【OCI】甲骨文云:掌握云服務(wù)平臺(tái)的最佳實(shí)踐

  • 人閱讀
  • 2024-05-08 17:52:30

  • 來源:站長之家

  • 相關(guān)關(guān)鍵詞

當(dāng)您的云服務(wù)商如Oracle為您創(chuàng)建了云租戶后,公司的管理員需要執(zhí)行一些設(shè)置任務(wù)并為您的云資源和用戶制定組織計(jì)劃。利用本文內(nèi)容,幫助您快速入門。

制定計(jì)劃

在添加用戶和資源之前,您應(yīng)該為您的租戶制定一個(gè)計(jì)劃。制定計(jì)劃的基礎(chǔ)是理解Oracle云基礎(chǔ)設(shè)施身份和訪問管理(IAM)的組成部分。確保您閱讀并理解IAM的功能。請(qǐng)參閱身份和訪問管理概述。

您的計(jì)劃應(yīng)包括用于組織資源的隔離層級(jí)結(jié)構(gòu),以及需要訪問這些資源的用戶組定義。這兩點(diǎn)將影響您編寫管理訪問的策略,因此應(yīng)同時(shí)考慮。

使用以下入門主題幫助您開始制定計(jì)劃:

理解隔離層級(jí)

考慮誰應(yīng)該訪問哪些資源

理解隔離層級(jí)

隔離層級(jí)是您用來組織云資源的主要構(gòu)建塊。您可以使用隔離層級(jí)來組織和隔離資源,從而更輕松地管理和保護(hù)對(duì)它們的訪問。

當(dāng)您的租戶被配置時(shí),會(huì)為您創(chuàng)建一個(gè)根隔離層級(jí)(您的租戶就是您的根隔離層級(jí))。您的根隔離層級(jí)包含所有云資源。您可以將根隔離層級(jí)視為文件系統(tǒng)中的根文件夾。

您第一次登錄控制臺(tái)并選擇服務(wù)時(shí),將看到您的一個(gè)根隔離層級(jí)。

在您的根隔離層級(jí)下,您可以創(chuàng)建子隔離層級(jí)來組織云資源,使之符合您的資源管理目標(biāo)。創(chuàng)建隔離層級(jí)時(shí),您可以通過制定策略來控制對(duì)它們的訪問,這些策略規(guī)定了用戶組可以對(duì)這些隔離層級(jí)中的資源采取什么行動(dòng)。

開始使用隔離層級(jí)時(shí),請(qǐng)記住以下幾點(diǎn):

當(dāng)您創(chuàng)建資源(例如,實(shí)例、塊存儲(chǔ)卷、虛擬云網(wǎng)絡(luò)、子網(wǎng))時(shí),您必須決定將其放在哪個(gè)隔離層級(jí)中。

隔離層級(jí)是邏輯上的,而非物理上的,所以相關(guān)的資源組件可以放置在不同的隔離層級(jí)。例如,您的云網(wǎng)絡(luò)子網(wǎng)如果可以訪問互聯(lián)網(wǎng)網(wǎng)關(guān),可以在與同一云網(wǎng)絡(luò)中的其他子網(wǎng)不同的隔離層級(jí)中進(jìn)行安全管理。

您可以在租戶(根隔離層級(jí))下創(chuàng)建最多六層深度的隔離層級(jí)。

當(dāng)您編寫策略規(guī)則以授予用戶組對(duì)資源的訪問時(shí),您總是需要指定應(yīng)用訪問規(guī)則的隔離層級(jí)。因此,如果您選擇在多個(gè)隔離層級(jí)中分布資源,請(qǐng)記住您需要為需要訪問這些資源的用戶提供每個(gè)隔離層級(jí)的適當(dāng)權(quán)限。

在控制臺(tái)中,隔離層級(jí)的行為類似于過濾器,用于查看資源。當(dāng)您選擇一個(gè)隔離層級(jí)時(shí),您只能看到該隔離層級(jí)中的資源。要查看另一個(gè)隔離層級(jí)中的資源,您必須先選擇該隔離層級(jí)。您可以使用搜索功能獲取跨多個(gè)隔離層級(jí)的資源列表。請(qǐng)參閱搜索概述。

