Configuración del arrendamiento

Tarea 1. Suscribirse a la región de Ashburn

Como administrador de inquilinos, suscríbase a la región de Ashburn (IAD) y a todas las regiones necesarias para ejecutar la implantación de la base de datos de IA autónoma distribuida globalmente.

Suscríbase a la región de Ashburn (IAD).
- Para utilizar el servicio, debe suscribirse a la región de Ashburn.
- La región principal de su arrendamiento no tiene que ser la región de Ashburn, pero debe suscribirse a la región de Ashburn para utilizar los servicios de Globally Distributed Database de Oracle.
Suscríbase a cualquier otra región en la que vaya a colocar una base de datos.
- Suscríbase a las regiones en las que tenga previsto colocar bases de datos para su implantación; esto incluye bases de datos para el catálogo, particiones horizontales y, si tiene previsto utilizar Oracle Data Guard, para las bases de datos en espera.

Para obtener más información, consulte Gestión de regiones.

Tema principal: Configuración del arrendamiento

Tarea 2. Creación de compartimentos

Como administrador de inquilinos, cree compartimentos en su arrendamiento para todos los recursos que necesita la base de datos de IA autónoma distribuida globalmente.

Oracle recomienda la siguiente estructura y se hace referencia a estos compartimentos en todas las tareas de configuración:

Un compartimento "principal" para todo el despliegue. Esto es gdd en los ejemplos.
Compartimentos "secundarios" para cada uno de los distintos tipos de recursos:
- gdd_certs_vaults_keys para autoridades de certificación, certificados, paquetes de certificados, almacenes y claves
- gdd_clusters para clusters de VM autónomos en la nube
- gdd_databases para bases de datos, redes virtuales en la nube, subredes, puntos finales privados y recursos de base de datos distribuida globalmente.
- gdd_exadata para infraestructuras de Exadata
- gdd_instances para instancias informáticas para servidores de aplicaciones (nodo perimetral/host de salto que actúa como bastión para conectarse a la base de datos)

La estructura de compartimento resultante se parecerá a la siguiente:

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

Para obtener más información, consulte Trabajar con compartimentos.

Tema principal: Configuración del arrendamiento

Tarea 3. Crear restricciones de acceso de usuario

Formule un plan de control de acceso y, a continuación, inscríbalo mediante la creación de recursos de IAM (Identity and Access Management) adecuados. En consecuencia, el control de acceso dentro de una base de datos distribuida se implementa en varios niveles, que son definidos por los grupos y políticas aquí.

Los grupos de usuarios, los grupos dinámicos y las políticas que se describen en las siguientes tablas deben guiar la creación de su propio plan de control de acceso de usuario para la implantación de la base de datos distribuida.

Como administrador de inquilinos, cree los siguientes grupos recomendados, grupos dinámicos y políticas para otorgar permisos a los roles definidos anteriormente. En los ejemplos y los enlaces de documentación se asume que su arrendamiento utiliza dominios de identidad.

Tema principal: Configuración del arrendamiento

Concepto de separación de roles

Se debe asegurar de que sus usuarios en la nube tienen acceso para utilizar y crear solo los tipos adecuados de recursos en la nube para realizar sus tareas. Una práctica recomendada para la base de datos distribuida globalmente es definir roles para la separación de roles.

Los roles y las responsabilidades que se describen en la siguiente tabla deben guiar su comprensión de cómo definir grupos de usuarios, grupos dinámicos y políticas para su implantación de base de datos de IA autónoma distribuida globalmente. Los roles de ejemplo que se presentan aquí se utilizan en todas las instrucciones de configuración, creación de recursos y gestión del entorno.

Roles	Responsabilidades
Administrador de inquilino	Suscribirse a regiones Crear compartimentos Crear grupos dinámicos, grupos de usuarios y políticas
Administrador de infraestructura	Crear/actualizar/suprimir familia de red virtual Crear, actualizar o suprimir infraestructura de Exadata autónoma Crear, actualizar o suprimir clusters de VM de Exadata autónomos Etiquetado de clústeres de máquina virtual de Exadata autónomos Crear/actualizar/suprimir puntos finales privados de la base de datos de IA autónoma distribuida globalmente
Administrador de certificados	Crear/Actualizar/Suprimir Almacén Crear/Actualizar/Eliminar Claves Crear/actualizar/suprimir autoridad de certificación Crear/Actualizar/Suprimir certificado Crear/actualizar/suprimir grupo de autoridades de certificación Carga de paquetes de certificados y certificados en clusters de VM de Exadata autónomos Descarga de solicitud de firma de certificado (CSR) de GSM Crear un certificado de GSM basado en GSM CSR Cargar certificado de GSM
Usuario	Crear y gestionar bases de datos distribuidas globalmente mediante IU y API

Tema principal: Tarea 3. Crear restricciones de acceso de usuario

Grupos Dinámicos

Cree los siguientes grupos dinámicos para controlar el acceso a los recursos creados en los compartimentos de base de datos distribuida globalmente.

