2026年Oracle1Z0-1196OCI2025架构师认证考试题库

2026年Oracle1Z0-1196OCI2025架构师认证考试题库1.在OCI中创建计算实例时，以下哪项关于选择可用性域（AvailabilityDomain）和容错域（FaultDomain）的描述是最准确的？A.一个虚拟云网络（VCN）必须跨越所有可用性域，而容错域是可用性域内的逻辑分组，用于隔离硬件和基础设施故障。B.用户可以为每个计算实例手动指定其所在的容错域，以确保关键应用分布在不同的物理硬件上。C.可用性域是同一地域内隔离的、独立的物理数据中心，而容错域是可用性域内的一组硬件和基础设施，它们共享共同的电源和网络交换机。D.为了获得最高级别的可用性，应将所有实例部署在同一容错域内，以减少网络延迟。答案：C解析：在OCI架构中，一个地域（Region）包含多个完全隔离的可用性域（AD），每个AD是独立的物理数据中心。容错域（FD）是AD内的逻辑分组，它将硬件和基础设施（如电源、网络）进行隔离。一个AD通常包含多个FD。选项A错误，因为VCN可以但不必跨越所有AD；选项B不完全准确，对于某些资源（如虚拟机实例集），用户可以指定放置策略，但对于单个计算实例，通常不能直接指定FD，而是通过放置配置来间接控制；选项D完全错误，高可用性要求应将实例分布在不同的FD甚至AD中，以避免单点故障。2.一个客户计划在OCI上部署一个三层Web应用，该应用需要高可用性和灾难恢复能力。架构师建议在多个可用性域部署应用组件，并使用OCI负载均衡器进行流量分发。为了实现跨可用性域的数据库同步，应选择以下哪种数据库解决方案？A.OCI自治数据库（AutonomousDatabase），配置为“共享基础设施”模式。B.OCIMySQL数据库服务（MySQLDatabaseService），配置为高可用性（HA）模式，主备节点位于不同可用性域。C.OCI数据库（BaseDatabaseService），使用DataGuard配置一个位于主可用性域的主数据库和一个位于备用可用性域的逻辑备用数据库。D.在计算实例上自行安装Oracle数据库，并配置OracleGoldenGate进行跨可用性域的数据复制。答案：C解析：OCI数据库服务（即基于虚拟机的DB系统）原生支持使用DataGuard实现跨可用性域的灾难恢复。可以配置一个物理备用数据库或逻辑备用数据库在另一个AD，实现数据的同步或异步复制，并提供故障切换能力。选项A，自治数据库虽然提供高可用性，但其底层基础设施由OCI管理，“共享基础设施”模式不直接由用户控制跨AD的部署细节。选项B，OCIMySQL数据库服务的高可用性模式通常在主可用性域内提供主备节点，其跨AD的灾难恢复配置可能更复杂或需要额外架构。选项D虽然技术上可行，但引入了更多的管理开销，不符合完全托管服务的优势，且不是OCI首推的原生高可用方案。因此，C是最佳的原生、托管式跨AD数据库高可用/灾备方案。3.在OCI中，关于块卷（BlockVolume）的性能配置，以下哪项陈述是正确的？A.块卷的性能（IOPS和吞吐量）完全由卷的大小决定，更大的卷总是提供更高的性能。B.用户可以为块卷独立配置性能等级（如“较低成本”、“均衡”、“高性能”）和自定义的VPU（VolumePerformanceUnits）数量，VPU数量直接影响IOPS和吞吐量。C.块卷的备份会自动继承源卷的性能配置，恢复后的新卷性能无法更改。D.块卷只能附加到与其位于同一可用性域的计算实例上。答案：B解析：OCI块卷服务允许用户灵活地配置性能。除了基于大小的默认性能外，用户可以选择预定义的性能等级，或者更精细地通过设置VPU数量来自定义性能。VPU数量与卷的IOPS和吞吐量有直接的计算关系。选项A错误，因为性能不仅取决于大小，更取决于配置的VPU或性能等级。选项C错误，从备份恢复卷时，可以重新选择卷的大小和性能配置。