1. 기본 Oracle Cloud Infrastructure 거버넌스 모델 설정
  2. Oracle Cloud Infrastructure 리소스 및 서비스

Oracle Cloud Infrastructure 리소스 및 서비스

OCI(Oracle Cloud Infrastructure)는 리소스를 관리할 수 있도록 다양한 리소스와 서비스를 제공합니다. OCI 서비스 및 기업이 거버넌스 모델을 구현할 수 있는 방법을 알아봅니다.

리소스

OCI(Oracle Cloud Infrastructure)를 통해 리소스를 구성하고 조직의 거버넌스를 구현할 수 있습니다. OCI 리소스 및 서비스의 물리적/논리적 조직에 대해 알아봅니다.

영역

OCI는 지리적 지역 및 가용성 도메인에 물리적으로 호스팅됩니다. 지역은 지리적 위치이고, 가용성 도메인은 지역 내에 있는 하나 이상의 데이터 센터입니다.

Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 현지화된 지리적 영역입니다. 지역은 다른 지역에 독립적이며, 거리가 먼 나라 전체나 대륙을 구분할 수 있습니다.

지역은 한 개 이상의 가용성 도메인으로 구성됩니다. OCI 리소스는 영역별(예: 가상 클라우드 네트워크)이거나 가용성 도메인별(예: 컴퓨트 인스턴스)입니다.

가용성 도메인

가용성 도메인은 한 지역 내의 독립형 독립적인 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인에서 장애가 발생해도 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.

클라우드 서비스를 구성할 때 다중 가용성 도메인을 사용하여 고가용성을 보장하고 리소스 오류로부터 보호합니다. 일부 리소스는 인스턴스 및 인스턴스에 연결된 스토리지 볼륨과 같이 동일한 가용성 도메인 내에서 생성되어야 합니다.

결함 도메인

장애 도메인은 한 가용성 도메인 내 하드웨어와 인프라의 그룹입니다. 각 가용성 도메인에는 독립적인 전원 및 하드웨어의 3개의 장애 도메인이 있습니다. 여러 장애 도메인에 걸쳐 리소스를 분배할 경우 응용 프로그램은 결함 도메인 내에서 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.

예를 들어, 한 결함 도메인에 영향을 미치는 하드웨어 오류 또는 컴퓨트 하드웨어 유지 관리 이벤트는 다른 결함 도메인의 인스턴스에 영향을 주지 않습니다.

리소스 식별

OCI 리소스를 식별하는 기본 개념은 OCID(Oracle Cloud Identifier)입니다. 리소스에 대한 메타데이터를 포함하는 OCI(Oracle Cloud Infrastructure) 서비스에서 리소스를 식별하는 고유 식별자입니다. 리소스는 사용자 또는 그룹, 인스턴스 또는 서비스일 수 있습니다. 서비스 또는 주체의 인스턴스인 리소스는 특정 리소스의 전체 OCID 구성 요소입니다.

OCI는 OCID를 사용하여 조직의 거버넌스를 구현할 때 리소스에 대한 정책을 식별하고 적용합니다. 다음은 OCID 구문 및 해당 구성 요소를 보여줍니다.

Oracle Cloud Infrastructure는 클라우드 리소스를 생성, 구성, 관리할 수 있는 다음과 같은 서비스를 제공합니다. 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1: OCID 버전을 나타내는 리터럴 문자열입니다.
  • 리소스 유형: 인스턴스, VCN, 사용자 또는 그룹과 같은 리소스의 유형입니다.
  • 영역: 영역은 상업 영역용 oc1, 정부 클라우드용 oc2, 연방 정부용 oc3과 같은 엔티티를 공유하는 지역 집합입니다.
  • 지역: 리소스의 거주지 지역(예: phx, iad)이 있습니다.
  • 이후 사용: 리소스가 나중에 사용하도록 예약되어 있는지 지정합니다.
  • 고유 ID: ID의 고유 부분입니다.

테넌시

테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 안전하고 격리된 파티션입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 회사에는 단일 테넌시가 포함되어 있으며 해당 테넌시 내에서 조직 구조가 반영됩니다. 단일 테넌시는 일반적으로 단일 구독과 연관되며, 단일 구독에는 일반적으로 테넌시가 하나만 포함됩니다.

테넌시의 테넌시 구조 내의 각 리소스는 정의된 거버넌스 모델을 준수하도록 논리적으로 그룹화하고 관리할 수 있는 몇 가지 예외 사항이 있는 구획에 속합니다. 리소스는 IaaS, PaaS 및 인프라 구성요소와 관련된 테넌시에서 프로비전되지만 가상 클라우드 네트워크(VCN), 서브넷, 보안 및 라우팅 규칙에만 국한되지는 않습니다.

대부분의 코어 리소스는 테넌시 내 구획에 속합니다. 그러나 구획 외부에 글로벌하고 라이브 상태인 핵심 리소스가 있습니다.

구획

구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 분할 영역입니다. 구획을 통해 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용 할당량을 설정할 수 있습니다. 지정된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사람과 수행할 수 있는 작업을 지정하는 정책을 정의합니다.

