Documentazione dell'infrastruttura Oracle Cloud

Preparazione della tenancy

Prima che l'infrastruttura Compute Cloud@Customer sia connessa a Oracle Cloud Infrastructure, l'amministratore della tenancy deve impostare i compartimenti, creare criteri e configurare una rete cloud virtuale. Questa impostazione viene utilizzata per connettere l'infrastruttura Compute Cloud@Customer a Oracle Cloud Infrastructure.

Puoi preparare la tenancy prima che il rack Compute Cloud@Customer venga consegnato al tuo sito.

Se l'utilizzo dell'ambiente Oracle Cloud Infrastructure è una novità, consulta la sezione relativa alle migliori prassi per l'impostazione della tenancy.

Preparare la tenancy completando le attività seguenti:

Puoi anche guardare questo Video: Prepara la tua tenancy Oracle Cloud Infrastructure per Compute Cloud@Customer.

Nota

I task eseguiti in questa sezione sono necessari per stabilire la connessione tra OCI e l'infrastruttura Compute Cloud@Customer. È necessario eseguire task amministrativi simili, oltre a quanto descritto qui, prima di poter creare risorse come le istanze nell'infrastruttura Compute Cloud@Customer. La maggior parte dei task amministrativi aggiuntivi può essere eseguita dopo la preparazione della tenancy o dopo l'installazione. Vedere Amministrazione postinstallazione.

Definizione di un provider di identità federata

Prima di installare Compute Cloud@Customer, è necessario impostare la tenancy per utilizzare un provider di identità federato per gestire l'autenticazione.

Quando Oracle installa Compute Cloud@Customer, Oracle configura l'infrastruttura Compute Cloud@Customer in modo che utilizzi lo stesso provider di identità federato. Ciò ti consente di utilizzare le stesse credenziali per accedere a Oracle Cloud Infrastructure e Compute Cloud@Customer.

Se la tenancy è già configurata per utilizzare un provider di identità federato, incluso Identity Cloud Service di Oracle, si è tutti impostati. Condividere le informazioni sulla federazione identità con il rappresentante Oracle. In caso contrario, collaborare con il rappresentante Oracle per stabilire un provider di identità federato.

È possibile utilizzare un provider di identità esterno o Oracle Identity Cloud Service. Il tipo di provider di identità che è possibile utilizzare dipende dal tipo di tenancy in uso (una tenancy con domini di identità IAM o senza domini di identità IAM).

Per ulteriori informazioni, vedere le risorse riportate di seguito.

Importante

Se si modifica la configurazione del provider di identità in Oracle Cloud Infrastructure, Oracle deve apportare le stesse modifiche amministrative in Compute Cloud@Customer. In questa situazione, aprire una richiesta di supporto Oracle per richiedere assistenza. Vedere Creazione di una richiesta di supporto.

Per informazioni sulla protezione della federazione IAM, vedere Federazione IAM.

Crea utenti e gruppi

Per preparare la tenancy Oracle Cloud Infrastructure, identificare gli utenti e creare gruppi per le persone dell'organizzazione che amministrano l'infrastruttura Compute Cloud@Customer.

Eseguire questo task prima che Compute Cloud@Customer sia connesso a Oracle Cloud Infrastructure.

Per informazioni su come aggiungere utenti e gruppi, vedere Gestione degli utenti e dei gruppi di Oracle Identity Cloud Service nella console di Oracle Cloud Infrastructure.

  1. Identificare l'amministratore della tenancy.

  2. Creare almeno un gruppo con utenti in grado di eseguire i task amministrativi riportati di seguito.

    • Crea, aggiorna ed elimina le infrastrutture Compute Cloud@Customer.
    • Crea, aggiorna ed elimina le pianificazioni di upgrade di Compute Cloud@Customer.
    • Eseguire il processo di registrazione basato su certificati che stabilisce la connessione sicura dell'infrastruttura alla tenancy. Si consiglia di creare un gruppo specifico per questo task amministrativo e di concedere solo autorizzazioni limitate all'esecuzione di questo task.

I gruppi sono inclusi nei criteri definiti in seguito. Vedere Aggiungi criteri obbligatori.

