Oracle Cloud Infrastructure-Dokumentation

Mandantenübergreifend und regionsübergreifend klonen

Sie können eine autonome KI-Datenbankinstanz von einem Mandanten, einem Quellmandanten oder einem anderen Mandanten (Zielmandanten) klonen.

Übergeordnetes Thema: Autonome KI-Datenbankinstanz klonen, verschieben oder upgraden

Mandantenübergreifendes Klonen

Wenn Sie einen mandantenübergreifenden Klon erstellen, können Sie entweder auswählen, dass der Klon in derselben Region wie der Quellmandant oder in einer anderen Region als der Quellmandant (regionsübergreifend) erstellt wird.

Hinweis

Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs der autonomen KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.

Beachten Sie Folgendes beim mandantenübergreifenden Klonen:

  • Alle Klontypen werden unterstützt: Die geklonte Datenbank kann ein vollständiger Klon, ein Metadatenklon oder ein aktualisierbarer Klon sein.

  • Ein Klon kann aus einer autonomen KI-Quelldatenbankinstanz oder aus einem Backup erstellt werden (mit dem letzten Backup, einem angegebenen Backup oder durch Auswahl eines langfristigen Backups).

  • Die autonome KI-Quelldatenbankinstanz kann entweder das ECPU- oder das OCPU-Compute-Modell verwenden. Je nach Workload-Typ können Sie von einer Quelle, die das OCPU-Compute-Modell verwendet, zu einem Klon klonen, der das ECPU-Compute-Modell verwendet (dies ist für die Workload-Typen "Data Warehouse" und "Transaktionsverarbeitung" zulässig).

  • Die geklonte Datenbank kann sich in derselben Region oder in einer anderen Region (regionsübergreifend) befinden.

  • Standardmäßig erbt ein mandantenübergreifender Klon die Verschlüsselungsmethode der Quelldatenbank, entweder von Oracle verwaltete oder vom Kunden verwaltete Verschlüsselungsschlüssel.

  • Wenn die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, stehen Ihnen mehrere Optionen für die Verschlüsselungsschlüssel in einer geklonten Datenbank zur Verfügung. Weitere Informationen finden Sie unter Verschlüsselungsschlüsseloptionen für Mandantenübergreifendes Klonen.

Voraussetzungen für mandantenübergreifendes Klonen

Beschreibt die Voraussetzungen für das Erstellen eines mandantenübergreifenden Klons, bei dem sich die Quelldatenbank in einem Mandanten befindet und sich die geklonte Datenbank in einem anderen Mandanten befindet.

Sie müssen die Befehle ausführen, um einen mandantenübergreifenden Klon im Zielmandanten zu erstellen. Bevor Sie einen mandantenübergreifenden Klon erstellen, müssen Sie OCI Identity and Access Management-Gruppen und -Policys im Quellmandanten, im Mandanten, der die zu klonende Instanz enthält, und im Zielmandanten definieren. Mit den von Ihnen definierten Gruppen und Policys können Sie Befehle ausführen, um den Klon im Zielmandanten zu erstellen und dem Zielmandanten zu erlauben, sich an den Quellmandanten zu wenden, in dem sich die autonome KI-Quelldatenbankinstanz befindet.

Die OCI Identity and Access Management-Gruppen und -Policys, die Sie hinzufügen, unterstützen Folgendes:

  • Ein Mitglied einer Gruppe im Quellmandanten ermöglicht einer Gruppe im Zielmandanten den Zugriff (Lesen) auf die autonome KI-Quelldatenbankinstanz im Quellmandanten.

    Sie müssen keine anderen Aktionen in der autonomen KI-Quelldatenbankinstanz zulassen (z.B. Starten, Stoppen, Beenden oder Schreibvorgänge).

  • Ein Mitglied einer Gruppe im Zielmandanten kann einen Klon im Zielmandanten mit der Instanz der autonomen KI-Datenbank im Quellmandanten als Klonquelle erstellen.

