Mandanten konfigurieren
Bevor Sie mit den Globally Distributed Database-Services von Oracle eine verteilte Datenbank erstellen und verwalten können, müssen Sie diese vorbereitenden Aufgaben ausführen, um Ihren Mandanten zu organisieren, Policys für die verschiedenen Ressourcen zu erstellen und dann die Netzwerk-, Sicherheits- und Infrastrukturressourcen zu beschaffen und zu konfigurieren.
- Aufgabe 1. Region Ashburn abonnieren
- Aufgabe 2. Compartments erstellen
- Aufgabe 3. Benutzerzugriffs-Constraints erstellen
- Aufgabe 4. Netzwerkressourcen konfigurieren
- Aufgabe 5. Sicherheitsressourcen konfigurieren
- Aufgabe 6. Exadata-Ressourcen erstellen
- Aufgabe 7. Cloud-Autonome VM-Clusterzertifikate hochladen
- (Optional) API-Schlüssel und Benutzer-Constraints erstellen
Übergeordnetes Thema: Erste Schritte mit einer global verteilten autonomen KI-Datenbank
Aufgabe 1. Region Ashburn abonnieren
Abonnieren Sie als Mandantenadministrator die Ashburn-(IAD-)Region und alle Regionen, die zum Ausführen Ihrer globally Distributed Autonomous AI Database-Implementierung erforderlich sind.
- Abonnieren Sie die Region Ashburn (IAD).
- Um den Service zu verwenden, müssen Sie die Region Ashburn abonnieren.
-
Die Hauptregion Ihres Mandanten muss nicht die Region Ashburn sein. Sie müssen jedoch die Region Ashburn abonnieren, um die Globally Distributed Database-Services von Oracle zu verwenden.
- Abonnieren Sie jede andere Region, in der Sie eine Datenbank platzieren.
- Abonnieren Sie alle Regionen, in denen Sie Datenbanken für Ihre Implementierung platzieren möchten. Dazu gehören Datenbanken für den Katalog, Shards und wenn Sie Oracle Data Guard für die Standbydatenbanken verwenden möchten.
Weitere Informationen finden Sie unter Regionen verwalten.
Übergeordnetes Thema: Mandanten konfigurieren
Aufgabe 2. Compartments erstellen
Erstellen Sie als Mandantenadministrator Compartments in Ihrem Mandanten für alle Ressourcen, die von der global verteilten autonomen KI-Datenbank benötigt werden.
Oracle empfiehlt die folgende Struktur, und diese Compartments werden bei den Setupaufgaben referenziert:
- Ein übergeordnetes Compartment für das gesamte Deployment. Dies ist gdd in den Beispielen.
- Untergeordnete Compartments für jede der verschiedenen Ressourcenarten:
- gdd_certs_vaults_keys für Certificate Authoritys, Zertifikate, Zertifikats-Bundles, Vaults und Schlüssel
- gdd_clusters für autonome Cloud-VM-Cluster
- gdd_databases für Datenbanken, VCNs, Subnetze, private Endpunkte und global verteilte Datenbankressourcen.
- gdd_exadata für Exadata-Infrastrukturen
- gdd_instances für Compute-Instanzen für Anwendungsserver (Edge-Knoten/Jump-Host, der als Bastion für die Verbindung zur Datenbank fungiert)
Die resultierende Compartment-Struktur sieht ungefähr wie folgt aus:
tenant /
gdd /
gdd_certs_vaults_keys
gdd_clusters
gdd_databases
gdd_exadata
gdd_instances
Weitere Informationen finden Sie unter Mit Compartments arbeiten.
Übergeordnetes Thema: Mandanten konfigurieren
Aufgabe 3. Benutzerzugriffs-Constraints erstellen
Formulieren Sie einen Zugriffskontrollplan, und richten Sie ihn dann ein, indem Sie entsprechende IAM-(Identity and Access Management-)Ressourcen erstellen. Dementsprechend wird die Zugriffskontrolle innerhalb einer verteilten Datenbank auf verschiedenen Ebenen implementiert, die von den Gruppen und Policys hier definiert werden.