Consulte Creación de un grupo dinámico para obtener instrucciones.

Nombre de grupo dinámico	Descripción	Reglas
gdd-cas-dg	Recursos de la autoridad de certificación	Todas resource.type='certificateauthority' resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_certs_vaults_keys'
gdd-clusters-dg	Recursos del cluster de VM autónomo	Todas resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_clusters'
gdd-instances-dg	Recursos de instancia informática	Todas resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_instances'

Nombre de grupo dinámico

Descripción

Reglas

gdd-cas-dg

Recursos de la autoridad de certificación

Todas

resource.type='certificateauthority'

resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_certs_vaults_keys'

gdd-clusters-dg

Recursos del cluster de VM autónomo

Todas

resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_clusters'

gdd-instances-dg

Recursos de instancia informática

Todas

resource.compartment.id = 'OCID de raíz de inquilino de compartimento / gdd / gdd_instances'

Tema principal: Tarea 3. Crear restricciones de acceso de usuario

Grupos de usuarios

Cree los siguientes grupos para otorgar a los usuarios permisos para utilizar recursos en los compartimentos de Globally Distributed Database.

Consulte Creating a Group para obtener instrucciones.

Nombre del Grupo de Usuarios	Descripción
gdd-certificate-admins	Administradores de certificados que crean y gestionan claves y almacenes.
gdd-infraestructura-administradores	Administradores de infraestructura que crean y gestionan recursos de infraestructura y red en la nube
usuarios de gdd	Usuarios que crean y gestionan recursos de Globally Distributed Database mediante las API y la interfaz de usuario

Tema principal: Tarea 3. Crear restricciones de acceso de usuario

Políticas

Cree políticas de IAM para otorgar a los grupos acceso a los recursos creados en los compartimentos de la base de datos de IA autónoma distribuida globalmente.

Las siguientes políticas de ejemplo, que se basan en la estructura de compartimentos y los grupos creados anteriormente, deben guiar la creación de sus propias políticas de IAM para la implantación de la base de datos de IA autónoma distribuida globalmente.

El dominio de identidad (por ejemplo, por defecto) debe ser el dominio de identidad en el que ha creado los grupos.

Consulte Creación de una política para obtener instrucciones.

gdd-certificate-admins-tenant-level

Descripción: Privilegios de nivel de inquilino para el grupo gdd-certificate-admins
Compartimento: inquilino

Sentencias:

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infraestructura-admins-nivel de inquilino

Descripción: Privilegios de nivel de inquilino para el grupo gdd-infrastructure-admins
Compartimento: inquilino

Sentencias:

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-users-tenant-level

Descripción: Privilegios de nivel de inquilino para el grupo gdd-users
Compartimento: inquilino

Sentencias:

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificate-admins

Descripción: privilegios de nivel de compartimento para el grupo gdd-certificate-admins
Compartimento: inquilino/gdd

Sentencias:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

Además, se necesitan las siguientes políticas si se utiliza Oracle Key Vault:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infraestructura-administradores

Descripción: Privilegios de nivel de compartimento para el grupo gdd-infrastructure-admins
Compartimento: inquilino/gdd

Sentencias:

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

usuarios de gdd

Descripción: Privilegios de nivel de compartimento para el grupo gdd-users
Compartimento: inquilino/gdd

Sentencias:

Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

Además, se necesitan las siguientes políticas si se utiliza Oracle Key Vault:

Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg cas

Descripción: privilegios de nivel de compartimento para el grupo dinámico gdd-cas-dg
Compartimento: inquilino/gdd

Sentencias:

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-clusters

Descripción: privilegios de nivel de compartimento para el grupo dinámico gdd-clusters-dg
Compartimento: inquilino/gdd

Sentencias:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

Además, se necesitan las siguientes políticas si se utiliza Oracle Key Vault:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-kms

Descripción: privilegios de nivel de compartimento para el servicio Key Management
Compartimento: inquilino/gdd

Sentencias:

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

Descripción: Privilegios de nivel de compartimento para Oracle Key Vault
Compartimento: inquilino/gdd

Sentencias:

Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

Tema principal: Tarea 3. Crear restricciones de acceso de usuario

Tarea 4. Configuración de recursos de red

Como administrador de la infraestructura, cree los recursos de red y active la conectividad que necesita la base de datos distribuida.

