OCIコンソールにアクセスして基本を理解する - Oracle Cloud Infrastructureを使ってみよう(その1)

Version 25

    目次に戻る : チュートリアル : Oracle Cloud Infrastructure を使ってみよう

     

    Oracle Cloud Infrastructure を使い始めるにあたって、コンソール画面にアクセスし、ログインを行います。

    また、Oracle Cloud Infrastructure のサービスを利用するのにあたって必要なサービス・リミット、コンパートメントやポリシーなどのIAMリソースおよびリージョンについて、コンセプトをコンソール画面の操作を通じて学習し、理解します。

     

    所要時間 : 約25分

     

    前提条件 : 有効な Oracle Cloud Infrastructure のテナントと、アクセスのための有効なユーザーIDとパスワードがあること

     

    注意 : チュートリアル内の画面ショットについては Oracle Cloud Infrastructure の現在のコンソール画面と異なっている場合があります

     

    1. サポートされるブラウザの確認

    このチュートリアルでは、Oracle Cloud Infrastructure のコンソール画面からの操作を中心に作業を行います。

    サポートされるブラウザを確認し、いずれかのブラウザをローカル環境にインストールしてください。

     

     

    2. ログイン情報の確認

    コンソールにアクセスするにあたり、ログイン情報の入力が必要になります。ログイン情報には以下のものが含まれます。

     

    • テナント名 - Oracle Cloud Infrastructure を契約したり、トライアル環境を申し込んだ際に払い出される一意のID
    • ユーザー名 - ログインのためのユーザー名
    • パスワード - ログインのためのパスワード

     

    ログイン情報の入手方法は、ユーザーが作られるタイミングによって異なります。

     

    テナントの最初のユーザーの場合

    テナントの最初の管理者ユーザーに対しては、テナントが作成された際にシステムから通知メールが送付されています。

    通知メールの中に、ランダムな一時パスワードを含む上記の内容が記入されていることを確認します。


    WS000042.JPG

     

     

    通知メールには、上記のような内容が含まれています。

    Cloud Account という箇所がテナント名、下部の赤枠で囲われた最後の文字列 (モザイク部分) が、初期ユーザーの一時パスワードです。

     

    テナントの管理者ユーザーによって作成された2人め以降のユーザーの場合

    テナントの管理者ユーザーによって作成された2人目以降のユーザーに対しては、システムからの通知は送られません。

    ログインに必要な情報については、管理者から直接入手してください。

     

     

    3. コンソールへのログイン

     

    1. 以下のアクセスリンクのどれかをクリックして、ブラウザでOracle Cloud Infrastructureのサイトにアクセスします
    2. Cloud Tenant にステップ2で確認したテナント名を入力し、Continue ボタンを押します
      WS000036.JPG
    3. User NamePassword に、ステップ2で確認した情報を入力し、Sign In ボタンを押します
      WS000035.JPG
    4. 作成されたユーザーが初回にコンソールにログインした場合には、パスワードの変更が要求されます。旧パスワードと新パスワードを入力し、Save New Password ボタンを押します。

      WS000038.JPG
    5. ログインが完了すると、Oracle Cloud Infrastructure のコンソール画面が表示されます

      WS000039.JPG

     

    4. サービス・リミットの確認

    Oracle Cloud Infrastructureのすべての環境(テナント)には、初期状態でサービス・リミットというリソース制限がかけられています。

    このため、先ほどログインしたテナントでは、例えばアベイラビリティ・ドメインあたりに作成できるコンピュート・インスタンスの最大数が設定されており、それ以上の数のコンピュート・インスタンスを作成しようとすると、エラーメッセージと共に失敗します。

     

    サービス・リミット制限によるインスタンス作成失敗メッセージの例

    WS000040.JPG

     

    サービス・リミットは、例えば以下のようなリソースに対してかけられています。

     

    • コンピュート・インスタンス - アベイラビリティ・ドメインあたりの仮想マシンやベアメタルインスタンスの数
    • ブロック・ボリューム - アベイラビリティ・ドメインあたりのブロック・ボリュームの合計サイズや、バックアップの数
    • データベース・サービス - アベイラビリティ・ドメインあたりのデータベース・インスタンスの数
    • アイデンティティ & アクセス管理 - テナントあたりのユーザ、グループ、ポリシーの数など
    • ロードバランサー - リージョンあたりのロードバランサーの数
    • ネットワーク・コンポーネント - テナントあたりのVCNの数や、VCNあたりのサブネットの数など
    • オブジェクト・ストレージ - リージョンあたりのバケット数や、オブジェクトあたりの最大データサイズなど

