Como Trabalhar com Instâncias
O Oracle Cloud Infrastructure Compute permite provisionar e gerenciar hosts de computação, conhecidos como instâncias. Você pode criar instâncias conforme necessário para atender aos seus requisitos de computação e aplicativo. Depois de criar uma instância, você pode acessá-la de forma segura pelo seu computador, reiniciá-la, anexar e desanexar volumes e encerrá-la quando terminar de usá-la.
- Criando uma Instância: siga as etapas deste tópico para criar uma instância de computação bare metal ou de máquina virtual (VM).
- Instâncias iniciadas usando imagens do Oracle Linux, CentOS ou Ubuntu usam um par de chaves SSH em vez de uma senha para autenticar um usuário remoto. Portanto, para estabelecer conexão com uma instância, talvez você precise criar um par de chaves SSH.
- Você pode criar Instâncias expansíveis, Instâncias blindadas e Instâncias confidenciais.
- Você pode configurar suas instâncias para usar tipos de capacidade diferentes.
- Você pode adicionar memória estendida e núcleos a instâncias com instâncias de VM de memória estendida.
- Estabelecendo Conexão com uma Instância: Você pode estabelecer conexão com uma instância em execução usando uma conexão SSH (Secure Shell) ou a Área de Trabalho Remota.
- Editando uma Instância: Você pode editar as propriedades de uma instância de computação sem precisar recriar a instância ou reimplantar seus aplicativos.
- Parando, Iniciando ou Reiniciando uma Instância: Você pode interromper e iniciar uma instância conforme necessário para atualizar o software ou resolver condições de erro.
- Substituindo um Volume de Inicialização: Você pode substituir automaticamente o volume de inicialização de uma instância sem encerrar e recriar a instância.
- Configurando Notificações Contextuais para uma Instância: Você pode obter mensagens quando algo acontece com uma instância de computação.
- Adicionando Usuários a uma Instância: Você pode adicionar usuários a uma instância de computação.
- Executando Comandos em uma Instância: Você pode configurar, gerenciar e solucionar problemas de instâncias de computação remotamente executando scripts na instância usando o recurso de comando de execução.
- Desativando Multithreading Simultâneo: Você pode desativar o multithreading simultâneo (SMT) em suas instâncias por meio da console ou usando comandos da CLI.
- Obtendo Metadados da Instância: O serviço de metadados da instância (IMDS) fornece informações sobre uma instância em execução, incluindo detalhes sobre a instância, suas placas de interface de rede virtual (VNICs) anexadas, seus anexos de volume ativados para multipath anexados e quaisquer metadados personalizados que você definir. O IMDS também fornece informações para executar cloud-init, que você pode usar para várias tarefas de inicialização do sistema.
- Atualizando Metadados da Instância: Você pode adicionar e atualizar metadados personalizados para uma instância de computação usando a CLI ou APIs REST.
- Movendo uma Instância de Computação para um Novo Host: Você pode realocar instâncias usando a migração de reinicialização ou um processo manual.
- Encerrando uma Instância: Você pode excluir (encerrar) permanentemente instâncias que não são mais necessárias. Quaisquer VNICs e volumes anexados são automaticamente desanexados quando a instância é encerrada.
Gerenciando Tags de uma Instância
Aplique tags aos seus recursos para ajudar a organizá-los de acordo com as necessidades da sua empresa. Aplique tags no momento da criação de um recurso ou atualize o recurso posteriormente com as tags desejadas. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.
Para gerenciar tags de uma instância:
- Abra o menu de navegação e clique em Compute. No serviço Compute, clique em Instâncias.
-
Clique na instância em que você está interessado.
-
Clique na guia Tags para exibir ou editar as tags existentes. Ou clique em Mais Ações e, em seguida, clique em Adicionar tags para adicionar novas.
Zonas de Segurança
As Zonas de Segurança garantem que seus recursos na nuvem estejam de acordo com os princípios de segurança da Oracle. Se qualquer operação em um recurso de um compartimento de zona de segurança violar uma política dessa zona de segurança, a operação será negada.
As seguintes políticas de zona de segurança afetam a capacidade de criar instâncias:
- O volume de inicialização de uma instância de computação em uma zona de segurança também deve estar na mesma zona de segurança.
- Uma instância de computação que não está em uma zona de segurança não pode usar um volume de inicialização que está em uma zona de segurança.
- Uma instância de computação em uma zona de segurança deverá usar sub-redes que também estejam na mesma zona de segurança.
- Todas as instâncias de computação em uma zona de segurança devem ser criadas usando imagens da plataforma. Não é possível criar uma instância de computação tendo por base uma imagem personalizada em uma zona de segurança.
A falha na implementação de uma das políticas de zona de segurança listadas pode impedir a criação de uma instância.
Política Obrigatória do IAM para Trabalhar com Instâncias
Para usar o Oracle Cloud Infrastructure, você deve receber de um administrador o acesso de segurança em uma política . Esse acesso é necessário, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento trabalhar.
Quando você cria uma instância, vários outros recursos estão envolvidos, como uma imagem, uma rede na nuvem e uma sub-rede. Esses outros recursos podem estar no mesmo compartimento com a instância ou em outros compartimentos. Você deve ter o nível necessário de acesso a cada compartimento envolvido para iniciar a instância. Isso também é verdadeiro quando você anexa um volume a uma instância; eles não precisam estar no mesmo compartimento, mas se não estiverem, você precisará do nível de acesso necessário para cada um dos compartimentos.