Los recursos de ejemplo se denominan en estas instrucciones para simplificar el seguimiento y las relaciones. Por ejemplo, el nombre "gdd_iad" hace referencia a la VCN creada en la región de Ashburn (IAD).

Tema principal: Configuración del arrendamiento

Recursos de red comunes

Todas las implementaciones de base de datos de IA autónoma distribuida globalmente requieren una VCN, una subred y un punto final privado en la región de Ashburn (IAD).

Como administrador de la infraestructura, cree los recursos como se describe en la siguiente tabla.

Recurso	Instrucciones
Red virtual en la nube (VCN) + subred	En Ashburn (IAD), cree la VCN gdd_iad y la subred gdd_subnet. Esta VCN y subred son necesarias para permitir la conectividad entre el servicio Globally Distributed Autonomous AI Database y las bases de datos en la topología de Globally Distributed Autonomous AI Database. Utilice los valores siguientes: Compartimento = gdd / gdd_databases Región = Ashburn (IAD) Nombre de subred = gdd_subnet Subnet Type (Tipo de subred): Regional La subred debe ser regional, abarcando todos los dominios de disponibilidad
Punto final privado	Cree un punto final privado en la región de Ashburn (IAD) para permitir la conectividad entre el servicio Globally Distributed Autonomous AI Database y las bases de datos de la topología Globally Distributed Autonomous AI Database. Abra el menú de navegación, haga clic en Oracle Database y, a continuación, en Base de datos de IA autónoma distribuida globalmente. Haga clic en Puntos finales privados en el panel de navegación. Haga clic en Crear punto final privado, Introduzca la siguiente información. Nombre: por ejemplo, gdd_pe Compartimento: gdd/gdd_databases Este debe ser el compartimento que contiene la subred de la región de Ashburn que ha creado anteriormente. Subred: gdd_subnet Si no ve la subred mostrada, verifique que se haya creado como una subred regional. Red en la nube virtual: gdd_iad Agregar etiquetas (opcional): puede seleccionar etiquetas para este recurso haciendo clic en Mostrar opciones de etiquetado.

Recurso

Instrucciones

Red virtual en la nube (VCN) + subred

En Ashburn (IAD), cree la VCN gdd_iad y la subred gdd_subnet.

Esta VCN y subred son necesarias para permitir la conectividad entre el servicio Globally Distributed Autonomous AI Database y las bases de datos en la topología de Globally Distributed Autonomous AI Database.

Utilice los valores siguientes:

Compartimento = gdd / gdd_databases
Región = Ashburn (IAD)
Nombre de subred = gdd_subnet
Subnet Type (Tipo de subred): Regional

La subred debe ser regional, abarcando todos los dominios de disponibilidad

Punto final privado

Cree un punto final privado en la región de Ashburn (IAD) para permitir la conectividad entre el servicio Globally Distributed Autonomous AI Database y las bases de datos de la topología Globally Distributed Autonomous AI Database.

Abra el menú de navegación, haga clic en Oracle Database y, a continuación, en Base de datos de IA autónoma distribuida globalmente.
Haga clic en Puntos finales privados en el panel de navegación.
Haga clic en Crear punto final privado,
Introduzca la siguiente información.
- Nombre: por ejemplo, gdd_pe
- Compartimento: gdd/gdd_databases
  Este debe ser el compartimento que contiene la subred de la región de Ashburn que ha creado anteriormente.
- Subred: gdd_subnet
  Si no ve la subred mostrada, verifique que se haya creado como una subred regional.
- Red en la nube virtual: gdd_iad
- Agregar etiquetas (opcional): puede seleccionar etiquetas para este recurso haciendo clic en Mostrar opciones de etiquetado.

Tema principal: Tarea 4. Configuración de recursos de red

Recursos de red adicionales basados en la topología

Según la topología de la base de datos distribuida globalmente, cree recursos de red adicionales como se describe a continuación.

Tenga en cuenta que las bases de datos de la topología incluyen el catálogo, las particiones horizontales y las bases de datos en espera de Oracle Data Guard.

Todos los recursos de red se deben crear en el compartimento gdd/gdd_databases.

