Configuration de la location

Tâche 1. S'abonner à Ashburn Region

En tant qu'administrateur du locataire, abonnez-vous à la région Ashburn (IAD) et à toutes les régions requises pour exécuter votre mise en oeuvre de base de données autonome répartie à l'échelle mondiale.

S'abonner à la région Ashburn (IAD).
- Pour utiliser le service, vous devez vous abonner à la région Ashburn.
- Il n'est pas nécessaire que votre région principale de location soit la région Ashburn, mais vous devez vous abonner à la région Ashburn pour utiliser les services de base de données répartie globalement d'Oracle.
Abonnez-vous à toute autre région où vous placerez une base de données.
- Abonnez-vous à toutes les régions où vous prévoyez de placer des bases de données pour votre mise en oeuvre, notamment les bases de données pour le catalogue, les partitions horizontales et si vous prévoyez d'utiliser Oracle Data Guard pour les bases de données de secours.

Pour plus d'informations, voir Gestion des régions.

Rubrique parent : Configuration de la location

Tâche 2. Créer des compartiments

En tant qu'administrateur du locataire, créez des compartiments dans votre location pour toutes les ressources requises par la base de données d'intelligence artificielle autonome répartie à l'échelle mondiale.

Oracle recommande la structure suivante et ces compartiments sont référencés tout au long des tâches de configuration :

Compartiment "parent" pour l'ensemble du déploiement. Il s'agit de gdd dans les exemples.
Compartiments "enfants" pour chacun des différents types de ressource :
- gdd_certs_vaults_keys pour les autorités de certification, les certificats, les ensembles de certificats, les chambres fortes et les clés
- gdd_clusters pour les grappes de machines virtuelles autonomes en nuage
- gdd_databases pour les bases de données, les réseaux en nuage virtuels, les sous-réseaux, les points d'extrémité privés et les ressources de base de données réparties globalement.
- gdd_exadata pour les infrastructures Exadata
- gdd_instances pour les instances de calcul des serveurs d'applications (noeud de bordure/hôte de saut servant d'hôte bastion pour la connexion à la base de données)

La structure de compartiment résultante ressemblera à ce qui suit :

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

Pour plus d'informations, voir Utilisation des compartiments.

Rubrique parent : Configuration de la location

Tâche 3. Créer des contraintes d'accès utilisateur

Formulez un plan de contrôle d'accès, puis inscrivez-le en créant les ressources IAM appropriées (Identity and Access Management). En conséquence, le contrôle d'accès au sein d'une base de données distribuée est mis en œuvre à différents niveaux, qui sont définis par les groupes et les politiques ici.

Les groupes d'utilisateurs, les groupes dynamiques et les politiques décrits dans les tableaux suivants doivent guider la création de votre propre plan de contrôle d'accès utilisateur pour l'implémentation de votre base de données distribuée.

En tant qu'administrateur du locataire, créez les groupes recommandés, les groupes dynamiques et les politiques suivants pour accorder des autorisations aux rôles définis précédemment. Les exemples et les liens de documentation supposent que votre location utilise des domaines d'identité.

Rubrique parent : Configuration de la location

Présentation de la séparation des rôles

Vous devez vous assurer que les utilisateurs du nuage ont accès à l'utilisation et à la création des types de ressources en nuage appropriés pour l'exécution de leurs tâches. Pour une base de données distribuée globalement, il est recommandé de définir des rôles aux fins de séparation des rôles.

Les rôles et responsabilités décrits dans le tableau suivant doivent vous aider à comprendre comment définir des groupes d'utilisateurs, des groupes dynamiques et des politiques pour votre mise en oeuvre de base de données d'IA autonome répartie à l'échelle mondiale. Les exemples de rôles présentés ici sont utilisés tout au long de la configuration de l'environnement, de la création des ressources et des instructions de gestion.

Rôles	Responsabilités
Administrateur des clients	S'abonner à des régions Créer des compartiments Créer des groupes dynamiques, des groupes d'utilisateurs et des politiques
Administrateur d'infrastructure	Créer/Mettre à jour/Supprimer virtual-network-family Créer/mettre à jour/supprimer une infrastructure Exadata autonome Créer/mettre à jour/supprimer des grappes de machines virtuelles Exadata autonomes Marquer les grappes de machines virtuelles Exadata autonomes Créer/mettre à jour/supprimer des points d'extrémité privés de base de données d'IA autonome répartie à l'échelle mondiale
Administrateur de certificat	Créer/Mettre à jour/Supprimer une chambre forte Créer/Mettre à jour/Supprimer des clés Créer/mettre à jour/supprimer une autorité de certification Créer/mettre à jour/supprimer un certificat Créer/mettre à jour/supprimer un ensemble AC Charger des ensembles de certificats et de certificats dans des grappes de machines virtuelles Exadata autonomes Télécharger la demande de signature de certificat GSM (CSR) Créer un certificat GSM basé sur GSM CSR Charger le certificat GSM
Utilisateur	Créer et gérer des bases de données réparties dans le monde entier à l'aide de l'interface utilisateur et des API