选项D错误，块卷可以跨可用性域附加到计算实例，但前提是计算实例和块卷必须位于同一地域内，并且需要通过VCN和子网的适当配置实现网络连通。4.一个企业需要将其本地数据中心的网络扩展到OCI，要求网络连接是私有的、安全的，并且延迟尽可能低。他们计划在多个OCI地域部署资源。以下哪种连接组合最能满足这些要求？A.使用OCIFastConnect在本地数据中心和每个OCI地域之间建立独立的专用连接，并使用OCI动态路由网关（DRG）和远程对等连接在OCI地域间建立网络。B.使用IPSecVPN在本地数据中心和主OCI地域之间建立连接，然后依赖OCI的公共互联网在各地域间传输数据。C.在所有OCI地域都使用公共负载均衡器端点，并通过互联网将本地数据中心流量引导至最近的地域。D.使用OCIFastConnect连接到最近的一个OCI地域，然后通过该地域的公共互联网网关将流量路由到其他OCI地域。答案：A解析：题目要求私有、安全、低延迟，并且涉及本地到OCI以及OCI跨地域的连接。FastConnect提供从客户本地网络到OCI的私有专用连接，比基于互联网的VPN延迟更低、更可靠、带宽更高。对于OCI跨地域的私有连接，可以通过在每个地域的VCN中部署动态路由网关（DRG），并使用DRG的“远程对等连接”（RemotePeeringConnection）功能，建立地域间VCN的私有网络连接。选项B使用IPSecVPN，其安全性和可靠性不如FastConnect，且跨地域依赖公共互联网，不符合私有和低延迟要求。选项C完全依赖公共互联网，不满足私有和安全要求。选项D中，从FastConnect进入OCI后，跨地域流量如果通过公共互联网网关，则不再是私有连接。5.您正在设计一个使用OCI对象存储（ObjectStorage）的无服务器图像处理工作流。用户上传图像到源存储桶，需要自动触发一个函数进行缩略图生成，然后将结果保存到目标存储桶。以下哪项是实现此自动化的最佳OCI服务组合？A.OCI事件（Events）服务+OCI通知（Notifications）服务+OCI函数（Functions）B.OCI对象存储直接集成OCI函数，通过“事件规则”配置自动调用。C.OCI流（Streaming）服务+OCI函数（Functions）D.OCIAPI网关（APIGateway）+OCI函数（Functions）答案：A解析：OCI对象存储本身不直接调用函数。标准模式是：当对象存储中发生特定事件（如对象创建）时，会向OCI通知服务发送消息。然后，OCI事件服务可以创建规则，监听这些通知，并将事件路由到目标服务，如OCI函数。因此，组合A是正确的完整流程。选项B具有误导性，对象存储不直接集成函数调用，需要通过事件和通知服务桥接。选项C的流服务通常用于处理连续的数据流，不是响应对象存储事件的典型首选。选项D的API网关用于管理和暴露API，不是由存储事件触发的。6.在OCI中部署一个高可用的应用程序，该程序使用自治数据库（ATP）作为后端，并部署在多个计算实例上。为了确保从计算实例到自治数据库的连接始终高效且具备故障转移能力，推荐使用以下哪种配置？A.在每个计算实例上配置tnsnames.ora文件，其中包含自治数据库服务提供的TNS连接字符串，该字符串中指定了多个主机地址。B.使用OCI秘密（VaultSecret）存储数据库凭据，并在应用程序代码中直接使用自治数据库的“低”、“中”、“高”服务级别连接字符串。C.在应用程序中使用自治数据库钱包（Wallet），并配置连接字符串指向自治数据库提供的“TP”、“TPURGENT”或“LOW”等服务名，这些服务名内置了负载均衡和故障转移能力。D.在自治数据库前部署一个OCI负载均衡器，将计算实例的连接请求分发到不同的数据库节点。答案：C解析：自治数据库（ATP/ADW）为客户端连接提供了预配置的TNS服务名，这些服务名内置于可下载的客户端钱包凭证（Wallet）中。