Caso de uso	Recursos de red	Intercambio de tráfico y conectividad
Todas las bases de datos se ubican en la región de Ashburn (IAD).	Cree una subred y un gateway de servicio en la región de Ashburn (IAD) para los clusters de VM autónomos en la nube. En la región Ashburn (IAD), cree una subred osd-databases-subnet-iad en la VCN gdd_iad. En la región Ashburn (IAD), cree el gateway de servicios gdd_sgw_iad	Intercambio de tráfico necesario ninguno Conectividad necesaria Conectividad sin restricciones con la subred gdd_subnet (creada para el punto final privado)
Todas las bases de datos se colocan en una única región, R1, que no sea Ashburn (IAD)*	Cree una subred y un gateway de servicio en la región para sus clusters de VM autónomos en la nube. En la región R1, cree la VCN gdd_R1 con la subred osd-database-subnet-R1 En la región R1, cree el gateway de servicio gdd_sgw_R1	Intercambio de tráfico necesario gdd_iad ↔ gdd_R1 Conectividad necesaria Sin restricciones entre gdd_iad.gdd_subnet (creado para el punto final privado) y gdd_R1.osd-database-subnet-R1
Las bases de datos se colocan en varias regiones: R1, R2, ..., RN	Cree subredes y gateways de servicio en cada región para sus clusters de VM autónomos en la nube. Subred : En la región R1, cree la VCN gdd_R1 con la subred osd-database-subnet-R1 En la región R2, cree la VCN gdd_R2 con la subred osd-database-subnet-R2 ... En la región Rn, cree la VCN gdd_Rn con la subred osd-database-subnet-Rn Gateways de servicio: En la región R1, cree el gateway de servicio gdd_sgw_R1 En la región R2, cree el gateway de servicio gdd_sgw_R2 ... En la región Rn, cree el gateway de servicio gdd_sgw_Rn	Intercambio de tráfico necesario gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Conectividad necesaria Sin restricciones y bidireccionales entre gdd_iad.gdd_subnet (creado para el punto final privado) y gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Sin restricciones y bidireccionales entre gdd_R1.osd-database-subnet-R1 y gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Sin restricciones y bidireccionales entre gdd_R2.osd-database-subnet-R2 y gdd_Rn.osd-database-subnet-Rn

Caso de uso

Recursos de red

Intercambio de tráfico y conectividad

Todas las bases de datos se ubican en la región de Ashburn (IAD).

Cree una subred y un gateway de servicio en la región de Ashburn (IAD) para los clusters de VM autónomos en la nube.

En la región Ashburn (IAD), cree una subred osd-databases-subnet-iad en la VCN gdd_iad.
En la región Ashburn (IAD), cree el gateway de servicios gdd_sgw_iad

Intercambio de tráfico necesario

ninguno

Conectividad necesaria

Conectividad sin restricciones con la subred gdd_subnet (creada para el punto final privado)

Todas las bases de datos se colocan en una única región, R1, que no sea Ashburn (IAD)*

Cree una subred y un gateway de servicio en la región para sus clusters de VM autónomos en la nube.

En la región R1, cree la VCN gdd_R1 con la subred osd-database-subnet-R1
En la región R1, cree el gateway de servicio gdd_sgw_R1

Intercambio de tráfico necesario

gdd_iad ↔ gdd_R1

Conectividad necesaria

Sin restricciones entre gdd_iad.gdd_subnet (creado para el punto final privado) y gdd_R1.osd-database-subnet-R1

Las bases de datos se colocan en varias regiones: R1, R2, ..., RN

Cree subredes y gateways de servicio en cada región para sus clusters de VM autónomos en la nube.

Subred :

En la región R1, cree la VCN gdd_R1 con la subred osd-database-subnet-R1
En la región R2, cree la VCN gdd_R2 con la subred osd-database-subnet-R2
...
En la región Rn, cree la VCN gdd_Rn con la subred osd-database-subnet-Rn

Gateways de servicio:

En la región R1, cree el gateway de servicio gdd_sgw_R1
En la región R2, cree el gateway de servicio gdd_sgw_R2
...
En la región Rn, cree el gateway de servicio gdd_sgw_Rn

Intercambio de tráfico necesario

gdd_iad ↔ gdd_R1

gdd_iad ↔ gdd_R2

gdd_iad ↔ gdd_Rn

gdd_R1 ↔ gdd_R2

gdd_R1 ↔ gdd_Rn

gdd_R2 ↔ gdd_Rn

Conectividad necesaria

Sin restricciones y bidireccionales entre gdd_iad.gdd_subnet (creado para el punto final privado) y

gdd_R1.osd-database-subnet-R1

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

Sin restricciones y bidireccionales entre gdd_R1.osd-database-subnet-R1 y

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

Sin restricciones y bidireccionales entre gdd_R2.osd-database-subnet-R2 y

gdd_Rn.osd-database-subnet-Rn

*El plano de control del servicio Globally Distributed Database solo se encuentra en la región de Ashburn (IAD). El punto final privado que ha creado en un paso anterior en la región de Ashburn (IAD) se utiliza para comunicarse con los recursos de Globally Distributed Database en sus respectivas regiones.

