Mandantenübergreifend und regionsübergreifend klonen
Sie können eine autonome KI-Datenbankinstanz von einem Mandanten, einem Quellmandanten oder einem anderen Mandanten (Zielmandanten) klonen.
Mandantenübergreifendes Klonen
Wenn Sie einen mandantenübergreifenden Klon erstellen, können Sie entweder auswählen, dass der Klon in derselben Region wie der Quellmandant oder in einer anderen Region als der Quellmandant (regionsübergreifend) erstellt wird.
Hinweis
Hinweis: Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs für die autonome KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.
Beachten Sie Folgendes beim mandantenübergreifenden Klonen:
-
Alle Klontypen werden unterstützt: Die geklonte Datenbank kann ein vollständiger Klon, ein Metadatenklon oder ein aktualisierbarer Klon sein.
-
Ein Klon kann aus einer autonomen KI-Quelldatenbankinstanz oder aus einem Backup erstellt werden (mit dem letzten Backup, einem angegebenen Backup oder durch Auswahl eines langfristigen Backups).
-
Die autonome KI-Quelldatenbankinstanz kann entweder das ECPU- oder das OCPU-Compute-Modell verwenden. Je nach Workload-Typ können Sie von einer Quelle, die das OCPU-Compute-Modell verwendet, zu einem Klon klonen, der das ECPU-Compute-Modell verwendet (dies ist für die Workload-Typen "Data Warehouse" und "Transaktionsverarbeitung" zulässig).
-
Die geklonte Datenbank kann sich in derselben Region oder in einer anderen Region (regionübergreifend) befinden.
-
Standardmäßig erbt ein mandantenübergreifender Klon die Verschlüsselungsmethode der Quelldatenbank, entweder von Oracle verwaltete oder vom Kunden verwaltete Verschlüsselungsschlüssel.
-
Wenn die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, stehen Ihnen mehrere Optionen für die Verschlüsselungsschlüssel in einer geklonten Datenbank zur Verfügung. Weitere Informationen finden Sie unter Verschlüsselungsschlüsseloptionen für Mandantenübergreifendes Klonen.
Voraussetzungen für mandantenübergreifendes Klonen
Beschreibt die Voraussetzungen für das Erstellen eines mandantenübergreifenden Klons, bei dem sich die Quelldatenbank in einem Mandanten befindet und sich die geklonte Datenbank in einem anderen Mandanten befindet.
Sie müssen die Befehle ausführen, um einen mandantenübergreifenden Klon im Zielmandanten zu erstellen. Bevor Sie einen mandantenübergreifenden Klon erstellen, müssen Sie OCI Identity and Access Management-Gruppen und -Policys im Quellmandanten, im Mandanten, der die zu klonende Instanz enthält, und im Zielmandanten definieren. Mit den von Ihnen definierten Gruppen und Policys können Sie Befehle ausführen, um den Klon im Zielmandanten zu erstellen und dem Zielmandanten zu erlauben, sich an den Quellmandanten zu wenden, in dem sich die autonome KI-Quelldatenbankinstanz befindet.
Die OCI Identity and Access Management-Gruppen und -Policys, die Sie hinzufügen, unterstützen Folgendes:
-
Ein Mitglied einer Gruppe im Quellmandanten ermöglicht einer Gruppe im Zielmandanten den Zugriff (Lesen) auf die autonome KI-Quelldatenbankinstanz im Quellmandanten.
Sie müssen keine anderen Aktionen in der autonomen KI-Quelldatenbankinstanz zulassen (z.B. Starten, Stoppen, Beenden oder Schreibvorgänge).
-
Ein Mitglied einer Gruppe im Zielmandanten kann einen Klon im Zielmandanten mit der Instanz der autonomen KI-Datenbank im Quellmandanten als Klonquelle erstellen.
Im Zielmandanten fügen Sie auch eine Policy hinzu, mit der eine Gruppe die Instanz der autonomen KI-Datenbank im Quellmandanten verwalten kann. Beispiel: Mit dieser Policy kann die Gruppe die Klondatenbank erstellen. Außerdem kann ein aktualisierbarer Klon Befehle ausführen, die den Quellmandanten kontaktieren, wie Aktualisieren und Verbindung trennen.
Um einen mandantenübergreifenden Klon zu erstellen, verwenden Sie OCI Identity and Access Management, um die erforderlichen Gruppen zu erstellen und die Policys zu definieren, die das mandantenübergreifende Klonen autorisieren:
-
Erstellen Sie eine Gruppe im Zielmandanten, die den Benutzer enthält, der zum Erstellen eines Klons berechtigt ist.
a. Klicken Sie im Zielmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
b. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
c. Klicken Sie unter Identitätsdomain auf Gruppen.
d. Um eine Gruppe hinzuzufügen, klicken Sie auf Gruppe erstellen.
e. Geben Sie auf dem Register "Gruppe erstellen" eine Bezeichnung und eine Beschreibung ein.
