Recursos e Serviços do Oracle Cloud Infrastructure

O Oracle Cloud Infrastructure (OCI) fornece vários recursos e serviços que permitem controlar seus recursos. Conheça os serviços de OCI e como eles podem permitir que sua organização implemente um modelo de governança.

Recursos

O Oracle Cloud Infrastructure (OCI) permite que você organize seus recursos e implemente a governança na sua organização. Conheça a organização física e lógica dos recursos e serviços do OCI.

Região

O OCI é hospedado fisicamente em regiões geográficas e domínios de disponibilidade. Uma região é uma área geográfica localizada e um domínio de disponibilidade abrange um ou mais data centers localizados em uma região.

Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. As regiões são independentes de outras regiões, e grande distância pode separá-las (entre países ou até mesmo continentes).

Uma região é composta de um ou mais domínios de disponibilidade. Os recursos do OCI são específicos da região, como uma rede virtual na nuvem, ou específicos do domínio de disponibilidade, como uma instância de computação.

Domínio de Disponibilidade

Os domínios de disponibilidade são data centers independentes e independentes dentro de uma região. Os recursos físicos em cada domínio de disponibilidade são isolados dos recursos dos outros domínios de disponibilidade, que fornecem tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura, como energia ou resfriamento, ou rede interna. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade da região.

Ao configurar serviços de nuvem, use vários domínios de disponibilidade para garantir alta disponibilidade e proteger-se contra falha de recursos. Lembre-se de que alguns recursos devem ser criados no mesmo domínio de disponibilidade, como uma instância e o volume de armazenamento anexados a ela.

Domínio de Falha

Domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha, com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas do servidor, manutenção do sistema e falhas de alimentação dentro de um domínio de falha.

Por exemplo, uma falha de hardware ou um evento de manutenção de hardware do Compute que afeta um domínio de falha não afeta as instâncias de outros domínios de falha.

Identificando Recursos

Um conceito fundamental para identificar recursos do OCI é o OCID (Oracle Cloud Identifier). É um identificador exclusivo que identifica recursos em um serviço do Oracle Cloud Infrastructure (OCI) que contêm metadados sobre os recursos. O recurso pode ser um usuário ou um grupo, ou uma instância ou um serviço. O recurso que é uma instância de um serviço ou principal é um componente do OCID completo de um recurso específico.

O OCI usa o OCID para identificar e aplicar políticas aos recursos quando você implementa a governança na sua organização. Veja a seguir a sintaxe do OCID e seus componentes:

O Oracle Cloud Infrastructure fornece os serviços a seguir que permitem criar, organizar e administrar seus recursos de nuvem.

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1: A string literal indicando a versão do OCID.
  • Tipo de Recurso: O tipo de recurso, como instância, VCN, usuário ou grupo.
  • Realm: Um realm é um conjunto de regiões que compartilham entidades como oc1 para realm comercial, oc2 para nuvem do governo, oc3 para o governo federal.
  • Região: A região geográfica de residência do recurso está em como phx, iad.
  • Uso Futuro: Especifica se os recursos são reservados para uso futuro.
  • ID Exclusivo: A parte exclusiva do ID.

Locação

Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você se inscreve no Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de empresa ou organização. Em geral, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Uma única tenancy geralmente está associada a uma única assinatura, e uma única assinatura geralmente só tem uma tenancy.

Cada recurso dentro de uma Estrutura da Tenancy na tenancy pertence a um compartimento (com poucas exceções) que permite que os recursos sejam agrupados e gerenciados logicamente de acordo com o modelo de governança definido. Um recurso é provisionado na tenancy relacionada a componentes de infraestrutura, IaaS e PaaS, mas não se limita a VCNs (Redes Virtuais na Nuvem), sub-redes, segurança e regras de roteamento.

A maioria dos recursos principais pertence a um compartimento na tenancy. No entanto, há recursos principais que são globais e ativos fora dos compartimentos.

