此图显示了包含区间、管理组和租户(根区间)中以下资源的 Oracle Cloud Infrastructure 租户:预算、策略、IAM 事件、Cloud Guard、预算事件、通知和主题。预算事件、通知和主题显示在带虚线的框中。下面是管理组:成本管理、存储管理员、储值管理员、审计员、IAM 管理员、网络管理员、安全管理员、应用程序管理员、数据库管理员和 Exadata 管理员。
封闭区间位于租户(根区间)内,包含策略和安全区域。以下区间位于封闭区间内:网络、安全、应用程序、数据库和 Exadata。模板在网络、安全、应用程序、数据库和 Exadata 区间内预配预警、事件、通知、主题和订户资源。
网络区间有两个虚拟云网络 (Virtual Cloud Network,VCN):VCN 和 Exadata VCN。默认情况下,模板部署标准三层 VCN 和一个区域公共子网和两个区域专用子网。VCN 具有 Web 子网、应用程序子网和数据库子网。Exadata VCN 具有两个区域专用子网:客户端子网和备份子网。它还具有预警、事件、通知、主题和订户资源。
- 网关连接到的 VCN 驱动器的类型。标准三层 VCN 可以具有所有 VCN 网关,而 Exadata VCN 连接到动态路由网关 (DRG) 和服务网关:
- 用于连接到公共 Internet 的 Internet 网关。
- 用于从专用子网中的资源到公共互联网的单向连接的 NAT 网关。
- 用于与客户数据中心内部部署网络的专用连接的 DRG。
- 用于连接到 Oracle 服务网络 (OSN) 的服务网关。
- 对每个子网中资源的网络访问由单独的网络安全组控制。VCN 具有堡垒网络安全组、负载平衡器 (Load Balancer,LBR) 网络安全组和应用网络安全组。Exadata VCN 具有客户端网络安全组和备份网络安全组。
- 公共子网的路由表包含以下规则:通过互联网网关定向到公共互联网的流量,以及通过 DRG 绑定到内部部署网络的流量。
- 专用子网的路由表包含一个规则,用于通过服务网关定向发送到 OSN 的流量。应用程序子网的路由表还有一个附加规则,用于通过 NAT 网关引导绑定到公共互联网的流量。
- Exadata VCN 中客户端和备份子网的路由表不提供到 Internet 的任何入站或出站连接。
安全区间预配了 Vault 和密钥、漏洞扫描、日志记录、服务连接器中心、堡垒、对象存储存储桶、预警、事件、通知、订户和主题资源。
应用程序区间预配有对象存储桶、预警、事件、通知、订户和主题资源。除了模板预配的资源以外,应用程序区间还可以包含您可能需要的其他应用程序相关资源。例如,模板不预配以下资源:函数、适用于 Kubernetes 集群的容器引擎、计算实例、块存储、流处理和文件存储。
数据库区间适用于要预配的任何数据库资源。它预配了对象存储桶、预警、事件、通知、订户和主题资源。该模板不预配数据库,包括 Oracle Autonomous Transaction Processing (ATP)、Oracle Autonomous Data Warehouse、VM Database 和 Exadata Cloud Service。
Exadata 区间用于 Exadata 资源,包括基础结构、VM 集群和数据库系统。它预配了对象存储桶、预警、事件、通知、订户和主题资源。模板不预配 Exadata 系统。或者,这些资源可以部署在数据库区间中并由数据库管理员管理。
顶部的箭头指示为管理组授予的跨区间资源的整体管理权限,如下所示:
- 成本管理员将数据发送到根区间中的预算和预算事件。
- IAM 管理员将数据发送到根区间中的预算事件、通知、主题和策略以及封闭区间中的策略。IAM 管理员还会将数据发送到网络管理员。
- 网络管理员将数据发送到网络区间。
- 安全管理员将数据发送到根区间中的 IAM 事件和 Cloud Guard 以及网络区间中的安全区域。安全管理员将数据发送到安全区间。
- 应用程序管理员将数据发送到应用程序区间。
- 数据库管理员将数据发送到数据库区间。
- Exadata 管理员将数据发送到 Exadata 区间。
- 网络管理员将数据发送到网络区间。
