Oracle Cloud-Ressourcen erstellen

Hier erfahren Sie, wie Sie vor den ersten Schritten mit Oracle Cloud Infrastructure GoldenGate ein Compartment, ein VCN, ein Subnetz, Benutzer und Benutzergruppen erstellen.

Compartment erstellen

Mit Compartments können Sie Ihre Cloud-Ressourcen organisieren und den Zugriff darauf steuern. Es handelt sich dabei um logische Container, mit denen Sie zugehörige Cloud-Ressourcen zusammenfassen und bestimmten Benutzergruppen Zugriff gewähren können.

Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle Ihren Mandanten, das Root Compartment, in dem alle Cloud-Ressourcen gespeichert sind. Danach erstellen Sie zusätzliche Compartments innerhalb des Mandanten und entsprechende Policys, um den Zugriff auf die Ressourcen in jedem Compartment zu kontrollieren.

So erstellen Sie ein Compartment:

1. Öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, und wählen Sie Identität & Sicherheit aus.

2. Wählen Sie unter Identität die Option Compartments aus. Eine Liste der Compartments, auf die Sie zugreifen können, wird angezeigt.

3. Navigieren Sie zu dem Compartment, in dem Sie das neue Compartment erstellen möchten.

   • Um das Compartment im Mandanten (Root-Compartment) zu erstellen, wählen Sie Compartment erstellen aus.

   • Um das Compartment in einem anderen Compartment als dem Mandanten (Root Compartment) zu erstellen, wählen Sie durch die Hierarchie der Compartments bis zur Detailseite des Compartment, in dem Sie das Compartment erstellen möchten, aus. Wählen Sie auf der Seite Compartment-Details die Option Compartment erstellen aus.

4. Füllen Sie im Dialogfeld "Compartment erstellen" die Felder wie folgt aus:

   1. Geben Sie unter Name einen eindeutigen Namen für das Compartment ein, der maximal 100 Zeichen enthält (einschließlich Buchstaben, Zahlen, Punkte, Bindestriche und Unterstriche). Der Name muss in allen Compartments im Mandanten eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein.

   2. Geben Sie unter Beschreibung eine Beschreibung ein, mit dem Sie das Compartment von anderen unterscheiden können.

   3. Stellen Sie unter Übergeordnetes Compartment sicher, dass dies das Compartment ist, in dem Sie das Compartment erstellen möchten. Um ein anderes Compartment auszuwählen, wählen Sie eines in der Dropdown-Liste aus.

   4. (Optional) Unter Tag-Namespace können Sie ein Freiformtag hinzufügen, damit Sie in der Oracle Cloud-Konsole Nach Ressourcen suchen. Wählen Sie + Weiteres Tag aus, um weitere Tags hinzuzufügen.

   5. Wählen Sie Compartment erstellen aus.

Das Compartment wird nach seiner Erstellung in der Liste "Compartments" angezeigt. Jetzt können Sie Policys erstellen und Ressourcen zu Ihrem Compartment hinzufügen.

Virtuelles Cloud-Netzwerk und Subnetz erstellen

Ein virtuelles Cloud-Netzwerk (VCN) ist ein Netzwerk, das Sie in den Data Centern in Oracle Cloud Infrastructure in einer bestimmten Region einrichten. Ein Subnetz ist eine Unterteilung eines VCN.

OCI GoldenGate erfordert ein VCN und mindestens ein privates Subnetz mit einem NAT-Gateway. Eine Routentabelle mit einer Routingregel, die Traffic zum NAT-Gateway für das private Subnetz umleitet, muss verfügbar sein. Wenn Sie die Konnektivität mit einem öffentlichen Endpunkt aktivieren möchten, ist auch ein öffentliches Subnetz erforderlich, und das VCN muss ein Internetgateway enthalten. Eine Routentabelle mit einer Routingregel, die Traffic zum Internetgateway für das öffentliche Subnetz umleitet, muss verfügbar sein.

So erstellen Sie ein VCN und ein Subnetz:

1. Öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, wählen Sie Networking aus, und wählen Sie Virtual Cloud Networks aus.

2. Bestätigen Sie auf der Seite Virtuelle Cloud-Netzwerke die Compartment-Auswahl, oder wählen Sie ein anderes Compartment aus.

3. Wählen Sie im Menü Aktionen die Option VCN-Assistenten starten aus.

4. Wählen Sie im Fenster "VCN-Assistenten starten" Die Option VCN mit Internetverbindung erstellen aus, und wählen Sie anschließend VCN-Assistenten starten.

5. Geben Sie auf der Seite "Konfiguration" unter Basisinformationen einen VCN-Namen ein.

6. Wählen Sie unter Compartment das Compartment aus, in dem dieses VCN erstellt werden soll.

7. Wählen Sie Weiter.

8. Prüfen Sie auf der Seite "Prüfen und erstellen" die Konfigurationsdetails, und wählen Sie Erstellen aus.

Wählen Sie VCN-Details anzeigen aus, um zu prüfen, ob sowohl ein öffentliches als auch ein privates Subnetz erstellt wurde.