For example, enter the Name: **DestinationGroup**.f. Klicken Sie auf der Seite "Gruppe erstellen" auf Erstellen.
g. Klicken Sie auf Erstellen, um die Gruppe zu speichern.
h. Klicken Sie auf der Seite Gruppe auf Benutzer zu Gruppen zuweisen, und wählen Sie die Benutzer aus, die Sie der Gruppe hinzufügen möchten.
i. Klicken Sie auf Hinzufügen.
v. Kopieren Sie auf der Seite Gruppe in der Registerkarte Gruppeninformationen die OCID zur Verwendung in Schritt 2.
-
Definieren Sie im Quellmandanten OCI Identity and Access Management-Policys für die autonome KI-Quelldatenbankinstanz.
a. Klicken Sie im Quellmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
b. Klicken Sie unter Identität auf Policys.
c. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
d. Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
e. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
f. Fügen Sie im Policy Builder Policys hinzu, damit die Gruppe im Zielmandanten einen Klon mit einer autonomen KI-Datenbankinstanz im Quellmandanten als Klonquelle erstellen kann.
Definieren Sie beispielsweise die folgenden allgemeinen Policys:
define tenancy DestinationTenancy as ocid1.tenancy.oc1..unique_ID define group DestinationGroup as ocid1.group.region1..unique_ID admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment ocid1.compartment.region1..unique_ID where target.id = 'oc1.autonomousdatabase.oc1..unique_ID'Diese Policy gibt Folgendes an:
-
Zeile 1: Die OCID ist die OCID des Zielmandanten. Dies ist der Mandant, in dem Sie den Klon erstellen.
-
Zeile 2: Die OCID ist die OCID der Gruppe, zu der der der Benutzer gehört, der den Klon erstellen wird. Die OCID, die Sie in Schritt 1 erstellt haben.
-
Zeile 3: Die erste OCID ist die OCID des Compartments, in dem sich die Quelldatenbank befindet. Die zweite OCID nach der
where-Klausel ist die OCID der autonomen Quell-AI-Datenbankinstanz.
Hinweis
Hinweis: Die Where-Klausel ist optional und bietet eine detailliertere Möglichkeit, Zugriff auf eine bestimmte Datenbank zu erteilen.Beispiel: Legen Sie die folgenden Policys für den Quellmandanten fest, um das mandantenübergreifende Klonen zuzulassen:
define tenancy DestinationTenancy as ocid 1.tenancy.oc1..aaa_example_rcyx2a define group DestinationGroup as ocid1.group.oc1..aaa_example_6vctn6xsaq admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment ocid1.compartment.region1..bbb_example_rcyx2b where target.id = 'oc1.autonomousdatabase.oc1.aaaabbbbcccc'Diese Policy gibt einen Benutzer in der
DestinationGroupvonDestinationTenancyan, der aus einer bestimmten autonomen AI-Datenbankinstanz im angegebenen Compartment (im Quellmandanten) lesen kann. Um einen mandantenübergreifenden Klon zu erstellen, muss die Policy nur das Lesen in der autonomen KI-Quelldatenbankinstanz zulassen.g. Klicken Sie auf Erstellen, um die Policy zu speichern.
-
-
Definieren Sie Policys im Zielmandanten.
-
Klicken Sie im Zielmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
-
Klicken Sie unter Identität auf Policys.
-
Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
-
Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
-
Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
-
Fügen Sie im Policy Builder Policys hinzu, damit eine Gruppe zur Verwaltung autonomer KI-Datenbanken im Quellmandanten freigegeben wird.
Beispiel:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..unique_ID Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy Allow group CrossTenancyStandbyGroup to manage autonomous-databases in tenancyDiese Policy gibt Folgendes an:
-
Zeile 1: Die OCID ist die OCID des Quellmandanten. Dies ist der Mandant, in dem sich die autonome KI-Quelldatenbankinstanz befindet.
-
Zeile 2: Gibt an, dass die Gruppe DestinationGroup autonome KI-Datenbanken im Quellmandanten verwalten kann.
