1. Stabilisci un modello di gestione del controllo di Oracle Cloud Infrastructure di base
  2. Risorse e servizi Oracle Cloud Infrastructure

Risorse e servizi Oracle Cloud Infrastructure

Oracle Cloud Infrastructure (OCI) offre varie risorse e servizi che ti consentono di gestire le tue risorse. Scopri i servizi OCI e come possono consentire alla tua organizzazione di implementare un modello di governance.

Risorse

Oracle Cloud Infrastructure (OCI) ti consente di organizzare le tue risorse e implementare la governance nella tua organizzazione. Scopri l'organizzazione fisica e logica di risorse e servizi OCI.

Area

OCI è ospitato fisicamente in aree geografiche e nei domini di disponibilità. Un'area è locale e un dominio di disponibilità è uno o più data center dislocati all'interno di un'area.

Un'area Oracle Cloud Infrastructure è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).

Un'area è composta da uno o più domini di disponibilità. Le risorse OCI sono specifiche dell'area geografica, ad esempio una rete cloud virtuale o specifiche del dominio di disponibilità, ad esempio un'istanza di computazione.

Dominio di disponibilità

I domini di disponibilità sono data center indipendenti e standalone all'interno di un'area geografica. Le risorse fisiche presenti in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, il che garantisce la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione o il raffreddamento, né la rete interna del dominio di disponibilità. Pertanto, è improbabile che un errore di un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

Durante la configurazione dei servizi cloud, puoi utilizzare più domini di disponibilità per garantire alta disponibilità e la protezione da errori delle risorse. Tenere presente che alcune risorse devono essere create all'interno dello stesso dominio di disponibilità, ad esempio un'istanza e il volume di storage ad esso collegato.

Dominio di errore

Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le applicazioni possono tollerare errori del server fisico, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

Ad esempio, un errore hardware o un evento di manutenzione dell'hardware dedicato alla computazione che interessi un dominio di errore non influisce sulle istanze presenti negli altri domini di errore.

Identificazione delle risorse

Un concetto fondamentale per identificare le risorse OCI è l'OCID (Oracle Cloud Identifier). Si tratta di un identificativo univoco che identifica le risorse in un servizio Oracle Cloud Infrastructure (OCI) contenente metadati sulle risorse. La risorsa può essere un utente, un gruppo, un'istanza o un servizio. La risorsa che è un'istanza di un servizio o un principal è un componente dell'OCID completo di una particolare risorsa.

OCI utilizza l'OCID per identificare e applicare i criteri sulle risorse quando implementa la governance nella tua organizzazione. Di seguito è riportata la sintassi OCID e i relativi componenti.

Oracle Cloud Infrastructure fornisce i servizi riportati di seguito che consentono di creare, organizzare e amministrare le risorse cloud. 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1: la stringa letterale che indica la versione dell'OCID.
  • Tipo di risorsa: il tipo di risorsa, ad esempio istanza, VCN, utente o gruppo.
  • Realm: un realm è un set di aree che condividono entità quali oc1 per il settore commerciale, oc2 per il settore pubblico cloud, oc3 per il governo federale.
  • Regione: l'area geografica di residenza della risorsa si trova ad esempio phx, iad.
  • Uso futuro: specifica se le risorse sono riservate per l'uso futuro.
  • ID univoco: la parte univoca dell'ID.

Tenancy

Una tenancy è una partizione sicura e isolata impostata da Oracle all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. È possibile creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della propria tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà un'unica tenancy e rifletterà la sua struttura organizzativa all'interno di tale tenancy. Una singola tenancy è in genere associata a una singola sottoscrizione e una singola sottoscrizione di solito ha una sola tenancy.

Ogni risorsa all'interno di una struttura di tenancy nella tenancy appartiene a un compartimento (con poche eccezioni) che consente di raggruppare le risorse in modo logico e di gestirle in conformità al modello di gestione del controllo definito. Il provisioning di una risorsa viene eseguito nella tenancy correlata ai componenti IaaS, PaaS e dell'infrastruttura, ma non limitato alle reti cloud virtuali (VCN), subnet, sicurezza e regole di instradamento.

La maggior parte delle risorse di base appartiene a un compartimento all'interno della tenancy. Tuttavia, esistono risorse di base globali e attive al di fuori dei compartimenti.

Compartimenti

I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Utilizzare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire criteri che specificano gli utenti che possono accedere alle risorse e le azioni che possono eseguire.