제대로 설계된 구획을 통해 조직이 다음을 수행할 수 있습니다.

  • 구획의 접근을 제어하여 네트워크 리소스 또는 데이터베이스와 같은 기능을 기반으로 직무 분리 및 접근 제어
  • 구획 관리자에게 관리 권한을 위임하여 해당 리소스 관리
  • 각 구획을 기반으로 부서별 비용 회수 모델 개발
  • 구획을 기반으로 할당량 및 친구 정의

서비스 제한

OCI에 등록하면 테넌시에 대해 서비스 제한 집합이 구성됩니다. 서비스 한도는 리소스에 설정된 할당량 또는 허용량입니다. 예를 들어 테넌시에서는 최대 데이터 과학 서비스 인스턴스 수가 허용될 수 있습니다. 모든 리소스에는 정의된 제한 및 범위가 있습니다. 처음에 테넌시에서 설정된 제한은 자재 명세서에서 구입한 리소스와 기본값으로 결정된 값의 조합을 기반으로 합니다. 서비스 한도는 지역 또는 가용성 도메인에 따라 유연성이 향상됩니다. OCI 리소스 사용량 및 계정 상태에 따라 자동으로 이러한 제한이 증가할 수 있습니다.

예산

예산을 지정하여 OCI 지출에 대한 소프트 한계를 설정할 수 있습니다. 또한 사용량이 예산을 초과할 때 알리도록 예산에 대한 경보를 설정할 수 있습니다. OCI 콘솔을 사용하면 모든 예산과 지출을 한 곳에서 볼 수 있습니다.

구획 할당량

구획 할당량을 통해 테넌시 및 구획 관리자는 OCI에서 리소스가 소비되는 방식을 더 효과적으로 제어할 수 있습니다. 할당량을 통해 관리자는 콘솔을 사용하여 구획에 리소스를 쉽게 할당할 수 있습니다. 구획 할당량은 OCI 테넌시에서 지출을 관리할 수 있는 강력한 메커니즘을 제공합니다.

로깅

로깅은 확장성이 뛰어나고 전담 관리 서비스로, 클라우드의 리소스에서 다음 유형의 로그에 접근할 수 있습니다.
  • 감사 로그: 감사 서비스에서 내보낸 이벤트와 관련된 로그입니다.
  • 서비스 로그: API 게이트웨이, 이벤트, 기능, 로드 밸런싱, 객체 스토리지 및 VCN 플로우 로그와 같은 개별 서비스에서 내보낸 로그입니다.
  • 사용자정의 로그: 사용자정의 애플리케이션, 기타 클라우드 제공자 또는 온프레미스 환경의 진단 정보를 포함하는 로그입니다.

로그 그룹

제한된 사용자 그룹으로 로그에 대한 액세스를 정의/제한하는 데 사용되는 로그를 구성하기 위한 논리적 컨테이너입니다. 로그 데이터의 민감성에 따라 별도의 로그 그룹을 생성할 수 있습니다.

예를 들어, 세 개의 로그 그룹(보안, 네트워크 및 응용 프로그램)을 생성합니다.

  • 그런 다음 각 로그 그룹에 대해 OCI IAM 정책을 생성하여 관리 사용자에게 로그 그룹에서 블로그를 읽을 수 있는 액세스 권한을 제공합니다.
  • SecOps 그룹이 다음과 같은 구획 로깅의 로그 콘텐츠를 읽도록 허용합니다.
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

로깅 분석

애플리케이션 및 시스템 인프라에서 모든 로그 데이터를 인덱스화, 보강, 집계, 탐색, 검색, 분석, 상관관계화, 시각화 및 모니터링할 수 있는 OCI의 클라우드 솔루션입니다.

로깅 분석은 로그에서 운영 통찰력을 확보하는 여러 가지 방법을 제공합니다.

  • 로그 탐색기 UI 사용
  • 대시보드에 로그 정보 집계
  • API를 활용하여 데이터 수집 및 분석
  • 다른 OCI 서비스와 통합

Cloud Guard

다음은 cloud-guard-detector-recipe.png에 대한 설명입니다.
그림 cloud-guard-detector-recipe.png에 대한 설명

Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지보수할 수 있습니다. Cloud Guard는 섹터 레시피를 사용하여 리소스에 대한 보안 취약점을 검사하고 운영자 및 사용자의 위험한 작업을 모니터링할 수 있습니다. 잘못된 구성이나 비보안 작업이 감지되면 Cloud Guard는 사용자가 정의할 수 있는 응답자 레시피를 기반으로 이러한 작업을 수행할 수 있도록 해 줍니다.

감지기 레시피

잠재적인 보안 문제를 식별하기 위한 일련의 규칙/검사입니다. Oracle은 오브젝트 스토리지 버킷, 컴퓨트 인스턴스, VCN 인스턴스, IAM 사용자 및 그룹, 로드 밸런서, 보안 목록, 네트워크 보안 그룹 등의 서비스에 대해 몇 가지 기본 감지기 레시피를 제공합니다. Oracle 관리 레시피에 대한 레시피 규칙을 업데이트할 수 없습니다. 그러나 Oracle 관리 레시피를 복제하고 사용자 관리 감지기 레시피라는 새 레시피를 생성할 수 있습니다.

