Oracle Cloud-Ressourcen erstellen

Hier erfahren Sie, wie Sie vor den ersten Schritten mit Oracle Cloud Infrastructure GoldenGate ein Compartment, ein VCN, ein Subnetz, Benutzer und Benutzergruppen erstellen.

Compartment erstellen

Mit Compartments können Sie Ihre Cloud-Ressourcen organisieren und den Zugriff darauf steuern. Es handelt sich dabei um logische Container, mit denen Sie zugehörige Cloud-Ressourcen zusammenfassen und bestimmten Benutzergruppen Zugriff gewähren können.

Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle Ihren Mandanten. Dies ist das Root Compartment, das alle Cloud-Ressourcen enthält. Danach erstellen Sie zusätzliche Compartments innerhalb des Mandanten und entsprechende Policys, um den Zugriff auf die Ressourcen in jedem Compartment zu kontrollieren.

So erstellen Sie ein Compartment:
  1. Öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, und klicken Sie auf Identität und Sicherheit.
  2. Klicken Sie unter Identität auf Compartments. Eine Liste der Compartments, auf die Sie zugreifen können, wird angezeigt.
  3. Navigieren Sie zu dem Compartment, in dem Sie das neue Compartment erstellen möchten.
    • Um das Compartment im Mandanten (Root Compartment) zu erstellen, klicken Sie auf Compartment erstellen.
    • Um das Compartment in einem anderen Compartment als dem Mandanten (Root Compartment) zu erstellen, klicken Sie durch die Hierarchie der Compartments bis zu der Seite mit den Details des Compartments, in dem Sie das Compartment erstellen möchten. Klicken Sie auf der Seite Compartment-Details auf Compartment erstellen.
  4. Füllen Sie im Dialogfeld "Compartment erstellen" die Felder wie folgt aus:
    1. Geben Sie unter Name einen eindeutigen Namen für das Compartment mit maximal 100 Zeichen ein (einschließlich Buchstaben, Zahlen, Punkten, Bindestrichen und Unterstrichen). Der Name muss in allen Compartments im Mandanten eindeutig sein. Geben Sie dabei keine vertraulichen Informationen ein.
    2. Geben Sie unter Beschreibung eine Beschreibung ein, mit der Sie das Compartment von anderen unterscheiden können.
    3. Prüfen Sie unter Übergeordnetes Compartment, dass es sich um das Compartment handelt, in dem Sie das Compartment erstellen möchten. Um ein anderes Compartment auszuwählen, wählen Sie eines in der Dropdown-Liste aus.
    4. (Optional) Unter Tag-Namespace können Sie ein Freiformtag hinzufügen, damit Sie in der Oracle Cloud-Konsole nach Ressourcen suchen können. Klicken Sie auf + Weitere Tags, um weitere Tags hinzuzufügen.
    5. Klicken Sie auf Compartment erstellen.
Das Compartment wird nach seiner Erstellung in der Liste "Compartments" angezeigt. Jetzt können Sie Policys erstellen und Ressourcen zu Ihrem Compartment hinzufügen.

Virtuelles Cloud-Netzwerk und Subnetz erstellen

Ein virtuelles Cloud-Netzwerk (VCN) ist ein Netzwerk, das Sie in den Data Centern in Oracle Cloud Infrastructure in einer bestimmten Region einrichten. Ein Subnetz ist eine Unterteilung eines VCN.

OCI GoldenGate erfordert ein VCN und mindestens ein privates Subnetz mit einem NAT-Gateway. Eine Routentabelle mit einer Routingregel, die Traffic zum NAT-Gateway für das private Subnetz umleitet, muss verfügbar sein. Wenn Sie die Konnektivität mit einem öffentlichen Endpunkt aktivieren möchten, ist auch ein öffentliches Subnetz erforderlich, und das VCN muss ein Internetgateway enthalten. Eine Routentabelle mit einer Routingregel, die Traffic zum Internetgateway für das öffentliche Subnetz umleitet, muss verfügbar sein.
So erstellen Sie ein VCN und ein Subnetz:
  1. öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Networking, und wählen Sie Virtuelle Cloud-Netzwerke aus.
  2. Bestätigen Sie auf der Seite Virtuelle Cloud-Netzwerke die Compartment-Auswahl, oder wählen Sie ein anderes Compartment aus.
  3. Wählen Sie im Menü Aktionen die Option VCN-Assistenten starten aus.
  4. Klicken Sie im Fenster "VCN-Assistenten starten" auf VCN mit Internetverbindung erstellen, und klicken Sie anschließend auf VCN-Assistenten starten.
  5. Geben Sie auf der Seite "Konfiguration" unter Basisinformationen einen VCN-Namen ein.
  6. Wählen Sie unter Compartment das Compartment aus, in dem dieses VCN erstellt werden soll.
  7. Klicken Sie auf Weiter.
  8. Prüfen Sie auf der Seite "Prüfen und erstellen" die Konfigurationsdetails, und klicken Sie auf Erstellen.