I compartimenti ben progettati consentono all'organizzazione di effettuare le operazioni riportate di seguito.

  • Controlla l'accesso in base ai compartimenti per applicare la separazione delle mansioni e accessi ai controlli in base a funzioni quali le risorse di rete o i database
  • Delega i privilegi amministrativi agli amministratori del compartimento per gestire le rispettive risorse
  • Sviluppa un modello di chargeback in base ai relativi compartimenti
  • Definisci quote e gemme in base ai compartimenti

Limiti del servizio

Quando ti iscrivi a OCI, viene configurato un set di limiti del servizio per la tua tenancy. Il limite del servizio è la quota impostata per una risorsa. Ad esempio, la tenancy potrebbe consentire un numero massimo di istanze del servizio Data Science. Ogni risorsa ha un limite e un ambito definiti. I limiti inizialmente impostati nella tenancy si basano su una combinazione di risorse acquistate nella distinta base e di valori determinati come predefiniti. L'ambito dei limiti del servizio è regionale o specifico del dominio di disponibilità, consentendo maggiore flessibilità. Tali limiti possono essere aumentati automaticamente in base all'utilizzo delle risorse OCI e alla posizione dell'account.

Budget

Puoi specificare un budget per impostare limiti superabili per le spese OCI. È inoltre possibile impostare avvisi sul budget per avvisare l'utente quando l'utilizzo supera il budget. Puoi visualizzare tutti i budget e le spese in un'unica posizione utilizzando la console OCI.

Quote compartimento

Le quote del compartimento forniscono agli amministratori di tenancy e compartimento un controllo migliore sul modo in cui le risorse vengono consumate nell'infrastruttura OCI. Le quote consentono agli amministratori di allocare facilmente le risorse ai compartimenti mediante la console. Le quote di compartimento offrono un meccanismo efficace per gestire le spese nelle tenancy OCI.

Log

La registrazione è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle tue risorse nel cloud:
  • Log di audit: log correlati agli eventi emessi dal servizio di audit.
  • Log del servizio: log generati dai singoli servizi, come gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
  • Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o un ambiente on premise.

Gruppi di log

Contenitori logici per l'organizzazione di log utilizzati per definire/limitare l'accesso ai log per un gruppo limitato di utenti. È possibile creare gruppi di log distinti in base al livello di riservatezza dei dati di log.

Ad esempio, creare tre gruppi di log: Sicurezza, Rete e Applicazione.

  • quindi creare i criteri IAM OCI per fornire agli utenti amministratori l'accesso per leggere i blog dai gruppi di log.
  • Consentire al gruppo SecOps di leggere il contenuto di log nel log del compartimento dove:
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

Logging Analytics

Una soluzione cloud in OCI che ti consente di indicizzare, arricchire, aggregare, esplorare, cercare, analizzare, analizzare, correlare, visualizzare e monitorare tutti i dati di log dalle tue applicazioni e dall'infrastruttura di sistema.

Logging Analytics offre diversi modi per ottenere informazioni operative dai tuoi log.

  • Utilizzare l'interfaccia utente di esplorazione log
  • Aggrega informazioni log nei dashboard
  • Utilizza le API per includere e analizzare i dati
  • Integrazione con altri servizi OCI

Cloud Guard

Segue la descrizione di cloud-guard-detector-recipe.png
Descrizione dell'illustrazione cloud-guard-detector-recipe.png

È possibile utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza le ricette del settore che è possibile definire per esaminare le risorse per i punti deboli della sicurezza e per monitorare operatori e utenti per le attività a rischio. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e supporta l'esecuzione di tali azioni in base alle ricette dei rispondenti che è possibile definire.

Ricetta del rilevatore

Set di regole/controlli per identificare potenziali problemi di sicurezza. Oracle fornisce alcune ricette di rilevamento di base per servizi quali bucket di storage degli oggetti, istanze di computazione, istanze VCN, utenti e gruppi IAM, load balancer, liste di sicurezza e gruppi di sicurezza di rete. Impossibile aggiornare la regola ricetta per le ricette gestite da Oracle. Tuttavia, puoi duplicare le ricette gestite da Oracle e creare nuove ricette denominate ricette di rilevatori gestite dall'utente.