Die in den folgenden Tabellen beschriebenen Benutzergruppen, dynamischen Gruppen und Policys sollten die Erstellung eines eigenen Benutzerzugriffskontrollplans für die Implementierung der verteilten Datenbank steuern.
Erstellen Sie als Mandantenadministrator die folgenden empfohlenen Gruppen, dynamischen Gruppen und Policys, um den zuvor definierten Rollen Berechtigungen zu erteilen. Bei den Beispielen und Dokumentationslinks wird davon ausgegangen, dass Ihr Mandant Identitätsdomains verwendet.
Übergeordnetes Thema: Mandanten konfigurieren
Erläuterungen zur Rollentrennung
Sie müssen sicherstellen, dass Ihre Cloud-Benutzer nur die zum Ausführen ihrer Jobaufgaben erforderlichen Cloud-Ressourcen verwenden und erstellen. Eine Best Practice für Globally Distributed Database besteht darin, Rollen für die Rollentrennung zu definieren.
Die in der folgenden Tabelle beschriebenen Rollen und Verantwortlichkeiten sollen Ihnen dabei helfen, Benutzergruppen, dynamische Gruppen und Policys für Ihre Globally Distributed Autonomous AI Database-Implementierung zu definieren. Die hier dargestellten Beispielrollen werden während des Umgebungssetups, der Ressourcenerstellung und der Managementanweisungen verwendet.
| Rollen | Responsibilitys |
|---|---|
| Mandantenadministrator |
Regionen abonnieren Compartments erstellt Dynamische Gruppen, Benutzergruppen und Policys erstellen |
| Infrastrukturadministrator |
virtual-network-family erstellen/aktualisieren/löschen Autonome Exadata-Infrastruktur erstellen/aktualisieren/ löschen Autonome Exadata-VM-Cluster erstellen/aktualisieren/löschen Autonome Exadata-VM-Cluster taggen Private Endpunkte der globalen verteilten autonomen KI-Datenbank erstellen/aktualisieren/löschen |
| Zertifikatsadministrator |
Vault erstellen/aktualisieren/löschen Schlüssel erstellen/aktualisieren/löschen Certificate Authority erstellen/aktualisieren/löschen Zertifikat erstellen/aktualisieren/löschen CA-Bundle erstellen/aktualisieren/löschen Zertifikats- und Zertifikats-Bundles in autonome Exadata-VM-Cluster hochladen GSM Certificate Signing Request (CSR) herunterladen GSM-Zertifikat auf Basis von GSM CSR erstellen GSM-Zertifikat hochladen |
| Benutzer | Globally Distributed Databases mit UI und APIs erstellen und verwalten |
Übergeordnetes Thema: Aufgabe 3. Benutzerzugriffs-Constraints erstellen
Dynamische Gruppen
Erstellen Sie die folgenden dynamischen Gruppen, um den Zugriff auf Ressourcen zu kontrollieren, die in den Compartments der Globally Distributed Database erstellt wurden.
Anweisungen finden Sie unter Dynamische Gruppe erstellen.
| Name der dynamischen Gruppe | Beschreibung | Regeln |
|---|---|---|
| gdd-cas-dg | Certificate Authority-Ressourcen |
Alle resource.type='Zertifikatautorität' resource.compartment.id = 'OCID des Compartment-Mandanten-Root/GDD/gdd_certs_vaults_keys' |
| gdd-cluster-dg | Ressourcen von autonomen VM-Clustern |
Alle resource.compartment.id = 'OCID des Compartment-Mandanten-Root/GDD/gdd_clusters' |
| gdd-instances-dg | Compute-Instanzressourcen |
Alle resource.compartment.id = 'OCID des Compartment-Mandanten-Root/GDD/gdd_instances' |
Übergeordnetes Thema: Aufgabe 3. Benutzerzugriffs-Constraints erstellen
Benutzergruppen
Erstellen Sie die folgenden Gruppen, um Benutzern Berechtigungen zur Verwendung von Ressourcen in den Compartments für global verteilte Datenbanken zu erteilen.