     

    初期状態においてテナントにかけられているサービス・リミットの値は、契約の形態によって変わります。サービス・リミットがかけられているリソース・コンポーネントおよびその制限量については、Service Limits - Limits by Service を確認してください。

     

    サービス・リミットの緩和

    サービス・リミットの制限は、My Oracle Support よりサービス・リクエストを上げて申請することで、緩和することができます。サービス・リクエストの上げ方およびサービス・リミット緩和申請の際に入力が必要な情報については、Service Limit - Requesting a Service Limit Increase をご確認ください。

     

    5. コンパートメントとポリシーの確認

    Oracle Cloud Infrastructure には、テナントの内部を仕切る コンパートメント という区画を作成し、その中にリソースを配置したり、コンパートメントにポリシーを割り当てることを通じて権限を設定したりすることができます。

     

    もし本番プロジェクトなどで本格的に Oracle Cloud Infrastructure を利用する場合には、コンパートメントやポリシーを管理者が利用計画にもとづいて適切に設計・設定する必要がありますが、チュートリアルの実行やアプリケーションの動作確認などの Proof-of-Concept を実施するような場合には、複雑なコンパートメントやポリシーの設定は不要で、初期状態で存在する管理者用のコンパートメントやポリシーをそのまま利用することも可能です。

     

    本チュートリアルでは、作業を進めるにあたり必要なコンパートメントとポリシーが予め設定され、作業ユーザーはそのポリシーを持つグループに所属していることを前提に話を進めていきます。コンパートメントやポリシーの設計や設定方法については、IAM - Getting Started with Policies などを参考にしてください。

     

    ここでは、よくあるケースにもとづいて、自身のユーザーに割り当てられているポリシーの内容と、そのポリシーが有効なコンパートメントを確認する作業を実施します。

     

    ケース1 : トライアル環境などでテナントすべての管理権限を持っている場合

    このケースにおいては、ログインしているユーザーが1つのテナントに対して全ての管理権限を持っているため、新しいコンパートメントやポリシーの作成を含む全ての作業を実施することができます。

    本チュートリアルを実施するにあたり、以下はルート・コンパートメントに対してリソースを作成していくことを前提に、デフォルトの設定を確認していきます。

    もしチュートリアルのためにコンパートメントとポリシーを作成し使用したい場合には IAM - Managing Compartments を参考に作業を実施してください。

    コンパートメントは一度作成すると削除することができません。本番で利用する予定のある環境でコンパートメントを作成する際には、その後の利用計画について充分検討してから実施してください。

     

    ケース2 : 集合ハンズオンにおいてデモ用環境を利用している場合

    このケースにおいては、1つのテナントに複数のハンズオン・ワークショップ用のユーザー (demo.user01などの名前になっているケースが多いです)が用意され、受講者一人ひとりに1ユーザーが割り当てられてるはずです。

    この場合は、ユーザーと同じ数だけc01などの名前のコンパートメントが用意され、同じ番号を持つコンパートメントに対する全ての管理権限を付与するp01などの名前のポリシーが作成されています。これにより、各ユーザーは自分のコンパートメント(demo.use01であればc01というコンパートメント)のみの管理を行うことができ、他のハンズオン受講者からは独立した環境を利用することができます。

     

    以下のステップで、自分に割り当てられているコンパートメントとポリシーを確認します。

    1. コンソールメニューから IdentityCompartments を選択します

    2. このテナントに作成されているコンパートメントの一覧が表示されます。
      例えば下記の例では、ルートコンパートメント(テナントに1つ必ず作成されているデフォルトのコンパートメント)の他に、c01からc05までの5つのコンパートメントが作成されていることがわかります。

    3. 左がメニューから Policies を選択し、以下のような画面が表示されることを確認します


      ここで、上部のメニューバーに、COMPARTMENT という選択可能領域が現れていることを確認してください。
      ポリシーはテナント単位ではなく、コンパートメント単位に設定するリソースです。このためポリシーを管理するにたっては、どこのコンパートメントに対して作業を実施するかを予め選択する必要があります。

      WS000044.JPG

      この図の状態では、このテナントのルート・コンパートメントを選択している状態です。

      WS000045.JPG
      画面右側のメニューの下あたりに、赤字で NotAuthorizedOrNotFound - Authorization failed or requested resource not found というエラーメッセージが表示されています。
      これは、ログインしているユーザーが現在選択しているコンパートメント(この場合ルート・コンパートメント)に対して、ポリシーを閲覧する権限を持っていないことを意味しています。