-
Hinweise zum Definieren von Policys im Zielmandanten:
-
Für die folgende Policy:
Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancyMit dieser Policy kann die Gruppe
DestinationGroupautonome KI-Datenbanken und autonome KI-Datenbankklone im Quellmandanten erstellen. Sie können die Klonberechtigungen einschränken, sodass die Gruppe nur autonome KI-Datenbanken klonen, aber keine autonomen KI-Datenbanken erstellen kann. Außerdem können Sie die Berechtigung zum Erstellen eines bestimmten Klontyps weiter einschränken: "Vollständiger Klon", "Metadatenklon" oder "Aktualisierbarer Klon". Weitere Informationen und Beispiele finden Sie unter IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank. -
Wenn diese Policys entzogen werden, ist das mandantenübergreifende Klonen nicht mehr zulässig.
-
Weitere Informationen finden Sie unter Erste Schritte mit Policys.
Mandantenübergreifenden oder regionsübergreifenden Klon erstellen
Zeigt die Schritte zum Erstellen eines mandantenübergreifenden Klons an, wenn sich die Quelldatenbank und die geklonte Datenbank in derselben Region befinden oder wenn sich die Quelldatenbank und die geklonte Datenbank in verschiedenen Regionen (regionübergreifend) befinden.
Regionsübergreifendes Klonen wird in der kostenlosen Ebene oder für autonome KI-Datenbank für Entwicklerinstanzen nicht unterstützt.
Diese Schritte umfassen das Erstellen eines vollständigen Klons oder eines Metadatenklons. Weitere Informationen zum Erstellen eines mandantenübergreifenden aktualisierbaren Klons finden Sie unter Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen.
Hinweis
Hinweis: Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs für die autonome KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.
So erstellen Sie einen mandantenübergreifenden Klon:
-
Führen Sie die erforderlichen Schritte aus, um die OCI Identity and Access Management-Policys zu definieren und das mandantenübergreifende Klonen zu autorisieren.
Weitere Informationen finden Sie unter Voraussetzungen für mandantenübergreifendes Klonen.
-
Verwenden Sie in dem Mandanten, in dem Sie den Klon erstellen möchten, im Zielmandanten in der Zielregion die CLI, oder rufen Sie die REST-API mit einem gültigen Klontyp FULL oder METADATA auf, und geben Sie die OCID der Quelldatenbank an, in der sich die Quelldatenbank in einem anderen Mandanten (dem Quellmandanten) befindet.
Beispiel mit der CLI:
oci db autonomous-database create-from-clone --clone-type metadata --compartment-id ocid1.tenancy.oc1..unique_ID --source-id ocid1.autonomousdatabase.oc1.iad.unique_ID --db-name dbnameclone --admin-password password --data-storage-size-in-tbs 1 --compute-model ECPU --compute-count 4Weitere Informationen finden Sie unter create-from-clone.
Verwenden Sie die API
CreateAutonomousDatabase, um einen mandantenübergreifenden Klon zu erstellen.Weitere Informationen zur REST-API finden Sie im Folgenden:
-
Weitere Informationen finden Sie unter Notizen für mandantenübergreifendes und regionsübergreifendes Klonen.
-
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten.
-
Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).
Mandantenübergreifenden Klon aus einem Backup erstellen
Zeigt die Schritte zum Erstellen eines mandantenübergreifenden Klons aus einem Backup an.
Diese Schritte umfassen das Erstellen eines vollständigen Klons oder eines Metadatenklons. Weitere Informationen zum Erstellen eines mandantenübergreifenden aktualisierbaren Klons finden Sie unter Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen.
Hinweis
Hinweis: Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs für die autonome KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.
So erstellen Sie einen mandantenübergreifenden Klon aus einem Backup:
-
Führen Sie die erforderlichen Schritte aus, um die OCI Identity and Access Management-Policys zu definieren und das mandantenübergreifende Klonen zu autorisieren.
Weitere Informationen finden Sie unter Voraussetzungen für mandantenübergreifendes Klonen.
-
Verwenden Sie in dem Mandanten, in dem Sie den Klon erstellen möchten, im Zielmandanten in der Zielregion die CLI, oder rufen Sie die REST-API mit einem gültigen Klontyp FULL oder METADATA auf, und geben Sie die OCID des Backups (im Quellmandanten) an, in dem sich die Quelldatenbank in einem anderen Mandanten (dem Quellmandanten) befindet.
Hinweis
Hinweis: Siehe Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen, um einen mandantenübergreifenden aktualisierbaren Klon zu erstellen.Beispiel mit der CLI:
oci db autonomous-database create-from-backup-timestamp --autonomous-database-id ocid1.autonomousdatabase.oc1.iad.anuw_example --clone-type full --compartment-id ocid1.tenancy.oc1..fcue4_example --admin-password password --compute-model ECPU --compute-count 2 --db-name ExampleTest1 --timestamp 2023-12-15T19:30:00Z --data-storage-size-in-tbs 1Weitere Informationen finden Sie unter create-from-backup-timestamp und create-from-backup-id.