Anweisungen finden Sie unter Gruppe erstellen.
| Name der Benutzergruppe | Beschreibung |
|---|---|
| gdd-certificate-admins | Zertifikatsadministratoren, die Schlüssel und Vaults erstellen und verwalten. |
| gdd-infrastructure-admins | Infrastrukturadministratoren, die Cloud-Netzwerk- und Infrastrukturressourcen erstellen und verwalten |
| gdd-Benutzer | Benutzer, die Globally Distributed Database-Ressourcen mit den APIs und der UI erstellen und verwalten |
Übergeordnetes Thema: Aufgabe 3. Benutzerzugriffs-Constraints erstellen
Policys
Erstellen Sie IAM-Policys, um den Gruppen Zugriff auf Ressourcen zu erteilen, die in den Compartments Globally Distributed Autonomous AI Database erstellt wurden.
Die folgenden Beispiel-Policys, die auf der zuvor erstellten Compartment-Struktur und den Gruppen basieren, sollten die Erstellung Ihrer eigenen IAM-Policys für Ihre globally Distributed Autonomous AI Database-Implementierung steuern.
Die Identitätsdomain (z.B. Standard) muss die Identitätsdomain sein, in der Sie die Gruppen erstellt haben.
Anweisungen finden Sie unter Policy erstellen.
gdd-certificate-admins-tenant-level
- Beschreibung: Mandantenberechtigungen für Gruppe "gdd-certificate-admins"
- Compartment: Mandant
- Anweisungen:
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy
gdd-infrastructure-admins-tenant-level
- Beschreibung: Berechtigungen auf Mandantenebene für Gruppe gdd-infrastructure-admins
- Compartment: Mandant
- Anweisungen:
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy
gdd-users-tenant-level
-
Beschreibung: Berechtigungen auf Mandantenebene für gdd-users-Gruppe
- Compartment: Mandant
- Anweisungen:
Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-users' to READ limits in tenancy Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy
gdd-certificate-admins
- Beschreibung: Berechtigungen auf Compartment-Ebene für Gruppe gdd-certificate-admins
- Compartment: Mandant/gdd
- Anweisungen:
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gddDarüber hinaus sind die folgenden Policys erforderlich, wenn Sie Oracle Key Vault verwenden:
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd
gdd-infrastructure-admins
- Beschreibung: Berechtigungen auf Compartment-Ebene für gdd-infrastructure-admins der Gruppe
- Compartment: Mandant/gdd
- Anweisungen:
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd
gdd-Benutzer
- Beschreibung: Berechtigungen auf Compartment-Ebene für gdd-users-Gruppe
- Compartment: Mandant/gdd
- Anweisungen:
Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd Allow group 'Default' / 'gdad-users' to USE volumes in compartment gddDarüber hinaus sind die folgenden Policys erforderlich, wenn Sie Oracle Key Vault verwenden:
Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd
gdd-dg-cas
- Beschreibung: Berechtigungen auf Compartment-Ebene für dynamische Gruppe gdd-cas-dg
- Compartment: Mandant/gdd
- Anweisungen:
Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd
gdd-dg-Cluster
- Beschreibung: Berechtigungen auf Compartment-Ebene für dynamische Gruppe "gdd-clusters-dg"
- Compartment: Mandant/gdd
- Anweisungen:
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keysDarüber hinaus sind die folgenden Policys erforderlich, wenn Sie Oracle Key Vault verwenden:
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys
gdd-kms
- Beschreibung: Berechtigungen auf Compartment-Ebene für Key Management Service
- Compartment: Mandant/gdd
- Anweisungen:
Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys
gdd-okv
- Beschreibung: Berechtigungen auf Compartment-Ebene für Oracle Key Vault
- Compartment: Mandant/gdd
- Anweisungen:
Allow service database to READ secret-family in compartment gdd_certs_vaults_keys
Übergeordnetes Thema: Aufgabe 3. Benutzerzugriffs-Constraints erstellen
Aufgabe 4. Netzwerkressourcen konfigurieren
Erstellen Sie als Infrastrukturadministrator die Netzwerkressourcen, und aktivieren Sie die Konnektivität, die von der verteilten Datenbank benötigt wird.