    Im Zielmandanten fügen Sie auch eine Policy hinzu, mit der eine Gruppe die Instanz der autonomen KI-Datenbank im Quellmandanten verwalten kann. Beispiel: Mit dieser Policy kann die Gruppe die Klondatenbank erstellen. Außerdem kann ein aktualisierbarer Klon Befehle ausführen, die den Quellmandanten kontaktieren, wie Aktualisieren und Verbindung trennen.

Um einen mandantenübergreifenden Klon zu erstellen, verwenden Sie OCI Identity and Access Management, um die erforderlichen Gruppen zu erstellen und die Policys zu definieren, die das mandantenübergreifende Klonen autorisieren:

  1. Erstellen Sie eine Gruppe im Zielmandanten, die den Benutzer enthält, der zum Erstellen eines Klons berechtigt ist.
    1. Klicken Sie im Zielmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
    2. Klicken Sie unter Identität auf Domains, und wählen Sie eine Identitätsdomain aus (oder erstellen Sie eine neue Identitätsdomain).
    3. Klicken Sie unter Identitätsdomain auf Gruppen.
    4. Um eine Gruppe hinzuzufügen, klicken Sie auf Gruppe erstellen.
    5. Geben Sie auf dem Register "Gruppe erstellen" eine Bezeichnung und eine Beschreibung ein.

      Beispiel: Geben Sie den Namen DestinationGroup ein.

    6. Klicken Sie auf der Seite "Gruppe erstellen" auf Erstellen.
    7. Klicken Sie auf Erstellen, um die Gruppe zu speichern.
    8. Klicken Sie auf der Seite Gruppe auf Benutzer Gruppen zuweisen, und wählen Sie die Benutzer aus, die Sie der Gruppe hinzufügen möchten.
    9. Klicken Sie auf Hinzufügen.
    10. Kopieren Sie auf der Seite Gruppe in der Registerkarte Gruppeninformationen die OCID zur Verwendung in Schritt 2.
  2. Definieren Sie im Quellmandanten OCI Identity and Access Management-Policys für die autonome KI-Quelldatenbankinstanz.
    1. Klicken Sie im Quellmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
    2. Klicken Sie unter Identität auf Policys.
    3. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
    4. Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
    5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
    6. Fügen Sie im Policy Builder Policys hinzu, damit die Gruppe im Zielmandanten einen Klon mit einer autonomen KI-Datenbankinstanz im Quellmandanten als Klonquelle erstellen kann.

      Definieren Sie beispielsweise die folgenden allgemeinen Policys:

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..unique_ID
define group DestinationGroup as ocid1.group.region1..unique_ID
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family
       in compartment ocid1.compartment.region1..unique_ID 
       where target.id = 'oc1.autonomousdatabase.oc1..unique_ID'

      Diese Policy gibt Folgendes an:

      • Zeile 1: Die OCID ist die OCID des Zielmandanten. Dies ist der Mandant, in dem Sie den Klon erstellen.

      • Zeile 2: Die OCID ist die OCID der Gruppe, zu der der der Benutzer gehört, der den Klon erstellen wird. Die OCID, die Sie in Schritt 1 erstellt haben.

      • Zeile 3: Die erste OCID ist die OCID des Compartments, in dem sich die Quelldatenbank befindet. Die zweite OCID nach der where-Klausel ist die OCID der autonomen Quell-AI-Datenbankinstanz.

      Hinweis

      Die Where-Klausel ist optional und bietet eine detailliertere Möglichkeit, Zugriff auf eine bestimmte Datenbank zu erteilen.