Mit der API
CreateAutonomousDatabasekönnen Sie einen mandantenübergreifenden Klon erstellen, indem Sie aus einem Backup einer vorhandenen autonomen KI-Datenbank klonen.Informationen zur REST-API finden Sie im Folgenden:
-
Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten.
-
Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).
Mandantenübergreifendes Klonen von Verschlüsselungsschlüsseloptionen
Die autonome KI-Datenbank bietet mehrere Optionen für den Typ und den Speicherort der Verschlüsselungsschlüssel für einen mandantenübergreifenden Klon.
Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs der autonomen KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.
Hinweis
Hinweis: Standardmäßig erbt ein mandantenübergreifender Klon die Verschlüsselungsschlüsselmethode der Quelle, entweder von Oracle verwaltete Verschlüsselungsschlüssel oder vom Kunden verwaltete Verschlüsselungsschlüssel. Um einen mandantenübergreifenden Klon zu erstellen, der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, müssen Sie die vom Kunden verwalteten Verschlüsselungsschlüsseldetails explizit in den OCI-CLI-Befehl aufnehmen, wenn Sie den mandantenübergreifenden Klon erstellen.
Wenn die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, haben Sie beim Erstellen eines mandantenübergreifenden Klons die folgenden Optionen, um den Verschlüsselungsschlüsseltyp und den Speicherort anzugeben:
| Verschlüsselungsschlüssel klonen | Beschreibung |
|---|---|
| Den gleichen Schlüssel wie die Quelle verwenden | Wenn der mandantenübergreifende Klon denselben vom Kunden verwalteten Verschlüsselungsschlüssel verwenden soll, also den Schlüssel aus dem OCI Vault in der Quelldatenbank, müssen Sie den erforderliche dynamische Oracle Cloud Infrastructure Identity and Access Management-Gruppe und -Policys, damit der Klon den Verschlüsselungsschlüssel des Quellmandanten erreichen kann und sich der Verschlüsselungsschlüssel in derselben Region wie der mandantenübergreifende Klon befinden muss. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen. |
| Anderen Schlüssel mit Vault in demselben Mandanten wie Klon verwenden | Wenn Sie einen anderen vom Kunden verwalteten Verschlüsselungsschlüssel auf dem mandantenübergreifenden Klon verwenden möchten, wobei sich der Verschlüsselungsschlüssel für den mandantenübergreifenden Klon in einem OCI Vault auf dem Klon befindet Mandanten, müssen Sie die erforderliche dynamische Gruppe und die erforderlichen Policys für Oracle Cloud Infrastructure Identity and Access Management erstellen, damit der Klon den Verschlüsselungsschlüssel erreichen kann und sich der Verschlüsselungsschlüssel in derselben Region wie der Klon befinden muss. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie Datenbank erstellen. |
| Anderen Schlüssel mit Vault im dritten Mandanten verwenden | Wenn Sie einen anderen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden möchten, dessen Verschlüsselungsschlüssel sich in einem OCI Vault in einem dritten Mandanten befindet, der nicht der Mandant der Quelldatenbank oder der Mandant der geklonte Datenbank. Sie müssen die erforderliche dynamische Gruppe und die erforderlichen Policys für Oracle Cloud Infrastructure Identity and Access Management erstellen, damit der Klon den OCI Vault im Remotemandanten erreichen kann, und der OCI Vault muss sich in derselben Region wie der Klon befinden. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen. |
| Von Oracle verwalteten Schlüssel verwenden | Wenn Sie von Oracle verwaltete Schlüssel auf dem Remoteklon verwenden möchten, während die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, wird diese Option ebenfalls unterstützt. |
Wenn eine geklonte Datenbank vom Kunden verwaltete Verschlüsselungsschlüssel aus einem Remotemandanten verwendet:
-
Wenn dynamische Gruppe und Policys definiert sind, werden auf der Detailseite der autonomen KI-Datenbank in der Oracle Cloud Infrastructure-Konsole der Name des Verschlüsselungsschlüssels und die Schlüssel-OCID angezeigt.
-
Wenn die dynamische Gruppe und die Policys fehlen (oder nicht gültig sind) oder der IAM-Benutzer im Mandanten des Klons nicht über ausreichende Berechtigungen zum Anzeigen der Remoteschlüsseldetails verfügt, wird auf der Detailseite der autonomen KI-Datenbank Verschlüsselungsschlüssel als vom Kunden verwalteter Schlüssel angezeigt.
Hinweis
Hinweis: Das Erstellen eines mandantenübergreifenden aktualisierbaren Klons mit vom Kunden verwaltetem Schlüssel wird nicht unterstützt.