Beispielressourcen werden in diesen Anweisungen benannt, um das Tracking und die Beziehungen zu vereinfachen. Beispiel: Der Name "gdd_iad" bezieht sich auf das VCN, das in der Region Ashburn (IAD) erstellt wurde.
Übergeordnetes Thema: Mandanten konfigurieren
Allgemeine Netzwerkressourcen
Für alle global verteilten autonomen KI-Datenbankimplementierungen sind ein VCN, ein Subnetz und ein privater Endpunkt in der Region Ashburn (IAD) erforderlich.
Erstellen Sie als Infrastrukturadministrator die Ressourcen wie in der folgenden Tabelle beschrieben.
| Ressource | Anweisungen |
|---|---|
| Virtuelles Cloud-Netz (VCN) + Subnetz |
Erstellen Sie in Ashburn (IAD) das VCN gdd_iad und das Subnetz gdd_subnet. Dieses VCN und Subnetz sind erforderlich, um die Konnektivität zwischen dem Globally Distributed Autonomous AI Database-Service und Datenbanken in der Topologie der Globally Distributed Autonomous AI Database zu ermöglichen. Verwenden Sie die folgenden Werte:
|
| Privater Endpunkt |
Erstellen Sie einen privaten Endpunkt in der Ashburn-(IAD-)Region, um die Konnektivität zwischen dem Globally Distributed Autonomous AI Database-Service und den Datenbanken in der Globally Distributed Autonomous AI Database-Topologie zu ermöglichen.
|
Übergeordnetes Thema: Aufgabe 4. Netzwerkressourcen konfigurieren
Zusätzliche Netzwerkressourcen basierend auf Ihrer Topologie
Erstellen Sie je nach Topologie Ihrer Globally Distributed Database zusätzliche Netzwerkressourcen, wie unten beschrieben.
Beachten Sie, dass Datenbanken für die Topologie die Katalog-, Shards- und Oracle Data Guard-Standbydatenbanken umfassen.
Alle Netzwerkressourcen müssen im Compartment "gdd/gdd_databases" erstellt werden.
| Anwendungsfall | Netzwerkressourcen | Peering und Connectivity |
|---|---|---|
|
Alle Datenbanken befinden sich in der Region Ashburn (IAD)
|
Erstellen Sie ein Subnetz und ein Servicegateway in der Ashburn-(IAD-)Region für Ihre autonomen Cloud-VM-Cluster.
|
Erforderliches Peering Kein Wert Erforderliche Konnektivität Uneingeschränkte Konnektivität mit Subnetz gdd_subnet (für privaten Endpunkt erstellt) |
| Alle Datenbanken befinden sich in einer einzigen Region, R1, also nicht in Ashburn (IAD)* |
Erstellen Sie ein Subnetz und ein Servicegateway in der Region für Ihre autonomen Cloud-VM-Cluster.