Rubrique parent : Tâche 3. Créer des contraintes d'accès d'utilisateur

Groupes dynamiques

Créez les groupes dynamiques suivants pour contrôler l'accès aux ressources créées dans les compartiments de la base de données répartie globalement.

Pour obtenir des instructions, voir Création d'un groupe dynamique.

Nom du groupe dynamique	Description	Règles
gdd-cas-dg	Ressources de l'autorité de certification	Tous resource.type='autorité de certification' resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_certs_vaults_keys'
gdd-grappes-dg	Ressources de grappe de MV autonome	Tous resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_clusters'
gdd-instances-dg	Ressources d'instance de calcul	Tous resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_instances'

Nom du groupe dynamique

Description

Règles

gdd-cas-dg

Ressources de l'autorité de certification

Tous

resource.type='autorité de certification'

resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_certs_vaults_keys'

gdd-grappes-dg

Ressources de grappe de MV autonome

Tous

resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_clusters'

gdd-instances-dg

Ressources d'instance de calcul

Tous

resource.compartment.id = 'OCID de la racine du locataire du compartiment / gdd / gdd_instances'

Rubrique parent : Tâche 3. Créer des contraintes d'accès d'utilisateur

Groupes d'utilisateurs

Créez les groupes suivants pour accorder aux utilisateurs l'autorisation d'utiliser des ressources dans les compartiments de la base de données répartie globalement.

Pour obtenir des instructions, voir Création d'un groupe.

Nom du groupe d'utilisateurs	Description
gdd-certificate-admins	Administrateurs de certificats qui créent et gèrent des clés et des chambres fortes.
gdd-infrastructure-admins	Administrateurs de l'infrastructure qui créent et gèrent le réseau et les ressources d'infrastructure en nuage
gdd-utilisateurs	Utilisateurs qui créent et gèrent des ressources de base de données réparties globalement à l'aide des API et de l'interface utilisateur

Rubrique parent : Tâche 3. Créer des contraintes d'accès d'utilisateur

politiques

Créez des politiques IAM pour accorder aux groupes l'accès aux ressources créées dans les compartiments Base de données d'IA autonome répartie à l'échelle mondiale.

Les exemples de politiques suivants, basés sur la structure de compartiment et les groupes créés précédemment, doivent guider la création de vos propres politiques IAM pour votre mise en oeuvre de base de données d'IA autonome répartie à l'échelle mondiale.

Le domaine d'identité (par exemple, Par défaut) doit être le domaine d'identité dans lequel vous avez créé les groupes.

Pour obtenir des instructions, voir Création d'une politique.

gdd-certificate-admins-tenant level

Description : Privilèges de niveau locataire pour le groupe gdd-certificate-admins
Compartiment : locataire

Énoncés :

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

Description : Privilèges de niveau locataire pour le groupe gdd-infrastructure-admins
Compartiment : locataire

Énoncés :

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

niveau gdd-users-tenant

Description : Privilèges de niveau locataire pour le groupe gdd-users
Compartiment : locataire

Énoncés :

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificate-admins

Description : Privilèges de niveau compartiment pour le groupe gdd-certificate-admins
Compartiment : tenant/gdd

Énoncés :

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

En outre, les politiques suivantes sont requises si vous utilisez Oracle Key Vault :

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infrastructure-admins

Description : Privilèges de niveau compartiment pour le groupe gdd-infrastructure-admins
Compartiment : tenant/gdd

Énoncés :

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

gdd-utilisateurs

Description : Privilèges de niveau compartiment pour le groupe gdd-users
Compartiment : tenant/gdd

Énoncés :

Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

En outre, les politiques suivantes sont requises si vous utilisez Oracle Key Vault :

Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-cas

Description : Privilèges de niveau compartiment pour le groupe dynamique gdd-cas-dg
Compartiment : tenant/gdd

Énoncés :

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

Grappes gdd-dg

Description : Privilèges de niveau compartiment pour le groupe dynamique gdd-clusters-dg
Compartiment : tenant/gdd

Énoncés :

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

En outre, les politiques suivantes sont requises si vous utilisez Oracle Key Vault :

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-kms

Description : Privilèges au niveau du compartiment pour le service Key Management
Compartiment : tenant/gdd

Énoncés :

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

Description : Privilèges au niveau du compartiment pour Oracle Key Vault
Compartiment : tenant/gdd

Énoncés :

Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

Rubrique parent : Tâche 3. Créer des contraintes d'accès d'utilisateur

Tâche 4. Configurer les ressources de réseau

En tant qu'administrateur de l'infrastructure, créez les ressources réseau et activez la connectivité nécessaire à la base de données distribuée.

