OCI技術資料 : 組織管理 (Organization Management)

Transcript

1. Oracle Cloud Infrastructure 組織管理 Oracle Cloud Infrastructure Organization Management 2024/3/7

   日本オラクル株式会社 OCIソリューション部

2. 組織管理 テナンシA コンパートメントB コンパートメントD コンパートメントA OCIにおける“テナント管理” Copyright – © 2024

   Oracle and/or its affiliates. All rights reserved. 2 組織管理 リソース 組織管理(Organization Management): • 複数のテナンシでサブスクリプション(≒請求単位)を一元管理し たり、サブスクリプションを複数テナンシで共有して利用することが できる機能 • ユースケースとして、各テナンシで完全に分離された環境を持ちつ つ、請求を単一のサブスクリプションに統合したい場合などが挙げら れる コンパートメント・モデル: • コンパートメント とは、1つのテナンシ内のリソースの編成、および、 アクセスを制御できる “論理的な単位”（例えば、部署／用途 別などで、OCIリソースの集合体を作るなど） • 権限の付与を行う際、テナンシ全体ではなく コンパートメントを指 定することで、認可を与える範囲を調整できる • リソースは必ずどこか１つのコンパートメントに所属する必要がある • コンパートメントは、最大６レベルまでの深さを持つ階層構造で 作成できる コンパートメント サブスクリプションA テナンシB テナンシA サブスクリプションB テナンシC コンパートメントC

3. 複数テナンシの請求やコストを一括して管理 • 複数のテナンシの請求やコスト管理を一元化できる機能 • 以前Unified BillingまたはSubscription Sharingと呼ばれていた機能が組織管理に統合されて進化 • 現時点で一元管理できるのは請求、コスト分析、コストレポート、予算、ガバナンス・ルール。 •

   IAMやネットワーク、インスタンス等の通常のリソースはテナンシごとに独立。 組織管理サービス（Organization Management） Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 3 親テナンシー 子テナンシ 子テナンシ 親テナンシ 親テナンシと子テナンシ • 親テナンシ： • 請求やコスト管理の親。子テナンシを含めたコスト分析が可能。 ※Pay As You GoまたはFree Tierのテナンシは子テナンシを追加できない • 子テナンシ： • 親テナンシのサブスクリプションを消費する、または同じ親テナンシ内で管理され ている別のサブスクリプションを適用することも可能 • 1つの親テナンシは、複数の子テナンシを持つことが可能 • 1つの子テナンシは、１つだけの親を持つことが可能 (子テナンシが更に親テナンシとして子を持つことは不可) 子テナンシ 子テナンシ 注）デフォルトでは組織管理のサービス制限はゼロになっているため、利用する際は親テナンシにてサービス制限の引き上げが必要

4. ２種類のいずれかの方法により、テナンシを組織管理下に追加することができる A) 新規テナンシを子テナンシとして作成 • 子テナンシが作成されると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 B) 既存テナンシを子テナンシとして招待する。子テナンシ側では招待の受け入れを行う。 • テナンシが組織に加わると、そのサブスクリプションは親テナンシによって管理される。 •

   子テナンシになると自動的に親テナンシのデフォルト・サブスクリプションにマップされる。サブスクリプション・マッピングを変更することも可能 • 招待された子テナンシは組織管理から削除することも可能。ただし削除する場合は元のサブスクリプションにマッピングを戻す必要がある。同じサブス クリプションに他のテナンシがマップされている場合は削除できない。 テナンシの追加方法 Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 4

5. 親テナンシから新規に子テナンシを作成 1. 親となるテナンシのこのソールから「新規テナンシの作成」 • 設定項目 • テナンシ名 • ホーム・リージョン •

   管理者のメールアドレス • （オプション）ガバナンス・ルール 2. 子テナンシ管理者にサインインの手順のメールが送付され る • メール内指示に従って一時パスワードを使ってテナンシにサイ ンインする A) 新しい子テナンシを作成 Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 5 作成後の状態 Subscription A Organization Child Tenancy B Parent Tenancy A