您可以使用租戶資源管理器查看特定隔離層級(jí)中的所有資源(跨區(qū)域)。請(qǐng)參閱查看隔離層級(jí)中的所有資源。

如果您想刪除一個(gè)隔離層級(jí),您必須先刪除該隔離層級(jí)中的所有資源。

最后,在規(guī)劃隔離層級(jí)時(shí),您應(yīng)該考慮如何希望匯總使用情況和審計(jì)數(shù)據(jù)。

考慮誰應(yīng)該訪問哪些資源

在規(guī)劃您的租戶設(shè)置時(shí)的另一個(gè)主要考慮因素是誰應(yīng)該訪問哪些資源。定義不同用戶組需要如何訪問資源將幫助您更有效地規(guī)劃組織資源,從而更容易編寫和維護(hù)您的訪問策略。

例如,您可能會(huì)有需要:

查看控制臺(tái),但不被允許編輯或創(chuàng)建資源的用戶

在幾個(gè)隔離層級(jí)中創(chuàng)建和更新特定資源的用戶(例如,需要管理您的云網(wǎng)絡(luò)和子網(wǎng)的網(wǎng)絡(luò)管理員)

啟動(dòng)和管理實(shí)例及塊卷,但不能訪問您的云網(wǎng)絡(luò)的用戶

在特定隔離層級(jí)中對(duì)所有資源擁有完全權(quán)限的用戶

管理其他用戶的權(quán)限和憑據(jù)的用戶要查看一些示例策略,請(qǐng)參閱常見策略。

示例方法設(shè)置隔離層級(jí)

將所有資源放在租戶(根隔離層級(jí))中

如果您的組織規(guī)模較小,或者您仍處于評(píng)估Oracle云基礎(chǔ)設(shè)施的概念驗(yàn)證階段,您可能會(huì)考慮將所有資源放在根隔離層級(jí)(租戶)中。這種方法使您能夠快速查看和管理所有資源。您仍然可以編寫策略并創(chuàng)建群組,以限制特定資源的權(quán)限,僅供需要訪問的用戶使用。

設(shè)置單一隔離層級(jí)方法的高級(jí)任務(wù):

(最佳實(shí)踐)創(chuàng)建一個(gè)沙盒隔離層級(jí)。即使您計(jì)劃將資源保留在根隔離層級(jí)中,Oracle建議設(shè)置一個(gè)沙盒隔離層級(jí),以便您可以為用戶提供專門的空間來嘗試功能。在沙盒隔離層級(jí)中,您可以授予用戶創(chuàng)建和管理資源的權(quán)限,同時(shí)在您的租戶(根)隔離層級(jí)中保持更嚴(yán)格的權(quán)限。請(qǐng)參閱創(chuàng)建沙盒隔離層級(jí)。

創(chuàng)建群組和策略。請(qǐng)參閱常見策略。

添加用戶。請(qǐng)參閱管理用戶。

創(chuàng)建隔離層級(jí)以符合公司項(xiàng)目

如果您的公司有多個(gè)部門,您希望分別管理,或者公司有幾個(gè)不同的項(xiàng)目,單獨(dú)管理會(huì)更容易,可以考慮這種方法。

在這種方法中,您可以為每個(gè)隔離層級(jí)(項(xiàng)目)添加一個(gè)專門的管理員群組,他們可以為該項(xiàng)目設(shè)置訪問策略。(用戶和群組仍然必須在租戶級(jí)別添加。)您可以授予一個(gè)群組對(duì)其所有資源的控制權(quán),同時(shí)不允許他們對(duì)根隔離層級(jí)或任何其他項(xiàng)目擁有管理員權(quán)限。這樣,您可以使公司的不同群組為他們自己的資源建立自己的“子云”,并獨(dú)立管理它們。

設(shè)置多個(gè)項(xiàng)目方法的高級(jí)任務(wù):

創(chuàng)建一個(gè)沙盒隔離層級(jí)。Oracle建議設(shè)置一個(gè)沙盒隔離層級(jí),這樣您可以為用戶提供專門的空間來嘗試功能。在沙盒隔離層級(jí)中,您可以授予用戶創(chuàng)建和管理資源的權(quán)限,同時(shí)在您的租戶(根)隔離層級(jí)中保持更嚴(yán)格的權(quán)限。