Tema principal: Tarea 4. Configuración de recursos de red

Tarea 5. Configuración de recursos de seguridad

Como administrador de certificados de Globally Distributed Database, cree los recursos de almacén, clave, autoridad de certificación, certificado y grupo de autoridades de certificación.

Todos los recursos de seguridad se crean en el compartimento gdd/gdd_certs_vaults_keys.

Atención:

Después de crear una base de datos distribuida globalmente que haga referencia a una clave, no puede mover el almacén o las claves a un nuevo compartimento sin reiniciar también las bases de datos de contenedores autónomas que hagan referencia al almacén o la clave movidos.

Según la topología de la base de datos distribuida globalmente, cree recursos de seguridad como se describe en las siguientes tablas.

Los nombres de recursos de ejemplo que se utilizan en las siguientes tablas deben guiar la creación de sus propios recursos de seguridad para la implantación de Globally Distributed Database.

Tema principal: Configuración del arrendamiento

Distribución automática de datos, una sola región

En este caso de uso, los recursos de seguridad se crean en una única región.

En los siguientes ejemplos, todos los recursos se crean en la región R1.

Recurso	Instrucciones y ejemplos
Almacén	Cree un almacén para las claves de cifrado maestras de la autoridad de certificación (CA) y el cifrado de datos transparente (TDE). En la región R1, cree el almacén gdd_vault_R1 Instrucciones: Creación de un Almacén
Clave de autoridad de certificación	En la región R1, cree la clave de cifrado maestra gdd_ca_key_R1, en el almacén gdd_vault_R1 Valores de atributo necesarios: Modo de protección = HSM Unidad de clave: algoritmo = RSA Longitud = 2048 Instrucciones: Creación de una clave de cifrado maestro
Clave de TDE	En la región R1, cree la clave de cifrado maestra gdd_TDE_key-orapace en el almacén gdd_vault_R1 Valores de atributo necesarios: Modo de protección = Software Unidad de clave: algoritmo = AES Longitud = 256 Instrucciones: Creación de una clave de cifrado maestro
autoridad de certificación	Cree una CA para emitir certificados para instancias informáticas de GSM y clusters de VM autónomos en la nube. En la región R1, mediante la clave gdd_ca_key_R1, cree la CA gdd_ca_R1 Puede utilizar una autoridad de certificación de terceros para crear un certificado, pero debe importar el certificado emitido por la autoridad de certificación de 3ª parte al servicio de certificados de OCI. Instrucciones: Creación de una Autoridad de Certificación
Certificado	Cree un certificado para cargarlo en clusters de VM autónomos en la nube. En la región R1, mediante CA gdd_ca_R1, cree el certificado gdd_cert Instrucciones: Creación de un Certificado
Grupo de autoridades de certificación	Cree un grupo de autoridades de certificación para cargar en clusters de VM autónomos en la nube. En la región R1, cree un grupo de CA gdd_cert_bundle que contenga la cadena de certificados para el certificado gdd_cert Instrucciones: Creación de un paquete de autoridades de calificación

Tema principal: Tarea 5. Configuración de recursos de seguridad

Distribución automática de datos, regiones principal y en espera

Esta topología se produce cuando las bases de datos primaria y en espera se colocan en diferentes regiones. En este caso de uso, los recursos de seguridad se crean en las regiones de base de datos primaria y base de datos en espera.

En los siguientes ejemplos, los recursos se crean en las regiones Rp (principal) y Rs (en espera).

