OCI 계정 생성
OCI에 계정 생성 시, Oracle은 서로 다른 2개의 identity system에 접근 할 수 있는 사용자를 생성합니다.
OCI에서 Sign up시 Oracle Identity Cloud Service에 설정된 아이디와 비번의 사용자가 생성됩니다. SSO 옵션의 사용으로 재인증없이 Oracle Cloud Infrastructure에도 로그인 가능합니다.
OCI 주요 용어
Region과 AD(Availability Domains)
OCI는 Region과 AD에서 운영됩니다. Region는 데이터 센터가 운영되는 지리적인 영역입니다. AD는 region을 구성하고 실제 OCI 서비스가 운영되는 데이터 센터 입니다.
region는 오라클 클라우드가 서비스되는 물리적 데이터 센터인 AD를 묶는 논리적 단위로 각 region은 한개에 최대 3개 AD로 구성됩니다.
AD는 어떤 자원도 공유하지 않는 물리적으로 독립된 데이터 센터입니다. AD는 물지적 자원을 공유하지 않기 때문에 특정 AD 장애가 다른 AD로 파급되지 않습니 다. AD는 고가용성을 위한 설계입니다.
Console
OCI를 접속하고 관리하기 위한 웹기반 user interface
Tenancy
OCI 계정을 생성하면, 해당 계정을 위한 Tenancy가 생성됩니다. OCI에서 Tenancy는 완전히 독립되고 격리된 사용자 기준의 최상위 단위입니다.
Compartment
- OCI자원을 논리적으로 묶는 역할을 담당.
- 다양한 OCI자원의 논리 그룹을 Compartment로 만들고 이 단위로 자원 모니터링, 과금 및 권한을 설정. OCI자원을 관리하는 핵심 구성요소.
- Oracle Cloud 계정인 Tenancy가 만들어지면 Root Compartment(관리자 Compartment)가 만들어집니다.
Compartment와 Region
- IAM resources(compartments, users, groups, policies, tags, federation providers)는 global이기 때문에 region에 상관없이 전체 정보를 확인 가능 합니다.
- compartment내의 resource 정보는 console에 선택된 region 정보에 따라 해당 region에 생성된 리소스 정보만 확인 가능
- Working Across Regions: https://docs.oracle.com/en-us/iaas/Content/GSG/Concepts/console.htm#Understa
key pair
key pair은 OCI가 사용하는 인증방식입니다. key pair는 private key와 public key 파일로 구성됩니다. 생성된 공개키는 OCI에 업로드 됩니다.
OCI는 목적에 따라 두 가지 유형의 Key Pair를 사용합니다.
- 인스턴스 SSH Key Pair(키 페어) 인스턴스의 SSH 접속에 사용됨
- 인스턴스의 SSH 접속에 사용됨
- 인스턴스를 프로비저닝할 때, 생성된 공개키를 등록
- API signing key pair(API 서명 키 페어)
- API 사용 시 (https://docs.oracle.com/en-us/iaas/Content/API/Concepts/sdks. htm#Software_Development_Kits_and_Command_Line_Interface)
- pem format을 사용
- public key 등록 시 authentication 정보가 표출되고, 해당 내용 config 파일에 저장합니다.
API signing key로 OCI 계정에 접근하기
- API Signing Key 발급받기
- .oci 폴더 생성
- mkdir ~/.oci
- private key 생성
- openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048
- private key 파일을 read, write, execute 권한 부여
- chmod go-rwx ~/.oci/oci_api_key.pem
- public key 생성
- openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem
- key fingerprint 생성
- openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
- Oracle Document 참고: https://docs.oracle.com/en-us/iaas/Content/API/Concepts/apisigningkey.htm#two
- PEM key를 Console에 업로드하기
- 사용자 설정 페이지 이동[API Keys→ Add API Key→ Paste Public Key]
View Configuration file → Configuration File Preview의 내용을 config파일에 저장(.oci/config)
OCI 계정에 Signing Step
- HTTPS request(SSL protocal TLS 1.2)
- signing string을 생성해야 합니다.
- GET 및 DELETE 요청 시 signing string에 포함되어야 하는 정보 (request-target), host, date 혹은 x-date
- Signing Algorithm은 RSA-SHA256를 사용 Signature Version
- version="1"
- Example Header
Authorization: Signature version="1",keyId="<tenancy_ocid>/<user_ocid>/<key_fingerprint>",
algorithm="rsa-sha256",headers="(request-target)
date x-content-sha256content-type content-length",signature="Base64(RSA-SHA256
(<signing_string>))"
- signature를 생성해야 하고 private key에 RSA-SHA256 알고리즘을 적용
- signature를 Authorization header에 부착
- oracle document참고: https://docs.oracle.com/en-us/iaas/Content/API/Concepts/signingrequests.htm
필요한 파라미터 정보
- tenancyId, user OCID, FingerPrint, private key, region, passphrase, 현재시간
PostMan으로 Rest API 테스트
- Compartments를 불러오는 REST API 테스트
Reference URL: http://taewan.kim/oci_docs/00_oci/terminologies/ https://docs.oracle.com/en-us/iaas/Content/API/Concepts/apisigningkey.htm#two
评论
发表评论