Des exemples de ressources sont nommés dans ces instructions pour simplifier le suivi et les relations. Par exemple, le nom "gdd_iad" fait référence au VCN créé dans la région Ashburn (IAD).

Rubrique parent : Configuration de la location

Ressources de réseau communes

Toutes les mises en oeuvre de base de données d'intelligence artificielle autonome répartie à l'échelle mondiale nécessitent un VCN, un sous-réseau et un point d'extrémité privé dans la région Ashburn (IAD).

En tant qu'administrateur d'infrastructure, créez les ressources comme décrit dans le tableau suivant.

Ressource	Instructions
Réseau en nuage virtuel (VCN) + sous-réseau	Dans Ashburn (IAD), créez le VCN gdd_iad et le sous-réseau gdd_subnet. Ce VCN et ce sous-réseau sont requis pour activer la connectivité entre le service Base de données d'IA autonome répartie à l'échelle mondiale et les bases de données de la topologie Base de données d'IA autonome répartie à l'échelle mondiale. Utilisez les valeurs suivantes : Compartiment = gdd / gdd_databases Région = Ashburn (IAD) Nom du sous-réseau = gdd_subnet Type de sous-réseau = Régional Le sous-réseau doit être régional et couvrir tous les domaines de disponibilité
Point d'extrémité privé	Créez un point d'extrémité privé dans la région Ashburn (IAD) pour permettre la connectivité entre le service Base de données d'IA autonome répartie à l'échelle mondiale et les bases de données de la topologie Base de données d'IA autonome répartie à l'échelle mondiale. Ouvrez le menu de navigation, cliquez sur Oracle Database, puis sur Base de données d'IA autonome répartie à l'échelle mondiale. Cliquez sur Points d'extrémité privés dans le volet de navigation. Cliquez sur Créer un point d'extrémité privé. Entrez les informations suivantes . Nom : Par exemple gdd_pe Compartiment : gdd/gdd_databases Il doit s'agir du compartiment contenant le sous-réseau de la région Ashburn que vous avez créé ci-dessus. Sous-réseau : gdd_subnet Si le sous-réseau ne figure pas dans la liste, vérifiez qu'il a été créé en tant que sous-réseau régional. Réseau en nuage virtuel : gdd_iad Ajouter des marqueurs (facultatif) : Vous pouvez sélectionner des marqueurs pour cette ressource en cliquant sur Afficher les options de marquage.

Ressource

Instructions

Réseau en nuage virtuel (VCN) + sous-réseau

Dans Ashburn (IAD), créez le VCN gdd_iad et le sous-réseau gdd_subnet.

Ce VCN et ce sous-réseau sont requis pour activer la connectivité entre le service Base de données d'IA autonome répartie à l'échelle mondiale et les bases de données de la topologie Base de données d'IA autonome répartie à l'échelle mondiale.

Utilisez les valeurs suivantes :

Compartiment = gdd / gdd_databases
Région = Ashburn (IAD)
Nom du sous-réseau = gdd_subnet
Type de sous-réseau = Régional

Le sous-réseau doit être régional et couvrir tous les domaines de disponibilité

Point d'extrémité privé

Créez un point d'extrémité privé dans la région Ashburn (IAD) pour permettre la connectivité entre le service Base de données d'IA autonome répartie à l'échelle mondiale et les bases de données de la topologie Base de données d'IA autonome répartie à l'échelle mondiale.

Ouvrez le menu de navigation, cliquez sur Oracle Database, puis sur Base de données d'IA autonome répartie à l'échelle mondiale.
Cliquez sur Points d'extrémité privés dans le volet de navigation.
Cliquez sur Créer un point d'extrémité privé.
Entrez les informations suivantes .
- Nom : Par exemple gdd_pe
- Compartiment : gdd/gdd_databases
  Il doit s'agir du compartiment contenant le sous-réseau de la région Ashburn que vous avez créé ci-dessus.
- Sous-réseau : gdd_subnet
  Si le sous-réseau ne figure pas dans la liste, vérifiez qu'il a été créé en tant que sous-réseau régional.
- Réseau en nuage virtuel : gdd_iad
- Ajouter des marqueurs (facultatif) : Vous pouvez sélectionner des marqueurs pour cette ressource en cliquant sur Afficher les options de marquage.

