Questa immagine mostra una tenancy di Oracle Cloud Infrastructure con compartimenti, un dominio di Identity con gruppi di utenti e gruppi dinamici e le risorse seguenti nel compartimento radice: tag, budget, criteri IAM, criteri ZPR, eventi, Cloud Guard, eventi budget, notifiche e argomento. Gli eventi budget, le notifiche e l'argomento vengono visualizzati in una casella con una linea tratteggiata. Di seguito sono riportati i gruppi di utenti: amministratori dei costi, amministratori di storage, amministratori delle credenziali, auditor, amministratori IAM, lettori di annunci, amministratori di Access Governance, amministratori di rete, amministratori di sicurezza, amministratori di applicazioni, amministratori di database ed amministratori Exadata.

Un compartimento di inclusione si trova all'interno del compartimento radice e contiene criteri IAM e una zona di sicurezza. I compartimenti riportati di seguito risiedono all'interno del compartimento di inclusione: rete, sicurezza, applicazione, database ed Exadata. Il modello esegue il provisioning delle risorse di allarmi, eventi, notifiche, argomenti e sottoscrittori nei compartimenti Rete, Sicurezza, App, Database ed Exadata.

Il compartimento di rete può avere fino a nove reti cloud virtuali (VCN) standalone: tre VCN a tre livelli, tre VCN OKE e tre VCN Exadata. Le VCN a tre livelli possono avere fino a quattro subnet regionali: una subnet Web, una subnet dell'applicazione, una subnet del database e una subnet Bastion facoltativa. Le VCN OKE possono avere fino a cinque subnet regionali: una subnet di servizi, una subnet di worker, una subnet API, una subnet di gestione e una subnet di pod facoltativa. La VCN Exadata dispone di due subnet private regionali: una subnet client e una subnet di backup. Il compartimento di rete dispone anche di risorse di allarmi, eventi, notifiche, argomenti e sottoscrittori.

Il tipo di unità VCN a cui sono collegati i gateway. Le reti VCN a tre livelli standard e le reti VCN OKE possono avere tutti i gateway VCN, mentre le reti VCN Exadata sono collegate a un gateway di servizi e possono essere collegate a un gateway di instradamento dinamico (DRG) sono le seguenti:
- Gateway Internet utilizzato per la connettività bidirezionale alla rete Internet pubblica.
- Gateway NAT utilizzato per la connettività unidirezionale dalle risorse nelle subnet private alla rete Internet pubblica.
- Gateway del servizio utilizzato per la connettività unidirezionale alla rete OSN (Oracle Services Network).
- Gateway di instradamento dinamico utilizzato per la connettività privata alla rete in locale nel data center del cliente.
L'accesso di rete alle risorse in ciascuna sottorete è controllato da gruppi di sicurezza di rete separati. I database dispongono di un ulteriore livello di protezione fornito dai criteri ZPR (Zero Trust Packet Routing).

Il compartimento Sicurezza contiene risorse di sicurezza, quali vault e chiavi, analisi delle vulnerabilità, log, hub connettore servizio, bastion, bucket di storage degli oggetti, allarmi, eventi, notifiche, sottoscrittore e risorse degli argomenti.

Il provisioning del compartimento applicazioni prevede le risorse di allarmi, eventi, notifiche, sottoscrittori e argomenti. Il compartimento applicazioni può contenere altre risorse correlate all'applicazione che potrebbero essere necessarie in aggiunta a quelle di cui è stato eseguito il provisioning dal modello. Ad esempio, il modello non esegue il provisioning delle risorse seguenti: Functions, Container Engine per i cluster Kubernetes, istanze di computazione, storage a blocchi, streaming e storage di file.

Il compartimento del database si riferisce a qualsiasi risorsa del database di cui si desidera eseguire il provisioning. Il provisioning viene eseguito con le risorse Allarmi, Eventi, Notifiche, Sottoscrittori e Argomento. Il modello non esegue il provisioning dei database, inclusi Oracle Autonomous Transaction Processing (ATP), Oracle Autonomous Data Warehouse e VM Database.

Il compartimento Exadata è destinato alle risorse Exadata, inclusi l'infrastruttura, i cluster VM e i sistemi di database. Il provisioning viene eseguito con le risorse Allarmi, Eventi, Notifiche, Sottoscrittori e Argomento. Il modello non esegue il provisioning del sistema Exadata.

Le frecce nella parte superiore indicano le autorizzazioni amministrative complessive concesse ai gruppi di gestione sulle risorse nei compartimenti, come indicato di seguito.

Gli amministratori costi gestiscono il budget nel compartimento radice.
Tag degli amministratori IAM, gruppi di utenti, gruppi dinamici e criteri IAM nel compartimento di inclusione.
Gli amministratori di rete gestiscono le risorse nel compartimento di rete.
Gli amministratori della sicurezza gestiscono Cloud Guard, gli eventi IAM, gli eventi di rete, i criteri ZPR nel compartimento radice e la zona di sicurezza nel compartimento di rete. Gli amministratori della sicurezza gestiscono anche le risorse nel compartimento di sicurezza.
Gli amministratori dell'applicazione gestiscono le risorse nel compartimento dell'applicazione.
Gli amministratori del database gestiscono le risorse nel compartimento del database.
Gli amministratori Exadata gestiscono le risorse nel compartimento Exadata.