服务名如“_tp”（用于典型事务处理）、“_tpurgent”（用于最高优先级事务）、“_low”（用于批处理）等，这些服务名背后对应着数据库的多个节点，并内置了OracleNet的故障转移（Failover）和负载均衡功能。这是Oracle推荐的、最原生的高可用连接方式。选项A需要手动管理tnsnames.ora，且可能无法动态适应后端变化。选项B只解决了凭据管理，未解决连接的高可用性。选项D不正确，因为自治数据库是托管服务，其前端连接端点由OCI管理，用户无需也不能在其前面自行部署负载均衡器。7.关于OCI身份与访问管理（IAM）的策略语法，以下哪条策略允许“Admins”组的成员在compartment“ProjectA”中管理所有资源？A.`AllowgroupAdminstomanageall-resourcesincompartmentProjectA`B.`AllowgroupAdminstoreadall-resourcesintenancywheretarget='ProjectA'`C.`AllowgroupAdminstomanageall-resourcesintenancy`D.`AllowgroupAdminstomanageall-resourcesincompartmentidocid1partment.unique_id`答案：A解析：IAM策略的基本结构是：`Allow<subject>to<verb><resource-type>in<location>[where<conditions>]`。选项A正确，它指定了主体（groupAdmins）、动词（manage）、资源类型（all-resources）和位置（compartmentProjectA）。选项B的动词是“read”，权限不足，且使用了不必要的条件语句。选项C的范围是整个租户（tenancy），权限过大。选项D虽然使用了compartmentOCID，这在动态策略中可能有用，但通常策略中直接使用区名称（如A所示）更常见和清晰，且A的语法完全正确。8.一个客户希望监控其OCI计算实例的CPU使用率，并在超过80%持续5分钟时触发警报并执行自动扩展操作。应该使用以下哪两项OCI服务的组合？（选择两项）A.OCI监控（Monitoring）服务B.OCI日志（Logging）服务C.OCI事件（Events）服务D.OCI计算自动扩展（ComputeAutoscaling）服务E.OCIAPI网关（APIGateway）答案：A和D解析：OCI监控服务用于收集指标（如CPU使用率）和设置警报。可以配置一个查询规则来监控CPU使用率，并定义阈值（如>80%）和持续时间（如5分钟）。当警报触发时，它可以发送通知或调用操作。OCI计算自动扩展服务可以根据监控指标（来自监控服务）自动增加或减少计算实例池中的实例数量。因此，组合A和D可以实现基于指标的自动扩展。B（日志服务）主要用于日志数据分析，不是监控指标的首选。C（事件服务）用于响应基础设施事件，虽然可与自动扩展集成，但基于指标的自动扩展通常直接由监控服务触发。E（API网关）不相关。9.在OCI文件存储（FileStorage）服务的架构中，以下哪项描述是正确的？A.文件系统挂载点（MountTarget）必须与要访问它的计算实例位于同一可用性域，但可以跨VCN共享。B.文件系统本身是区域级（Regional）资源，可以在同一地域内的任何可用性域中创建挂载点来访问。C.一个挂载点可以同时关联多个VCN，允许来自不同VCN的实例通过该挂载点访问同一个文件系统。D.文件存储的性能仅由文件系统的大小决定，无法独立配置。答案：B解析：OCI文件存储服务（FSS）的文件系统是区域级资源。但是，访问文件系统需要通过挂载点（MountTarget），而挂载点是可用性域特定（AD-specific）的资源。