Recurso	Instrucciones y ejemplos
Almacenes de claves	Cree los almacenes para las claves de cifrado maestras de la autoridad de certificación (CA). En la región Rp, cree el almacén gdd_vault_Rp En Rs de región, cree el almacén gdd_vault_Rs Instrucciones: Creación de un Almacén
Almacén virtual replicado	Cree un almacén virtual replicado para la clave de cifrado maestra de cifrado de datos transparente (TDE). En la región Rp, cree un almacén virtual gdd_vault_Rp_Rs que se replique en R de región Instrucciones: Replicación de un almacén y las claves
Claves de autoridad de certificación	En la región Rp, cree la clave de cifrado maestra gdd_ca_key_Rp en el almacén gdd_vault_Rp En Rs de región, cree la clave de cifrado maestra gdd_ca_key_Rs en el almacén gdd_vault_Rs Valores de atributo necesarios: Modo de protección = HSM Unidad de clave: algoritmo = RSA Longitud = 2048 Instrucciones: Creación de una clave de cifrado maestro
Clave de TDE	En el Rp de región, cree espacio de espacio de espacio de espacio de memoria de clave de cifrado maestra gdd_TDE_key en el almacén virtual replicado gdd_vault_Rp_Rs Valores de atributo necesarios: Modo de protección = Software Unidad de clave: algoritmo = AES Longitud = 256 Instrucciones: Creación de una clave de cifrado maestro
Autoridades de Certificación	Cree CA para emitir certificados para instancias informáticas de GSM y clusters de VM autónomos en la nube. En la región Rp, mediante la clave gdd_ca_key_Rp, cree la CA gdd_ca_Rp En la región Rs, mediante la clave gdd_ca_key_Rs, cree la CA gdd_ca_Rs Puede utilizar una autoridad de certificación de terceros para crear un certificado, pero debe importar el certificado emitido por la autoridad de certificación de 3ª parte al servicio de certificados de OCI. Instrucciones: Creación de una Autoridad de Certificación
Certificates	Cree los certificados para cargarlos en clusters de VM autónomos en la nube. Nota: Debe utilizar el mismo nombre común para los certificados en las regiones Rp y Rs. En la región Rp, mediante CA gdd_ca_Rp, cree el certificado gdd_cert En la región Rs, mediante CA gdd_ca_Rs, cree el certificado gdd_cert Instrucciones: Creación de un Certificado
Grupos de autoridades de certificación	Cree los grupos de autoridades de certificación para cargarlos en clusters de VM autónomos en la nube. En la región Rp, cree el grupo de autoridades de certificación gdd_cert_bundle que contiene la cadena de certificados para certificados gdd_cert en las regiones Rp y Rs En las regiones R, cree el grupo de CA gdd_cert_bundle que contiene la cadena de certificados para los certificados gdd_cert en las regiones Rp y Rs Instrucciones: Creación de un paquete de autoridades de Certificación

Tema principal: Tarea 5. Configuración de recursos de seguridad

Distribución de datos gestionados por el usuario, una sola región

En este caso de uso, los recursos de seguridad se crean en una única región

En los siguientes ejemplos, todos los recursos se crean en la región R1.

Recurso	Instrucciones y ejemplos
Almacén	Cree un almacén para las claves de cifrado maestras de la autoridad de certificación (CA) y el cifrado de datos transparente (TDE). En la región R1, cree el almacén gdd_vault_R1 Instrucciones: Creación de un Almacén
Clave de autoridad de certificación	En la región R1, cree la clave gdd_ca_key_R1 en el almacén gdd_vault_R1 Valores de atributo necesarios: Modo de protección = HSM Unidad de clave: algoritmo = RSA Longitud = 2048 Instrucciones: Creación de una clave de cifrado maestro
Claves de TDE	En la región R1, cree el catálogo de claves gdd_TDE_key en el almacén gdd_vault_R1 para cifrar el catálogo En la región R1, cree la clave gdd_TDE_key-spaceN en el almacén gdd_vault_R1 para cifrar las particiones horizontales en el espacio de partición horizontal N Valores de atributo necesarios: Modo de protección = Software Unidad de clave: algoritmo = AES Longitud = 256 Instrucciones: Creación de una clave de cifrado maestro
autoridad de certificación	Cree una CA para emitir certificados para instancias informáticas de GSM y clusters de VM autónomos en la nube. En la región R1, mediante la clave gdd_ca_key_R1, cree la CA gdd_ca_R1 Puede utilizar una autoridad de certificación de terceros para crear un certificado, pero debe importar el certificado emitido por la autoridad de certificación de 3ª parte al servicio de certificados de OCI. Instrucciones: Creación de una Autoridad de Certificación
Certificado	Cree un certificado para cargarlo en clusters de VM autónomos en la nube. En la región R1, mediante la clave de CA gdd_ca_R1, cree el certificado gdd_cert Instrucciones: Creación de un Certificado
Grupo de autoridades de certificación	Cree un grupo de autoridades de certificación para cargar en clusters de VM autónomos en la nube. En la región R1, cree un grupo de CA gdd_cert_bundle que contenga la cadena de certificados para el certificado gdd_cert Instrucciones: Creación de un paquete de autoridades de calificación

Tema principal: Tarea 5. Configuración de recursos de seguridad

Distribución de datos gestionados por el usuario, varias regiones

En este caso de uso, los recursos de seguridad se crean en todas las regiones donde se colocará una base de datos.

Esta topología puede tener como resultado uno o ambos de los siguientes casos:

Las bases de datos de catálogo y partición horizontal primarias se colocan en diferentes regiones
Las bases de datos dentro de un espacio de partición horizontal se colocan en diferentes regiones

Los recursos de seguridad se crean en cada región, R1, ..., Rn, donde se colocará una base de datos.