Rubrique parent : Tâche 4. Configurer les ressources de réseau

Ressources réseau supplémentaires en fonction de votre topologie

En fonction de votre topologie de base de données distribuée globalement, créez des ressources réseau supplémentaires comme décrit ci-dessous.

Notez que les bases de données de la topologie incluent le catalogue, les partitions horizontales et les bases de données de secours Oracle Data Guard.

Toutes les ressources de réseau doivent être créées dans le compartiment gdd/gdd_databases.

Cas d'utilisation	Ressources de réseau	Appairage et connectivité
Toutes les bases de données sont placées dans la région Ashburn (IAD)	Créez un sous-réseau et une passerelle de service dans la région Ashburn (IAD) pour vos grappes de machines virtuelles autonomes en nuage. Dans la région Ashburn (IAD), créez le sous-réseau osd-databases-subnet-iad dans le VCN gdd_iad. Dans la région Ashburn (IAD), créez une passerelle de service gdd_sgw_iad	Appairage requis Aucune Connectivité requise Connectivité sans restriction avec le sous-réseau gdd_subnet (créé pour un point d'extrémité privé)
Toutes les bases de données sont placées dans une seule région, R1, qui n'est pas Ashburn (IAD)*	Créez un sous-réseau et une passerelle de service dans la région pour vos grappes de machines virtuelles autonomes en nuage. Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1 Dans la région R1, créez la passerelle de service gdd_sgw_R1	Appairage requis gdd_iad ↔ gdd_R1 Connectivité requise Sans restriction entre gdd_iad.gdd_subnet (créé pour un point d'extrémité privé) et gdd_R1.osd-database-subnet-R1
Les bases de données sont placées dans plusieurs régions R1, R2, ..., RN	Créez des sous-réseaux et des passerelles de service dans chaque région pour vos grappes de machines virtuelles autonomes en nuage. Sous-réseau : Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1 Dans la région R2, créez le VCN gdd_R2 avec le sous-réseau osd-database-subnet-R2 ... Dans la région Rn, créez le VCN gdd_Rn avec le sous-réseau osd-database-subnet-Rn Passerelles de service : Dans la région R1, créez la passerelle de service gdd_sgw_R1 Dans la région R2, créez la passerelle de service gdd_sgw_R2 ... Dans la région Rn, créez la passerelle de service gdd_sgw_Rn	Appairage requis gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Connectivité requise Sans restriction et bidirectionnel entre gdd_iad.gdd_subnet (créé pour un point d'extrémité privé) et gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Sans restriction et bidirectionnel entre gdd_R1.osd-database-subnet-R1 et gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Sans restriction et bidirectionnel entre gdd_R2.osd-database-subnet-R2 et gdd_Rn.osd-database-subnet-Rn

Cas d'utilisation

Ressources de réseau

Appairage et connectivité

Toutes les bases de données sont placées dans la région Ashburn (IAD)

Créez un sous-réseau et une passerelle de service dans la région Ashburn (IAD) pour vos grappes de machines virtuelles autonomes en nuage.

Dans la région Ashburn (IAD), créez le sous-réseau osd-databases-subnet-iad dans le VCN gdd_iad.
Dans la région Ashburn (IAD), créez une passerelle de service gdd_sgw_iad

Appairage requis

Aucune

Connectivité requise

Connectivité sans restriction avec le sous-réseau gdd_subnet (créé pour un point d'extrémité privé)

Toutes les bases de données sont placées dans une seule région, R1, qui n'est pas Ashburn (IAD)*

Créez un sous-réseau et une passerelle de service dans la région pour vos grappes de machines virtuelles autonomes en nuage.

Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1
Dans la région R1, créez la passerelle de service gdd_sgw_R1

Appairage requis

gdd_iad ↔ gdd_R1

Connectivité requise

Sans restriction entre gdd_iad.gdd_subnet (créé pour un point d'extrémité privé) et gdd_R1.osd-database-subnet-R1

Les bases de données sont placées dans plusieurs régions R1, R2, ..., RN

Créez des sous-réseaux et des passerelles de service dans chaque région pour vos grappes de machines virtuelles autonomes en nuage.