用户可以在同一地域的不同AD创建多个挂载点来访问同一个文件系统，从而实现跨AD的访问（但每个实例只能挂载与其同AD的挂载点）。选项A错误，因为挂载点不能跨VCN，它必须创建在特定VCN的特定子网内。选项C错误，一个挂载点只属于一个VCN和一个子网。选项D错误，文件存储的性能（吞吐量）可以独立于存储容量进行配置，用户可以为文件系统分配额外的元数据吞吐量（MetadataPerformance）和/或吞吐量限制（ThroughputLimit）。10.您需要设计一个方案，将本地数据中心的一个大型数据库（约100TB）迁移到OCI上的虚拟机组数据库。要求迁移过程对生产系统的影响最小，且能确保数据的最终一致性。以下哪种方法是合适的？A.使用RMAN（RecoveryManager）通过公共互联网直接将备份集传输到OCI对象存储，然后在OCI上恢复。B.使用OracleDataPump（expdp/impdp）通过数据库链接（databaselink）直接从本地数据库导出到OCI数据库。C.使用OCI数据库迁移（DatabaseMigration）服务，通过可用的连接选项（如FastConnect或VPN）建立连接，并利用增量数据同步功能，在初始全量传输后持续同步变化数据，最后进行切换。D.将数据备份到物理磁带，然后通过物流将磁带运送至Oracle数据中心进行上云。答案：C解析：对于大型数据库的在线迁移，OCI数据库迁移（DMS）服务是推荐工具。它支持最小化停机时间的迁移：首先通过FastConnect或VPN等私有链路进行初始全量数据复制，然后在切换前持续进行增量数据同步（基于日志或变更数据捕获），从而将生产影响降至最低。选项A，通过互联网传输100TB数据可能非常慢且成本高，且RMAN直接到对象存储需要特定配置，全量备份期间数据库可能受影响。选项B，DataPump通过数据库链接处理100TB数据效率可能不高，且在整个导出/导入过程中源库负载较高。选项D（磁带）是离线方式，无法满足“影响最小”的要求，且切换期间停机时间很长。11.在OCI中，关于资源标签（Tags）的最佳实践，以下哪项是错误的？A.定义标签命名空间（TagNamespace）和标签键（TagKey）时，应遵循一致的命名约定，例如使用“`cost-center`”、“`environment`”、“`project`”。B.成本跟踪标签（Cost-trackingTags）必须使用在租户级别定义的标签命名空间，并且标签键必须预先获得批准才能用于成本报表。C.标签可以应用于大多数OCI资源，但某些资源（如自治数据库）不支持标签。D.使用标签可以实现基于标签的IAM策略，例如，允许用户仅管理带有特定标签的资源。答案：C解析：标签是OCI中广泛支持的功能，包括自治数据库在内的绝大多数服务都支持标签。因此，选项C的陈述是错误的。选项A是正确的标签设计最佳实践。选项B正确，只有被明确标记为“成本跟踪”的标签才会在成本管理报告中汇总成本。选项D正确，IAM策略可以包含基于资源标签的条件（`where`子句），实现精细的访问控制。12.一个微服务应用部署在OCI容器引擎（OKE）上。每个微服务都需要访问数据库凭据和API密钥。为了安全地管理这些秘密信息，避免将其硬编码在容器镜像或部署配置中，应该使用以下哪种OCI服务？A.OCI密钥管理（KeyManagement，KMS）B.OCI秘密（VaultSecret）服务，并在OKEPod中通过OCI容器引擎的“秘密卷”（SecretVolume）功能或使用OCISDK来获取。C.OCI对象存储（ObjectStorage），将秘密信息存储在加密的桶中，并让应用通过预签名URL访问。D.OCI身份与访问管理（IAM）的“动态组”和“策略”，为Pod实例分配访问其他资源的权限。答案：B解析：OCI秘密（VaultSecret）服务专为安全存储和管理密码、API密钥、证书等敏感数据而设计。