Los compartimentos son uno de los diferenciadores en Oracle Cloud Infrastructure, personalmente no he visto un servicio similar en otro proveedor de nube. Hay otros conceptos similares como tagging o proyectos pero con diferente enfoque.
Un compartimento es una colección de recursos relacionados, específicamente un lógico colección de recursos relacionados (como VCN, volúmenes en bloque, instancias, subredes). Solo pueden acceder a esta colección ciertos usuarios del grupo a los que un administrador les ha otorgado permiso.
Aquí tenemos 10 cosas que debe saber sobre los compartimentos que pueden ser útiles antes de comenzar a trabajar en Oracle Cloud Infrastructure:
1.-Cuando se registra en Oracle Cloud Infrastructure, Oracle crea su arrendamiento , que es el compartimento raíz que contiene todos sus recursos en la nube
El compartimento raíz lleva el nombre del propio arrendamiento (más información sobre arrendamientos en otra entrada), esta es la razón por la que el administrador del arrendamiento (parte del grupo de administradores) también es el administrador del compartimento raíz.
Nota es una buena práctica mantener el número de miembros de los grupos de administradores lo más pequeño posible y crear grupos de administradores para controlar compartimentos específicos (en la práctica, estos son subcompartimentos del compartimento raíz)
Nota :Esta es solo una de las opciones para diseñar la distribución de los compartimentos pero queda a la arquitectura que mejor se adapte al cliente
Actualmente, todos los usuarios y grupos se crean dentro del compartimento raíz y puede crear políticas que permitan a estos usuarios acceder a recursos en otros compartimentos.
2.-Un recurso OCI solo puede pertenecer a un compartimento
Los recursos OCI no pueden formar parte de dos compartimentos, debe crearlos dentro de un compartimento específico o dentro del compartimento raíz.
Recuerde que mencionamos que los compartimentos son una colección lógica, lo que significa que son una estructura lógica, por lo que puede tener, por ejemplo, dos instancias en diferentes compartimentos, que pertenecen a la misma VCN y a la misma subred.
Nota es útil pensar en los compartimentos como un área de responsabilidad donde se definen los permisos en lugar de un contenedor físico.
3.-Los compartimentos pueden tener compartimentos secundarios o subcompartimentos anidados a 6 niveles de profundidad
A la fecha de la primera publicación de esta entrada, existe un límite máximo de 6 compartimentos anidados.
Por ejemplo, puede tener los siguientes compartimentos:
nosomoscavernicolas> prod> servicios_de_cómputo> app1> db_app1> no_sql_dbs1> usuarios_gratuitos
Es una buena práctica diseñar la jerarquía de compartimentos antes de comenzar a crear recursos, aunque puede mover un árbol de compartimentos completo entre el compartimento principal y también puede mover recursos entre compartimentos.
Puede revisar el número actualizado en:Preguntas frecuentes sobre gestión de acceso e identidad
4.-Puedes eliminar compartimentos
Puede eliminar compartimentos, pero debe cumplir con estos requisitos:
- Debe tener acceso de administrador o la política requerida para eliminar el compartimento.
- Para eliminar un compartimento, no debe haber recursos dentro de él, incluida cualquier política adjunta al compartimento.
Nota algunos tipos de recursos no se pueden eliminar, por lo tanto, los compartimentos para estos recursos tampoco se pueden eliminar. En este caso, puede cambiar el nombre del compartimento para reutilizar el nombre.
Después de eliminar el compartimento, comienza un trabajo de eliminación, lo que hace Oracle es cambiar el nombre del compartimento por algo como CompartmentA.qR5hP2BD y el estado de estos compartimentos se establece en eliminado, pero aún puede ver el compartimento eliminado en el página de compartimentos para 365 días.
Puede ver si todos los recursos de un compartimento se eliminan mediante el Explorador de arrendamiento
5.-La tenencia y los compartimentos son recursos globales
Esto significa que los compartimentos abarcan regiones y dominios de disponibilidad, lo que nos permite agrupar recursos que se encuentran en diferentes regiones, lo que representa una buena forma de implementar la administración de costos.
Nota Recuerde que los compartimentos son agrupaciones lógicas de recursos que no están sujetos a limitaciones físicas.
6.-Puedes aplicar políticas de seguridad por compartimentos
Después de crear un compartimento, debe crear al menos una política para que los usuarios o grupos puedan acceder a los recursos dentro del nuevo compartimento; de lo contrario, solo los administradores tendrán acceso a los recursos del compartimento.
Nota los permisos de los compartimentos se pueden heredar, por lo que si tiene, digamos, un grupo llamado db-operators con acceso a todos los recursos en Compartimento-A y luego creas un Compartimento-B dentro del Compartimento-A , usuarios de db-operators tendrá acceso a los recursos en Compartimento-B también a menos que especifique lo contrario.
Por ejemplo, si desea permitir que el servicio del agente de administración del sistema operativo lea información de instancias en un compartimento determinado, debe crear esta política:
Allow dynamic-group OSManagementAgent to read instance-family in compartment PROD-A
Para proporcionar acceso de administrador a un compartimento
Allow group A-Admins to manage all-resources in compartment Project-A
Otro ejemplo, desea proporcionar permisos para que los administradores de recursos humanos puedan administrar el almacenamiento de objetos (Servicio OCI) dentro del compartimento Recursos humanos
Allow group hr-admins to manage object-family in compartment PROD-A
Nota Un tipo de recurso individual es la forma más granular de declarar recursos, estos son vcn, instancia, etc. Además, los tipos de recursos se agrupan en familias, por ejemplo, familia de instancias, familia de volúmenes, etc.
Puede encontrar más detalles sobre cómo adjuntar pólizas en:Adjunto de póliza
7.-Puedes establecer cuotas en un compartimento
Las cuotas de los compartimentos son similares a los límites de los servicios.
Los administradores establecen cuotas para limitar la cantidad de recursos que se pueden crear dentro de un compartimento, de esta manera puede controlar el costo y evitar la creación de recursos que no son necesarios.
Para esto, los administradores pueden establecer políticas.
Hay 3 tipos de cuotas:
- set - establece el número máximo de recursos
- unset:restablece la cuota al límite de servicio predeterminado
- cero:elimina el acceso a un recurso de nube para un compartimento. por ejemplo, si desea evitar la creación de volúmenes en bloque en un compartimento, puede crear esta cuota cero para ese servicio.
Dentro de una política, las declaraciones de cuota se evalúan en orden y las declaraciones posteriores reemplazan las declaraciones anteriores que apuntan al mismo recurso.
Nota cuando mueve recursos de un compartimento a otro, debe tener en cuenta cualquier cuota en el compartimento de destino; de lo contrario, no podrá crear los recursos hasta que ajuste la cuota.
OTROS RECURSOS:
Gestión de compartimentos
Cuotas de compartimento
Terminología y conceptos clave de OCI
Compartimentos de Oracle Cloud Infrastructure
