Oracle Cloud-Ressourcen erstellen
Hier erfahren Sie, wie Sie vor den ersten Schritten mit Oracle Cloud Infrastructure GoldenGate ein Compartment, ein VCN, ein Subnetz, Benutzer und Benutzergruppen erstellen.
Verwandte Themen
Compartment erstellen
Mit Compartments können Sie Ihre Cloud-Ressourcen organisieren und den Zugriff darauf steuern. Es handelt sich dabei um logische Container, mit denen Sie zugehörige Cloud-Ressourcen zusammenfassen und bestimmten Benutzergruppen Zugriff gewähren können.
Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle Ihren Mandanten. Dies ist das Root Compartment, das alle Cloud-Ressourcen enthält. Danach erstellen Sie zusätzliche Compartments innerhalb des Mandanten und entsprechende Policys, um den Zugriff auf die Ressourcen in jedem Compartment zu kontrollieren.
So erstellen Sie ein Compartment:Virtuelles Cloud-Netzwerk und Subnetz erstellen
Ein virtuelles Cloud-Netzwerk (VCN) ist ein Netzwerk, das Sie in den Data Centern in Oracle Cloud Infrastructure in einer bestimmten Region einrichten. Ein Subnetz ist eine Unterteilung eines VCN.
- öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Networking, und wählen Sie Virtuelle Cloud-Netzwerke aus.
- Bestätigen Sie auf der Seite Virtuelle Cloud-Netzwerke die Compartment-Auswahl, oder wählen Sie ein anderes Compartment aus.
- Wählen Sie im Menü Aktionen die Option VCN-Assistenten starten aus.
- Klicken Sie im Fenster "VCN-Assistenten starten" auf VCN mit Internetverbindung erstellen, und klicken Sie anschließend auf VCN-Assistenten starten.
- Geben Sie auf der Seite "Konfiguration" unter Basisinformationen einen VCN-Namen ein.
- Wählen Sie unter Compartment das Compartment aus, in dem dieses VCN erstellt werden soll.
- Klicken Sie auf Weiter.
- Prüfen Sie auf der Seite "Prüfen und erstellen" die Konfigurationsdetails, und klicken Sie auf Erstellen.
Klicken Sie auf VCN-Details anzeigen, um zu prüfen, ob sowohl ein öffentliches als auch ein privates Subnetz erstellt wurde.
Benutzer erstellen
Erstellen Sie Benutzer, um sie Gruppen hinzuzufügen, die auf Ihre OCI GoldenGate-Ressourcen zugreifen können.
Bevor Sie Benutzer erstellen, beachten Sie Folgendes:
- Die Benutzerverwaltung des OCI GoldenGate-Deployments hängt davon ab, ob Ihr Mandant OCI IAM mit Identitätsdomains verwendet oder nicht. Siehe Deployment-Benutzer verwalten.
- Benutzernamen müssen unter allen Benutzern in Ihrem Mandanten eindeutig sein.
- Benutzernamen können nicht geändert werden.
- Benutzer haben erst dann Berechtigungen, wenn sie einer Gruppe zugeordnet werden.
- öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Identität & Sicherheit, und klicken Sie unter Identität auf Domains.
- Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder wechseln Sie zu einem anderen Compartment.
- Klicken Sie in der Liste "Domains" auf Standard, um auf die Standarddomain zuzugreifen, oder klicken Sie auf Domain erstellen, um eine neue Domain zu erstellen.
- Wählen Sie die Domain aus der Liste.
- Klicken Sie auf der Seite "Domaindetails" auf Benutzerverwaltung.
- Klicken Sie auf der Seite "Benutzer" auf Benutzer erstellen.
- Füllen Sie die Felder auf der Seite "Benutzer erstellen" folgendermaßen aus:
- Klicken Sie auf Create.
Gruppen erstellen
Eine Gruppe ist eine Sammlung von Benutzern, die den gleichen Zugriffstyp für eine Gruppe von Ressourcen oder Compartments benötigen.
- Der Gruppenname muss innerhalb des Mandanten eindeutig sein.
- Der Gruppenname kann nach der Erstellung nicht mehr geändert werden.
- Eine Gruppe hat keine Berechtigungen, es sei denn, Sie schreiben mindestens eine Berechtigung, die der Gruppe Berechtigungen für einen Mandanten oder ein Compartment erteilt.
- öffnen Sie das Navigationsmenü der Oracle Cloud-Konsole, klicken Sie auf Identität & Sicherheit, und klicken Sie unter Identität auf Domains.
- Bestätigen Sie auf der Seite "Domains" die Auswahl für das Compartment, oder ändern Sie das Compartment.
- Domain aus der Liste auswählen.
- Klicken Sie auf der Seite "Domaindetails" auf Benutzerverwaltung.
- Klicken Sie unter "Gruppen" auf Gruppe erstellen.
- Gehen Sie auf der Seite "Gruppe erstellen" folgendermaßen vor:
- Wählen Sie aus, ob ein Benutzer Zugriff auf diese Gruppe anfordern kann.
- Wählen Sie in der Liste Benutzer die Benutzer aus, die dieser Gruppe zugewiesen werden sollen.
- Klicken Sie auf Create.
Policys erstellen
Policys definieren, welche Aktionen Mitglieder einer Gruppe für welche Compartments ausführen können.
Mit der Oracle Cloud-Konsole können Sie Policys erstellen. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Identität und Sicherheit, Identität aus, und wählen Sie Policys aus. Für Policys gilt die folgende Syntax:
allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>
Parameterdefinitionen lauten wie folgt:
<identity-domain>
: (Optional) Wenn Sie OCI IAM für das Identitätsmanagement verwenden, nehmen Sie die Identitätsdomain der Benutzergruppe auf. Bei fehlender Angabe verwendet OCI die Standarddomain.<group-name>
: Der Name der Benutzergruppe, für die Sie Berechtigungen erteilen.<verb>
: Erteilt der Gruppe eine bestimmte Zugriffsebene für einen Ressourcentyp. Bei den Verben wird die Zugriffsebene in der Reihenfolgeinspect
,read
,use
undmanage
schrittweise erhöht, und die erteilten Berechtigungen sind kumulativ.Weitere Informationen zur Beziehung zwischen .Berechtigungen und Verben.
<resource-type>
: Der Typ der Ressource, für den Sie einer Gruppe eine Nutzungsberechtigung erteilen. Es gibt einzelne Ressourcen, wiegoldengate-deployments
,goldengate-pipelines
undgoldengate-connections
, und es gibt Ressourcenfamilien, wiegoldengate-family
, die die zuvor genannten einzelnen Ressourcen enthalten.Weitere Informationen finden Sie unter Ressourcentypen.
<location>
: Hängt die Policy an ein Compartment oder einen Mandanten an. Sie können ein einzelnes Compartment oder einen Compartment-Pfad nach Name oder OCID angeben. Sie können auchtenancy
angeben, um den gesamten Mandanten abzudecken.<condition>
: Optional. Eine oder mehrere Bedingungen, für die diese Policy gilt.
Weitere Informationen zur Policy-Syntax.
So erstellen Sie eine Policy
Weitere Informationen zu Policys finden Sie unter Funktionsweise von Policys, Policy-Syntax und Policy-Referenz.
Mindestempfehlung für Policys
Tipp:
So fügen Sie alle erforderlichen Policys mit einer allgemeinen Policy-Vorlage hinzu:- Wählen Sie unter Policy-Anwendungsfälle in der Dropdown-Liste die Option GoldenGate Service aus.
- Wählen Sie unter Vorlagen zur allgemeinen Verwendung die Option Erforderliche Policys, mit denen Benutzer GoldenGate-Ressourcen verwalten können aus der Dropdown-Liste aus.
Sie benötigen Policys mindestens für Folgendes:
- Ermöglichen Sie es Benutzern, use- oder manage GoldenGate-Ressourcen zu verwenden, damit sie mit Deployments und Verbindungen arbeiten können. Beispiel:
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
- Zulassen, dass Benutzer Netzwerkressourcen verwalten, damit sie Compartments und Subnetze anzeigen und auswählen und beim Erstellen von GoldenGate-Ressourcen private Endpunkte erstellen und löschen können. Beispiel:
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
Optional können Sie Netzwerkressourcen mit einer Kombination aus granularen Policys noch stärker sichern. Weitere Informationen finden Sie unter Policy-Beispiele für das Sichern von Netzwerkressourcen.
- Dynamische Gruppe erstellen, um Ressourcen basierend auf definierten Regeln Berechtigungen zu erteilen, sodass Ihre GoldenGate-Deployments und/oder Pipelines auf Ressourcen in Ihrem Mandanten zugreifen können. Ersetzen Sie
<dynamic-group-name>
durch einen Namen Ihrer Wahl. Sie können beliebig viele dynamische Gruppen erstellen, um beispielsweise Berechtigungen in Deployments über verschiedene Compartments oder Mandanten hinweg zu kontrollieren.name: <dynamic-group-name> Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
Tipp:
Die in dieser Liste aufgeführten Policys beziehen sich auf
<dynamic-group-name>
. Wenn Sie mehr als eine dynamische Gruppe erstellen, stellen Sie sicher, dass Sie beim Hinzufügen einer der folgenden Policys auf den richtigen Namen der dynamischen Gruppe verweisen. - Wenn Sie Verbindungen mit Kennwort-Secrets verwenden, muss das Deployment, das Sie der Verbindung zuweisen, auf die Kennwort-Secrets der Verbindung zugreifen können. Stellen Sie sicher, dass Sie die Policy zu Ihrem Compartment oder Mandanten hinzufügen:
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
- Benutzern das Lesen von Identity and Access Management-(IAM-)Benutzern und -Gruppen für Validierungen in IAM-fähigen Mandanten erlauben:
allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
- Oracle Vault für den Zugriff auf vom Kunden verwaltete Verschlüsselungsschlüssel und Kennwort-Secrets. Beispiel:
allow group <identity-domain>/<group-name> to manage secret-family in <location> allow group <identity-domain>/<group-name> to use keys in <location> allow group <identity-domain>/<group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
Je nachdem, ob Sie die folgenden Services verwenden möchten, müssen Sie möglicherweise auch Policys für Folgendes hinzufügen:
- Oracle-Datenbanken für Ihre Quell- und/oder Zieldatenbanken. Beispiel:
allow group <identity-domain>/<group-name> to read database-family in <location>
allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
- Oracle Object Storage zum Speichern manueller OCI-GoldenGate-Backups. Beispiel:
allow group <identity-domain>/<group-name> to manage objects in <location> allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> allow group <identity-domain>/<group-name> to inspect buckets in <location>
- OCI Logging, um auf Loggruppen zuzugreifen. Beispiel:
allow group <identity-domain>/<group-name> to read log-groups in <location> allow group <identity-domain>/<group-name> to read log-content in <location>
- Load Balancer, wenn Sie öffentlichen Zugriff auf die Deployment-Konsole aktivieren:
allow group <identity-domain>/<group-name> to manage load-balancers in <location> allow group <identity-domain>/<group-name> to manage public-ips in <location> allow group <identity-domain>/<group-name> to manage network-security-groups in <location> allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
- Arbeitsanforderungen:
allow group <identity-domain>/<group-name> to inspect work-requests in <location>
Die folgende Anweisung erteilt einer Gruppe die Berechtigung zum Verwalten von Tag-Namespaces und Tags für Workspaces:
allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>
Um ein definiertes Tag hinzuzufügen, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags.
Weitere Informationen und weitere Beispiel-Policys finden Sie unter OCI GoldenGate-Policys.