문제를 감지하기 위한 규칙 레시피

  • Oracle 관리 레시피
  • 사용자 관리 레시피
  • 구성 감지기 레시피
    • 퍼블릭 버킷
    • 인스턴스에 공용 IP 주소가 있습니다.
    • LB SSL 인증서가 곧 만료됩니다.
  • 작업 감지기 레시피
    • 사용자가 그룹에 추가됨
    • 컴퓨트 인스턴스가 삭제됨

구성 감지기는 리소스 구성을 검사합니다. 예를 들어 스토리지 버킷이 공용인지 아니면 VCN에 생성된 NAT 게이트웨이 또는 인터넷 게이트웨이가 있는지 확인하십시오. 다른 감지기 레시피는 동적 그룹 만들기 또는 VM에 VNIC 추가와 같은 작업을 감지합니다.

응답기 레시피

문제를 해결하거나 작업을 요청하는 통지를 보내는 일련의 규칙입니다. 기본 응답자 레시피는 모든 문제를 해결할 수 있는 옵션을 제공하지 않습니다. 그러나 이벤트에서 함수를 호출하여 주소를 지정할 수 있습니다. OCI 함수에서 시정 조치를 취하거나 문제를 해결합니다.

감지기 레시피와 마찬가지로 Oracle에서 관리하는 응답기 레시피와 고객 관리형 응답자 레시피가 있습니다. 고객 관리형 응답자 레시피는 미리 정의된 응답자 규칙 중 일부를 사용 안함으로 설정할 수 있는 Oracle 관리 레시피의 복제본입니다.

대상

대상은 Cloud Guard가 확인해야 하는 범위를 정의합니다. 여기에는 구획 목록이 포함됩니다. 구획을 대상으로 추가하면 Cloud Guard가 모든 하위 구획도 검사합니다. 대상은 구획, 감지기 레시피 및 응답자 레시피가 함께 연결되는 곳에 정의됩니다.

태그 지정

태그는 리소스에 연결된 메타 데이터, 키-값 쌍을 포함하며 사용량, 비용 또는 소유권과 같은 속성을 정의합니다.

태그 기본사항

태그 네임스페이스(정의된 태그에만 적용 가능)

태그 네임스페이스는 태그의 컨테이너입니다. 이름과 0개 이상의 태그 키 정의로 구성됩니다. 태그 네임스페이스는 테넌시 전체에서 고유합니다.

태그 키

태그를 참조하는 데 사용하는 이름입니다. 태그 키는 네임스페이스 전체에서 고유합니다.

태그 값 유형

값에 허용되는 데이터 유형을 지정합니다. String과 문자열 리스트의 두 가지 데이터 유형이 지원됩니다.

태그 값

태그에 적용되는 값입니다. 일부 태그에는 미리 정의된 값이 있습니다. 사용자는 다른 태그에 대한 값 목록에서 값을 하나 선택해야 합니다.

구획의 서비스 인스턴스인 리소스는 하나 이상의 태그를 가질 수 있습니다. 구획에 지정된 태그는 구획의 모든 리소스에 지정됩니다.

리소스에 태그를 지정하는 방법에는 두 가지가 있습니다.

정의된 태그

관리자가 메타데이터를 관리하는 미리 정의된 태그가 더 많이 사용됩니다. 예를 들어 리소스 메타 데이터를 생성하여 리소스를 관리하거나 데이터를 수집하려면 정의된 태그를 사용할 수 있습니다. 정의된 태그의 종류에는 사용 및 값 할당 방법에 따라 세 가지 유형이 있습니다.

  • 미리 정의된 값이 있는 태그

    값 목록을 생성하고 해당 목록을 태그 키 정의와 연관시킬 수 있습니다. 사용자가 리소스에 태그를 적용할 때 미리 정의된 값 목록에서 값을 선택해야 합니다. 미리 정의된 값 목록을 사용하여 사용자가 태그에 적용할 수 있는 값에 제한을 적용합니다.

  • 비용 추적 태그

    자원 사용 비용을 관리하기 위해 예산을 설정할 때 사용되는 태그입니다.

  • 태그 기본값

    특정 구획에서 생성될 때 모든 리소스에 적용될 기본 태그를 정의할 수 있습니다. 태그 기본값을 설정하면 리소스를 생성하는 사용자가 태그 네임스페이스에 대한 액세스 권한을 갖도록 요구하지 않고도 리소스 생성 시 적절한 태그가 적용됩니다. 태그 변수를 사용하여 구획에서 생성된 리소스에 대한 태그 기본값을 효율적으로 생성합니다. 예:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

자유 형식 태그

리소스 수명 주기 동안 리소스에 적용된 사용자 정의 관리되지 않는 메타데이터입니다.

자세한 내용은 자세히 알아보기 섹션에서 링크된 Oracle Cloud Foundations 설명서를 참조하십시오.