对于OKE，可以将秘密作为KubernetesSecret对象同步到集群中，或者应用程序容器可以使用OCISDK（如Java、Python）直接从Vault服务API获取秘密。选项A的KMS主要用于加密数据的密钥管理，而不是直接存储秘密值本身。选项C使用对象存储不安全，因为需要管理另一套访问密钥，且对象存储日志可能记录访问。选项D的IAM用于权限控制，不能用于存储具体的秘密值。13.在OCI中，以下哪个服务或功能可以帮助防御分布式拒绝服务（DDoS）攻击？A.网络安全组（NetworkSecurityGroups，NSGs）B.Web应用防火墙（WebApplicationFirewall，WAF）C.OCIShieldD.虚拟云网络（VCN）安全列表（SecurityLists）答案：C解析：OCIShield是OCI提供的托管式DDoS防护服务，旨在保护面向互联网的应用程序和基础设施免受网络层和应用层的DDoS攻击。选项A（NSGs）和D（安全列表）是用于控制VCN内流量的状态化（NSG）或无状态（安全列表）防火墙规则，它们不具备检测和缓解大规模DDoS攻击的能力。选项B（WAF）主要防护应用层（第7层）的攻击，如SQL注入、跨站脚本等，虽然对某些应用层DDoS（如HTTP洪水攻击）有缓解作用，但OCIShield提供了更全面的、涵盖网络层（第3/4层）的DDoS防护。14.您计划使用OCI资源管理器（ResourceManager）来部署和管理基础设施即代码（IaC）。您已经编写了Terraform配置文件。以下哪项是使用资源管理器的正确步骤顺序？1.将Terraform配置文件上传到OCI对象存储或GitHub仓库。2.在资源管理器中创建一个“堆栈”（Stack），并指定配置文件的来源。3.执行“计划”（Plan）作业来预览更改。4.执行“应用”（Apply）作业来部署资源。5.在OCI控制台中手动创建配置文件中定义的所有资源以进行验证。A.1，2，3，4B.2，1，3，4C.1，5，2，3D.2，3，4，1答案：A解析：使用OCI资源管理器的标准流程是：首先准备Terraform代码（步骤1），然后在OCI中创建堆栈并关联代码源（步骤2），接着运行“计划”作业来检查将要创建或更改的资源（步骤3），最后确认无误后运行“应用”作业来实际执行部署（步骤4）。步骤5（手动创建）完全违背了IaC和资源管理器的自动化目的。15.一个应用程序需要处理来自物联网设备的持续数据流，进行实时分析（如计算移动平均值、检测异常），并将结果存储以供查询。以下哪种OCI服务组合最适合此场景？A.OCI流（Streaming）服务+OCI函数（Functions）+OCI自治数据仓库（ADW）B.OCI通知（Notifications）服务+OCI事件（Events）服务+OCI对象存储（ObjectStorage）C.OCIAPI网关（APIGateway）+OCI函数（Functions）+OCIMySQL数据库服务D.OCI负载均衡器（LoadBalancer）+OCI计算实例（ComputeInstances）+OCI数据库（BaseDatabase）答案：A解析：这是一个典型的流数据处理场景。OCI流服务用于高吞吐量、持久的消息流摄取和存储。OCI函数可以作为流服务的消费者，以无服务器方式处理每条消息，执行实时分析逻辑。处理后的结果可以写入OCI自治数据仓库（ADW）进行即席查询和分析。选项B的通知和事件服务用于离散事件，不适合持续数据流。选项C的API网关用于API管理，不是流处理的核心。选项D基于计算实例，需要自行管理流处理框架（如ApacheKafka、Flink），增加了运维复杂性，不如无服务器组合A简洁高效。16.在OCI中，关于预算（Budget）和成本跟踪（CostTracking）的配置，以下哪项陈述是正确的？A.可以为整个租户设置一个总预算，但不能为单个区划（Compartment）设置预算。B.