Gerenciando Controladores de Recursos
Você pode gerenciar controladores de recursos do cluster do Big Data Service na página de detalhes do Cluster.
Somente uma configuração de controlador de recursos ativa é permitida por cluster.
O Big Data Service 3.0.28 e o ODH versão 1.1.13/2.0.9 suportam controladores de recursos. Clusters mais antigos que seguem o caminho de upgrade com o mínimo de Big Data Service 3.0.27 (Criação direta de cluster ou upgrade) são elegíveis para upgrade para suportar controladores de recursos. Para usar controladores de recursos, o Big Data Service e o ODH devem ser atualizados para as versões listadas anteriormente. Com a introdução do suporte ao controlador de recursos, o Big Data Service pode estabelecer conexão com diferentes serviços do OCI usando autenticação do controlador de recursos e as políticas podem ser definidas para vários níveis (nível de recurso, nível de compartimento etc.).
Para gerenciar controladores de recursos do cluster do Big Data Service, consulte:
- Criando um Controlador de Recursos
- Editando um Controlador de Recursos
- Excluindo um Controlador de Recursos
- Gerando Novamente um Token do Controlador de Recursos
- Obtendo Detalhes do Controlador de Recursos
- Listando Principais de Recursos
Um novo token de sessão do controlador de recursos é emitido e distribuído para todos os nós do cluster nas seguintes situações:
- Substituindo um nó
- Adicionando um nó
Pré-requisitos
- Big Data Service 3.0.28 ou posterior
- ODH 1.1.13 ou posterior para ODH 1
- ODH 2.0.9 ou posterior para ODH 2
- A permissão
update bdsPara obter mais informações sobre políticas do Big Data Service, consulte Políticas do Big Data Service
Exemplos de Política
As políticas a seguir também podem ser criadas para um grupo específico.
Permitir acesso somente para leitura ao Big Data Service aos objetos e buckets na tenancy de um cluster
allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>'}Permitir acesso somente para leitura a buckets específicos na tenancy do cluster do Big Data Service
allow any-user to read buckets in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}
allow any-user to read objects in tenancy where ALL{request.principal.id='<BDS Cluster OCID>',target.bucket.name='<bucket-name>'}Permitir acesso somente para leitura aos objetos e buckets na tenancy para todos os clusters do Big Data Service originados de um compartimento específico
allow any-user to read buckets in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}
allow any-user to read objects in tenancy where ALL{request.resource.compartment.id='<Compartment OCID of BDS Clusters>', request.principal.type='bigdataservice'}
Permitir acesso somente para leitura aos objetos e buckets em tenant diferente para o cluster do Big Data Service (acesso entre tenancies, por exemplo)
Políticas obrigatórias na tenancy de origem em que o cluster real do Big Data Service foi criado.
Define tenancy <Target-Tenancy-Name> as <Target-Tenancy-OCID>
Endorse any-user to read object-family in tenancy <Target-Tenancy-Name>
Endorse any-user to read buckets in tenancy <Target-Tenancy-Name>
Endorse any-user to read objects in tenancy <Target-Tenancy-Name>
Políticas obrigatórias na tenancy de destino na qual os recursos são acessados.
Define tenancy <Source-BDS-Cluster-Tenancy-Name> as <Source-BDS-Cluster-Tenancy-OCID>
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read object-family in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read buckets in tenancy where request.principal.id='<BDS Cluster OCID>'
Admit any-user of tenancy <Source-BDS-Cluster-Tenancy-Name> to read objects in tenancy where request.principal.id='<BDS Cluster OCID>'Política de IAM Obrigatória do Controlador de Recursos
Para monitorar as métricas relacionadas ao Controlador de Recursos (RPST), você deve ter o tipo necessário de acesso concedido por meio de uma política criada por um administrador. A política deve permitir o acesso ao serviço Monitoring e aos compartimentos específicos do Big Data Service que estão sendo monitorados.
Se você receber uma permissão negada ou erro não autorizado, verifique:
- A política de acesso inclui permissões
oci_monitoring. - Você está trabalhando no compartimento correto.
Referência: Consulte Política de Monitoramento do IAM para obter detalhes sobre as permissões necessárias e o acesso ao compartimento.
Métricas do Controlador de Recursos
Para obter mais informações sobre métricas do controlador de recursos, consulte Métricas Disponíveis: oci_big_data_service.
Casos de uso de métricas RPST e cenários de monitoramento combinados:
Métrica: ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold
Finalidade:
Usado para monitorar proativamente tokens RPST que estão se aproximando da expiração (além de 80% de sua vida útil) por nó.