Recurso	Instrucciones y ejemplos
Almacenes de claves	Cree un almacén en cada región para las claves de cifrado maestras de la autoridad de certificación (CA). En la región R1, cree el almacén gdd_vault_R1 En la región R2, cree el almacén gdd_vault_R2 ... En la región Rn, cree el almacén gdd_vault_Rn Instrucciones: Creación de un Almacén
Almacenes virtuales replicados	Cree almacenes virtuales replicados para las claves de cifrado maestras de cifrado de cifrado de datos transparente (TDE). Para cada base de datos, catálogo o partición horizontal, con una región principal, Rp, que es diferente de su región en espera, Rs: Cree un almacén virtual, gdd_vault_Rp_Rs, en la región principal de la base de datos, Rp, que se replique en la región en espera de la base de datos, Rs. Replicación de un almacén y las claves
Claves de autoridad de certificación	En la región R1, cree la clave gdd_ca_key_R1 en el almacén gdd_vault_R1 En la región R2, cree la clave gdd_ca_key_R2 en el almacén gdd_vault_R2 ... En la región Rn, cree la clave gdd_ca_key_Rn en el almacén gdd_vault_Rn Valores de atributo necesarios: Modo de protección = HSM Unidad de clave: algoritmo = RSA Longitud = 2048 Instrucciones: Creación de una clave de cifrado maestro
Claves de TDE	Para cada base de datos, catálogo o partición horizontal que no tenga ninguna base de datos en espera o que tenga una región en espera que sea la misma que su región principal: Cree el catálogo de claves gdd_TDE_key para la base de datos del catálogo en el almacén de la región donde se coloca la base de datos del catálogo Cree la clave gdd_TDE_key-spaceN para una base de datos de espacio de partición horizontal en el almacén de la región donde se coloca la base de datos de la partición horizontal Para cada base de datos, catálogo o partición horizontal, con una región primaria que es diferente de su región stand by: Cree el catálogo de claves gdd_TDE_key en el almacén virtual replicado de la región en la que se coloca la base de datos primaria del catálogo Cree la clave gdd_TDE_key-spaceN en el almacén virtual replicado en la región donde se coloca la base de datos primaria de la partición horizontal Valores de atributo necesarios: Modo de protección = Software Unidad de clave: algoritmo = AES Longitud = 256 Instrucciones: Creación de una clave de cifrado maestro
Autoridades de Certificación	Cree una autoridad de certificación (CA) en cada región para emitir certificados para instancias informáticas de GSM y clusters de VM autónomos en la nube. En la región R1, mediante la clave gdd_ca_key_R1, cree la CA gdd_ca_R1 En la región R2, mediante la clave gdd_ca_key_R2, cree la CA gdd_ca_R2 ... En la región Rn, mediante la clave gdd_ca_key_Rn, cree la CA gdd_ca_Rn Puede utilizar una autoridad de certificación de terceros para crear un certificado, pero debe importar el certificado emitido por la autoridad de certificación de 3ª parte al servicio de certificados de OCI. Instrucciones: Creación de una Autoridad de Certificación
Certificates	Cree certificados en cada región para cargarlos en clusters de VM autónomos en la nube. Nota: Debe utilizar el mismo nombre común para los certificados de todas las regiones. En la región R1, mediante CA gdd_ca_R1, cree el certificado gdd_cert En la región R2, mediante CA gdd_ca_R2, cree el certificado gdd_cert ... En la región Rn, mediante CA gdd_ca_Rn, cree el certificado gdd_cert Instrucciones: Creación de un Certificado
Grupos de autoridades de certificación	Cree los grupos de autoridades de certificación para cargarlos en clusters de VM autónomos en la nube. En la región R1, cree el grupo de CA gdd_cert_bundle que contiene la cadena de certificados para los certificados gdd_cert en las regiones R1, R2, ..., Rn En la región R2, cree el grupo de CA gdd_cert_bundle que contiene la cadena de certificados para los certificados gdd_cert en las regiones R1, R2, ..., Rn ... En la región Rn, cree el grupo de CA gdd_cert_bundle que contiene la cadena de certificados para los certificados gdd_cert en las regiones R1, R2, ..., Rn Instrucciones: Creación de un paquete de autoridades de Certificación

Tema principal: Tarea 5. Configuración de recursos de seguridad

Tarea 6. Crear recursos de Exadata

Como administrador de infraestructura, configure la topología de la base de datos de IA autónoma distribuida globalmente en los siguientes pasos.