      Beispiel: Legen Sie die folgenden Policys für den Quellmandanten fest, um das mandantenübergreifende Klonen zuzulassen:

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..aaa_example_rcyx2a
define group DestinationGroup as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment 
   ocid1.compartment.region1..bbb_example_rcyx2b where target.id = 'oc1.autonomousdatabase.oc1.aaaabbbbcccc'

      Diese Policy gibt einen Benutzer in der DestinationGroup von DestinationTenancy an, der aus einer bestimmten autonomen AI-Datenbankinstanz im angegebenen Compartment (im Quellmandanten) lesen kann. Um einen mandantenübergreifenden Klon zu erstellen, muss die Policy nur das Lesen in der autonomen KI-Quelldatenbankinstanz zulassen.

    7. Klicken Sie auf Erstellen, um die Policy zu speichern.
  3. Definieren Sie Policys im Zielmandanten.
    1. Klicken Sie im Zielmandanten in der Oracle Cloud Infrastructure-Konsole auf Identität und Sicherheit.
    2. Klicken Sie unter Identität auf Policys.
    3. Um eine Policy zu schreiben, klicken Sie auf Policy erstellen.
    4. Geben Sie auf die Seite "Policy erstellen" einen Namen sowie eine Beschreibung ein.
    5. Wählen Sie auf der Seite "Policy erstellen" die Option Manuellen Editor anzeigen.
    6. Fügen Sie im Policy Builder Policys hinzu, damit eine Gruppe zur Verwaltung autonomer KI-Datenbanken im Quellmandanten freigegeben wird.

      Beispiel:

      Define tenancy SourceTenancy as ocid1.tenancy.oc1..unique_ID
Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      Diese Policy gibt Folgendes an:

      • Zeile 1: Die OCID ist die OCID des Quellmandanten. Dies ist der Mandant, in dem sich die autonome KI-Quelldatenbankinstanz befindet.

      • Zeile 2: Gibt an, dass die Gruppe DestinationGroup autonome KI-Datenbanken im Quellmandanten verwalten kann.

    Hinweise zum Definieren von Policys im Zielmandanten:

    • Für die folgende Policy:

      Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      Mit dieser Policy kann die Gruppe DestinationGroup autonome Datenbanken und Autonomous Database-Klone im Quellmandanten erstellen. Sie können die Klonberechtigungen einschränken, sodass die Gruppe nur autonome Datenbanken klonen, aber keine autonomen Datenbanken erstellen kann. Außerdem können Sie die Berechtigung zum Erstellen eines bestimmten Klontyps weiter einschränken: "Vollständiger Klon", "Metadatenklon" oder "Aktualisierbarer Klon". Weitere Informationen und Beispiele finden Sie unter IAM-Berechtigungen und API-Vorgänge für autonome KI-Datenbank.

    • Wenn diese Policys entzogen werden, ist das mandantenübergreifende Klonen nicht mehr zulässig.

Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Mandantenübergreifenden oder regionsübergreifenden Klon erstellen

Zeigt die Schritte zum Erstellen eines mandantenübergreifenden Klons an, wenn sich die Quelldatenbank und die geklonte Datenbank in derselben Region befinden oder wenn sich die Quelldatenbank und die geklonte Datenbank in verschiedenen Regionen (regionsübergreifend) befinden.

Das regionsübergreifende Klonen wird in der kostenlosen Tier oder für Autonomous Database for Developers-Instanzen nicht unterstützt.

Diese Schritte umfassen das Erstellen eines vollständigen Klons oder eines Metadatenklons. Weitere Informationen zum Erstellen eines mandantenübergreifenden aktualisierbaren Klons finden Sie unter Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen.

Hinweis

Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs der autonomen KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.

So erstellen Sie einen mandantenübergreifenden Klon:

  1. Führen Sie die erforderlichen Schritte aus, um die OCI Identity and Access Management-Policys zu definieren und das mandantenübergreifende Klonen zu autorisieren.

    Weitere Informationen finden Sie unter Voraussetzungen für mandantenübergreifendes Klonen.

  2. Verwenden Sie in dem Mandanten, in dem Sie den Klon erstellen möchten, im Zielmandanten in der Zielregion die CLI, oder rufen Sie die REST-API mit einem gültigen Klontyp FULL oder METADATA auf, und geben Sie die OCID der Quelldatenbank an, in der sich die Quelldatenbank in einem anderen Mandanten (dem Quellmandanten) befindet.