Benutzer erstellen

Erstellen Sie Benutzer, um sie Gruppen hinzuzufügen, die auf Ihre OCI GoldenGate-Ressourcen zugreifen können.

Bevor Sie Benutzer erstellen, beachten Sie Folgendes:

• Die Benutzerverwaltung des OCI GoldenGate-Deployments hängt davon ab, ob Ihr Mandant OCI IAM mit Identitätsdomains verwendet oder nicht. Siehe Deployment-Benutzer verwalten.

• Benutzernamen müssen unter allen Benutzern in Ihrem Mandanten eindeutig sein.

• Benutzernamen können nicht geändert werden.

• Benutzer haben erst dann Berechtigungen, wenn sie einer Gruppe zugeordnet werden.

So erstellen Sie Benutzer:

1. Öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, wählen Sie Identität und Sicherheit aus, und wählen Sie unter Identität die Option Domains aus.

2. Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder wechseln Sie zu einem anderen Compartment.

3. Wählen Sie in der Liste "Domains" die Option Standard aus, um auf die Standarddomain zuzugreifen, oder wählen Sie Domain erstellen, um eine neue Domain zu erstellen.

4. Wählen Sie die Domain aus der Liste.

5. Wählen Sie auf der Seite "Domaindetails" die Option Benutzerverwaltung aus.

6. Wählen Sie auf der Seite "Benutzer" die Option Benutzer erstellen.

7. Füllen Sie die Felder auf der Seite "Benutzer erstellen" folgendermaßen aus:

   1. Geben Sie den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers ein. Diese können auch als Benutzername verwendet werden.

      Hinweis: Der Name muss für alle Benutzer im Mandanten eindeutig sein. Sie können diesen Wert später nicht ändern. Der Benutzername darf keine Leerzeichen enthalten und darf nur aus einfachen lateinischen Buchstaben (ASCII), Zahlen, Bindestrichen, Punkten, Unterstrichen, Pluszeichen (+) und Et-Zeichen (@) bestehen.

   2. Unter Gruppen wählen Sie die Gruppen, denen der Benutzer zugeordnet werden soll.

8. Wählen Sie Erstellen.

Anschließend können Sie den Benutzer einer Gruppe hinzufügen und Policys erstellen, die der Gruppe Zugriff auf Ihre Ressourcen erteilen. Weitere Informationen zu Benutzern finden Sie unter Benutzer verwalten.

Gruppen erstellen

Eine Gruppe ist eine Sammlung von Benutzern, die den gleichen Zugriffstyp für eine Gruppe von Ressourcen oder Compartments benötigen.

Bevor Sie eine Gruppe erstellen, beachten Sie Folgendes:

• Der Gruppenname muss innerhalb des Mandanten eindeutig sein.

• Der Gruppenname kann nach der Erstellung nicht mehr geändert werden.

• Eine Gruppe hat keine Berechtigungen, es sei denn Sie schreiben mindestens eine Berechtigung, die der Gruppe die Berechtigung für einen Mandanten oder für ein Compartment erteilen.

So erstellen Sie eine Gruppe:

1. Öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, wählen Sie Identität und Sicherheit aus, und wählen Sie unter Identität die Option Domains aus.

2. Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder ändern Sie das Compartment.

3. Domain aus der Liste auswählen.

4. Wählen Sie auf der Seite "Domaindetails" die Option Benutzerverwaltung aus.

5. Wählen Sie unter "Gruppen" die Option Gruppe erstellen.

6. Gehen Sie auf der Seite "Gruppe erstellen" wie folgt vor:

   1. Geben Sie unter Name einen eindeutigen Namen für die Gruppe an.

      Hinweis: Nachdem die Gruppe erstellt wurde, können Sie den Namen nicht ändern. Der Gruppenname muss innerhalb des Mandanten eindeutig sein. Der Gruppenname kann aus 1 bis 100 alphanumerischen Zeichen bestehen und darf Groß- und Kleinbuchstaben sowie Punkte, Gedankenstriche und Bindestriche, aber keine Leerzeichen enthalten.

   2. Geben Sie unter Beschreibung eine benutzerfreundliche Beschreibung ein.

7. Wählen Sie aus, ob ein Benutzer Zugriff auf diese Gruppe anfordern kann.

8. Wählen Sie in der Liste Benutzer die Benutzer aus, die dieser Gruppe zugewiesen werden sollen.

9. Wählen Sie Erstellen.

Eine Gruppe erhält erst dann Berechtigungen, wenn Sie eine Policy schreiben, die ihr Berechtigung für ein Compartment oder einen Mandanten erteilt. Weitere Informationen zu Gruppen finden Sie unter Gruppen verwalten.

Policys erstellen

Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.

Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Parameterdefinitionen lauten wie folgt:

• <identity-domain>: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.

• <group-name>: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.

• <verb>: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolge inspect, read, use und manage schrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.