Ricette per le regole per rilevare i problemi

  • Ricette gestite da Oracle
  • Ricette gestite dall'utente
  • ricette del rilevatore di configurazione
    • Bucket pubblico
    • L'istanza ha un indirizzo IP pubblico
    • Il certificato SSL LB sta per scadere
  • Ricette del rilevatore di attività
    • Utente aggiunto a un gruppo
    • Istanza di computazione eliminata

Le ricette del rilevatore di configurazione controllano le configurazioni delle risorse. Ad esempio, controllare se il bucket di storage è pubblico o se è stato creato un gateway NAT o un gateway Internet in una VCN. Altre ricette del rilevatore rilevano attività quali la creazione di un gruppo dinamico o l'aggiunta di una VNIC alla VM.

Ricetta del rispondente

Set di regole per risolvere il problema rilevato o inviare una notifica che richiede un'azione. La ricetta del rispondente predefinito non consente di risolvere ogni problema. È tuttavia possibile risolvere il problema richiamando funzioni da eventi. Prendi misure correttive o risolvi il problema dalla funzione OCI.

Come le ricette del rilevatore, esistono ricette dei rispondenti gestite da Oracle e ricette dei rispondenti gestite dal cliente. Le ricette dei rispondenti gestite dal cliente sono una copia delle ricette gestite da Oracle in cui è possibile disabilitare alcune delle regole dei rispondenti predefinite.

Destinazione

Una destinazione definisce l'ambito di controllo di Cloud Guard. Include una lista di compartimenti. Quando si aggiunge un compartimento come destinazione, Cloud Guard controlla anche tutti i compartimenti secondari. Le destinazioni vengono definite dove i compartimenti, le ricette del rilevatore e le ricette del rispondente si uniscono.

Applicazione tag

Le tag contengono metadati, coppie chiave-valore, che sono collegate alle risorse e definiscono i relativi attributi come uso, costo o proprietà.

Informazioni di base tag

Spazio di nomi tag (applicabile solo a tag definite)

Lo spazio di nomi tag è un contenitore per le tag. È composto da un nome e da nessuna definizioni o da più definizioni di chiavi di tag. Lo spazio di nomi tag è univoco in tutta la tenancy.

Chiave tag

Il nome utilizzato per fare riferimento al tag. Le chiavi di tag sono univoche nello spazio di nomi.

Tipo di valore tag

Specifica il tipo di dati consentito per il valore. Esistono due tipi di dati supportati: Stringa e una lista di stringhe.

Valore tag

È il valore che l'utente applica alle tag. Alcune tag hanno valori predefiniti. Gli utenti devono scegliere un valore dall'elenco di valori per altre tag.

Una risorsa, un'istanza di un servizio in un compartimento, può avere una o più tag. Le tag assegnate a un compartimento sono assegnate a tutte le risorse nel compartimento.

Esistono due modi per assegnare le tag alle risorse.

Tag definite

Le tag predefinite in cui gli amministratori gestiscono i metadati sono più comunemente utilizzate. Ad esempio, per creare metadati delle risorse per gestire le risorse o raccogliere i dati, è possibile utilizzare tag definite. Esistono tre tipi di tag definite in base all'uso e alla modalità di assegnazione dei valori.

  • Tag con valori predefiniti

    È possibile creare un elenco di valori e associarlo a una definizione chiave di tag. Quando gli utenti applicano la tag a una risorsa, devono selezionare un valore dalla lista di valori predefiniti. Utilizzare elenchi di valori predefiniti per imporre limiti ai valori che gli utenti possono applicare alle tag.

  • Tag di registrazione dei costi

    Tag utilizzate durante l'impostazione dei budget per gestire il costo di utilizzo delle risorse.

  • Valori predefiniti tag

    È possibile definire tag predefinite che verranno applicate a tutte le risorse quando vengono create in un compartimento specifico. L'impostazione dei valori predefiniti delle tag garantisce l'applicazione delle tag appropriate al momento della creazione della risorsa senza richiedere all'utente che crea la risorsa di accedere agli spazi di nomi tag. Utilizzare le variabili di tag per creare in modo efficiente i valori predefiniti delle tag per le risorse create in un compartimento. Ad esempio:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

Tag in formato libero

Metadati non gestiti definiti dall'utente applicati alle risorse durante il ciclo di vita di una risorsa.

Per ulteriori informazioni, consulta la guida relativa alle fondazioni di Oracle Cloud collegata alla sezione Esplora altre informazioni.