seguito.

Asset dati utilizzati nei task

  • Deve essere configurato per utilizzare i segreti di OCI Vault per consentire alle password di connettersi alle origini dati. Ciò è necessario per il passaggio sicuro delle credenziali tra i servizi OCI. Vedere Segreti di OCI Vault e wallet Oracle.

  • Deve essere specificato utilizzando il nome dominio completamente qualificato (FQDN) per gli host del database. Il servizio OCI Data Flow non consente connessioni tramite indirizzi IP diretti.

Storage degli oggetti OCI

  • I bucket di storage degli oggetti sono necessari per:
    • Il servizio OCI Data Flow per caricare i log di esecuzione dell'applicazione Data Flow.
    • Servizio Data Integration per caricare gli artifact per i job di esecuzione, ad esempio file jar e zip.

    Quando si modifica per la prima volta che il servizio OCI Data Flow di un task esegue la configurazione, il servizio Data Integration seleziona automaticamente il bucket dis-df-system-bucket se esiste già. In caso contrario, è necessario selezionare un log e un bucket artifact quando si aggiorna la configurazione di esecuzione task per utilizzare il servizio Flusso dati.

  • Autorizzazioni e criteri IAM pertinenti per accedere allo storage degli oggetti, come descritto in Esempi di criteri per abilitare l'accesso allo storage degli oggetti OCI.

Nota

Per utilizzare lo storage degli oggetti sono necessari diversi tipi di criteri (principal delle risorse e per conto di). I criteri necessari dipendono anche dal fatto che l'istanza di storage degli oggetti e l'area di lavoro di Data Integration si trovino nella stessa tenancy o in tenancy diverse e dalla possibilità di creare i criteri a livello di compartimento o tenancy. Altri esempi sono disponibili nel blog Policy in Oracle Cloud Infrastructure (OCI) Data Integration per aiutarti a identificare i criteri per esigenze specifiche.

Servizio OCI Data Flow

  • Una piscina. Vedere Creazione di un pool nella documentazione del flusso di dati OCI.

    Per eseguire i task del servizio Data Integration nel servizio OCI Data Flow, il pool richiesto deve avere una singola configurazione con almeno due forme di computazione.

  • Endpoint privato. Vedere Creazione di un endpoint privato nella documentazione del flusso di dati OCI.

    Se i task del servizio Integrazione dei dati accedono alle origini dati disponibili solo utilizzando IP privati, è necessario un endpoint privato per concedere a OCI Data Flow l'accesso a una rete privata nella tenancy per l'utilizzo di tali origini dati.

  • Criteri pertinenti per pubblicare dal servizio Data Integration i task per i quali è abilitata la configurazione di esecuzione del servizio Flusso dati ed eseguire i task nel servizio Flusso dati (con o senza endpoint privati).

    Affinché Data Integration esegua i task nel servizio Flusso dati:

    allow any-user to manage dataflow-family in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}

    Per consentire all'utente di accedere direttamente al servizio Flusso dati:

    allow group <group-name> to read dataflow-application in compartment <compartment-name>
    allow group <group-name> to manage dataflow-run in compartment <compartment-name>

    Per consentire all'utente di gestire gli endpoint privati e i bundle segreti di Data Flow:

    allow any-user to read dataflow-private-endpoint in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}
    allow any-user to read secret-bundles in compartment <compartment-name> where ALL {request.principal.type = 'disworkspace', request.principal.id = '<workspace-ocid>'}

    Affinché il servizio Data Flow legga i log di esecuzione dell'applicazione dal bucket di storage degli oggetti specificato nella configurazione di esecuzione del task di Data Integration per Data Flow:

    ALLOW SERVICE dataflow TO READ objects IN tenancy WHERE target.bucket.name = '<log-bucket-name>'

    Per gli utenti non amministratori, sono necessari i seguenti criteri:

    allow group <group-name> to inspect dataflow-private-endpoint in compartment <compartment-name>
    allow group <group-name> to read secret-bundles in compartment <compartment-name>

Dopo aver soddisfatto i requisiti delle risorse e dei criteri prerequisiti, modificare la configurazione di esecuzione del task che si desidera eseguire nel servizio OCI Data Flow. Vedere Aggiornamento della configurazione di esecuzione task per il servizio OCI Data Flow.

Nota

Dopo aver aggiunto i componenti IAM (ad esempio, gruppi dinamici e istruzioni dei criteri), non provare a eseguire immediatamente i task associati. I nuovi criteri IAM richiedono da cinque a 10 minuti per diventare effettivi.