Use esta métrica quando:
- Você deseja identificar tokens que expiram em breve.
- Você precisa acionar alertas antes da expiração real do token para evitar interrupções.
- Você deseja permitir tempo de buffer para regeneração automática ou manual de token.
Consulta de Amostra:
ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[2h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqa7h57hcu6f5pvxpwl6j5u2ipl3qqdcavjlqyixtgjjiva"}.count()Métrica: ResourcePrincipalSessionTokenStatus
Finalidade:
Usado para detectar problemas críticos de token, como o token RPST expirou ou está ausente em um nível por nó.
Use esta métrica quando:
- Você deseja executar verificações de integridade em tempo real sobre a disponibilidade do token.
- Você deseja executar uma ação imediata se um nó tiver um token interrompido ou expirado.
- Você deseja classificar o tipo de falha: 1 para expirado, 2 para ausente.
Consulta de Amostra:
ResourcePrincipalSessionTokenStatus[30m]{resourceId = "ocid1.instance.oc1.iad.anuwcljtanx7lvqc7uvyibak2qlvjwvzz4mtb6qiusn6x4zsvpx4kpfydczq"}.count()Métrica: ResourcePrincipalTokenRefreshedInLast30Mins
Finalidade:
Usado para rastrear se os tokens RPST foram atualizados recentemente, avaliados no nível do cluster. Isso deve ser verdadeiro se ResourcePrincipalSessionTokenStatus estiver dando expirado ou ausente para qualquer nó.
Use esta métrica quando:
-
Você deseja garantir que os jobs de renovação de token periódicos sejam executados com sucesso.
-
Você deseja uma pulsação no nível do cluster indicando que o gerenciamento de token está funcionando corretamente.
-
Você deseja detectar tokens desatualizados em todos os nós se essa métrica for falsa.
Consulta de Amostra:
ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()Monitoramento Proativo + Remediação Imediata
Objetivo: Detecte tokens próximos da expiração e certifique-se de que nenhum esteja ausente ou expirado.
Use as seguintes métricas juntas:
-
ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold -
ResourcePrincipalSessionTokenStatus
Consulta de Amostra (agregar abaixo das consultas):
Consulta 1:
ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()Consulta 2:
ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()Verificação de Integridade com Validação de Atualização
Objetivo: Confirme se todos os tokens foram atualizados periodicamente e se não há tokens expirados/ausentes.
Use as seguintes métricas juntas:
-
ResourcePrincipalTokenRefreshedInLast30Mins -
ResourcePrincipalSessionTokenStatus
Consulta de Amostra (agregar abaixo das consultas):
Consulta 1:
ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqac7xojchf2vjmbeudlixrqmjvjct7oioj34otatnibfka"}.max()Consulta 2:
ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()Verificação de Prontidão do Cluster
Objetivo: Certifique-se de que todos os nós estejam prontos (tokens ativos, atualizados recentemente, sem expiração futura).
Use todas as três métricas juntas:
-
ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold -
ResourcePrincipalSessionTokenStatus -
ResourcePrincipalTokenRefreshedInLast30Mins
Consulta de Amostra (agregar abaixo das consultas):
Consulta 1:
ResourcePrincipalTokenExpiryTimeExceeding80PercentThreshold[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.grouping().count()Consulta 2:
ResourcePrincipalSessionTokenStatus[12h]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.count()Consulta 3:
ResourcePrincipalTokenRefreshedInLast30Mins[30m]{clusterOcid = "ocid1.preprod-bigdataservice.oc1.iad.amaaaaaamn67ujqalm2xprcarkhihwcnih3lkinktmmjmqqrutqzkukpswiq"}.max()Atributos Suportados
Os atributos a seguir são suportados pelos controladores de recursos do Big Data Service. Isso pode ser usado no nível de política e no nível de grupo dinâmico. Ao consumir atributos do controlador de recursos no nível do grupo dinâmico, certifique-se de gerar novamente o token de acesso do controlador de recursos para entrar em vigor.
-
request.principal.id: O ID do controlador de recursos. O valor é igual ao ID do Big Data Service e é usado para isolamento específico no nível do recurso. -
request.resource.compartment.id: O ID do compartimento de recursos do Big Data Service e é usado para isolamento no nível do compartimento. -
request.resource.tenancy.id: O ID da tenancy do recurso do Big Data Service e é usado para isolamento no nível da tenancy. -
request.principal.type: O tipo de controlador de recursos do Big Data Service. Todos os valores de controladores de recursos específicos do Big Data Service são'bigdataservice'.