|
Erforderliches Peering gdd_iad ↔ gdd_R1 Erforderliche Konnektivität uneingeschränkt zwischen gdd_iad.gdd_subnet (für privaten Endpunkt erstellt) und gdd_R1.osd-database-subnet-R1 |
| Datenbanken befinden sich in mehreren Regionen R1, R2, ..., RN |
Erstellen Sie Subnetze und Servicegateways in jeder Region für Ihre autonomen Cloud-VM-Cluster. Subnetz:
Servicegateways:
|
Erforderliches Peering gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Erforderliche Konnektivität Uneingeschränkt und bidirektional zwischen gdd_iad.gdd_subnet (für privaten Endpunkt erstellt) und gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-Datenbank-Subnetz-Rn uneingeschränkt und bidirektional zwischen gdd_R1.osd-database-subnet-R1 und gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-Datenbank-Subnetz-Rn uneingeschränkt und bidirektional zwischen gdd_R2.osd-database-subnet-R2 und gdd_Rn.osd-Datenbank-Subnetz-Rn |
*Die Globally Distributed Database Service Control Plane existiert nur in der Region Ashburn (IAD). Der private Endpunkt, den Sie in einem vorherigen Schritt in der Region Ashburn (IAD) erstellt haben, wird für die Kommunikation mit den Globally Distributed Database-Ressourcen in den jeweiligen Regionen verwendet.
Übergeordnetes Thema: Aufgabe 4. Netzwerkressourcen konfigurieren
Aufgabe 5. Sicherheitsressourcen konfigurieren
Erstellen Sie als Global Distributed Database-Zertifikatsadministrator die Vault-, Schlüssel-, Certificate Authority-, Zertifikats- und CA-Bundle-Ressourcen.
Achtung:
Nachdem Sie eine global verteilte Datenbank erstellt haben, die einen Schlüssel referenziert, können Sie den Vault oder die Schlüssel nicht in ein neues Compartment verschieben, ohne auch die autonomen Containerdatenbanken neu zu starten, die den verschobenen Vault oder Schlüssel referenzieren.Erstellen Sie je nach Global Distributed Database-Topologie Sicherheitsressourcen, wie in den folgenden Tabellen beschrieben.
Die in den folgenden Tabellen verwendeten Beispielressourcennamen sollten die Erstellung eigener Sicherheitsressourcen für Ihre Globally Distributed Database-Implementierung unterstützen.
- Automatische Datenverteilung, einzelne Region
- Automatische Datenverteilung, Primär- und Standbyregionen
- Vom Benutzer verwaltete Datenverteilung, einzelne Region
- Vom Benutzer verwaltete Datenverteilung, mehrere Regionen
Übergeordnetes Thema: Mandanten konfigurieren
Automatische Datenverteilung, einzelne Region
In diesem Anwendungsfall werden Sicherheitsressourcen in einer Singe-Region erstellt.
In den folgenden Beispielen werden alle Ressourcen in Region R1 erstellt.
| Ressource | Anweisungen und Beispiele |
|---|---|
| Vault |
Erstellen Sie einen Vault für die Masterverschlüsselungsschlüssel der Certificate Authority (CA) und Transparent Data Encryption (TDE).
Anweisungen: Vault erstellen |
| Zertifizierungsstellenschlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| TDE-Schlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| Certificate Authority |
Erstellen Sie eine CA zum Ausstellen von Zertifikaten für autonome Cloud-VM-Cluster und GSM-Compute-Instanzen.
Sie können ein Zertifikat mit einer Drittanbieter-CA erstellen. Sie müssen jedoch das von der 3rd Party CA ausgestellte Zertifikat in den OCI Certificate Service importieren. Anweisungen: Certificate Authority erstellen |
| Zertifikat |
Erstellen Sie ein Zertifikat für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: Zertifikat erstellen |
| CA-Bundle |
Erstellen Sie ein CA-Bundle für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: CA-Bundle erstellen |
Übergeordnetes Thema: Aufgabe 5. Sicherheitsressourcen konfigurieren
Automatische Datenverteilung, Primär- und Standby-Regionen
Diese Topologie ergibt sich, wenn Primär- und Standbydatenbanken in verschiedenen Regionen platziert werden. In diesem Anwendungsfall werden Sicherheitsressourcen in der primären Datenbank und in den Standbydatenbankregionen erstellt.