Para administradores: A política mais simples para permitir que os usuários criem, editem e encerrem (excluam) instâncias está listada em Permitir que os usuários iniciem instâncias de computação. Isso dá ao grupo especificado acesso geral ao gerenciamento de instâncias e imagens, com o nível de acesso necessário para anexar volumes em blocos existentes às instâncias. Se o grupo especificado não precisar iniciar instâncias ou anexar volumes, você poderá simplificar essa política para incluir apenas manage instance-family
e remover as instruções que envolvem volume-family
e virtual-network-family
.
Se o grupo precisar criar volumes em blocos, ele precisará da capacidade de gerenciar volumes em blocos. Consulte Permitir que os administradores de volumes gerenciem volumes em blocos, backups e grupos de volumes.
Se o grupo precisar de acesso a imagens da comunidade especificamente, ele precisará da capacidade de ler imagens da comunidade. Consulte Publishing Community Applications.
Algumas tarefas do serviço Compute exigem políticas adicionais, conforme descrito nas seções a seguir.
Catálogo de Imagens do Parceiro
Se o grupo precisar criar instâncias com base em imagens do parceiro, elas precisarão ter a permissão de gerenciamento de app-catalog-listing para criar assinaturas de imagens do catálogo de Imagens do Parceiro. Consulte Permitir que os usuários listem e assinem imagens do catálogo de Imagens do Parceiro .
Acesso SSH e Área de Trabalho Remota
Para usuários: Para conectar-se a uma instância em execução com uma conexão do Secure Shell (SSH) ou da Área de Trabalho Remota, você não precisa de uma política do serviço IAM para conceder a você o acesso. No entanto, você precisa do endereço IP público da instância.
Para administradores: Se houver uma política que permita aos usuários iniciar uma instância, essa política provavelmente também permitirá que os usuários obtenham o endereço IP da instância. A política mais simples que permite ambas as coisas está listada em Permitir que os usuários iniciem instâncias de computação.
Aqui está uma política mais restritiva que permite que o grupo especificado obtenha o endereço IP de instâncias existentes e use ações de configuração nas instâncias (por exemplo, interromper ou iniciar a instância), mas não inicialize ou encerre instâncias. A política assume que as instâncias e a rede na nuvem estão juntas em um único compartimento (XYZ).
Allow group InstanceUsers to read virtual-network-family in compartment XYZ
Allow group InstanceUsers to use instance-family in compartment XYZ
Antes de começar
Para administradores: Para configurar notificações contextuais para uma instância, use a seguinte política.
allow group ContextualNotificationsUsers to manage alarms in tenancy
allow group ContextualNotificationsUsers to read metrics in tenancy
allow group ContextualNotificationsUsers to manage ons-topics in tenancy
allow group ContextualNotificationsUsers to manage cloudevents-rules in tenancy
Serviço de Metadados da Instância (IMDS)
Para usuários: Nenhuma política do IAM será necessária se você tiver feito log-in na instância e estiver usando o cURL para obter os metadados da instância.
Para administradores: Os usuários também podem obter metadados de instância por meio da API do serviço Compute (por exemplo, com GetInstance ). A política em Permitir que os usuários iniciem instâncias de computação abrange essa capacidade.
Para exigir que os pontos finais IMDSv1 legados sejam desativados em quaisquer novas instâncias criadas, use a seguinte política:
Allow group InstanceLaunchers to manage instances in compartment ABC
where request.instanceOptions.areLegacyEndpointsDisabled= 'true'
Reservas de Capacidade
Para administradores: Os exemplos a seguir mostram políticas típicas que dão acesso a reservas de capacidade. Crie a política na tenancy para que o acesso seja facilmente concedido a todos os compartimentos por meio da herança de política. Para reduzir o escopo de acesso apenas às reservas de capacidade em um compartimento em particular, especifique esse compartimento em vez da tenancy.
Tipo de acesso: Capacidade de iniciar uma instância em uma reserva.
Allow group InstanceLaunchers to use compute-capacity-reservations in tenancy
Tipo de acesso: Capacidade de gerenciar reservas de capacidade.
Allow group InstanceLaunchers to manage compute-capacity-reservations in tenancy
Comando Executar
Para administradores: Para criar a política para o recurso do comando de execução:
-
Crie um grupo que inclua os usuários que você deseja permitir que emitam comandos, cancelem comandos e exibam a saída de comando das instâncias em um compartimento. Em seguida, crie a seguinte política para conceder acesso ao grupo:
Allow group RunCommandUsers to manage instance-agent-command-family in compartment ABC
-
Crie um grupo dinâmico que inclua as instâncias nas quais você deseja permitir que os comandos sejam executados. Por exemplo, uma regra dentro do grupo dinâmico pode indicar:
any { instance.id = 'ocid1.instance.oc1.phx.<unique_ID_1>', 'ocid1.instance.oc1.phx.<unique_ID_2>' }
-
Crie a seguinte política para conceder acesso ao grupo dinâmico:Observação
Se você criar uma instância e adicioná-la a um grupo dinâmico, levará até 30 minutos para que a instância comece a sondar comandos. Se você criar o grupo dinâmico primeiro e, em seguida, criar a instância, ela começará a sondar comandos assim que for criada.Allow dynamic-group RunCommandDynamicGroup to use instance-agent-command-execution-family in compartment ABC where request.instance.id=target.instance.id
-
Para permitir que o grupo dinâmico acesse o arquivo de script de um bucket do serviço Object Storage e salve a resposta em um bucket do serviço Object Storage, crie as seguintes políticas:
Allow dynamic-group RunCommandDynamicGroup to read objects in compartment ABC where all {target.bucket.name = '<bucket_with_script_file>'} Allow dynamic-group RunCommandDynamicGroup to manage objects in compartment ABC where all {target.bucket.name = '<bucket_for_command_output>'}