[정보] OCI Compartments(구획)
(원문) https://www.ateam-oracle.com/post/oracle-cloud-infrastructure-compartments
구획(Compartments)은 보안 격리 및 액세스 제어를 위한 OCI(Oracle Cloud Infrastructure)의 강력한 기능입니다.
파일 시스템의 폴더와 같이 정책을 시행할 수 있는 전역 논리적 네임스페이스를 제공하여 이를 수행합니다.
글로벌화함으로써 주어진 테넌시 내의 모든 OCI 지역으로 확장됩니다. 정책 시행을 통해 리소스 관리 및 위임된 관리를 위해 조직에서 정의한 매개 변수에 따라 올바른 액세스 수준을 제공합니다. 이러한 매개변수는 조직마다 다릅니다.
예를 들어 구획은 각 부서에 지정된 관리자가 있는 구획이 있는 조직 기능 구조를 반영할 수 있습니다.
차례로 각 부서 구획은 서로 다른 환경(Dev, Test, Prod)에 대한 하위 구획을 가질 수 있으며, 필요한 경우 각각 고유한 관리자가 있습니다.
아래 다이어그램은 이 특정 구조를 묘사하며 이 문서에서 설명하는 실제 예제의 기초로 사용됩니다.
구획 내부의 작은 모양(큐브, 원, 사각형)은 OCI 리소스를 나타냅니다.https://www.ateam-oracle.com/post/oracle-cloud-infrastructure-compartments
구획에 대한 개요를 제공하는 것 외에도 구획 간에 리소스(컴퓨팅 인스턴스 정의)를 공유하는 방법에 대한 예를 제공하고자 합니다. HR 부서의 누군가가 매우 유용하고 멋진 Compute 인스턴스를 구축하고 재사용을 위해 영업 부서와 공유하려는 경우를 보여줍니다.
기본적으로 모든 OCI 테넌시에는 테넌시 자체의 이름을 딴 기본 루트 구획이 있습니다. 테넌시 관리자(기본 루트 구획 관리자)는 기본 관리자 그룹의 구성원인 모든 사용자입니다. 구획이 생성되면 하위 구획을 생성하고 각 구획에 위임된 관리자를 할당할 수 있는 자체 관리자를 할당할 수 있습니다. OCI는 최대 6레벨의 깊은 구획 계층 구조를 지원하며 상위 구획의 관리자는 하위 구획에 대한 모든 권한을 가집니다.
기록을 위해 내 동료인 Gustavo Saurez는 기본 루트 구획에 대한 액세스를 제한하기 위해 정책을 사용하는 방법에 대해 확인할 가치가 있는 게시물을 가지고 있습니다. 매우 세부적으로 구획을 다루는 또 다른 멋진 게시물은 Sanjay Basu의 How MSPs Can Deliver IT-as-a-Service with Better Governance입니다.
구획으로 작업할 때 일부 OCI 리소스는 생성된 지역, 즉 지역 범위에서만 사용할 수 있다는 점을 인식하는 것이 중요합니다. 이러한 리소스 중에는 컴퓨트 인스턴스, 데이터베이스, 블록 볼륨 및 가상 클라우드 네트워크(VCN)가 있습니다. 이러한 측면은 관리자가 올바른 구획을 보고 있지만 지정된 리소스를 볼 수 없는 OCI 관리 콘솔에서 매우 자주 나타납니다. 관리자가 올바른 지역을 선택하지 않았을 가능성이 큽니다. 일부 다른 리소스는 전역적이므로 선택한 지역에 관계없이 항상 사용할 수 있습니다. 글로벌 리소스 중에는 사용자, 그룹, 정책 및 구획 자체를 포함한 모든 IAM(ID 및 액세스 관리) 리소스가 있습니다.
------------------------------------------------------------------------------------------------------------------------
(자료참조) https://www.youtube.com/watch?v=nAp-cG0c9fw
- 여러의 클라우드 자원을 하나의 논리적인 단위로 묶는 기능을 합니다.
- 단위접근 제어, 권한 설정, 자원 한정, 과금 리포팅,, 시스템 모니터링 등에 사용합니다.
- 디렉터리 체계와 유사한 최대 6단계 중첩 구조를 지원합니다.