    4. 上部のコンパートメント選択フィールドの右側の▼をクリックし、ログインに使用したユーザー(この例だとdemo.user02)の末尾の数字(この例だと02)と同じ番号を持つコンパートメント(この例だとc02)を選択しますWS000046.JPG
    5. 表示が切り替わり、c02 というコンパートメントに設定済みのポリシーが表示されます
      WS000047.JPG
      これはつまり、このユーザーはコンパートメントc02のポリシーの閲覧権限を持っていることを意味します。(実際にはそれ以上の管理権限を持っています)

    6. 作成されているポリシーのリンク (ここではp02) をクリックします
      すると、ポリシーの詳細が表示されます
    7. ポリシーの中身を確認します
      WS000048.JPG
      下部の Statements 欄に、p02 ポリシーの実際の中身 (=ステートメント) が記述されています。
      ここでは、Allow group g02 to manage all-resources on compartment c02 と記述されていますが、これは g02というグループに対してc02というコンパートメントの全てのリソースの管理権限を付与する という定義を意味しています。
      つまり、この定義によって、このログインユーザー(demo.user02、これはg02というグループに属しています)は、c02というコンパートメントにリソースを作成したり、削除したりすることができるようになっています。
      ステートメントの詳細な記述方法については、IAM - Policy Syntax をご参照ください。

      ハンズオン環境に予め定義されているポリシー(この場合p02)は決して削除しないでください。削除すると以後そのユーザーは一切の管理作業を実行できず、ハンズオンを進めることができなくなります。

    8. 以降のハンズオンを進めていく場合、ほとんどのリソースにおいて管理作業を実施するコンパートメントを選択する必要があります。
      その場合は、このステップで確認した管理権限を持つコンパートメントを選択して作業するようにしてください。

     

     

    6. リージョンの確認

    Oracle Cloud Infrastructure では、契約を行ってテナントが作成されると、世界中のリージョンのリソースが利用できるようになります。利用するリージョンは、コンソール画面から切り替えることができ、将来新しいリージョンが開設された場合にはコンソール画面から有効化 (Subscribe) を行うことで、新しいリージョンの利用を開始することができるようになります。

    新しいリージョンの追加は無償で実施できます。課金対象となるコンポーネントを作成しない限り、リージョンの有効化で課金が発生することはありません。

     

    以下では、利用している環境で有効化されているリージョンを確認していきます。

     

    1. コンソール上部の REGION メニューの▼をクリックし、Manage Regions を選択します

      WS000049.JPG
    2. 現在開設されている Oracle Cloud Infrstructure のリージョンが、下部に一覧で表示されます
      WS000050.JPG
      この例では、us-phenix-1 (米国アリゾナ州フェニックス)、us-ashburn-1 (米国バージニア州アッシュバーン)、eu-frankfurt-1 (欧州ドイツ・フランクフルト) の3リージョンが存在し、そのうちこのテナントではフェニックスのリージョンが有効化されていることがわかります。

      もし正規の契約を持つ環境の場合は、Subscribe To This Region ボタンを押すことで、そのリージョンを有効化することができます。
      ただし、ハンズオン・ワークショップ用のデモ環境など、特定のリージョンしか利用することができないように制限されているテナントの場合には、このボタンをおしても Authorization failed or requested resource not found というエラーが表示され有効化に失敗する場合があります。
    3. 複数のリージョンを有効化すると、REGION メニューでリージョンを切り替えて利用することができます。
      Oracle Cloud Infrastructure のほとんどのリソースは、リージョン毎に独立して存在するため、それぞれのリソースを管理する場合には必ずリージョンを選択してから作業を行う必要があります。
      例えば、フェニックス・リージョンで作成した仮想クラウド・ネットワーク(VCN)やインスタンスは、アッシュバーン・リージョンでは利用することができないため、REGION メニューでリージョンをフェニックスからアッシュバーンに切り替えると閲覧できなくなります。

      WS000051.JPG
    4. 一部のIAMリソース(コンパートメント、ユーザー、グループ、ポリシー)については、すべてのリージョンに跨って有効なグローバル・リソースです。
      つまりユーザーを作成すると、そのユーザーはすべてのリージョンを利用することができるようになります。
      コンパートメントについても、ひとつのコンパートメントはすべてのリージョンのリソースを中に含むことができます。

      リージョンとコンパートメントの関係のイメージは以下のような形になります。

      compartmentandregion.png

     

     

    以上で、この章の作業は終了です。

     

    目次に戻る: チュートリアル : Oracle Cloud Infrastructure を使ってみよう