Sous-réseau :

Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1
Dans la région R2, créez le VCN gdd_R2 avec le sous-réseau osd-database-subnet-R2
...
Dans la région Rn, créez le VCN gdd_Rn avec le sous-réseau osd-database-subnet-Rn

Passerelles de service :

Dans la région R1, créez la passerelle de service gdd_sgw_R1
Dans la région R2, créez la passerelle de service gdd_sgw_R2
...
Dans la région Rn, créez la passerelle de service gdd_sgw_Rn

Appairage requis

gdd_iad ↔ gdd_R1

gdd_iad ↔ gdd_R2

gdd_iad ↔ gdd_Rn

gdd_R1 ↔ gdd_R2

gdd_R1 ↔ gdd_Rn

gdd_R2 ↔ gdd_Rn

Connectivité requise

Sans restriction et bidirectionnel entre gdd_iad.gdd_subnet (créé pour un point d'extrémité privé) et

gdd_R1.osd-database-subnet-R1

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

Sans restriction et bidirectionnel entre gdd_R1.osd-database-subnet-R1 et

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

Sans restriction et bidirectionnel entre gdd_R2.osd-database-subnet-R2 et

gdd_Rn.osd-database-subnet-Rn

*Le plan de contrôle du service de base de données répartie globalement existe uniquement dans la région Ashburn (IAD). Le point d'extrémité privé que vous avez créé à une étape précédente dans la région Ashburn (IAD) est utilisé pour communiquer avec les ressources de la base de données répartie globalement dans leurs régions respectives.

Rubrique parent : Tâche 4. Configurer les ressources de réseau

Tâche 5. Configurer les ressources de sécurité

En tant qu'administrateur de certificat de base de données répartie globalement, créez les ressources de chambre forte, de clé, d'autorité de certification, de certificat et d'ensemble AC.

Toutes les ressources de sécurité sont créées dans le compartiment gdd/gdd_certs_vaults_keys.

Attention :

Après avoir créé une base de données répartie globalement qui référence une clé, vous ne pouvez pas déplacer la chambre forte ou les clés vers un nouveau compartiment sans redémarrer également les bases de données conteneur autonomes qui référencent la chambre forte ou la clé déplacée.

En fonction de votre topologie de base de données distribuée globalement, créez des ressources de sécurité comme décrit dans les tableaux suivants.

Les exemples de noms de ressource utilisés dans les tableaux suivants doivent guider la création de vos propres ressources de sécurité pour l'implémentation de votre base de données distribuée globalement.

Rubrique parent : Configuration de la location

Répartition automatique des données, région unique

Dans ce cas d'utilisation, les ressources de sécurité sont créées dans une région unique.

Dans les exemples ci-dessous, toutes les ressources sont créées dans la région R1.

Ressource	Instructions et exemples
Chambre forte	Créez une chambre forte pour l'autorité de certification et les clés de chiffrement principales Transparent Data Encryption (TDE). Dans la région R1, créez la chambre forte gdd_vault_R1 Instructions : Création d'une chambre forte
Clé d'autorité de certification	Dans la région R1, créez la clé de chiffrement principale gdd_ca_key_R1, dans la chambre forte gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : Algorithme = RSA Longueur = 2048 Instructions : Créer une clé de chiffrement principale
Clé TDE	Dans la région R1, créez la clé de chiffrement principale gdd_TDE_key-oraspace dans la chambre forte gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Créer une clé de chiffrement principale
Autorité de certification	Créez une autorité de certification pour émettre des certificats pour les grappes de machines virtuelles autonomes en nuage et les instances de calcul GSM. Dans la région R1, à l'aide de la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification de 3e partie dans le service de certificat OCI. Instructions : Création d'une autorité de certification
Certificat	Créez un certificat pour le chargement dans des grappes de machines virtuelles autonomes en nuage. Dans la région R1, à l'aide de l'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Instructions : Création d'un certificat
Ensemble AC	Créez un ensemble AC pour le chargement dans des grappes de machines virtuelles autonomes en nuage. Dans la région R1, créez un ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour le certificat gdd_cert Instructions : Création d'un ensemble AC

Rubrique parent : Tâche 5. Configurer les ressources de sécurité

Répartition automatique des données, régions principale et de secours

Cette topologie résulte du fait que les bases de données principale et de secours sont placées dans différentes régions. Dans ce cas d'utilisation, les ressources de sécurité sont créées dans les régions de la base de données principale et de la base de secours.

Dans les exemples ci-dessous, les ressources sont créées dans les régions Rp (principale) et Rs (de secours).

