Отделенията са един от диференциаторите на Oracle Cloud Infrastructure, лично аз не изглеждам подобна услуга на друг доставчик на облак. Има и други подобни концепции като маркиране или проекти, но с различен фокус.
Отделение е колекция от свързани ресурси, по-специално логически събиране на свързани ресурси (като VCN, блокови томове, инстанции, подмрежи). Тази колекция може да бъде достъпна само от определени потребители на групата, на които е предоставено разрешение от администратор.
Тук имаме 10 неща, които трябва да знаем за отделенията, които могат да бъдат полезни, преди да започнете да работите върху Oracle Cloud Infrastructure:
1.- Когато се регистрирате за Oracle Cloud Infrastructure, Oracle създава вашия наем , което е основното отделение, което съдържа всичките ви облачни ресурси
Основното отделение е кръстено на самото наемане (Повече за наеманията в друг запис), това е причината администраторът на наемане (част от групата администратори) да е и администратор на основното отделение.
Забележка добра практика е броят на членовете от администраторските групи да се поддържа възможно най-малък и да се създават администраторски групи, за да контролирате конкретни отделения (на практика това са подотделения от основното отделение)
Забележка :Това е само една от възможностите за проектиране на разпределение на отделения, но зависи от архитектурата, която най-добре отговаря на клиента
Понастоящем всички потребители и групи се създават в основното отделение и можете да създавате правила, които позволяват на тези потребители да имат достъп до ресурси в други отделения.
2.-OCI ресурс може да принадлежи само на едно отделение
OCI ресурсите не могат да бъдат част от две отделения, трябва да създадете или вътре в конкретно отделение, или вътре в основното отделение.
Не забравяйте, че споменахме, че отделенията са логическа колекция, което означава, че са логическа структура, така че можете да имате, например, два екземпляра в различни отделения, които принадлежат към една и съща VCN и една и съща подмрежа.
Забележка полезно е да мислите за отделенията като област на отговорност, където дефинирате разрешения, а не като физически контейнер.
3.-Отделенията могат да имат детски отделения или подотделения, вложени на 6 нива дълбоко
Към датата на първата публикация на този запис има ограничение от максимум 6 вложени отделения.
Например, можете да имате следните отделения:
nosomocavernicolas> prod> compute_Services> app1> db_app1> no_sql_dbs1> free_users
Добра практика е да проектирате йерархия на отделенията, преди да започнете да създавате ресурси, въпреки че можете да премествате цяло дърво на отделения между родителското отделение и също така можете да премествате ресурси между отделения.
Можете да прегледате актуализирания номер вътре:ЧЗВ за управление на самоличността и достъп
4.-Можете да изтриете отделения
Можете да изтриете отделения, но трябва да изпълните следните изисквания:
- Трябва да имате администраторски достъп или необходимата политика, за да изтриете отделението.
- За да изтриете отделение, в него не трябва да има ресурси, включително правила, прикрепени към отделението.
Забележка някои видове ресурси не могат да бъдат изтрити, следователно отделенията за тези ресурси също не могат да бъдат изтрити. В този случай можете да преименувате отделението, за да използвате повторно името.
След като изтриете отделението, то започва задача за изтриване, което Oracle прави е да промени името на отделението за нещо като CompartmentA.qR5hP2BD и състоянието на това отделение е настроено на изтрито, но все още можете да видите изтрито отделение на страница с отделения за 365 дни.
Можете да видите дали всички ресурси за едно отделение са изтрити с помощта на Tenancy Explorer
5.-Наемането и отделенията са глобални ресурси
Това означава, че отделенията обхващат региони и домейни за наличност, което ни позволява да групираме ресурси, които са в различни региони, което представлява добър начин за прилагане на управление на разходите.
Забележка Не забравяйте, че отделенията са логическо групиране на ресурси, които не са ограничени с физически ограничения.
6.-Можете да прилагате политики за сигурност на базата на отделение
След като създадете отделение, трябва да създадете поне една политика, така че потребителите или групите да имат достъп до ресурси в новото отделение, в противен случай само администраторите ще имат достъп до ресурсите на отделението.
Забележка разрешенията за отделения могат да бъдат наследени, така че ако имате, да речем, група, наречена db-operators с достъп до всички ресурси в отделение-А , а след това създавате Отделение-B вътрешноотделение-А , потребители от db-оператори ще има достъп до ресурси в отделение-B също, освен ако не посочите друго.
Например, ако искате да разрешите на услугата агент за управление на ОС да чете информация от екземпляри в определено отделение, трябва да създадете тази политика:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
За осигуряване на администраторски достъп до отделение
Allow group A-Admins to manage all-resources in compartment Project-A
Друг пример, искате да предоставите разрешения, така че HR администраторите да могат да управляват съхранението на обекти (OCI услуга) в отделението HR
Allow group hr-admins to manage object-family in compartment PROD-A
Забележка Индивидуалният тип ресурс е най-детайлният начин за деклариране на ресурси, това са vcn, екземпляр и др.
Можете да намерите повече подробности за прикачването на правила от:Прикачен файл с правила
7.-Можете да зададете квоти за отделение
Квотите за отделение са подобни на лимитите за обслужване.
Квотите се задават от администраторите, за да ограничат количеството ресурси, които могат да бъдат създадени в отделение, по този начин можете да контролирате разходите и да избягвате създаването на ресурси, които не са необходими.
За това администраторите могат да задават правила.
Има 3 вида квоти:
- задаване - задаване на максимален брой ресурси
- ненастроено – нулира квотата до лимита за услугата по подразбиране
- нула – премахва достъпа до облачен ресурс за отделение. например, ако искате да избегнете създаването на блокови томове в отделение, можете да създадете тази нулева квота за тази услуга.
В рамките на една политика изразите за квоти се оценяват по ред и по-късните изявления заменят предишните, насочени към същия ресурс.
Забележка когато премествате ресурси от едно отделение в друго, трябва да вземете предвид всяка квота в отделението местоназначение, в противен случай няма да можете да създадете ресурсите, докато не коригирате квотата.
ДРУГИ РЕСУРСИ:
Управляващи отделения
Квоти за отделение
Ключови понятия и терминология на OCI
Отделения за облачна инфраструктура на Oracle
