Configurer la location

Pour pouvoir utiliser les services Globally Distributed Database d'Oracle afin de créer et de gérer une base de données distribuée, vous devez effectuer les tâches préparatoires suivantes afin d'organiser votre location, de créer des stratégies pour les différentes ressources, puis d'acquérir et de configurer les ressources réseau, de sécurité et d'infrastructure.

• Tâche 1. S'abonner à la région Ashburn
  
• Tâche 2. Créer des compartiments
  
• Tâche 3. Créer des contraintes d'accès utilisateur
  
• Tâche 4. Configuration des ressources réseau
  
• Tâche 5. Configurer la sécurité des ressources
  
• Tâche 6. Création de ressources Exadata
  
• Tâche 7. Téléchargement des certificats de cluster de machines virtuelles Autonomous cloud
  
• (Facultatif) Création de contraintes utilisateur et de clé d'API
  

Tâche 1 : S'abonner à Ashburn Region

En tant qu'administrateur de locataire, abonnez-vous à la région Ashburn (IAD) et à toutes les régions requises pour exécuter votre implémentation de base de données d'IA autonome distribuée à l'échelle mondiale.

1. Abonnez-vous à la région Ashburn (IAD).
   • Pour utiliser le service, vous devez vous abonner à la région Ashburn.

   • La région d'accueil de votre location ne doit pas nécessairement être la région Ashburn, mais vous devez vous abonner à la région Ashburn pour utiliser les services Globally Distributed Database d'Oracle.

2. Abonnez-vous à toute autre région dans laquelle vous placerez une base de données.
   • Abonnez-vous aux régions dans lesquelles vous prévoyez de placer des bases de données pour votre implémentation. Cela inclut les bases de données pour le catalogue, les shards et, si vous prévoyez d'utiliser Oracle Data Guard, pour les bases de données de secours.

Pour plus d'informations, reportez-vous à Gestion des régions.

Tâche 2 : Création de compartiments

En tant qu'administrateur de locataire, créez des compartiments dans votre location pour toutes les ressources requises par la base de données d'IA autonome distribuée globalement.

Oracle recommande la structure suivante et ces compartiments sont référencés tout au long des tâches de configuration :

• Un compartiment "parent" pour l'ensemble du déploiement. Ceci est gdd dans les exemples.
• Compartiments "enfant" pour chacun des différents types de ressource :
  • gdd_certs_vaults_keys pour les autorités de certification, les certificats, les groupes de certificats, les coffres et les clés
  • gdd_clusters pour les clusters de machines virtuelles Autonomous cloud
  • gdd_databases pour les bases de données, les réseaux cloud virtuels, les sous-réseaux, les adresses privées et les ressources de base de données distribuée globalement.
  • gdd_exadata pour les infrastructures Exadata
  • gdd_instances pour les instances de calcul des serveurs d'applications (noeud d'extrémité/hôte de saut servant de bastion pour la connexion à la base de données)

La structure de compartiment obtenue ressemble à ce qui suit :

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

Pour plus d'informations, reportez-vous à Utilisation des compartiments.

Tâche 3 : Créer des contraintes d'accès utilisateur

Formuler un plan de contrôle d'accès, puis le mettre en place en créant les ressources IAM (Identity and Access Management) appropriées. En conséquence, le contrôle d'accès au sein d'une base de données distribuée est implémenté à différents niveaux, qui sont définis par les groupes et les stratégies ici.

Les groupes d'utilisateurs, les groupes dynamiques et les stratégies décrits dans les tableaux suivants doivent guider la création de votre propre plan de contrôle d'accès utilisateur pour votre implémentation de base de données distribuée.

En tant qu'administrateur de locataire, créez les groupes, groupes dynamiques et stratégies recommandés suivants pour accorder des droits d'accès aux rôles précédemment définis. Les exemples et les liens de documentation supposent que votre location utilise des domaines d'identité.

• Présentation de la séparation des rôles
  
• Groupes dynamiques
  
• Groupes d'utilisateurs
  
• Stratégies
  

Comprendre la séparation des rôles

Vous devez veiller à ce que vos utilisateurs cloud aient accès à employer et créer uniquement les types de ressources cloud appropriés pour réaliser leur travail. Pour une base de données distribuée globalement, il est recommandé de définir des rôles à des fins de séparation des rôles.

Les rôles et responsabilités décrits dans le tableau suivant doivent vous aider à comprendre comment définir des groupes d'utilisateurs, des groupes dynamiques et des stratégies pour votre implémentation de base de données d'IA autonome distribuée à l'échelle mondiale. Les exemples de rôle présentés ici sont utilisés tout au long de la configuration de l'environnement, de la création des ressources et des instructions de gestion.