    Beispiel mit der CLI:

    oci db autonomous-database create-from-clone 
      --clone-type metadata 
      --compartment-id ocid1.tenancy.oc1..unique_ID 
      --source-id ocid1.autonomousdatabase.oc1.iad.unique_ID
      --db-name dbnameclone 
      --admin-password password 
      --data-storage-size-in-tbs 1
      --compute-model ECPU 
      --compute-count 4

    Weitere Informationen finden Sie unter create-from-clone.

    Verwenden Sie die API CreateAutonomousDatabase, um einen mandantenübergreifenden Klon zu erstellen.

    Weitere Informationen zur REST-API finden Sie im Folgenden:

Mandantenübergreifenden Klon aus einem Backup erstellen

Zeigt die Schritte zum Erstellen eines mandantenübergreifenden Klons aus einem Backup an.

Diese Schritte umfassen das Erstellen eines vollständigen Klons oder eines Metadatenklons. Weitere Informationen zum Erstellen eines mandantenübergreifenden aktualisierbaren Klons finden Sie unter Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen.

Hinweis

Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs der autonomen KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.

So erstellen Sie einen mandantenübergreifenden Klon aus einem Backup:

  1. Führen Sie die erforderlichen Schritte aus, um die OCI Identity and Access Management-Policys zu definieren und das mandantenübergreifende Klonen zu autorisieren.

    Weitere Informationen finden Sie unter Voraussetzungen für mandantenübergreifendes Klonen.

  2. Verwenden Sie in dem Mandanten, in dem Sie den Klon erstellen möchten, im Zielmandanten in der Zielregion die CLI, oder rufen Sie die REST-API mit einem gültigen Klontyp FULL oder METADATA auf, und geben Sie die OCID des Backups (im Quellmandanten) an, in dem sich die Quelldatenbank in einem anderen Mandanten (dem Quellmandanten) befindet.
    Hinweis

    Siehe Mandantenübergreifenden oder regionsübergreifenden aktualisierbaren Klon erstellen, um einen mandantenübergreifenden aktualisierbaren Klon zu erstellen.

    Beispiel mit der CLI:

    oci db autonomous-database create-from-backup-timestamp 
     --autonomous-database-id ocid1.autonomousdatabase.oc1.iad.anuw_example
     --clone-type full 
     --compartment-id ocid1.tenancy.oc1..fcue4_example
     --admin-password password 
     --compute-model ECPU 
     --compute-count 2 
     --db-name ExampleTest1
     --timestamp 2023-12-15T19:30:00Z 
     --data-storage-size-in-tbs 1

    Weitere Informationen finden Sie unter create-from-backup-timestamp und create-from-backup-id.

    Mit der CreateAutonomousDatabase-API können Sie einen mandantenübergreifenden Klon erstellen, indem Sie aus einem Backup einer vorhandenen Autonomous Database klonen.

    Informationen zur REST-API finden Sie im Folgenden:

Mandantenübergreifendes Klonen von Verschlüsselungsschlüsseloptionen

Die autonome KI-Datenbank bietet mehrere Optionen für den Typ und den Speicherort der Verschlüsselungsschlüssel für einen mandantenübergreifenden Klon.

Die mandantenübergreifende Klonoption ist nur mit der CLI oder den REST-APIs der autonomen KI-Datenbank verfügbar. Diese Option ist mit der Oracle Cloud Infrastructure-Konsole nicht verfügbar.

Hinweis

Standardmäßig erbt ein mandantenübergreifender Klon die Verschlüsselungsschlüsselmethode der Quelle, entweder von Oracle verwaltete Verschlüsselungsschlüssel oder vom Kunden verwaltete Verschlüsselungsschlüssel. Um einen mandantenübergreifenden Klon zu erstellen, der vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, müssen Sie die vom Kunden verwalteten Verschlüsselungsschlüsseldetails explizit in den OCI-CLI-Befehl aufnehmen, wenn Sie den mandantenübergreifenden Klon erstellen.