预算警报阈值可以设置为实际成本或预测成本，并通过电子邮件、短信或OCI通知服务发送警报。C.成本分析报告默认只能按服务进行分组，无法按标签或区划进行细分。D.一旦设置了预算，当支出超过预算时，OCI会自动停止所有相关资源的计费，以防止超额支出。答案：B解析：OCI预算服务允许设置预算并配置警报规则。警报可以基于实际成本或预测成本触发，并可以通过电子邮件、控制台通知或集成到OCI通知服务（进而发送短信、调用函数等）来传递。选项A错误，预算可以在租户级别或任何区划级别设置。选项C错误，成本分析报告可以按多种维度分组，包括服务、区划、标签、区域等。选项D错误，预算和警报仅用于监控和通知，不具备自动停止资源或阻止消费的功能。成本控制需要通过策略、权限和人工干预实现。17.您需要确保从互联网访问OCI上Web应用程序的所有流量都使用HTTPS（TLS1.2或更高版本），并自动将HTTP请求重定向到HTTPS。应该在哪个层面配置此功能？A.在OCI负载均衡器的侦听器（Listener）配置中，创建一个同时处理HTTP（端口80）和HTTPS（端口443）的侦听器，并启用“HTTP重定向到HTTPS”选项。B.在托管Web应用程序的计算实例的操作系统中，配置Web服务器（如Apache或Nginx）的重写规则。C.在OCIWeb应用防火墙（WAF）策略中，创建一个规则来拦截HTTP请求。D.在VCN的互联网网关（InternetGateway）上配置安全规则。答案：A解析：OCI负载均衡器（包括公共和私有LB）提供了原生的HTTP到HTTPS重定向功能。可以在创建或编辑侦听器时，为处理HTTP流量的侦听器（如端口80）直接启用“重定向到HTTPS”的选项，并指定目标HTTPS端口（如443）。这是最简洁、高效且无需修改后端应用的方式。选项B虽然可行，但需要在每个后端实例上配置，增加了管理负担且不统一。选项C的WAF主要用于安全防护，重定向不是其主要功能，且可能产生不必要的阻断日志。选项D的互联网网关不具备应用层（第7层）协议重定向能力。18.在OCI中，使用“服务网关”（ServiceGateway）的主要目的是什么？A.允许VCN中的资源访问OCI区域服务（如对象存储、自治数据库）的公共端点。B.允许VCN中的资源通过Oracle网络基础设施私有地访问OCI区域服务，而无需通过互联网。C.允许来自互联网的流量访问VCN内的私有资源。D.连接同一地域内的两个VCN。答案：B解析：服务网关（ServiceGateway）为VCN中的资源（如计算实例）提供到同一地域内支持的OCI公共服务（如对象存储、自治数据库、身份服务等）的私有连接。流量通过Oracle的骨干网络传输，不经过公共互联网，从而提高了安全性和性能（可能降低延迟和成本）。选项A描述的是通过互联网网关或NAT网关访问公共端点的方式。选项C是互联网网关或负载均衡器的功能。选项D是本地对等网关（LocalPeeringGateway）或远程对等连接（通过DRG）的功能。19.关于OCI密钥管理（KeyManagement，KMS）中“客户主密钥”（CustomerMasterKey，CMK）的轮换，以下哪项是正确的？A.自动密钥轮换启用后，KMS会定期生成新的CMK，并自动重新加密所有使用该CMK保护的数据加密密钥（DEK）。B.自动密钥轮换仅适用于使用“软件密钥”保管方式的CMK，不适用于“HSM密钥”。C.密钥轮换会更改CMK的OCID，因此所有引用旧OCID的API调用都会失败，需要手动更新配置。D.启用自动轮换后，新创建的CMK版本将用于未来的加密操作，但之前版本加密的数据无需重新加密即可正常解密。答案：D解析：OCIKMS的密钥轮换（自动或手动）会创建CMK的新版本。加密操作总是使用CMK的最新活动版本。解密操作时，KMS会自动识别数据加密密钥（DEK）是用CMK的哪个版本加密的，并使用对应的密钥版本进行解密，整个过程对用户透明。