Crea o identifica compartimenti

Quando Compute Cloud@Customer è connesso a Oracle Cloud Infrastructure, sono necessari uno o più compartimenti.

Un compartimento è una raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud. È possibile utilizzarle per separare le risorse al fine di controllare l'accesso (utilizzando i criteri) e l'isolamento (separazione delle risorse per un progetto o una business unit da un'altra).

Per Compute Cloud@Customer, è necessario almeno un compartimento per i seguenti elementi:

  • Connessione dell'infrastruttura Compute Cloud@Customer a Oracle Cloud Infrastructure.
  • La VCN creata per la connessione a Oracle Cloud Infrastructure.

Compute Cloud@Customer può essere connesso alla tenancy (compartimento radice), a un compartimento esistente o a un nuovo compartimento. È possibile utilizzare più compartimenti. Ad esempio, puoi utilizzare un compartimento per la connessione all'infrastruttura e un altro per la VCN.

  1. Creare o scegliere un compartimento in base alla modalità di utilizzo dei compartimenti per controllare l'accesso alle risorse.

    Se si prevede di creare un nuovo compartimento, connettersi a OCI e utilizzare la console di Oracle Cloud o utilizzare l'interfaccia CLI o l'API per creare il compartimento nella tenancy.

    Nota

    I compartimenti utilizzati per Compute Cloud@Customer, inclusi i compartimenti per l'installazione, vengono creati e gestiti in OCI. I compartimenti non vengono gestiti nell'infrastruttura Compute Cloud@Customer. Tutti i compartimenti nella tenancy vengono sincronizzati automaticamente con l'infrastruttura Compute Cloud@Customer, ogni dieci minuti circa.

    Per un'introduzione ai compartimenti e per istruzioni sulla gestione dei compartimenti, vedere Gestione dei compartimenti.

Aggiungi criteri obbligatori

Alcuni criteri IAM devono essere configurati prima che Compute Cloud@Customer sia connesso alla tenancy.

  1. Configurare i criteri riportati di seguito nella tenancy.

    Per informazioni sull'utilizzo dei criteri, vedere Gestione dei criteri.

    Se la tenancy supporta i domini di Identity, è possibile creare criteri che specificano il gruppo dinamico. Per determinare se la tenancy dispone o meno di domini di Identity, vedere Determinazione del tipo di tenancy.

    Nota

    È possibile creare istruzioni criteri diverse per ottenere lo stesso livello di accesso alle risorse. L'elenco di criteri riportato di seguito fornisce alcuni esempi. È possibile utilizzare l'esempio o creare variazioni di criteri, purché i criteri consentano l'accesso all'utente o al gruppo corretto per la risorsa specifica.

    Policy 1: consente agli utenti di creare, leggere, aggiornare ed eliminare le infrastrutture Compute Cloud@Customer e le pianificazioni di upgrade.
    Importante

    Specificare un gruppo IAM che includa solo gli utenti che richiedono le autorizzazioni per gestire le infrastrutture e le pianificazioni di upgrade. L'amministrazione di queste risorse è fondamentale per la funzionalità di Compute Cloud@Customer e non deve essere consentita agli utenti non autorizzati.
    Esempio di criterio per IAM con o senza domini di Identity:
    allow group <group_name> to manage ccc-family in tenancy
    Policy 2: consente a Compute Cloud@Customer di utilizzare i dati IAM per la gestione delle identità e degli accessi sulle risorse Compute Cloud@Customer.
    Esempio di criterio per IAM con o senza domini di Identity:
    allow any-user to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT } in tenancy where all { request.principal.id='<ccc-infrastructure_OCID>', request.principal.type='cccinfrastructure' }
    Esempio di criterio per IAM con domini di Identity:
    allow dynamic-group <dynamic-group> to {COMPARTMENT_INSPECT, USER_INSPECT, GROUP_INSPECT, DYNAMIC_GROUP_INSPECT, POLICY_READ, TAG_NAMESPACE_INSPECT, USER_READ, TAG_DEFAULT_INSPECT, TAG_NAMESPACE_READ, DOMAIN_READ, DOMAIN_INSPECT} in tenancy
    Criterio 3: consente al servizio dell'infrastruttura Compute Cloud@Customer di inviare notifiche sugli aggiornamenti.

