エンクレーブとインタフェース

エンクレーブ境界

コンピュート・エンクレーブは、OCIとの最大限の互換性のために意図的に設計されています。コンピュート・エンクレーブのユーザーには、クラウド・リソースを作成および管理するための特定の権限があります。これらの権限は通常、グループ・メンバーシップに基づきます。コンピュート・エンクレーブでは、ワークロードが作成、構成およびホストされます。ユーザーが使用できる主要な構成要素は、コンピュート・インスタンスと、関連するネットワークおよびストレージ・リソースです。

コンピュート・インスタンスは、事前構成済のオペレーティング・システムおよびオプションの追加ソフトウェアを含むコンピュート・イメージから作成されます。コンピュート・インスタンスには、CPUやメモリーなどの仮想ハードウェア・リソースのテンプレートである特定のシェイプがあります。最小限の操作で、コンピュート・インスタンスにはブート・ボリュームと仮想クラウド・ネットワーク(VCN)への接続が必要です。ワークロードの仮想インフラストラクチャの構築を続行すると、コンピュート・インスタンスの追加、プライベート・ネットワーク・インタフェースとパブリック・ネットワーク・インタフェースの割当て、NFS共有またはオブジェクト・ストレージ・バケットの設定などが行われる可能性があります。これらのリソースはすべてOCIと完全に互換性があり、プライベート・クラウド環境とパブリック・クラウド環境の間で移植できます。

サービス・エンクレーブは、アプライアンス・インフラストラクチャが制御されるシステムの一部です。アクセスは厳密に監視され、特権管理者に制限されます。3つの管理ノードのクラスタで実行されます。Private Cloud ApplianceはOCIから運用的に切断されるため、アプライアンスの設計および規模に固有の独自のコントロール・プレーンが必要です。APIはPrivate Cloud Applianceに固有であり、アクセスは非常に厳密に制御されています。サービス・エンクレーブが提供する機能には、ハードウェアと容量の管理、サービスの提供、監視、およびサービスとサポートのためのツールが含まれます。

両方のエンクレーブが相互に厳密に分離されています。各エンクレーブは、Web UI、CLI、およびエンクレーブごとのAPIという独自のインタフェース・セットを提供します。サービス・エンクレーブへのフル・アクセス権を持つ管理者アカウントには、コンピュート・エンクレーブでまったく権限がありません。管理者は、初期アクセス用のプライマリ・ユーザー・アカウントを使用してテナンシを作成しますが、テナンシのコンテンツおよびアクティビティに関する情報はありません。コンピュート・エンクレーブのユーザーには、クラウド・リソースの使用、管理および作成の権限が付与されますが、ユーザーが作業するテナンシまたは仮想リソースが存在するハードウェアを制御することはできません。

アクセス・プロファイル

各エンクレーブには独自のインタフェースがあります。コンピュート・エンクレーブにアクセスするには、コンピュートWeb UIまたはOCI CLIのいずれかを使用します。サービス・エンクレーブにアクセスするには、サービスWeb UIまたはサービスCLIのいずれかを使用します。

アカウントのプロパティによって、実行する権限がある操作と、表示、管理または作成できるリソースが決まります。Web UIとCLIのどちらを使用する場合でも、権限に関しては何の違いもありません。すべての操作によって、エンクレーブの3番目の中央インタフェースであるAPIがリクエストされます。サービス・エンクレーブAPIまたはコンピュート・エンクレーブAPIからの受信リクエストが評価され、その後、APIサービスによって認可または拒否されます。

さまざまなカテゴリのユーザーが、さまざまな目的でアプライアンスと対話します。エンクレーブ・レベルでは、一方ではアプライアンス・インフラストラクチャの管理者と、他方ではテナンシ内のクラウド・リソースを管理するユーザーが区別されます。各エンクレーブ内には、異なるパーミッションを提供する異なるアクセスプロファイルが存在します。

サービス・エンクレーブでは、管理者の選択チームにのみフル・アクセス権を付与する必要があります。アクセスが制限されている他の管理者ロールがあります。たとえば、システム監視、容量計画、可用性、アップグレードなどに特に責任を持つ管理者ロールです。管理者ロールの詳細は、プライベート・クラウド・アプライアンス・インフラストラクチャの管理を参照してください。サービスおよびサポート操作を実行するためにOracleがサービス・エンクレーブにアクセスするたびに、フル・アクセス権を持つアカウントを使用する必要があります。

テナンシが作成されると、コンピュート・エンクレーブ・ユーザー・アカウントは1つのみになります。テナンシ管理者は、テナンシ内のすべてのリソースへのフル・アクセス権を持ちます。事実上、テナンシへのアクセス権を持つ追加アカウントはすべて、通常のCompute Enclaveユーザー・アカウントであり、グループ・メンバーシップおよびポリシー定義に応じて権限が多かれ少なかれ制限されます。テナンシ管理者のタスクは、追加のユーザー・アカウントおよびユーザー・グループの設定、リソース組織および管理戦略の定義、およびその戦略を適用するポリシーの作成です。

リソース管理戦略が定義され、ユーザー、グループおよびコンパートメントの基本構成が存在すると、テナンシ管理者は昇格された権限を持つ他のユーザーに責任を委任できます。管理者のグループが組織全体のリソースを管理できるようにする単純なポリシーを使用することも、より詳細なアプローチを選択することもできます。たとえば、チームまたはプロジェクトごとにコンパートメント内のリソースを編成し、コンパートメント管理者にそれらの管理を許可できます。また、ネットワーク管理者およびストレージ管理者がそれぞれ制御する、独自の個別のコンパートメント内にネットワーク・リソースおよびストレージ・リソースを保持することもできます。Identity and Access Managementサービスのポリシー・フレームワークには、リソースを編成し、それらへのアクセスを制御するための様々なオプションが用意されています。詳細は、Identity and Access Management (IAM)を参照してください。

APIと直接対話するスクリプトまたは自動化ツールを作成する場合は、開発者が認証および認可の原則と、エンクレーブの厳密な分離を理解していることを確認してください。基本的なAPIリファレンス・ドキュメントは、両方のエンクレーブで使用できます。

API参照を表示するには、コンピュートWeb UIまたはサービスWeb UIのベースURLに/api-referenceを追加します。たとえば:

• サービスWeb UIベースURL: https://adminconsole.myprivatecloud.example.com.

  サービス・エンクレーブAPIリファレンス: https://adminconsole.myprivatecloud.example.com/api-reference。

• コンピュートWeb UIベースURL: https://console.myprivatecloud.example.com.

  Compute Enclave APIリファレンス: https://console.myprivatecloud.example.com/api-reference。