Ressource	Instructions et exemples
Chambres fortes	Créez les chambres fortes pour les clés de chiffrement principales de l'autorité de certification. Dans la région RP, créez la chambre forte gdd_vault_Rp Dans la région Rs, créer une chambre forte gdd_vault_Rs Instructions : Création d'une chambre forte
Chambre forte virtuelle répliquée	Créez une chambre forte virtuelle répliquée pour la clé de chiffrement principale Transparent Data Encryption (TDE). Dans la région Rp, créez la chambre forte virtuelle gdd_vault_Rp_Rs qui est répliquée vers les régions Rs Instructions : Réplication d'une chambre forte et de clés
Clés d'autorité de certification	Dans la région RP, créez la clé de chiffrement principale gdd_ca_key_Rp dans la chambre forte gdd_vault_Rp Dans la région Rs, créez la clé de chiffrement principale gdd_ca_key_Rs dans la chambre forte gdd_vault_Rs Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : Algorithme = RSA Longueur = 2048 Instructions : Créer une clé de chiffrement principale
Clé TDE	Dans la région Rp, créez la clé de chiffrement principale gdd_TDE_key-oraspace dans la chambre forte virtuelle répliquée gdd_vault_Rp_Rs Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Créer une clé de chiffrement principale
Autorités de certification	Créer des autorités de certification pour l'émission de certificats pour les grappes de machines virtuelles autonomes en nuage et les instances de calcul GSM. Dans la région Rp, à l'aide de la clé gdd_ca_key_Rp, créez l'autorité de certification gdd_ca_Rp Dans la région Rs, à l'aide de la clé gdd_ca_key_Rs, créez l'autorité de certification gdd_ca_Rs Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification de 3e partie dans le service de certificat OCI. Instructions : Création d'une autorité de certification
Certificats	Créez les certificats à charger dans les grappes de machines virtuelles autonomes en nuage. Note : Vous devez utiliser le même nom commun pour les certificats dans les régions Rp et Rs. Dans la région Rp, à l'aide de l'autorité de certification gdd_ca_Rp, créez le certificat gdd_cert Dans la région Rs, à l'aide de l'autorité de certification gdd_ca_Rs, créez le certificat gdd_cert Instructions : Création d'un certificat
Ensembles AC	Créez les ensembles AC à charger dans les grappes de machines virtuelles autonomes en nuage. Dans la région Rp, créez l'ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions Rp et Rs Dans la région Rs, créez l'ensemble AC gdd_cert_bundle contenant sa chaîne de certificats pour les certificats gdd_cert dans les régions Rp et Rs Instructions : Création d'un ensemble AC

Rubrique parent : Tâche 5. Configurer les ressources de sécurité

Distribution de données gérée par l'utilisateur, une seule région

Dans ce cas d'utilisation, les ressources de sécurité sont créées dans une seule région

Dans les exemples ci-dessous, toutes les ressources sont créées dans la région R1.

Ressource	Instructions et exemples
Chambre forte	Créez une chambre forte pour l'autorité de certification et les clés de chiffrement principales Transparent Data Encryption (TDE). Dans la région R1, créez la chambre forte gdd_vault_R1 Instructions : Création d'une chambre forte
Clé d'autorité de certification	Dans la région R1, créez la clé gdd_ca_key_R1 dans la chambre forte gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : Algorithme = RSA Longueur = 2048 Instructions : Créer une clé de chiffrement principale
Clés TDE	Dans la région R1, créez la clé gdd_TDE_key-catalog dans la chambre forte gdd_vault_R1 pour chiffrer le catalogue Dans la région R1, créez la clé gdd_TDE_key-spaceN dans la chambre forte gdd_vault_R1 pour chiffrer les partitions horizontales dans l'espace de partition N Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Créer une clé de chiffrement principale
Autorité de certification	Créez une autorité de certification pour émettre des certificats pour les grappes de machines virtuelles autonomes en nuage et les instances de calcul GSM. Dans la région R1, à l'aide de la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification de 3e partie dans le service de certificat OCI. Instructions : Création d'une autorité de certification
Certificat	Créez un certificat pour le chargement dans des grappes de machines virtuelles autonomes en nuage. Dans la région R1, à l'aide de la clé d'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Instructions : Création d'un certificat
Ensemble AC	Créez un ensemble AC pour le chargement dans des grappes de machines virtuelles autonomes en nuage. Dans la région R1, créez un ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour le certificat gdd_cert Instructions : Création d'un ensemble AC

Rubrique parent : Tâche 5. Configurer les ressources de sécurité

Répartition des données gérée par l'utilisateur, régions multiples

Dans ce cas d'utilisation, des ressources de sécurité sont créées dans chaque région où une base de données sera placée.