Compartimentos

Os compartimentos são partições lógicas entre regiões dentro de uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

Compartimentos bem projetados permitem que sua organização faça o seguinte:

  • Controle o acesso por compartimentos para impor a divisão de responsabilidades e controlar o acesso com base na função, como recursos de rede ou bancos de dados
  • Delegar privilégios administrativos a administradores de compartimentos para gerenciar seus respectivos recursos
  • Desenvolver um modelo de cobrança retroativa por departamentos com base em seus respectivos compartimentos
  • Definir cotas e botões com base em compartimentos

Limites de Serviço

Quando você se cadastra no OCI, um conjunto de limites de serviço é configurado para sua tenancy. O limite do serviço é a cota ou permissão definida para um recurso. Por exemplo, sua tenancy pode ter um número máximo de instâncias do Serviço Data Science. Cada recurso tem um limite e escopo definidos. Os limites inicialmente definidos na tenancy são baseados em uma combinação de recursos comprados na Lista de Materiais e valores determinados como padrões. O escopo dos limites de serviço é regional ou específico do domínio de disponibilidade, o que permite maior flexibilidade. Esses limites podem ser aumentados automaticamente com base no uso de recursos e na posição da conta do OCI.

Orçamentos

Você pode especificar um orçamento para definir limites flexíveis para os gastos com o OCI. Você também pode definir alertas no orçamento para notificá-lo quando o uso exceder o orçamento. Você pode ver todos os seus orçamentos e gastos em um só lugar usando a console do OCI.

Cotas de Compartimento

As cotas de compartimento fornecem aos administradores de tenancy e compartimento melhor controle sobre como os recursos são consumidos no OCI. As cotas permitem que os administradores aloquem facilmente recursos para compartimentos usando a console. As cotas de compartimento fornecem um mecanismo avançado para gerenciar seus gastos em locações do OCI.

Log

O serviço de log é altamente escalável e totalmente gerenciado que fornece acesso aos seguintes tipos de logs de seus recursos na nuvem:
  • Logs de auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
  • Logs de serviço: Logs emitidos por serviços individuais, como API Gateway, Events, Functions, Load Balancing, Object Storage e logs de fluxo da VCN.
  • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente local.

Grupos de Log

Contêineres lógicos para organizar logs que são usados para definir/limitar o acesso a logs para um grupo limitado de usuários. Você pode criar grupos de logs separados com base na sensibilidade dos dados de log.

Por exemplo, crie três grupos de logs: Segurança, Rede e Aplicativo.

  • Em seguida, para cada grupo de logs, crie políticas do OCI IAM para fornecer aos usuários administradores acesso para ler blogs de grupos de logs.
  • Permita que o grupo SecOps leia conteúdo de log no log de compartimento em que:
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID> 

Logging Analytics

Uma solução de nuvem no OCI que permite indexar, enriquecer, agregar, explorar, pesquisar, analisar, correlacionar, visualizar e monitorar todos os dados de log dos seus aplicativos e da infraestrutura do sistema.

O Logging Analytics fornece várias maneiras de obter informações operacionais de seus logs.

  • Usar a UI do explorador de logs
  • Agregar informações de log em painéis de controle
  • Utilizar as APIs para ingerir e analisar dados
  • Integrar com outros serviços do OCI

Cloud Guard

Veja a seguir a descrição da ilustração cloud-guard-detector-recipe.png
Descrição da ilustração cloud-guard-detector-recipe.png

Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança dos seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos quanto a pontos fracos na segurança e para monitorar operadores e usuários quanto a atividades arriscadas. Quando qualquer atividade insegura ou configuração incorreta é detectada, o Cloud Guard recomenda ações corretivas e ajuda a tomar essas ações, com base nas receitas do respondedor que você pode definir.

Receita de detector

Um conjunto de regras/verificações para identificar possíveis problemas de segurança. A Oracle fornece algumas receitas do detector de linha de base para serviços como buckets de armazenamento de objetos, instâncias de computação, instâncias de VCN, usuários e grupos do serviço IAM, balanceadores de carga, listas de segurança e grupos de segurança de rede. Não é possível atualizar a regra de receita para receitas gerenciadas pela Oracle. No entanto, você pode clonar receitas gerenciadas pela Oracle e criar novas receitas chamadas receitas do detector gerenciadas pelo usuário.