  Weitere Informationen zur Beziehung zwischen Berechtigungen und Verben.

• <resource-type>: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. There are individual resources, such as goldengate-deployments, goldengate-pipelines, and goldengate-connections, and there are resource families, such as goldengate-family, which includes the individual resources previously mentioned.

  Weitere Informationen finden Sie unter Ressourcentypen.

• <location>: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auch tenancy angeben, um den gesamten Mandanten abzudecken.

• <condition>: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.

Weitere Informationen zur Policy-Syntax.

So erstellen Sie eine Policy

So erstellen Sie eine Policy:

1. Wählen Sie im Oracle Cloud-Navigationsmenü die Option Identität und Sicherheit, und wählen Sie unter "Identifizieren" die Option Policys aus.

2. Wählen Sie auf der Seite "Policys" die Option Policy erstellen.

3. Geben Sie einen Namen und eine Beschreibung für die Policy auf der Seite "Policy erstellen" ein.

4. Wählen Sie das Compartment aus, in dem diese Policy erstellt wird.

5. Im Abschnitt Policy Builder können Sie entweder

   • Wählen Sie GoldenGate-Service in der Dropdown-Liste Policy-Anwendungsfall und eine allgemeine Policy-Vorlage aus, wie Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können.

   • Wählen Sie Manuellen Editor anzeigen aus, um eine Policy-Regel im folgenden Format einzugeben:

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     Bedingungen sind optional. Siehe Details zu Kombinationen aus Verben und Ressourcentypen.

   Tipp: Weitere Informationen finden Sie unter Minimale empfohlene Policys.

6. Wählen Sie Erstellen.

Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.

Mindestempfehlung für Policys

Tipp:

So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:

1. Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate-Service aus.

2. Wählen Sie unter Vorlagen zur allgemeinen Verwendung in der Dropdown-Liste die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus.

Sie benötigen Policys mindestens für Folgendes:

• Das Verwenden oder Verwalten von GoldenGate-Ressourcen durch Benutzer zulassen, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Das Verwalten von Netzwerkressourcen durch Benutzer zulassen, damit sie beim Erstellen von GoldenGate-Ressourcen Compartments und Subnetze anzeigen und auswählen sowie private Endpunkte erstellen und löschen können. Beispiel:

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  Hinweis:

  • Wenn Sie ein Deployment oder eine Verbindung mit einem dedizierten Endpunkt erstellen, werden mindestens eine IP im ausgewählten Subnetz zugewiesen. Sie müssen die erforderlichen Netzwerkzugriffsberechtigungen sowohl im Subnetz als auch im Compartment des Deployments oder der Verbindung angeben, damit der Service die Netzwerkressourcen erstellen kann.

  • Ebenso sind die entsprechenden Netzwerkzugriffsberechtigungen erforderlich, wenn ein Deployment oder eine Verbindung mit einem dedizierten Endpunkt gelöscht wird, damit der Service die Netzwerkressourcen löschen kann.

  Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.

• Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie <dynamic-group-name> durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  Tipp: Die in dieser Liste aufgeführten Policys finden Sie unter <dynamic-group-name>. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen.

• Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Benutzern das Lesen des IAM-(Identity and Access Management-)Benutzers und der -Gruppe für Validierungen in IAM-fähigen Mandanten erlauben:

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Greifen Sie auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets in Oracle Vault zu. Beispiel:

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:

• Oracle AI-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage zum Speichern manueller und geplanter OCI GoldenGate-Backups. Beispiel:

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Load Balancer, wenn Sie den öffentlichen Zugriff auf die Deployment-Konsole aktivieren:

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• Arbeitsanforderungen:

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• Zero Trust Packet Routing (ZPR). Nur erforderlich Wenn Sie Sicherheitsattribute zu Ihrem VCN und/oder Load Balancer hinzugefügt haben, um den Zugriff für Ihre Verbindungen und öffentlichen Deployments zu kontrollieren, fügen Sie die folgenden Policys hinzu, um öffentlichen Internettraffic zum Load Balancer und Trafficfluss zwischen dem Load Balancer und privaten Endpunkten zuzulassen:

  • Wenn Sicherheitsattribute für VCN und Load Balancer hinzugefügt wurden:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • Wenn Sicherheitsattribute nur für das VCN und nicht für den Load Balancer hinzugefügt wurden und sich der Load Balancer in einem öffentlichen Subnetz mit CIDR 10.0.1.0/24 befindet:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    Hinweis: Für andere Ressourcen, wie dedizierte Verbindungen und private Deployments, werden Sicherheitsattribute zum erstellten privaten Endpunkt hinzugefügt. Load Balancer werden nicht standardmäßig mit privaten Deployments erstellt. Daher gelten die obigen ZPR-Beispiele nicht. Möglicherweise benötigen Sie eine ZPR-Policy, da ZPR in diesem Fall den privaten Endpunkt schützt. Die genaue Richtlinie hängt von Ihrem Anwendungsfall ab.

  Weitere Informationen zur ZPR-Policy-Syntax.

Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.