1. 建立基礎 Oracle Cloud Infrastructure 治理模型
  2. Oracle Cloud Infrastructure 資源與服務

Oracle Cloud Infrastructure 資源與服務

Oracle Cloud Infrastructure (OCI) 提供各種不同的資源和服務,讓您控管資源。瞭解 OCI 服務及他們如何讓組織導入治理模型。

資源

Oracle Cloud Infrastructure (OCI) 可讓您組織您的資源,並在組織內實行治理。瞭解 OCI 資源和服務的實體與邏輯組織。

區域

OCI 實體依地理區域和可用性網域代管。區域是指局部的地理區域,可用性網域則是區域內的一個或多個資料中心。

Oracle Cloud Infrastructure 區域是一個局部地理區域,其中包含一或多個資料中心 (稱為可用性網域)。區域獨立於其他區域,而且很大距離可加以區隔 (跨國家或甚至是大陸)。

區域是由一或多個可用性網域組成。OCI 資源可以是區域特定的資源,例如虛擬雲端網路或特定可用性網域 (例如運算執行處理)。

可用性網域

可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與提供容錯能力的其他可用性網域中的資源隔離。可用性網域並不共用基礎設施,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障並不會影響該區域中的其他可用性網域。

當您設定雲端服務時,請使用多個可用性網域來確保高可用性並防止資源失敗。請注意,您必須在相同的可用性網域內建立某些資源,例如執行處理和連附的儲存磁碟區。

容錯網域

容錯域是可用性網域內的一組硬體和基礎架構。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您將資源分配給多個容錯域時,您的應用系統可以忍受容錯域中的實體伺服器失敗、系統維護和電源故障。

例如,影響一個容錯域的硬體失敗或運算硬體維護事件不會影響其他容錯域中的執行處理。

識別資源

識別 OCI 資源的基本概念是 OCID (Oracle Cloud Identifier)。它是一個在 Oracle Cloud Infrastructure (OCI) 服務中識別包含資源描述資料的唯一識別碼。資源可以是使用者、群組、執行處理或服務。資源 (即服務或主體的執行處理) 是特定資源完整 OCID 的元件。

OCI 會在組織內實行治理時,使用 OCID 來識別和強制實行資源原則。以下顯示 OCID 語法與其元件:

Oracle Cloud Infrastructure 提供下列服務,可供您建立、組織及管理您的雲端資源。 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1:表示 OCID 版本的文字字串。
  • 資源類型:資源類型,例如執行處理、VCN、使用者或群組。
  • 範圍:範圍是共用實體 (例如 oc1 代表商業範圍) 的一組區域,oc2 代表政府雲,oc3 代表聯邦政府。
  • 區域:資源的住所地理區域,例如 phx、iad。
  • 未來使用:指定資源是否保留供日後使用。
  • 唯一 ID:ID 的唯一部分。

租用戶

註冊 Oracle Cloud Infrastructure 時,租用戶是 Oracle 在 Oracle Cloud 內設定的安全獨立的分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並且反映該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,且單一訂閱通常只有一個租用戶。

租用戶結構內的每個資源都屬於一個區間 (少數例外情況),可讓資源以邏輯方式群組及管理,以符合定義的治理模型。資源是在與 IaaS、PaaS 及基礎架構元件相關的租用戶中佈建,但並不限於虛擬雲端網路 (VCN)、子網路、安全性及路由規則。

大部分核心資源屬於租用戶內的區間。不過,有些核心資源不論是全域資源還是位於區間之外。

區間

區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間在 Oracle Cloud 中組織您的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則,指定誰可以存取資源以及可執行的動作。

設計良好的區間可讓組織執行下列作業:

  • 依區間控制存取,以便執行職責區分和根據功能 (例如網路資源或資料庫) 控制存取
  • 將管理權限委派給區間管理員以管理其個別的資源
  • 依部門根據部門各自的區間開發借項沖回模型
  • 根據區間定義配額和邊緣

服務限額

當您註冊 OCI 時,系統會為租用戶設定一組服務限制。服務限制是對資源所設定的配額。例如,您的租用戶可能允許最多數目的資料科學服務執行處理。每個資源都有定義的限制和範圍。租用期間初始設定的限制,取決於您在用料表中購買的資源組合,並決定為預設值。服務範圍包括區域或可用性網域特定,可提供額外彈性。您可以依據您的 OCI 資源使用狀況和帳戶狀態,自動為您增加這些限制。

預算

您可以指定預算來設定 OCI 支出的寬鬆限制。您也可以對預算設定警示,以便在使用量超過預算時通知您。您可以使用 OCI 主控台,在單一位置檢視所有預算和支出。

區間配額

區間配額可以讓租用戶和區間管理員更妥善地控制 OCI 中資源的使用情況。配額讓管理員能夠使用主控台將資源輕鬆配置給區間。區間配額提供功能強大的機制,可管理您在 OCI 租用戶的支出。

記錄

日誌記錄是一種可高度擴展且完全託管的服務,可讓您從雲端的資源存取下列類型的日誌:
  • 稽核記錄:與稽核服務發出之事件有關的日誌。
  • 服務日誌:由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存及 VCN 流量日誌) 發送的日誌。
  • 自訂日誌:包含自訂應用程式、其他雲端提供者或內部部署環境的診斷資訊之日誌。