6. 既存のテナンシを子テナンシとして招待する 1. 親テナンシとなるテナンシのコンソールから別のテナンシを子テ ナンシとして招待する • 設定項目 • 招待名 • 受信者テナンシのOCID

   • 受取人電子メールアドレス（管理権限のあるユーザ） • （オプション）ガバナンス・ルール 2. 招待を受信したテナンシで受け入れを行う • 招待されたテナンシのコンソールの「組織管理」→「招待」ページ から対象の招待を選択し、「招待に応じる」を選択することで、 親テナンシの下位の子テナンシとなる • 招待受け入れ後、親テナンシのサブスクリプションを消費するよう になるまでは1～2時間程度時間がかかる B) 既存テナンシの招待 Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 6 作成後の状態 Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B

7. 各テナンシがどのサブスクリプションからクレジット消費するかを定義 • 各テナンシはマッピングされているサブスクリプションに対して課金される。デフォルトでは親サブスクリプションにマップされる。 • 子テナンシを招待し、親テナンシの組織管理配下に管理対象のサブスクリプションが複数ある場合、サブスクリプションに各テナンシを 再マッピングすることで、利用するサブスクリプションを変更することも可能。 • テナンシの使用量は、そのレート・カード、クレジット消費およびサブスクリプション契約内のその他の契約を含め、マッピングしたサブスクリプションの条 件が適用される。 サブスクリプション・マッピング

   Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 7

8. 1. 子テナンシが親テナンシのサブスクリプションを共有 • 一つのサブスクリプションで、複数のテナンシを持ちたい場合。あるいは、当初は別々の契約で開 始したが、環境再構築せずにあとからサブスクリプションを統合したい場合 • 新規作成や招待した子テナンシは、どちらも初期状態ではデフォルト・サブスクリプションにマッピン グされているのでこの状態になる。（その後、以下の2のようにマッピングを変更して、組織管理の 配下の別のサブスクリプションに変更することも可能。） 2.

   子テナンシが親テナンシとは別のサブスクリプションを利用 • 子テナンシは親とは別のサブスクリプションを利用するが、親テナンシの管理者が子テナンシも含め てすべてのサブスクリプションのコスト状況を把握、管理したい場合 • 招待した子テナンシのサブスクリプション・マッピングを変更する。 3. 親テナンシが子テナンシのサブスクリプションを利用 • 何らかの理由であとから子テナンシのサブスクリプションに統一する必要が出てきた場合 • 親テナンシと子テナンシのサブスクリプション・マッピングを変更する。 サブスクリプション・マッピングのユースケース Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 8 Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B

9. 招待した子テナンシは、組織管理から削除する（再度独立したテナンシに戻す）ことが可能です。 • 親テナンシから新規作成した子テナンシは、自身の契約情報やサブスクリプションを持っていないため組織管理から削除はできません。 • 招待した子テナンシを削除するには、まずテナンシの割当てを元のサブスクリプションに戻す必要があります。再マップした後に、子テナ ンシを削除できます。 • 他のテナンシがこのサブスクリプションにマップされている場合は、サブスクリプションから他のテナンシのマップを解除する必要があります。 招待テナンシの削除（組織管理からの取り外し） Copyright

   – © 2024 Oracle and/or its affiliates. All rights reserved. 9 Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Child Tenancy B Parent Tenancy A Subscription B Subscription A Organization Tenancy B Parent Tenancy A Subscription B 元の サブスクリプション にマッピング 組織管理 から削除

10. コンソール上で課金状況をグラフィカルに表示し分析するための機能 • 親テナンシのコスト分析にはすべてのテナンシのコストが含まれ、テナンシやサブスクリプションごとにフィルタやグループ化可能。親テナン シから全体の使用状況や、子テナンシ別、サブスクリプション別の使用状況の確認ができる。 • 子テナンシは自身のテナンシのコスト分析のみ可能。親テナンシのホーム・リージョンをサブスクライブする必要がある。 コスト管理の統合：コスト分析 Copyright – ©