Tema principal: Configuración del arrendamiento

Consideraciones sobre los recursos de Exadata

Recuerde lo siguiente:

El servicio Globally Distributed Autonomous AI Database solo admite Exadata de dos nodos y un cuarto de rack.
Una infraestructura de Exadata es específica de la región. Esto significa que cada región en la que desee colocar una base de datos de catálogo o partición horizontal necesitará una infraestructura de Exadata.
Debe crear un cluster de VM autónomo en la nube para cada catálogo y base de datos de particiones horizontales que planea desplegar en la base de datos de IA autónoma distribuida globalmente.
Las particiones horizontales y las bases de datos de catálogo se pueden ubicar en un determinado cluster de VM autónomo en la nube. Sin embargo, el uso de un cluster de VM autónomo en la nube común para bases de datos de catálogo y partición horizontal puede provocar un cuello de botella de procesamiento.

Tema principal: Tarea 6. Crear recursos de Exadata

Creación de instancias de infraestructura de Exadata

Cree recursos de infraestructura de Exadata en el compartimento gdd/gdd_exadata.

Siga las instrucciones de Creación del recurso de infraestructura de Exadata.

Tema principal: Tarea 6. Crear recursos de Exadata

Importar Espacio de Nombres de Etiqueta Oracle-ApplicationName

Importe el espacio de nombres de etiqueta Oracle-ApplicationName en el compartimento raíz de su arrendamiento.

En el menú de navegación de la consola de Cloud, seleccione Gobernanza y administración y, a continuación, Espacios de nombres de etiqueta (en la categoría Gestión de arrendamiento).
En el panel Espacios de nombres de etiquetas, compruebe si el espacio de nombres Oracle-ApplicationName existe en el compartimento raíz de su arrendamiento.

Asegúrese de que el compartimento raíz de su arrendamiento está seleccionado en Ámbito de lista.
Si no ve Oracle-ApplicationName en la lista, realice lo siguiente:
1. Haga clic en Importar etiquetas estándar (ubicado encima de la lista).
2. Seleccione la casilla de control situada junto al espacio de nombres Oracle-ApplicationName y haga clic en Importar.

Tema principal: Tarea 6. Crear recursos de Exadata

Crear clusters de VM autónomos en la nube

Cree un cluster para cada base de datos en la topología Globally Distributed Database.

Consulte Creación de un cluster de VM de Exadata autónomo para conocer los pasos para crear los clusters.

Al crear los clusters, asegúrese de hacer lo siguiente:

Es necesario que defina la siguiente etiqueta a medida que crea cada cluster:

Oracle-ApplicationName.Other_Oracle_Application: Sharding

Para poder agregar la etiqueta a un cluster de VM de Exadata autónomo, debe importar el espacio de nombres de la etiqueta.

Note:
Una vez que etiquete un cluster para su uso en una base de datos distribuida globalmente, seguirá facturando el SKU de base de datos distribuida globalmente hasta que se suprima el cluster.
Cree clusters en el compartimento gdd/gdd_clusters.
En la versión 26ai: si tiene previsto utilizar bases de datos de la versión 26ai, consulte la sección de requisitos en Creación de un cluster de VM de Exadata autónomo para los requisitos de versión de software de base de datos de 26ai.
Cuando se configuran los clusters, se deben definir en la misma zona horaria.
Se recomienda utilizar un cluster de VM por base de datos (shard o catálogo).

Tema principal: Tarea 6. Crear recursos de Exadata

Tarea 7. Carga de certificados de cluster de VM autónomo en la nube

Como administrador de certificados, ha creado la autoridad de certificación, los certificados y el grupo de autoridades de certificación en el compartimento gdd/gdd_certs_vaults_keys. Ahora puede cargar el grupo de autoridades de certificación en cada cluster de VM de Exadata autónomo.

Importante:

El grupo de autoridades de certificación que cargue debe ser idéntico para todos los clusters de VM de Exadata autónomos.
El nombre común del certificado debe ser idéntico para todos los clusters de VM de Exadata autónomos.

Para obtener más información, consulte Gestión de certificados de seguridad para un recurso del cluster Exadata de VM autónomo.

Tema principal: Configuración del arrendamiento

(Opcional) Crear restricciones de usuario y clave de API

Cree un par de claves de API de OCI si desea utilizar directamente la API de REST de base de datos distribuida globalmente, los kits de desarrollo de software de OCI y la interfaz de línea de comandos.

Siga las instrucciones de Claves y OCID necesarios.

Si desea definir controles de usuario en las API, consulte Permisos para API de base de datos de IA autónoma distribuida globalmente.

Tema principal: Configuración del arrendamiento