    Per ulteriori informazioni sulle notifiche di upgrade e su come effettuare la sottoscrizione per riceverle, vedere Sottoscrizione alle notifiche di upgrade.

    Gli esempi riportati di seguito mostrano i criteri per IAM con o senza domini di Identity.
    allow any-user to manage ons-topics in tenancy where request.principal.type ='cccinfrastructurenotifier'

    Il criterio può essere modificato per limitare l'accesso al compartimento radice, come mostrato nell'esempio riportato di seguito.

    allow any-user to manage ons-topics in tenancy where all {request.principal.type='cccinfrastructurenotifier', target.compartment.name = 'root_compartment' }

    Se limiti l'accesso a un compartimento, deve trovarsi nel compartimento radice (tenancy).

    Criterio 4: consente a un utente del gruppo specificato di avviare il processo di registrazione che consente all'infrastruttura di comunicare con la tenancy OCI.
    Nota

    Non specificare un gruppo di amministratori regolare. Creare invece un gruppo con un utente il cui unico scopo è quello di eseguire il processo di registrazione.

    Per ulteriori informazioni, consulta la sezione Connessione di un'infrastruttura Compute Cloud@Customer a OCI.

    Gli esempi di criteri riportati di seguito sono relativi a IAM con o senza domini di Identity.

    In questo esempio il criterio viene impostato a livello di tenancy:

    allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in tenancy

    In questo esempio il criterio viene impostato a livello di compartimento. Il compartimento deve essere il compartimento associato all'infrastruttura:

    allow group <group_name> to { CCC_CERTIFICATE_REGISTER } in compartment '<compartment_name>'

Per informazioni sui criteri Compute Cloud@Customer che puoi utilizzare per controllare l'accesso all'infrastruttura Compute Cloud@Customer e le operazioni di pianificazione degli upgrade, consulta Compute Cloud@Customer Policy Reference.

Creare una VCN e una subnet

Prima che Compute Cloud@Customer sia connesso alla tenancy, creare una VCN con una subnet nella tenancy.

Le infrastrutture richiedono le seguenti risorse di rete nella tenancy:

  1. Una rete cloud virtuale (VCN). Vedere Creazione di una VCN. Si consiglia un piccolo blocco CIDR, ad esempio 192.168.100.0/29.
  2. Per ogni infrastruttura, creare una subnet nella VCN. Vedere Creazione di una subnet. Ad esempio, 192.168.100.0/30.

Operazioni successive

Collabora con Oracle per installare e connettere Compute Cloud@Customer alla tua rete. Dopo che Oracle ha inizializzato Compute Cloud@Customer, crei un'infrastruttura Compute Cloud@Customer e la connetti alla tua tenancy OCI. Consulta la sezione Creazione di un'infrastruttura Compute Cloud@Customer in OCI.

Per un elenco completo dei task di installazione, vedere Installazione e configurazione di Compute Cloud@Customer.

Esegui sottoscrizione alle notifiche di Compute Cloud@Customer

La sottoscrizione alle notifiche di Compute Cloud@Customer consente di ricevere notifiche e visualizzare gli annunci della Console di Cloud relativi agli upgrade.

Questa funzione utilizza il servizio di notifica Oracle Cloud Infrastructure (OCI) per informare l'utente delle seguenti attività di upgrade:

  • Quando viene pianificato un aggiornamento, si riceve una notifica 7 giorni prima dell'avvio dell'aggiornamento.
  • Quando viene avviato un aggiornamento.
  • Al termine dell'aggiornamento.

È possibile effettuare la sottoscrizione per ricevere notifiche via e-mail. È inoltre possibile visualizzare le notifiche nella console di Oracle Cloud nella tenancy.

Sottoscrivi gli argomenti Compute Cloud@Customer

Per abilitare le notifiche di aggiornamento, eseguire la sottoscrizione alle notifiche ComputeCloudCustomer. Vedere le sezioni riportate di seguito nella documentazione di OCI Notification Service.

Vedere anche Sottoscrizione alle notifiche di aggiornamento.