この図は、コンパートメント、管理グループおよびテナンシ(ルート・コンパートメント)内の次のリソースを含むOracle Cloud Infrastructureテナンシを示しています: 予算、ポリシー、IAMイベント、クラウド・ガード、予算イベント、通知およびトピック。予算イベント、通知およびトピックは、点線付きのボックスに表示されます。管理グループには、コスト管理者、ストレージ管理者、クレジット管理者、監査者、IAM管理者、ネットワーク管理者、セキュリティ管理者、アプリケーション管理者、データベース管理者およびExadata管理者があります。
囲んでいるコンパートメントはテナンシ(ルート・コンパートメント)内にあり、ポリシーとセキュリティ・ゾーンが含まれます。次のコンパートメントは、囲むコンパートメント内にあります: ネットワーク、セキュリティ、アプリケーション、データベースおよびExadata。このテンプレートは、ネットワーク、セキュリティ、アプリケーション、データベースおよびExadataコンパートメント内のアラーム、イベント、通知、トピックおよびサブスクライバ・リソースをプロビジョニングします。
ネットワーク・コンパートメントには、VCNとExadata VCNという2つのVirtual Cloud Networks (VCN)があります。デフォルトでは、テンプレートは1つのリージョナル・パブリック・サブネットと2つのリージョナル・プライベート・サブネットを持つ標準の3層VCNをデプロイします。VCNには、Webサブネット、アプリケーション・サブネットおよびデータベース・サブネットがあります。Exadata VCNには、クライアント・サブネットとバックアップ・サブネットの2つのリージョナル・プライベート・サブネットがあります。アラーム、イベント、通知、トピックおよびサブスクライバ・リソースもあります。
- ゲートウェイがアタッチされているVCNドライブのタイプ。標準の3層VCNはすべてのVCNゲートウェイを持つことができ、Exadata VCNはDynamic Routing Gateway (DRG)およびサービス・ゲートウェイにアタッチされます。
- パブリック・インターネットに接続するためのインターネット・ゲートウェイ。
- プライベート・サブネット内のリソースからパブリック・インターネットへの一方向接続用のNATゲートウェイ。
- Customer Data Centerのオンプレミス・ネットワークへのプライベート接続用のDRG。
- Oracleサービス・ネットワーク(OSN)に接続するためのサービス・ゲートウェイ。
- 各サブネット内のリソースへのネットワーク・アクセスは、個別のネットワーク・セキュリティ・グループによって制御されます。VCNには、要塞ネットワーク・セキュリティ・グループ、Load Balancer (LBR)ネットワーク・セキュリティ・グループおよびAppsネットワーク・セキュリティ・グループがあります。Exadata VCNには、クライアント・ネットワーク・セキュリティ・グループとバックアップ・ネットワーク・セキュリティ・グループがあります。
- パブリック・サブネットのルート表には、インターネット・ゲートウェイを介してパブリック・インターネット宛のトラフィックを転送するルールと、DRGを介してオンプレミス・ネットワークにバインドされたトラフィックを転送するルールが含まれます。
- プライベート・サブネットのルート表には、サービス・ゲートウェイを介してOSN宛てのトラフィックを転送するルールが含まれます。アプリケーション・サブネットのルート表には、NATゲートウェイを介してパブリック・インターネットにバインドされたトラフィックを転送する追加のルールがあります。
- Exadata VCN内のクライアントおよびバックアップ・サブネットのルート表では、インターネットへのイングレスまたはエグレス接続は提供されません。
セキュリティ・コンパートメントには、Vaultおよびキー、脆弱性スキャン、ロギング、サービス・コネクタ・ハブ、要塞、オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースがプロビジョニングされます。
アプリケーション・コンパートメントには、オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースがプロビジョニングされます。アプリケーション・コンパートメントには、テンプレートによってプロビジョニングされたリソースに加えて、必要になる可能性のある他のアプリケーション関連リソースを含めることができます。たとえば、テンプレートでは、Functions、Container Engine for Kubernetesクラスタ、Computeインスタンス、Block Storage、StreamingおよびFile Storageのリソースはプロビジョニングされません。
データベース・コンパートメントは、プロビジョニングするデータベース・リソース用です。オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースを使用してプロビジョニングされます。テンプレートでは、Oracle Autonomous Transaction Processing (ATP)、Oracle Autonomous Data Warehouse、VM Database、Exadata Cloud Serviceなどのデータベースはプロビジョニングされません。
Exadataコンパートメントは、インフラストラクチャ、VMクラスタ、データベース・システムなどのExadataリソース用です。オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースを使用してプロビジョニングされます。テンプレートはExadataシステムをプロビジョニングしません。または、これらのリソースをデータベース・コンパートメントにデプロイし、データベース管理者が管理できます。
上部の矢印は、次のように、コンパートメント全体のリソースを介して管理グループに付与された全体的な管理権限を示します。
- 原価管理者は、ルート・コンパートメントの予算および予算イベントにデータを送信します。
- IAM管理者は、ルート・コンパートメント内の予算イベント、通知、トピックおよびポリシーと、包含コンパートメント内のポリシーにデータを送信します。IAM管理者は、ネットワーク管理者にもデータを送信します。
- ネットワーク管理者は、ネットワーク・コンパートメントにデータを送信します。
- セキュリティ管理者は、ルート・コンパートメントのIAMイベントとクラウド・ガード、およびネットワーク・コンパートメントのセキュリティ・ゾーンにデータを送信します。セキュリティ管理者は、セキュリティ・コンパートメントにデータを送信します。
- アプリケーション管理者は、データをアプリケーション・コンパートメントに送信します。
- データベース管理者は、データをデータベース・コンパートメントに送信します。
- Exadata管理者は、Exadataコンパートメントにデータを送信します。
- ネットワーク管理者は、ネットワーク・コンパートメントにデータを送信します。