Receitas de Regras para Detectar Problemas

  • Receitas gerenciadas pela Oracle
  • Receitas gerenciadas pelo usuário
  • Fórmulas do detector de configuração
    • Bucket público
    • A instância tem um endereço IP público
    • O certificado SSL LB está prestes a expirar
  • Fórmulas do detector de atividade
    • Usuário adicionado a um grupo
    • Instância de computação excluída

As receitas do Detector de Configuração verificam as configurações do recurso. Por exemplo, verifique se o bucket de armazenamento é público ou se há um gateway NAT ou um Gateway de Internet criado em uma VCN. Outras receitas do detector detectam atividade como criar um grupo dinâmico ou adicionar uma VNIC à VM.

Receita do Respondedor

Um conjunto de regras para corrigir o problema detectado ou enviar uma ação de solicitação de notificação. A receita do respondedor padrão não oferece uma opção para remediar todos os problemas. No entanto, você pode resolver isso chamando funções de eventos. Você toma medidas corretivas ou corrige o problema da função OCI.

Como receitas do detector, há receitas do respondedor gerenciadas pela Oracle e receitas do respondedor gerenciadas pelo cliente. As receitas do respondedor gerenciadas pelo cliente são um clone das receitas gerenciadas pela Oracle, nas quais você pode desativar algumas das regras predefinidas do respondedor.

Alvo

Um destino define o escopo do que o Cloud Guard deve verificar. Inclui uma lista de compartimentos. Quando você adiciona um compartimento como destino, o Cloud Guard também verifica todos os subcompartimentos. Os destinos são definidos quando compartimentos, receitas do detector e receitas do respondedor se unem.

Tag

As tags contêm metadados, pares de chave/valor, que são anexados a recursos e definem seus atributos, como uso, custo ou propriedade.

Conceitos Básicos de Tags

Namespace de tag (somente aplicável a tags definidas)

O namespace de tag é um contêiner para suas tags. Ele consiste em um nome e zero ou mais definições de chave de tag. O namespace de tag é exclusivo na tenancy.

Chave de tag

O nome que você usa para se referir à tag. As chaves de tag são exclusivas no namespace.

Tipo de valor de tag

Ele especifica o tipo de dados permitido para o valor. Há dois tipos de dados suportados: String e uma lista de strings.

Valor da tag

É o valor que o usuário aplica às tags. Algumas tags têm valores predefinidos. Os usuários devem escolher um valor na lista de valores para outras tags.

Um recurso, que é uma instância de um serviço em um compartimento, pode ter uma ou mais tags. As tags designadas a um compartimento são designadas a todos os recursos do compartimento.

Há duas maneiras de designar tags a recursos.

Tags Definidas

Tags predefinidas nas quais os administradores gerenciam os metadados são mais usados. Por exemplo, para criar metadados de recursos para gerenciar recursos ou coletar dados, você pode usar tags definidas. Há três tipos de tags definidas com base em seu uso e como os valores são atribuídos.

  • Tags com valores predefinidos

    Você pode criar uma lista de valores e associá-la a uma definição de chave de tag. Quando os usuários aplicam a tag a um recurso, eles devem selecionar um valor da lista de valores predefinidos. Use listas de valores predefinidos para impor limites nos valores que os usuários podem aplicar às tags.

  • Tags de rastreamento de custos

    Tags que são usadas ao definir orçamentos para gerenciar o custo de uso do recurso.

  • Padrões de tag

    Você pode definir tags padrão que serão aplicadas a todos os recursos quando eles forem criados em um compartimento específico. A configuração de padrões de tag garante que as tags apropriadas sejam aplicadas na criação do recurso sem exigir que o usuário que está criando o recurso tenha acesso aos namespaces de tag. Use variáveis de tag para criar de forma eficiente padrões de tag para recursos criados em um compartimento. Por exemplo:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

Tags de formato livre

Metadados não gerenciados definidos pelo usuário aplicados aos recursos durante o ciclo de vida de um recurso.

Consulte o guia Oracle Cloud Foundations vinculado na seção Explore Mais para saber mais.