Klicken Sie auf VCN-Details anzeigen, um zu prüfen, ob sowohl ein öffentliches als auch ein privates Subnetz erstellt wurde.

Benutzer erstellen

Erstellen Sie Benutzer, um sie Gruppen hinzuzufügen, die auf Ihre OCI GoldenGate-Ressourcen zugreifen können.

Bevor Sie Benutzer erstellen, beachten Sie Folgendes:

  • Die Benutzerverwaltung des OCI GoldenGate-Deployments hängt davon ab, ob Ihr Mandant OCI IAM mit Identitätsdomains verwendet oder nicht. Siehe Deployment-Benutzer verwalten.
  • Benutzernamen müssen unter allen Benutzern in Ihrem Mandanten eindeutig sein.
  • Benutzernamen können nicht geändert werden.
  • Benutzer haben erst dann Berechtigungen, wenn sie einer Gruppe zugeordnet werden.
So erstellen Sie Benutzer:
  1. öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Identität & Sicherheit, und klicken Sie unter Identität auf Domains.
  2. Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder wechseln Sie zu einem anderen Compartment.
  3. Klicken Sie in der Liste "Domains" auf Standard, um auf die Standarddomain zuzugreifen, oder klicken Sie auf Domain erstellen, um eine neue Domain zu erstellen.
  4. Wählen Sie die Domain aus der Liste.
  5. Klicken Sie auf der Seite "Domaindetails" auf Benutzerverwaltung.
  6. Klicken Sie auf der Seite "Benutzer" auf Benutzer erstellen.
  7. Füllen Sie die Felder auf der Seite "Benutzer erstellen" folgendermaßen aus:
    1. Geben Sie den Vornamen, den Nachnamen und die E-Mail-Adresse des Benutzers ein, der auch als Benutzername verwendet werden kann.

      Hinweis:

      Der Name muss für alle Benutzer im Mandanten eindeutig sein. Sie können diesen Wert später nicht ändern. Der Benutzername darf keine Leerzeichen enthalten und darf nur aus einfachen lateinischen Buchstaben (ASCII), Zahlen, Bindestrichen, Punkten, Unterstrichen, Pluszeichen (+) und Et-Zeichen (@) bestehen.
    2. Wählen Sie unter Gruppen die Gruppen, denen der Benutzer zugeordnet werden soll.
  8. Klicken Sie auf Create.
Anschließend können Sie den Benutzer einer Gruppe hinzufügen und Policys erstellen, die der Gruppe Zugriff auf Ihre Ressourcen erteilen. Weitere Informationen zu Benutzern finden Sie unter Benutzer verwalten.

Gruppen erstellen

Eine Gruppe ist eine Sammlung von Benutzern, die den gleichen Zugriffstyp für eine Gruppe von Ressourcen oder Compartments benötigen.

Bevor Sie eine Gruppe erstellen, beachten Sie Folgendes:
  • Der Gruppenname muss innerhalb des Mandanten eindeutig sein.
  • Der Gruppenname kann nach der Erstellung nicht mehr geändert werden.
  • Eine Gruppe hat keine Berechtigungen, es sei denn, Sie schreiben mindestens eine Berechtigung, die der Gruppe Berechtigungen für einen Mandanten oder ein Compartment erteilt.
So erstellen Sie eine Gruppe:
  1. öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Identität & Sicherheit, und klicken Sie unter Identität auf Domains.
  2. Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder ändern Sie das Compartment.
  3. Domain aus der Liste auswählen.
  4. Klicken Sie auf der Seite "Domaindetails" auf Benutzerverwaltung.
  5. Klicken Sie unter "Gruppen" auf Gruppe erstellen.
  6. Gehen Sie auf der Seite "Gruppe erstellen" folgendermaßen vor:
    1. Geben Sie unter Name einen eindeutigen Namen für die Gruppe ein.

