Verificación de conocimientos - Gobernanza, Identidad y Coste
FinCorp quiere separar su entorno de no producción de producción puramente para que cada uno aparezca como una línea independiente en la factura mensual, manteniendo un solo ámbito de gobernanza y auditoría. Al arquitecto se le pregunta si esto requiere un segundo contrato. ¿Cuál es la orientación correcta?
Un VDC es el primitivo de segmentación regional y ambiental dentro de un contrato, y cada VDC ya produce su propia sección en la factura mensual. La visibilidad de costos sola, por lo tanto, no justifica un segundo contrato, que es el límite comercial, de gobernanza y de auditoría. Un nuevo contrato solo está justificado para aislamiento de cumplimiento, un propietario o entidad legal diferente, o un alcance de auditoría separado.
Un arquitecto asigna el primer centro de datos virtual regulado de FinCorp a una región alemana y más tarde se da cuenta de que otra región alemana habría sido preferible. ¿Cuál es la realidad de cambiarla?
La región de un centro de datos virtual es fija en su creación. Los bloques de IPv4 reservados son utilizables solo en la región donde se reservaron, y los Images & Snapshots son locales de la región con ninguna replicación cruzada de región gestionada. Debido a que estos atributos vinculados a la región no pueden seguir al centro de datos virtual en otra parte, la región (y el nombre) es una decisión de un solo sentido, lo que explica por qué el emplazamiento se decide de manera deliberada y única.
Un auditor de FinCorp necesita revisar la actividad, pero no debe poder cambiar ninguna infraestructura. La plataforma no tiene regla de denegación. ¿Cómo debe el arquitecto conceder este acceso?
El acceso es basado en grupos con derechos de capacidad y concesiones de recursos mantenidos por separado, la lectura es implícita cuando se concede un recurso, y no hay regla de denegación. El privilegio mínimo se logra, por lo tanto, concediendo solo lo que la función necesita: la capacidad de acceso a los registros de actividad y concesiones de recursos de nivel de lectura. Una concesión demasiado amplia no se puede parchar con una excepción porque no existe denegación; tendría que ser eliminada y redefinida.
FinCorp ejecuta un proveedor de identidad corporativa y desea federar el acceso a IONOS para que los nuevos usuarios sean creados y asignados a grupos de forma automática en el primer inicio de sesión. ¿Qué debe decirle el arquitecto al equipo?
La federación de IONOS admite SAML 2.0 y OIDC, pero su alcance hoy en día es solo autenticación. No hay aprovisionamiento justo a tiempo (el usuario debe existir previamente), y el IdP no controla la membresía en los grupos de IONOS (el mapeo de acceso está en la hoja de ruta, no disponible). La federación verifica a la persona; el modelo de grupo y concesión sigue gobernando lo que pueden hacer, por lo que el ciclo de vida es un libro de ejecución manual explícito.
FinCorp ejecutará una base constante de cómputo de núcleo dedicado durante al menos tres años, pero espera aumentos ocasionales por encima de ella. El arquitecto está dimensionando un Plan de Ahorros. ¿Cuál es el enfoque correcto?
Un Plan de Ahorros es un compromiso basado en recursos con un descuento del 15% a 1 año y del 40% a 3 años en núcleos dedicados y RAM. El uso por encima de la cantidad comprometida se factura a la tasa estándar de pago por uso (el exceso no es rechazado), y el plan no se puede editar después de la activación o cancelar. La disciplina segura es comprometer solo el piso que usted está seguro de ejecutar durante el plazo y dejar los aumentos variables en pago por uso flexible, en lugar de bloquear el gasto pico optimista que no se puede reducir más adelante.