日誌群組

組織日誌的邏輯容器,這些日誌可用來定義 / 限制使用者群組的存取。您可以根據日誌資料的敏感度建立個別的日誌群組。

例如,建立三個日誌群組:安全、網路以及應用程式。

  • 接著,為每個日誌群組建立 OCI IAM 原則,以提供管理員使用者從日誌群組讀取部落格的存取權。
  • 允許 SecOps 群組在以下區間日誌中讀取日誌內容:
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

日誌記錄分析

OCI 中的雲端解決方案可讓您編製應用系統與系統基礎架構的索引、強化、聚總、探索、搜尋、分析、關聯、視覺化及監控所有日誌資料。

日誌記錄分析提供多種從日誌取得作業洞察分析的方法。

  • 使用日誌總管 UI
  • 將日誌資訊聚總至儀表板
  • 使用 API 擷取及分析資料
  • 與其他 OCI 服務整合

雲端保全

cloud-guard-detector-recipe.png 的描述如下
cloud-guard-detector-recipe.png 圖解描述

您可以使用 Oracle Cloud Guard 監視及維護 Oracle Cloud Infrastructure 中資源安全性。「雲端保全」使用偵測器方法,您可以定義它來檢查您的資源是否有安全性漏洞,以及監督操作員與使用者是否有危險活動。偵測到任何組態錯誤或不安全活動時,「雲端保全」會建議更正動作,並根據您可以定義的回應器方法協助採取這些動作。

偵測器方法

用以識別潛在安全問題的一組規則 / 檢查。Oracle 針對物件儲存的儲存桶、運算執行處理、VCN 執行處理、IAM 使用者和群組、負載平衡器、安全清單及網路安全群組等服務,提供部分基準偵測器方法。您無法更新 Oracle 管理方法的處方規則。不過,您可以複製 Oracle 管理的處方,然後建立新的方法,這些方法稱為使用者管理偵測器方法。

用於偵測問題之規則的方法

  • Oracle 管理的處方
  • 使用者管理的方法
  • 組態偵測器方法
    • 公用儲存桶
    • 執行處理有公用 IP 位址
    • LB SSL 憑證即將過期
  • 活動偵測器方法
    • 使用者已新增至群組
    • 已刪除運算執行處理

組態偵測器方法檢查資源組態。例如,檢查儲存體儲存桶是否為公用,或在 VCN 中建立 NAT 閘道或網際網路閘道。其他偵測器方法會偵測活動,例如建立動態群組或將 VNIC 新增至 VM。

回應器方法

用以修正偵測到的問題或傳送通知要求動作的一組規則。預設回應器方法不提供修正每個問題的選項。不過,您可以從事件呼叫函數來處理。您可以採取更正措施,或從 OCI 函數修正問題。

就像偵測器方法一樣,有 Oracle 管理的回應器方法和客戶管理的回應器方法。客戶管理的回應器方法就是 Oracle 管理的方法的複本,您可以在其中停用部分預先定義的回應器規則。

目標

目標定義雲端保全應檢查的範圍。包括區間清單。當您新增區間作為目標時,雲端保全也會檢查所有子區間。目標是在區間、偵測器方法以及回應器方法連結在一起的位置定義。

標記功能

標記包含連附至資源的描述資料、索引鍵 - 值組,並定義其屬性,例如使用狀況、成本或擁有權。

標記基本知識

標記命名空間 (僅適用於定義的標記)

標記命名空間是標記的容器。它包含名稱及零個或多個標記索引鍵定義。標記命名空間在整個租用戶中是唯一的。

標記金鑰

用來參照標記的名稱。標記索引鍵在命名空間中是唯一的。

標記值類型

它會指定允許的值資料類型。支援兩種資料類型:字串和字串清單。

標記值

它是使用者套用至標記的值。部分標記具有預先定義的值。使用者必須從其他標記的值清單中選擇一個值。

一個資源 (即區間上服務的執行處理) 可具有一或多個標記。指定給區間的標記會指定給區間中的所有資源。

有兩種方法可將標記指定給資源。

已定義標記

管理員管理中繼資料的預先定義標籤更常用。例如,若要建立資源描述資料以管理資源或收集資料,您可以使用定義標記。根據定義標記的使用狀況和指派值的方式,有三種類型的定義標記。

  • 含有預先定義值的標記

    您可以建立值清單,並將該清單與標記索引鍵定義產生關聯。使用者將標記套用至資源時,必須從預先定義的值清單中選取值。使用預先定義值清單,對使用者可以套用至標記的值設定限制。

  • 費用追蹤標記

    設定預算以管理資源使用成本時使用的標記。

  • 標記預設值

    您可以定義在特定區間中建立所有資源時,將套用至這些預設標記。設定標記預設值可確保在建立資源時套用適當的標記,而不需要建立資源的使用者才能存取標記命名空間。使用標記變數可有效率地為區間中建立的資源建立標記預設值。例如:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

自由格式標記

在資源週期期間,對資源套用的使用者定義未受管理的描述資料。

請參閱瀏覽更多小節中連結的 Oracle Cloud Foundations 指南以瞭解詳細資訊。