為每個(gè)項(xiàng)目創(chuàng)建一個(gè)隔離層級(jí),例如,ProjectA、ProjectB。

為每個(gè)項(xiàng)目創(chuàng)建一個(gè)管理員群組,例如,ProjectA_Admins。

為每個(gè)管理員群組創(chuàng)建一個(gè)策略。

添加用戶。請(qǐng)參閱管理用戶。

讓ProjectA和ProjectB的管理員在他們指定的隔離層級(jí)內(nèi)創(chuàng)建子隔離層級(jí)來管理資源。

讓ProjectA和ProjectB的管理員創(chuàng)建管理其隔離層級(jí)訪問的策略。

創(chuàng)建隔離層級(jí)以符合您的安全要求

如果您的公司有需要不同安全級(jí)別的項(xiàng)目或應(yīng)用程序,請(qǐng)考慮這種方法。

安全區(qū)域與隔離層級(jí)和安全區(qū)域配方關(guān)聯(lián)。在安全區(qū)域中創(chuàng)建和更新資源時(shí),Oracle云基礎(chǔ)設(shè)施會(huì)根據(jù)安全區(qū)域配方中的策略驗(yàn)證這些操作。如果觸碰到了任何安全區(qū)域策略的雷區(qū),則操作將被拒絕。默認(rèn)情況下,任何子隔離層級(jí)也在同一安全區(qū)域中。

安全區(qū)域策略符合Oracle安全原則,包括:

安全區(qū)域中的數(shù)據(jù)不能復(fù)制到區(qū)域外的隔離層級(jí)中,因?yàn)榭赡馨踩暂^低。

安全區(qū)域中的資源不得從公共互聯(lián)網(wǎng)訪問。

安全區(qū)域中的資源必須僅使用Oracle批準(zhǔn)的配置和模板。

在這種方法中,您為必須遵守我們的最大安全架構(gòu)和最佳實(shí)踐的項(xiàng)目創(chuàng)建隔離層級(jí)和安全區(qū)域。對(duì)于不需要這種安全合規(guī)性級(jí)別的項(xiàng)目,您創(chuàng)建不在安全區(qū)域中的隔離層級(jí)。您還可以為您的安全區(qū)域創(chuàng)建自定義配方,僅啟用可用策略的子集。

與前一種方法類似,您可以為每個(gè)隔離層級(jí)添加一個(gè)專門的管理員群組,然后為該單一項(xiàng)目設(shè)置訪問策略。

訪問(IAM)策略授予用戶在隔離層級(jí)中管理某些資源的能力。

安全區(qū)域策略確保在安全區(qū)域隔離層級(jí)中的管理操作符合Oracle安全最佳實(shí)踐。

與Agilewing攜手開啟Oracle之旅

作為 Oracle 的高級(jí)合作伙伴,Agilewing推出的AgileCDN融合CDN服務(wù),完美結(jié)合OCI云基礎(chǔ)服務(wù),為業(yè)務(wù)國際化、跨境電商和游戲出海量身打造,提供性價(jià)比極高的全球內(nèi)容加速解決方案。作為一個(gè)創(chuàng)新的融合CDN平臺(tái),AgileCDN 在全球部署了超過2800個(gè)POP節(jié)點(diǎn),并擁有200TB的強(qiáng)大網(wǎng)絡(luò)容和7000多個(gè)直連點(diǎn),確保網(wǎng)絡(luò)連接的極致效率和穩(wěn)定性。 借助先進(jìn)的智能調(diào)度技術(shù),AgileCDN優(yōu)化了數(shù)據(jù)傳輸路徑,大幅提升服務(wù)的速度和可靠性,結(jié)合簡(jiǎn)潔而高效的部署流程和OCI云服務(wù)的強(qiáng)大支持,迅速實(shí)現(xiàn)業(yè)務(wù)部署和構(gòu)建,為企業(yè)的云遷移和國際業(yè)務(wù)拓展提供了一個(gè)經(jīng)濟(jì)高效的理想解決方案。

Agilewing作為Oracle云服務(wù)的合作伙伴,已幫助眾多組織成功運(yùn)用Oracle自主數(shù)據(jù)庫。我們將與您的商業(yè)和技術(shù)團(tuán)隊(duì)緊密合作,利用我們的Oracle云專業(yè)知識(shí),幫助您實(shí)現(xiàn)企業(yè)敏捷性、競(jìng)爭(zhēng)力和性能的提升,同時(shí)從Oracle自主數(shù)據(jù)庫中獲得最大價(jià)值。今天就開始您的Oracle之旅吧…

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )