Erfahren Sie mehr über die Oracle European Union Sovereign Cloud
- Datensouveränität
Alle Betriebseinrichtungen der EU Sovereign Cloud befinden sich ausschließlich innerhalb der physischen Grenzen der EU. Es gibt keine expliziten oder impliziten Verbindungen zwischen der Realm und einer anderen OCI-Realm. Daher bleiben Kundeninstanzen und Datensätze, die in der EU Sovereign Cloud erstellt werden, in der EU.
- Betriebliche Souveränität
Oracle EU Sovereign Cloud-Betreiber sind in der EU ansässig, werden von einer EU Sovereign Cloud-Mandantin beschäftigt und arbeiten in einem autonomen Bereich. Der Betrieb der EU Sovereign Cloud erfolgt innerhalb der EU unter Berücksichtigung der technischen Realitäten der OCI-Steuerungs- und Datenebene. Während die Betreiber immer noch die technische Richtung einschlagen, einschließlich empfohlener Patching- und Featurebereitstellungsanweisungen und Zeitpläne der globalen Engineering- und Operationsgruppen von OCI, wird die endgültige Entscheidung für die Implementierung vom Betriebsteam der EU Sovereign Cloud-Region festgelegt.
- Isolierte Vorgänge
OCI-Regionen sind in Realms gruppiert. Während jede Realm eine gemeinsame Gruppe von Betriebspraktiken und entweder alle oder eine Teilmenge der Features in der kommerziellen OCI-Kern-Realm verwaltet, stellt die Realm selbst eine Betriebs- und Datengrenze für alle Daten innerhalb der Realm dar. Die Kombination aus Betriebs- und Datenisolation ermöglicht die vollständige Trennung der EU Sovereign Cloud von anderen OCI-Realms. Nur Daten, die für die finanziellen Aspekte und den Zustand der Realm wichtig sind, werden an die globale OCI-Betriebsumgebung zurückgesendet.
Dieses Lösungs-Playbook bietet Anleitungen zu konzeptionellen Architekturen und Anwendungen der EU Sovereign Cloud. Während einige Details zu den allgemeinen Fähigkeiten und betrieblichen Aspekten der EU Sovereign Cloud zur Festlegung des Kontextes der Architekturen behandelt werden, ist dieses Dokument keine vollständige Liste der detaillierten betrieblichen Prozesse und Verfahren.
Betriebsmodell
Die EU Sovereign Cloud-Servicearchitektur ist so konzipiert, dass Oracle EU Sovereign Cloud-Mandanten unabhängig arbeiten können, ohne Kundendaten außerhalb der EU übertragen zu müssen. EU Sovereign Cloud-Mandanten sind in den Ländern der EU-Mitgliedstaaten registriert, die Eigentümer der Realm-Assets sind, und beschäftigen Mitarbeiter von Oracle, die physischen oder logischen Zugriff auf die Realm haben.
- EU-Bürger mit dem Recht, in einem EU-Mitgliedstaat zu arbeiten.
- Physischer Standort in einem EU-Mitgliedstaat bei der Wartung der EU Sovereign Cloud-Umgebung.
- Wird von einem Oracle EU Sovereign Cloud-Mandanten eingesetzt.
OCI stellt sicher, dass unsere DevOps-Tools, Servicebereitstellungskonfigurations- und Berechtigungssysteme es EU Sovereign Cloud-Mitarbeitern ermöglichen, Regionen gemäß den lokalen Datenschutzbestimmungen und ohne Eingriffe von Nicht-EU-Einrichtungen zu betreiben.
Die EU Sovereign Cloud bietet ein ähnliches Kundenerlebnis wie die kommerziellen Public Cloud-Regionen von OCI, einschließlich verfügbarer Services, Preise und SLAs. OCI-Features und -Patches werden in der EU Sovereign Cloud in Übereinstimmung mit den etablierten OCI-Änderungsmanagementpraktiken bereitgestellt.
Oracle-Betreiber arbeiten von EU-basierten Exzellenzzentren (CoE), die mit den tatsächlichen Standorten der Region verknüpft sind. Die Vorgänge sind von Availability-Domain-Standorten in der Region getrennt und verfügen über isolierte Verknüpfungen, um eine überprüfbare Verhinderung des Zugangs von außerhalb der EU nachzuweisen. Betreiber arbeiten vor Ort oder über überprüfbare VPN-Zugriffspunkte, die in der CoE enden.
Der speziell gegründete Governance Committee der Europäischen Union ist für die Überwachung und Sicherstellung der Integrität der EU Sovereign Cloud-Praktiken und -Verpflichtungen zum Schutz von Kundendaten verantwortlich.
Öffentliche und dedizierte Clouds vergleichen
| Public Cloud
Kommerzielle Public Cloud |
Public Cloud
EU Sovereign Cloud |
Dedizierte Cloud
Dedicated Region |
Dedizierte Cloud
Isolierte Region |
Dedizierte Cloud
Legierung |
|
|---|---|---|---|---|---|
| Beschreibung | Öffentlich verfügbar in Dutzenden von Ländern auf der ganzen Welt | Entworfen für, betrieben und in der Europäischen Union | Die komplette Cloud in Ihrem Rechenzentrum mit der Wirtschaftlichkeit der Public Cloud | Entwickelt, um im getrennten Modus für geschäftskritische Workloads zu arbeiten | Ermöglicht Partnern, Cloud-Anbieter zu werden und ihr Geschäft auszubauen |
| Data-Center-Standort | 36 Cloud-Regionen in 23 Ländern | Zwei Cloud-Regionen in der EU | Kundendefiniert | Kundendefiniert | Kundendefiniert |
| Vorgänge und Support | Oracle weltweit | Oracle EU | Oracle weltweit | Kundendefiniert | Kundendefiniert |
| Cloud-Isolation (Realm) | Globale Realm | EU-Realm | Dedizierter Bereich | Luftgegrenzter, dedizierter Bereich | Dedizierter Bereich |
| Multi-Tenancy | Ja | Ja | Nr. | Nr. | Ja |
Informationen zur aktuellen Region finden Sie unter Public Cloud-Regionen.
Nutzungsbedingungen und Ressourcen
Die Bedingungen und Ressourcen für die Implementierung der EU Sovereign Cloud sind unten definiert.
Ressourcen- und Identitätsmanagement
| Begriff | Bedeutung/Zweck |
|---|---|
| EU Sovereign Cloud | Oracle Sovereign Cloud der Europäischen Union |
| Realm | Eine Sammlung zugehöriger OCI-Regionen, die unter einem einzigen Dach verwaltet werden. Realms sind weder für Kunden sichtbar noch vom Kunden verwaltet und werden von OCI ausschließlich zu Betriebs- und Verwaltungszwecken verwendet. Bereiche werden durch technische und betriebliche Prozesse voneinander isoliert. Ein Mandant ist in einer einzelnen Realm vorhanden und hat Zugriff auf Regionen innerhalb dieser Realm, kann jedoch nicht auf Regionen außerhalb dieser Realm zugreifen. |
| Bereich | Eine Gruppe zugehöriger Availability-Domains innerhalb eines kleinen geografischen Gebiets mit geringer Netzwerklatenz und als einzelne Entity in OCI betrieben. Eine Region ist das Ressourcenkonstrukt mit der höchsten Bestellung, das Kunden zur Verfügung steht. |
| Mandantenfähigkeit | Die individuelle Kundengrenze für Ressourcen. Ein Mandant ist sowohl eine Berechtigungs- als auch eine Nutzungsgrenze. Der Mandant eines Kunden enthält alle Ressourcen, die der Kunde bereitgestellt hat, und wird in den Regionen innerhalb der Realm, in der der Mandant vorhanden ist, in Rechnung gestellt. Kunden können mehrere Mandanten in derselben Realm oder mehrere Mandanten in verschiedenen Realms haben. |
| Compartment | Eine logische Gruppierung von Ressourcen in einem Mandanten. Compartments werden verwendet, um sowohl den Zugriff auf das Deployment von Ressourcen als auch bestimmte Zugriffstypen zwischen bereitgestellten Ressourcen innerhalb und zwischen Compartments zu kontrollieren. Alle bereitgestellten Ressourcen gehören zu einem Compartment. Das Root Compartment (oberste Ebene) ist der Mandant selbst. |
| Begriff | Bedeutung/Zweck |
|---|---|
| Availability-Domain (AD) | Ein oder mehrere Data Center in einer Region. Availability-Domains bestehen aus mindestens einem einzelnen physischen Standort innerhalb einer angegebenen Netzwerklatenzgrenze, wobei alle Ressourcen innerhalb der Grenze als eine einzelne Entity verwaltet werden. |
| Faultdomain (FD) | Eine Fehlerdomain ist eine Gruppierung aus Hardware oder Infrastruktur innerhalb einer Verfügbarkeitsdomain. Faultdomains bieten die Möglichkeit, Rackvielfalt für Instanzen innerhalb einer Availability-Domain zu haben. |
| Instanz | Ein Deployment einer Ressource für den Verbrauch, wie eine Compute-Ressource, innerhalb einer Umgebung. |
Das folgende Diagramm veranschaulicht die Gruppierungsbegriffe für Ressourcen im Lexikon:
EU-Datenhoheit
- Alle gehosteten Kundendaten werden in Datenregionen in den EU-Mitgliedstaaten verwaltet und durch die Realm-Architektur von Oracle isoliert, ohne dass eine direkte Verbindung zu anderen Oracle-Ressourcen außerhalb der EU besteht. Außer in den zusätzlichen Bedingungen der EU Sovereign Cloud werden gehostete Daten in den EU Sovereign Cloud-Regionen gespeichert, und es gibt keinen externen Datenspeicherort, an dem Zwischen- oder gecachte Daten vor der Landung in der Region gespeichert werden.
- Interne virtuelle Netzwerkpfade bleiben innerhalb der physischen Grenzen jeder Region und durchlaufen keinen öffentlichen oder privaten Pfad, der dazu führen könnte, dass gehostete Daten die Realm verlassen. Verbindungen zwischen physischen Standorten (Availability-Domains) und Points of Presence (PoP) sind direkt verbunden und verschlüsselt.
- Kein automatischer oder leicht etablierter Datenpfad verbindet EU Sovereign Cloud-Regionen. Alle Daten, die zwischen den EU Sovereign Cloud-Datenregionen fließen, sind vollständig verschlüsselt und fließen über eine dedizierte Verbindung zwischen den Regionen.
- Verschlüsselungsschlüssel für Datenübertragung und Datenspeicherung sind lokal in der Realm. Die Schlüssel, die für die Verschlüsselung von Daten verwendet werden, werden vollständig innerhalb der EU aufbewahrt und werden ausschließlich von Mitarbeitern einer EU Sovereign Cloud-Mandantin kontrolliert.
Die EU Sovereign Cloud bietet eine Plattform zum Erstellen von Anwendungen. Kunden und ihre Benutzer sind jedoch dafür verantwortlich, sicherzustellen, dass Daten nach der vollständigen Installation in der EU Sovereign Cloud über den Anwendungs- oder Netzwerkzugriff auf der Mandantenebene nicht mehr zugänglich sind. Strategien zur Vermeidung von Datenexfiltration auf Anwendungs- und Mandantennetzwerk-Ebene finden Sie unter "Access Model" an anderer Stelle in diesem Handbuch.