In den folgenden Beispielen werden Ressourcen in den Regionen Rp (primär) und Rs (Standby) erstellt.
| Ressource | Anweisungen und Beispiele |
|---|---|
| Vaults |
Erstellen Sie die Vaults für die Masterverschlüsselungsschlüssel der Certificate Authority (CA).
Anweisungen: Vault erstellen |
| Replizierter virtueller Vault |
Erstellen Sie einen replizierten virtuellen Vault für den TDE-(Transparent Data Encryption-)Masterverschlüsselungsschlüssel.
Anweisungen: Vault und Schlüssel replizieren |
| Zertifizierungsstellenschlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| TDE-Schlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| Certificate Authoritys |
Erstellen Sie CAs zum Ausstellen von Zertifikaten für autonome Cloud-VM-Cluster und GSM-Compute-Instanzen.
Sie können ein Zertifikat mit einer Drittanbieter-CA erstellen. Sie müssen jedoch das von der 3rd Party CA ausgestellte Zertifikat in den OCI Certificate Service importieren. Anweisungen: Certificate Authority erstellen |
| Certificates |
Erstellen Sie die Zertifikate für den Upload in autonome Cloud-VM-Cluster. Hinweis: Sie müssen den allgemeinen Namen für die Zertifikate in den Regionen Rp und Rs verwenden.
Anweisungen: Zertifikat erstellen |
| CA-Bundles |
Erstellen Sie die CA-Bundles für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: CA-Bundle erstellen |
Übergeordnetes Thema: Aufgabe 5. Sicherheitsressourcen konfigurieren
Benutzerverwaltete Datenverteilung, einzelne Region
In diesem Anwendungsfall werden Sicherheitsressourcen in einer Singe-Region erstellt
In den folgenden Beispielen werden alle Ressourcen in Region R1 erstellt.
| Ressource | Anweisungen und Beispiele |
|---|---|
| Vault |
Erstellen Sie einen Vault für die Masterverschlüsselungsschlüssel der Certificate Authority (CA) und Transparent Data Encryption (TDE).
Anweisungen: Vault erstellen |
| Zertifizierungsstellenschlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| TDE-Schlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| Certificate Authority |
Erstellen Sie eine CA zum Ausstellen von Zertifikaten für autonome Cloud-VM-Cluster und GSM-Compute-Instanzen.
Sie können ein Zertifikat mit einer Drittanbieter-CA erstellen. Sie müssen jedoch das von der 3rd Party CA ausgestellte Zertifikat in den OCI Certificate Service importieren. Anweisungen: Certificate Authority erstellen |
| Zertifikat |
Erstellen Sie ein Zertifikat für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: Zertifikat erstellen |
| CA-Bundle |
Erstellen Sie ein CA-Bundle für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: CA-Bundle erstellen |
Übergeordnetes Thema: Aufgabe 5. Sicherheitsressourcen konfigurieren
Benutzerverwaltete Datenverteilung, mehrere Regionen
In diesem Anwendungsfall werden Sicherheitsressourcen in jeder Region erstellt, in der eine Datenbank gespeichert wird.
Diese Topologie kann sich ergeben, wenn eine oder beide der folgenden Bedingungen zutreffen:
-
Die primären Katalog- und Shard-Datenbanken werden in verschiedenen Regionen platziert
- Die Datenbanken in einem Shard-Speicherplatz befinden sich in verschiedenen Regionen
Sicherheitsressourcen werden in jeder Region, R1, ..., Rn, erstellt, in der eine Datenbank gespeichert wird.
| Ressource | Anweisungen und Beispiele |
|---|---|
| Vaults |
Erstellen Sie in jeder Region einen Vault für die Masterverschlüsselungsschlüssel der Certificate Authority (CA).
