このイメージは、テナンシ(ルート・コンパートメント)にコンパートメント、管理グループおよび次のリソースがあるOracle Cloud Infrastructureテナンシを示しています: 予算、ポリシー、IAMイベント、クラウド・ガード、予算イベント、通知およびトピック。予算イベント、通知およびトピックは、点線付きのボックスに表示されます。管理グループには、コスト管理者、ストレージ管理者、資格証明管理者、監査者、IAM管理者、ネットワーク管理者、セキュリティ管理者、アプリケーション管理者、データベース管理者およびExadata管理者があります。
エンクロージング・コンパートメントはテナンシ(ルート・コンパートメント)内にあり、ポリシーとセキュリティ・ゾーンが含まれています。包含コンパートメントには、ネットワーク、セキュリティ、アプリケーション、データベースおよびExadataのコンパートメントがあります。このテンプレートは、ネットワーク、セキュリティ、アプリケーション、データベースおよびExadataコンパートメント内のアラーム、イベント、通知、トピックおよびサブスクライバ・リソースをプロビジョニングします。
ネットワーク・コンパートメントには、VCNとExadata VCNという2つのVirtual Cloud Networks (VCNs)があります。デフォルトでは、テンプレートは、1つのリージョナル・パブリック・サブネットと2つのリージョナル・プライベート・サブネットを持つ標準の3層VCNをデプロイします。VCNには、Webサブネット、アプリケーション・サブネットおよびデータベース・サブネットがあります。Exadata VCNには、クライアント・サブネットとバックアップ・サブネットの2つのリージョナル・プライベート・サブネットがあります。また、アラーム、イベント、通知、トピックおよびサブスクライバ・リソースもあります。
- ゲートウェイがアタッチされているVCNドライブのタイプ。標準の3層VCNsはすべてのVCNゲートウェイを持つことができ、Exadata VCNsはDynamic Routing Gateway (DRG)およびサービス・ゲートウェイにアタッチされます。
- パブリック・インターネットに接続するためのインターネット・ゲートウェイ。
- プライベート・サブネット内のリソースからパブリック・インターネットへの一方向接続用のNATゲートウェイ。
- 顧客データ・センターのオンプレミス・ネットワークへのプライベート接続用のDRG。
- Oracleサービス・ネットワーク(OSN)に接続するためのサービス・ゲートウェイ。
- 各サブネットのリソースへのネットワーク・アクセスは、個別のネットワーク・セキュリティ・グループによって制御されます。VCNには、要塞ネットワーク・セキュリティ・グループ、ロード・バランサ(LBR)ネットワーク・セキュリティ・グループおよびアプリケーション・ネットワーク・セキュリティ・グループがあります。Exadata VCNには、クライアント・ネットワーク・セキュリティ・グループとバックアップ・ネットワーク・セキュリティ・グループがあります。
- パブリック・サブネットのルート表には、インターネット・ゲートウェイを介してパブリック・インターネット宛のトラフィックを、DRGを介してオンプレミス・ネットワークにバインドされたトラフィックを転送するルールが含まれています。
- プライベート・サブネットのルート表には、サービス・ゲートウェイを介してOSN宛のトラフィックを転送するルールが含まれています。アプリケーション・サブネットのルート表には、NATゲートウェイを介してパブリック・インターネットにバインドされたトラフィックを転送する追加のルールがあります。
- Exadata VCNのクライアント・サブネットおよびバックアップ・サブネットのルート表では、インターネットへのイングレスまたはエグレス接続は提供されません。
セキュリティ・コンパートメントには、Vaultおよびキー、脆弱性スキャン、ロギング、サービス・コネクタ・ハブ、要塞、オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースがプロビジョニングされます。
アプリケーション・コンパートメントには、オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースがプロビジョニングされます。アプリケーション・コンパートメントには、テンプレートによってプロビジョニングされたリソースに加えて、必要になる可能性がある他のアプリケーション関連リソースを含めることができます。たとえば、テンプレートでは、Functions、Container Engine for Kubernetesクラスタ、コンピュート・インスタンス、ブロック・ストレージ、ストリーミングおよびファイル・ストレージのリソースはプロビジョニングされません。
データベース・コンパートメントは、プロビジョニングするデータベース・リソース用です。オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースでプロビジョニングされます。このテンプレートは、Oracle Autonomous Transaction Processing(ATP)、Oracle Autonomous Data Warehouse、VM DatabaseおよびExadata Cloud Serviceを含むデータベースをプロビジョニングしません。
Exadataコンパートメントは、インフラストラクチャ、VMクラスタおよびデータベース・システムを含むExadataリソース用です。オブジェクト・ストレージ・バケット、アラーム、イベント、通知、サブスクライバおよびトピック・リソースでプロビジョニングされます。テンプレートはExadataシステムをプロビジョニングしません。または、これらのリソースをデータベース・コンパートメントにデプロイし、データベース管理者が管理することもできます。
上部の矢印は、次のように、コンパートメント全体のリソースを介して管理グループに付与される全体的な管理権限を示します。
- コスト管理はルート・コンパートメントの予算および予算イベントにデータを送信します。
- IAM管理者は、エンクロージング・コンパートメントのルート・コンパートメントおよびポリシーの予算イベント、通知、トピックおよびポリシーにデータを送信します。IAM管理者は、ネットワーク管理者にデータを送信します。
- ネットワーク管理者は、ネットワーク・コンパートメントにデータを送信します。
- セキュリティ管理者は、ルート・コンパートメントのIAMイベントとクラウド・ガード、およびネットワーク・コンパートメントのセキュリティ・ゾーンにデータを送信します。セキュリティ管理者は、セキュリティ・コンパートメントにデータを送信します。
- アプリケーション管理者は、データをアプリケーション・コンパートメントに送信します。
- データベース管理者は、データをデータベース・コンパートメントに送信します。
- Exadata管理者は、Exadataコンパートメントにデータを送信します。
- ネットワーク管理者は、ネットワーク・コンパートメントにデータを送信します。