      Hinweis:

      Nach der Erstellung der Gruppe können Sie den Namen nicht mehr ändern. Der Gruppenname muss innerhalb des Mandanten eindeutig sein. Der Gruppenname kann aus 1 bis 100 alphanumerischen Zeichen bestehen und darf Groß- und Kleinbuchstaben sowie Punkte, Gedankenstriche und Bindestriche, aber keine Leerzeichen enthalten.
    2. Geben Sie unter Beschreibung eine benutzerfreundliche Beschreibung ein.
  7. Wählen Sie aus, ob ein Benutzer Zugriff auf diese Gruppe anfordern kann.
  8. Wählen Sie in der Liste Benutzer die Benutzer aus, die dieser Gruppe zugewiesen werden sollen.
  9. Klicken Sie auf Create.
Eine Gruppe erhält erst dann Berechtigungen, wenn Sie eine Policy schreiben, die ihr Berechtigung für ein Compartment oder einen Mandanten erteilt. Weitere Informationen zu Gruppen finden Sie unter Gruppen verwalten.

Policys erstellen

Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.

Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Parameterdefinitionen lauten wie folgt:

  • <identity-domain>: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.
  • <group-name>: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.
  • <verb>: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolge inspect, read, use und manage schrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.

    Weitere Informationen zur Beziehung zwischen .Berechtigungen und Verben.

  • <resource-type>: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. Es gibt einzelne Ressourcen, wie goldengate-deployments, goldengate-pipelines und goldengate-connections, und es gibt Ressourcenfamilien, wie goldengate-family, die die zuvor genannten einzelnen Ressourcen enthalten.

    Weitere Informationen finden Sie unter Ressourcentypen.

  • <location>: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auch tenancy angeben, um den gesamten Mandanten abzudecken.
  • <condition>: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.

Weitere Informationen zur Policy-Syntax.

So erstellen Sie eine Policy

So erstellen Sie eine Policy:
  1. Wählen Sie im Oracle Cloud-Navigationsmenü die Option Identität und Sicherheit aus, und klicken Sie unter "Identifizieren" auf Policys.
  2. Klicken Sie auf der Seite "Policys" auf Policy erstellen.
  3. Geben Sie einen Namen und eine Beschreibung für die Policy auf der Seite "Policy erstellen" ein.
  4. Wählen Sie das Compartment aus, in dem diese Policy erstellt wird.
  5. Im Abschnitt Policy Builder können Sie eine der folgenden Optionen auswählen:
    • Wählen Sie in der Dropdown-Liste Policy-Anwendungsfall die Option GoldenGate-Service und eine allgemeine Policy-Vorlage aus. Beispiel: Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können.
    • Klicken Sie auf Manuellen Editor anzeigen, um eine Policy-Regel im folgenden Format einzugeben:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      Bedingungen sind optional. Siehe Details zu Kombinationen aus Verben und Ressourcentypen.

    Tipp:

    Weitere Informationen finden Sie unter Minimale empfohlene Policys.
  6. Klicken Sie auf Create.

Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.

Mindestempfehlung für Policys

Tipp:

So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:
  1. Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate Service aus.
  2. Wählen Sie unter Vorlagen zur allgemeinen Verwendung die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus der Dropdown-Liste aus.

Sie benötigen Policys mindestens für Folgendes:

  • Ermöglichen Sie es Benutzern, use- oder manage GoldenGate-Ressourcen zu verwenden, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • Zulassen, dass Benutzer Netzwerkressourcen verwalten, damit sie Compartments und Subnetze anzeigen und auswählen und beim Erstellen von GoldenGate-Ressourcen private Endpunkte erstellen und löschen können. Beispiel:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.

  • Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie <dynamic-group-name> durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.
    name: <dynamic-group-name>
    Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    Tipp:

    Die in dieser Liste aufgeführten Policys beziehen sich auf <dynamic-group-name>. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen.

  • Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • Benutzern das Lesen von Identity and Access Management-(IAM-)Benutzern und -Gruppen für Validierungen in IAM-fähigen Mandanten erlauben:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault für den Zugriff auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets. Beispiel:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
    allow group <identity-domain>/<group-name> to use keys in <location>
    allow group <identity-domain>/<group-name> to use vaults in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:

  • Oracle-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle Object Storage zum Speichern manueller OCI-GoldenGate-Backups. Beispiel:
    allow group <identity-domain>/<group-name> to manage objects in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
    allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
    allow group <identity-domain>/<group-name> to read log-content in <location>
  • Load Balancer, wenn Sie öffentlichen Zugriff auf die Deployment-Konsole aktivieren:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
    allow group <identity-domain>/<group-name> to manage public-ips in <location> 
     
    allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
    allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
    
  • Arbeitsanforderungen:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.

Weitere Informationen und weitere Beispiel-Policys finden Sie unter OCI GoldenGate-Policys.