因此，启用轮换后，旧数据无需重新加密。选项A错误，KMS不会自动重新加密数据（即“信封加密”中的DEK），轮换影响的是未来的加密操作。选项B错误，HSM密钥也支持自动轮换。选项C错误，CMK的OCID在轮换过程中保持不变，变化的是其内部的密钥版本标识符。20.您正在评估将本地应用程序迁移到OCI。该应用程序当前使用共享文件系统进行日志聚合和配置文件共享。迁移后，希望获得一个完全托管、高可用的共享文件系统解决方案。应该选择以下哪项OCI服务？A.OCI文件存储（FileStorage）服务B.在多个计算实例上挂载共享的块卷（BlockVolume），并配置集群文件系统（如OCFS2）。C.使用OCI对象存储（ObjectStorage）来存储日志和配置文件，并通过预签名URL进行访问。D.使用OCI流（Streaming）服务来传输日志，并使用OCI函数进行处理。答案：A解析：OCI文件存储服务（FSS）是一个完全托管、弹性的网络文件系统（NFSv3），提供高可用性和持久性。它非常适合需要共享文件访问的场景，如日志聚合、配置文件共享、主目录等。选项B需要自行配置和管理集群文件系统，增加了复杂性和运维负担，不是“完全托管”的方案。选项C的对象存储是对象接口，不适合需要文件系统语义（如随机读写、文件锁）的应用程序直接访问。选项D的流服务用于实时消息流，不是持久化的共享文件存储。21.在OCI中，为了允许一个VCN内的计算实例无需公共IP地址即可访问互联网进行软件包更新，同时防止互联网主动发起连接到这些实例，应该使用以下哪种组合？A.互联网网关（InternetGateway）+路由表规则指向IGW+实例拥有公共IP。B.NAT网关（NATGateway）+路由表规则指向NAT网关+实例使用私有IP。C.服务网关（ServiceGateway）+路由表规则指向SGW。D.动态路由网关（DRG）+IPSecVPN连接。答案：B解析：NAT网关允许VCN内拥有私有IP地址的资源主动出站连接到互联网，同时为这些连接提供网络地址转换。互联网上的资源无法通过NAT网关主动发起入站连接到VCN内的私有实例，这提供了单向的互联网访问能力，非常适合软件更新等场景。选项A提供了双向互联网访问（如果实例有公共IP且安全规则允许），不符合“防止互联网主动连接”的要求。选项C用于访问OCI公共服务，不是通用互联网。选项D用于连接本地网络或其他云。22.一个OCI租户中有多个部门，每个部门管理自己的区划（Compartment）。现在需要集中监控所有区划中计算实例的关键指标（如CPU、内存），并设置统一的警报。以下哪种方法最有效？A.要求每个部门的管理员在自己的区划中配置监控和警报，然后定期向中心团队报告。B.使用具有租户级别读取权限的IAM策略，为中心团队创建一个动态组，该组包含所有计算实例。然后中心团队在租户根区划或一个集中管理的区划中创建监控查询和警报。C.为每个区划单独创建监控命名空间和警报，并尝试使用跨区划的聚合仪表板。D.使用第三方监控工具，在每个实例上安装代理来收集数据。答案：B解析：OCI监控服务支持跨区划监控。通过授予中心团队（或一个服务账户）在租户级别对`METRICS_NAMESPACE`的读取权限，他们可以查询所有区划中的指标。创建一个动态组，其匹配规则包含租户中的所有计算实例（例如，`All{instancepartment.id=‘’}`），并授予该动态组调用监控API的权限，或者直接授予中心团队用户组相应权限。这样，中心团队就可以在一个集中的位置（如根区划或一个专门的监控区划）定义指标查询和警报，覆盖所有部门区划的资源。这实现了集中管理和控制。选项A是分散式管理，不统一。选项C中，监控命名空间（如`oci_computeagent`）是服务定义的，不是用户创建的；警报定义本身可以跨区划，但需要相应权限。选项D可行，但引入了额外的许可、部署和管理成本，不如使用原生服务B简洁。23