Cette topologie peut résulter de l'une ou l'autre des situations suivantes, ou des deux :

Le catalogue principal et les bases de données de partition horizontale sont placés dans différentes régions
Les bases de données d'un espace de partition sont placées dans différentes régions

Les ressources de sécurité sont créées dans chaque région, R1, ..., Rn, où une base de données sera placée.

Ressource	Instructions et exemples
Chambres fortes	Créez une chambre forte dans chaque région pour les clés de chiffrement principales de l'autorité de certification. Dans la région R1, créez la chambre forte gdd_vault_R1 Dans la région R2, créez la chambre forte gdd_vault_R2 ... Dans la région Rn, créer une chambre forte gdd_vault_Rn Instructions : Création d'une chambre forte
Chambres fortes virtuelles répliquées	Créez des chambres fortes virtuelles répliquées pour les clés de chiffrement principales Transparent Data Encryption (TDE). Pour chaque base de données, catalogue ou partition, avec une région principale, Rp, différente de sa région de secours, Rs : Créez une chambre forte virtuelle, gdd_vault_Rp_Rs, dans la région principale de la base de données, Rp, qui est répliquée dans la région de secours de la base de données, Rs. Réplication d'une chambre forte et de clés
Clés d'autorité de certification	Dans la région R1, créez la clé gdd_ca_key_R1 dans la chambre forte gdd_vault_R1 Dans la région R2, créez la clé gdd_ca_key_R2 dans la chambre forte gdd_vault_R2 ... Dans la région Rn, créez la clé gdd_ca_key_Rn dans la chambre forte gdd_vault_Rn Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : Algorithme = RSA Longueur = 2048 Instructions : Créer une clé de chiffrement principale
Clés TDE	Pour chaque base de données, catalogue ou partition horizontale qui n'a pas de base de données de secours ou qui a une région de secours identique à sa région principale : Créer la clé gdd_TDE_key-catalog pour la base de données du catalogue dans la chambre forte de la région où la base de données du catalogue est placée Créer la clé gdd_TDE_key-spaceN pour une base de données d'espace de partition dans la chambre forte de la région où la base de données de la partition est placée Pour chaque base de données, catalogue ou partition horizontale, avec une région principale différente de sa région principale : Créer la clé gdd_TDE_key-catalog dans la chambre forte virtuelle répliquée dans la région où la base de données principale du catalogue est placée Créer la clé gdd_TDE_key-spaceN dans la chambre forte virtuelle répliquée dans la région où la base de données principale de la partition horizontale est placée Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Créer une clé de chiffrement principale
Autorités de certification	Créez une autorité de certification dans chaque région pour émettre des certificats pour les grappes de machines virtuelles autonomes en nuage et les instances de calcul GSM. Dans la région R1, à l'aide de la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Dans la région R2, à l'aide de la clé gdd_ca_key_R2, créez l'autorité de certification gdd_ca_R2 ... Dans la région Rn, à l'aide de la clé gdd_ca_key_Rn, créez l'autorité de certification gdd_ca_Rn Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification de 3e partie dans le service de certificat OCI. Instructions : Création d'une autorité de certification
Certificats	Créez des certificats dans chaque région pour les charger dans des grappes de machines virtuelles autonomes en nuage. Note : Vous devez utiliser le même nom commun pour les certificats dans toutes les régions. Dans la région R1, à l'aide de l'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Dans la région R2, à l'aide de l'autorité de certification gdd_ca_R2, créez le certificat gdd_cert ... Dans la région Rn, à l'aide de l'autorité de certification gdd_ca_Rn, créez le certificat gdd_cert Instructions : Création d'un certificat
Ensembles AC	Créez les ensembles AC à charger dans les grappes de machines virtuelles autonomes en nuage. Dans la région R1, créez l'ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn Dans la région R2, créez l'ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn ... Dans la région Rn, créez l'ensemble AC gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn Instructions : Création d'un ensemble AC

Rubrique parent : Tâche 5. Configurer les ressources de sécurité

Tâche 6. Créer des ressources Exadata

En tant qu'administrateur de l'infrastructure, configurez la topologie Base de données d'IA autonome répartie à l'échelle mondiale dans les étapes suivantes.