Wenn die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, haben Sie beim Erstellen eines mandantenübergreifenden Klons die folgenden Optionen, um den Verschlüsselungsschlüsseltyp und den Speicherort anzugeben:

Verschlüsselungsschlüssel klonen Beschreibung

Den gleichen Schlüssel wie die Quelle verwenden

Wenn der mandantenübergreifende Klon denselben vom Kunden verwalteten Verschlüsselungsschlüssel verwenden soll, also den Schlüssel aus dem OCI Vault in der Quelldatenbank, müssen Sie den erforderliche dynamische Oracle Cloud Infrastructure Identity and Access Management-Gruppe und -Policys, damit der Klon den Verschlüsselungsschlüssel des Quellmandanten erreichen kann und sich der Verschlüsselungsschlüssel in derselben Region wie der mandantenübergreifende Klon befinden muss. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen.

Anderen Schlüssel mit Vault in demselben Mandanten wie Klon verwenden

Wenn Sie einen anderen vom Kunden verwalteten Verschlüsselungsschlüssel auf dem mandantenübergreifenden Klon verwenden möchten, wobei sich der Verschlüsselungsschlüssel für den mandantenübergreifenden Klon in einem OCI Vault auf dem Klon befindet Mandanten, müssen Sie die erforderliche dynamische Gruppe und die erforderlichen Policys für Oracle Cloud Infrastructure Identity and Access Management erstellen, damit der Klon den Verschlüsselungsschlüssel erreichen kann und sich der Verschlüsselungsschlüssel in derselben Region wie der Klon befinden muss. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault im selben Mandanten wie Datenbank erstellen.

Anderen Schlüssel mit Vault im dritten Mandanten verwenden

Wenn Sie einen anderen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden möchten, wobei sich der Verschlüsselungsschlüssel in einem OCI Vault in einem dritten Mandanten befindet, der nicht der Mandant der Quelldatenbank oder der Mandant der geklonte Datenbank. Sie müssen die erforderliche dynamische Gruppe und die erforderlichen Policys für Oracle Cloud Infrastructure Identity and Access Management erstellen, damit der Klon den OCI Vault im Remotemandanten erreichen kann, und der OCI Vault muss sich in derselben Region wie der Klon befinden. Weitere Informationen finden Sie unter Dynamische Gruppe und Policys für vom Kunden verwaltete Schlüssel mit Vault in einem anderen Mandanten als der Datenbank erstellen.

Von Oracle verwalteten Schlüssel verwenden

Wenn Sie von Oracle verwaltete Schlüssel auf dem Remoteklon verwenden möchten, während die Quelldatenbank vom Kunden verwaltete Verschlüsselungsschlüssel verwendet, wird diese Option ebenfalls unterstützt.

Wenn eine geklonte Datenbank vom Kunden verwaltete Verschlüsselungsschlüssel aus einem Remotemandanten verwendet:

  • Wenn dynamische Gruppe und Policys definiert sind, werden auf der Detailseite der autonomen KI-Datenbank in der Oracle Cloud Infrastructure-Konsole der Name des Verschlüsselungsschlüssels und die Schlüssel-OCID angezeigt.

  • Wenn die dynamische Gruppe und die Policys fehlen (oder nicht gültig sind) oder der IAM-Benutzer im Mandanten des Klons nicht über ausreichende Berechtigungen zum Anzeigen der Remoteschlüsseldetails verfügt, wird auf der Detailseite der autonomen KI-Datenbank Verschlüsselungsschlüssel als vom Kunden verwalteter Schlüssel angezeigt.

Hinweis

Das Erstellen eines mandantenübergreifenden aktualisierbaren Klons mit vom Kunden verwaltetem Schlüssel wird nicht unterstützt.