Anweisungen: Vault erstellen |
| Replizierte virtuelle Vaults |
Erstellen Sie replizierte virtuelle Vaults für die TDE-(Transparent Data Encryption-)Masterverschlüsselungsschlüssel. Für jede Datenbank, jeden Katalog oder jedes Shard mit einer primären Region, Rp, die sich von der Standby-Region unterscheidet, Rs:
|
| Zertifizierungsstellenschlüssel |
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| TDE-Schlüssel | Für jede Datenbank, jeden Katalog oder jedes Shard, die keine Standbydatenbank hat oder eine Standbyregion hat, die mit der primären Region identisch ist:
Erforderliche Attributwerte:
Anweisungen: Masterverschlüsselungsschlüssel erstellen |
| Certificate Authoritys |
Erstellen Sie in jeder Region eine Certificate Authority (CA), um Zertifikate für autonome Cloud-VM-Cluster und GSM-Compute-Instanzen auszustellen.
Sie können ein Zertifikat mit einer Drittanbieter-CA erstellen. Sie müssen jedoch das von der 3rd Party CA ausgestellte Zertifikat in den OCI Certificate Service importieren. Anweisungen: Certificate Authority erstellen |
| Certificates |
Erstellen Sie Zertifikate in jeder Region für den Upload in autonome Cloud-VM-Cluster. Hinweis: Sie müssen den allgemeinen Namen für die Zertifikate in allen Regionen verwenden.
Anweisungen: Zertifikat erstellen |
| CA-Bundles |
Erstellen Sie die CA-Bundles für den Upload in autonome Cloud-VM-Cluster.
Anweisungen: CA-Bundle erstellen |
Übergeordnetes Thema: Aufgabe 5. Sicherheitsressourcen konfigurieren
Aufgabe 6. Exadata-Ressourcen erstellen
Konfigurieren Sie als Infrastrukturadministrator die Topologie Global verteilte autonome KI-Datenbank in den folgenden Schritten.
- Überlegungen zu Exadata-Ressourcen
- Exadata-Infrastrukturinstanzen erstellen
- Tag-Namespace Oracle-ApplicationName importieren
- Autonome Cloud-VM-Cluster erstellen
Übergeordnetes Thema: Mandanten konfigurieren
Überlegungen zu Exadata-Ressourcen
Bitte beachten Sie Folgendes:
- Der Service Globally Distributed Autonomous AI Database unterstützt nur Exadata mit einem Quarter Rack mit zwei Knoten.
- Eine Exadata-Infrastruktur ist regionsspezifisch. Das bedeutet, dass für jede Region, in der Sie einen Katalog oder eine Shard-Datenbank platzieren möchten, eine Exadata-Infrastruktur erforderlich ist.
- Sie müssen ein autonomes Cloud-VM-Cluster für jeden Katalog und jede Shard-Datenbank erstellen, die Sie in der Globally Distributed Autonomous AI Database bereitstellen möchten.
- Shards und Katalogdatenbanken können sich in einem bestimmten autonomen Cloud-VM-Cluster befinden. Die Verwendung eines gemeinsamen autonomen Cloud-VM-Clusters für Katalog- und Shard-Datenbanken kann jedoch zu einem Verarbeitungsengpass führen.
Übergeordnetes Thema: Aufgabe 6. Exadata-Ressourcen erstellen
Exadata-Infrastrukturinstanzen erstellen
Erstellen Sie Exadata-Infrastrukturressourcen im Compartment gdd/gdd_exadata.
Befolgen Sie die Anweisungen unter Exadata-Infrastrukturressource erstellen.
Übergeordnetes Thema: Aufgabe 6. Exadata-Ressourcen erstellen
Oracle-ApplicationName-Tag-Namespace importieren
Importieren Sie den Tag-Namespace Oracle-ApplicationName im Root Compartment Ihres Mandanten.