Rubrique parent : Configuration de la location

Considérations relatives aux ressources Exadata

Gardez à l'esprit les conditions suivantes :

Le service Base de données d'IA autonome répartie à l'échelle mondiale ne prend en charge que deux noeuds, un quart de bâti Exadata.
Une infrastructure Exadata est propre à une région. Cela signifie que chaque région dans laquelle vous prévoyez de placer un catalogue ou une base de données partitionnée horizontalement nécessitera une infrastructure Exadata.
Vous devez créer une grappe de machines virtuelles autonome en nuage pour chaque catalogue et base de données partitionnée que vous prévoyez de déployer dans la base de données d'intelligence artificielle autonome répartie à l'échelle mondiale.
Les partitions horizontales et les bases de données de catalogue peuvent être colocalisées dans une grappe de machines virtuelles autonome en nuage donnée. Toutefois, l'utilisation d'une grappe de machines virtuelles autonome en nuage commune pour une base de données de catalogue et de partition horizontale peut entraîner un goulot d'étranglement de traitement.

Rubrique parent : Tâche 6. Créer des ressources Exadata

Créer des instances d'infrastructure Exadata

Créez des ressources d'infrastructure Exadata dans le compartiment gdd/gdd_exadata.

Suivez les instructions sous Créer une ressource d'infrastructure Exadata.

Rubrique parent : Tâche 6. Créer des ressources Exadata

Importer l'espace de noms de marqueur Oracle-ApplicationName

Importez l'espace de noms de marqueur Oracle-ApplicationName dans le compartiment racine de votre location.

Dans le menu de navigation de la console Cloud, sélectionnez Gouvernance et administration, puis Espaces de noms de marqueur (dans la catégorie Gestion des locations).
Dans le panneau Espaces de noms de marqueur, vérifiez si l'espace de noms Oracle-ApplicationName existe dans le compartiment racine de votre location.

Assurez-vous que le compartiment racine de votre location est sélectionné sous Portée de la liste.
Si vous ne voyez pas Oracle-ApplicationName dans la liste, procédez de la façon suivante :
1. Cliquez sur Importer des marqueurs standard (situé au-dessus de la liste).
2. Cochez la case à côté de l'espace de noms Oracle-ApplicationName et cliquez sur Importer.

Rubrique parent : Tâche 6. Créer des ressources Exadata

Créer des grappes de machines virtuelles autonomes en nuage

Créez un cluster pour chaque base de données dans la topologie Globally Distributed Database.

Voir Créer une grappe de machines virtuelles Exadata autonome pour les étapes de création des grappes.

Lors de la création des grappes, assurez-vous d'effectuer les opérations suivantes :

Vous devez définir le marqueur suivant lors de la création de chaque grappe :

Oracle-ApplicationName.Other_Oracle_Application: Sharding

Avant de pouvoir ajouter le marqueur à une grappe de machines virtuelles Exadata autonome, vous devez importer l'espace de noms du marqueur.

Note :
Une fois que vous marquez une grappe pour une utilisation dans une base de données répartie globalement, elle continue de facturer l'UDS de base de données répartie globalement jusqu'à ce que la grappe soit supprimée.
Créez des grappes dans le compartiment gdd/gdd_clusters.
Pour la version 26ai : Si vous prévoyez d'utiliser des bases de données version 26ai, vérifiez la section Préalables sous Créer une grappe de machines virtuelles Exadata autonome pour les exigences de version du logiciel de base de données 26ai.
Lorsque les grappes sont configurées, elles doivent être réglées au même fuseau horaire.
Il est recommandé d'utiliser une grappe de machines virtuelles par base de données (carte ou catalogue).

Rubrique parent : Tâche 6. Créer des ressources Exadata

Tâche 7. Charger les certificats de grappe de machines virtuelles autonome en nuage

En tant qu'administrateur de certificat, vous avez créé l'autorité de certification, les certificats et l'ensemble AC dans le compartiment gdd/gdd_certs_vaults_keys. Vous chargez maintenant l'ensemble AC dans chaque grappe de machines virtuelles Exadata autonome.

Important :

L'ensemble AC que vous chargez doit être identique pour toutes les grappes de machines virtuelles Exadata autonomes.
Le nom commun du certificat doit être identique pour toutes les grappes de machines virtuelles Exadata autonomes.

Pour plus d'informations, voir Gérer les certificats de sécurité pour une ressource de grappe de machines virtuelles Exadata autonome.

Rubrique parent : Configuration de la location

(Facultatif) Créer une clé d'API et des contraintes d'utilisateur

Créez une paire de clés d'API OCI si vous avez l'intention d'utiliser directement l'API REST de base de données répartie globalement, les trousses de développement logiciel OCI et l'interface de ligne de commande.

Suivez les instructions de la rubrique Clés et OCID requis.

Pour définir les contrôles d'utilisateur sur les API, voir Autorisations pour les API de base de données d'IA autonome réparties dans le monde.

Rubrique parent : Configuration de la location