    2024 Oracle and/or its affiliates. All rights reserved. 10 テナンシA テナンシC テナンシB 親テナンシからコスト分析を参照した場合

11. 使用状況や課金の明細データをCSV形式で出力するレポート • コストおよび使用状況レポートは親テナンシでのみ生成される • レポートにはTenant ID列、Subscription ID列があるため、テナンシごとやサブスクリプションごとに明細を確認することも可能 • 子テナンシではコストおよび使用状況レポート出力はできない コスト管理の統合：コストおよび使用状況レポート

    Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 11

12. 設定した利用金額の閾値に達した場合に管理者にメール送信する機能 親テナンシと子テナンシの両方で予算を作成可能。 親テナンシは、自身と子テナンシの両方の予算を作成できる。子テナンシが作成できるのは自身のテナンシ内の予算のみ。 コスト管理の統合：予算 Copyright – © 2024 Oracle and/or

    its affiliates. All rights reserved. 12

13. 親テナンシから子テナンシのリソースを管理するためのルール設定が可能 ３つのガバナンス・ルール・タイプ： • 許可されるリージョン: ターゲット・テナンシがサブスクライブできる1つ以上のリージョン。（※許可されるリージョンに含まれていないリー ジョンで、既にサブスクライブされている場合は、そのリージョンにサブスクライブされたままになる） • 割当て制限ポリシー: Quotaを設定して、サービス内のリソース数を制限するか、特定のサービスを無効にする。 •

    タグ: 一貫したタグ付けのためにタグ・ネームスペースを共有することも、すべてのリソースがタグ付けされるようにタグのデフォルトを定義 することも可能。 ガバナンス・ルール Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 13 ガバナンス・ルールで親テナンシから 設定されたポリシーは子テナンシ側で はロックされ、編集することはできない

14. 独立したスタンドアロンのテナンシ 親子関係のテナンシ（組織管理） コンパートメント分割 サブスクリプション （請求単位） • テナンシごとに異なるサブスクリプ ション • 他のテナンシのサブスクリプションを共有

    して消費することも、個別のサブスクリプ ションにすることも可能 • テナンシ内のコンパートメントはすべて同じサ ブスクリプションを消費 リソース • リソースは完全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動 する際には再構築 • コスト、請求関連以外はリソースは完 全に分離している • サービス制限もテナンシごと • テナンシをまたいでリソースを移動する 際には再構築 • ユーザ管理（IAM）リソースなどのテナンシ に紐づくリソースは共通 • 権限設定次第でコンパートメントをまたいで リソースを共有して利用することも可能 • リソースをコンパートメント移動可能 環境へのログイン、 IAM • 個別環境へのログイン • IDとアクセス管理自体が独立 • 個別環境へのログイン • IDとアクセス管理自体が独立 • テナンシ内で共通。ただしIAM Identity Domainを利用することでユーザ管理やログ イン方法を分けることも可能。 管理者 • 独立したテナンシ管理者 • 独立したテナンシ管理者 • テナンシ管理者は共通 • 権限設定で各コンパートメント内の管理権 限をユーザに付与 コスト管理 • テナンシごとに独立 • 親テナンシの管理者が全ての子テナン シのコスト状況を参照できる • 子テナンシの管理者は自テナンシ内の コスト分析のみ可能 • 子テナンシの予算を設定可能 • テナンシ内で共通 （コンパートメントごとにコスト分析やコストレポートの参 照権限を制限することはできない） • コンパートメントごとに予算を設定可能 独立したテナンシ、親子関係のテナンシとコンパートメントの違い Copyright – © 2024 Oracle and/or its affiliates. All rights reserved. 14 要件に応じてどの単位で管理すべきかを判断する
15. None