-
Wählen Sie im Navigationsmenü der Cloud-Konsole Governance und Administration und dann Tag-Namespaces (unter der Kategorie "Mandantenmanagement").
-
Prüfen Sie im Bereich "Tag-Namespaces", ob der Oracle-ApplicationName-Namespace im Root Compartment Ihres Mandanten vorhanden ist.
Stellen Sie sicher, dass das Root Compartment Ihres Mandanten unter Listengeltungsbereich ausgewählt ist.
-
Wenn Oracle-ApplicationName in der Liste nicht angezeigt wird, gehen Sie wie folgt vor:
-
Klicken Sie auf Standardtags importieren (über der Liste).
-
Aktivieren Sie das Kontrollkästchen neben dem Oracle-ApplicationName-Namespace, und klicken Sie auf Importieren.
-
Übergeordnetes Thema: Aufgabe 6. Exadata-Ressourcen erstellen
Autonome Cloud-VM-Cluster erstellen
Erstellen Sie ein Cluster für jede Datenbank in der Topologie der Globally Distributed Database.
Die Schritte zum Erstellen der Cluster finden Sie unter Autonomes Exadata-VM-Cluster erstellen.
Stellen Sie beim Erstellen der Cluster Folgendes sicher:
-
Beim Erstellen der einzelnen Cluster müssen Sie das folgende Tag definieren:
Oracle-ApplicationName.Other_Oracle_Application: ShardingBevor Sie das Tag zu einem autonomen Exadata-VM-Cluster hinzufügen können, müssen Sie den Namespace des Tags importieren.
Hinweis:
Wenn Sie ein Cluster für die Verwendung in einer global verteilten Datenbank taggen, wird die SKU der global verteilten Datenbank weiterhin fakturiert, bis das Cluster gelöscht wird. -
Erstellen Sie Cluster im Compartment "gdd/gdd_clusters".
-
Für Release 26ai: Wenn Sie Datenbanken von Release 26ai verwenden möchten, prüfen Sie den Abschnitt "Voraussetzungen" unter Autonomes Exadata-VM-Cluster erstellen, um die Anforderungen an die Version der 26ai-Datenbanksoftware zu ermitteln.
-
Wenn die Cluster eingerichtet sind, müssen sie auf dieselbe Zeitzone gesetzt werden.
-
Es wird empfohlen, ein VM-Cluster pro Datenbank (Shard oder Katalog) zu verwenden.
Übergeordnetes Thema: Aufgabe 6. Exadata-Ressourcen erstellen
Aufgabe 7. Cloud-Autonome VM-Clusterzertifikate hochladen
Als Zertifikatsadministrator haben Sie die Certificate Authority, Zertifikate und das CA-Bundle im Compartment gdd/gdd_certs_vaults_keys erstellt. Jetzt laden Sie das CA-Bundle in jedes autonome Exadata-VM-Cluster hoch.
Wichtig:
-
Das hochzuladende CA-Bundle muss für alle autonomen Exadata-VM-Cluster identisch sein.
-
Der allgemeine Name des Zertifikats muss für alle autonomen Exadata-VM-Cluster identisch sein.
Weitere Informationen finden Sie unter Sicherheitszertifikate für eine autonome Exadata-VM-Clusterressource verwalten.
Übergeordnetes Thema: Mandanten konfigurieren
(Optional) API-Schlüssel und Benutzer-Constraints erstellen
Erstellen Sie ein OCI-API-Schlüsselpaar, wenn Sie die Globally Distributed Database-REST-API, OCI-Softwareentwicklungskits und die Befehlszeilenschnittstelle direkt verwenden möchten.
Befolgen Sie die Anweisungen unter Erforderliche Schlüssel und OCIDs.
Wenn Sie Benutzersteuerelemente für die APIs festlegen möchten, finden Sie unter Berechtigungen für global verteilte autonome KI-Datenbank-APIs.
Übergeordnetes Thema: Mandanten konfigurieren