Rôles	Responsabilités
Administrateur de locataires	S'abonner aux régions Créer des compartiments Créer des groupes dynamiques, des groupes d'utilisateurs et des stratégies
Administrateur d'infrastructure	Créer/Mettre à jour/Supprimer virtual-network-family Créer/mettre à jour/supprimer une infrastructure Exadata Autonomous Créer/mettre à jour/supprimer des clusters de machines virtuelles Exadata Autonomous Balisage de clusters de machines virtuelles Exadata Autonomous Créer/mettre à jour/supprimer des adresses privées de base de données d'IA autonome distribuée à l'échelle mondiale
Administrateur de certificats	Créer/Mettre à jour/Supprimer un coffre Créer/Mettre à jour/Supprimer des clés Créer/mettre à jour/supprimer une autorité de certification Créer/Mettre à jour/Supprimer un certificat Créer/mettre à jour/supprimer un package d'autorité de certification Téléchargement de packages de certificats et de certificats vers des clusters de machines virtuelles Exadata Autonomous Télécharger la demande de signature de certificat GSM Créer un certificat GSM basé sur GSM CSR Charger le certificat GSM
Utilisateur	Créer et gérer des bases de données distribuées à l'échelle mondiale à l'aide d'interface utilisateur et d'API

Groupes dynamiques

Créez les groupes dynamiques suivants pour contrôler l'accès aux ressources créées dans les compartiments de la base de données distribuée globalement.

Pour obtenir des instructions, reportez-vous à Création d'un groupe dynamique.

Nom de groupe dynamique	Description	Règles
gdd-cas-dg	Ressources de l'autorité de certification	Toutes resource.type='autorité du certificat' resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_certs_vaults_keys'
gdd-clusters-dg	Ressources sur le cluster de machines virtuelles Autonomous	Toutes resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_clusters'
gdd-instances-dg	Ressources d'instance de calcul	Toutes resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_instances'

Groupes d'utilisateurs

Créez les groupes suivants pour autoriser les utilisateurs à utiliser des ressources dans les compartiments de la base de données distribuée globalement.

Pour obtenir des instructions, reportez-vous à Création d'un groupe.

Nom de groupe d'utilisateurs	Description
gdd-certificat-admins	Administrateurs de certificats qui créent et gèrent des clés et des coffres.
gdd-infrastructure-admins	Administrateurs d'infrastructure qui créent et gèrent des ressources de réseau et d'infrastructure cloud
gdd-utilisateurs	Utilisateurs qui créent et gèrent des ressources de base de données distribuée globalement à l'aide des API et de l'interface utilisateur

Stratégies

Créez des stratégies IAM pour accorder aux groupes l'accès aux ressources créées dans les compartiments de la base de données d'IA autonome distribuée à l'échelle mondiale.

Les exemples de stratégie suivants, basés sur la structure de compartiment et les groupes créés précédemment, doivent guider la création de vos propres stratégies IAM pour votre implémentation de base de données d'IA autonome distribuée à l'échelle mondiale.

Le domaine d'identité (par exemple, Par défaut) doit être le domaine d'identité dans lequel vous avez créé les groupes.

Pour obtenir des instructions, reportez-vous à Création d'une stratégie.

gdd-certificate-admins-tenant-level

• Description : privilèges de niveau locataire pour le groupe gdd-certificate-admins
• Compartiment : locataire
• d'instructions:

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

• Description : privilèges de niveau locataire pour le groupe gdd-infrastructure-admins
• Compartiment : locataire
• d'instructions:

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-users-tenant-level

• Description : privilèges de niveau locataire pour les utilisateurs gdd du groupe

• Compartiment : locataire
• d'instructions:

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificat-admins

• Description : privilèges de niveau compartiment pour le groupe gdd-certificate-admins
• Compartiment : locataire/gdd
• d'instructions:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

  En outre, les stratégies suivantes sont requises si vous utilisez Oracle Key Vault :

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infrastructure-admins

• Description : privilèges de niveau compartiment pour le groupe gdd-infrastructure-admins
• Compartiment : locataire/gdd
• d'instructions:

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

gdd-utilisateurs

• Description : privilèges de niveau compartiment pour les utilisateurs gdd de groupe
• Compartiment : locataire/gdd
• d'instructions:

  Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
  Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

  En outre, les stratégies suivantes sont requises si vous utilisez Oracle Key Vault :

  Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-cas

• Description : privilèges au niveau du compartiment pour le groupe dynamique gdd-cas-dg
• Compartiment : locataire/gdd
• d'instructions:

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-clusters

• Description : privilèges au niveau du compartiment pour le groupe dynamique gdd-clusters-dg
• Compartiment : locataire/gdd
• d'instructions:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

  En outre, les stratégies suivantes sont requises si vous utilisez Oracle Key Vault :

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-kms

• Description : privilèges de niveau compartiment pour Key Management Service
• Compartiment : locataire/gdd
• d'instructions:

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

• Description : privilèges au niveau du compartiment pour Oracle Key Vault
• Compartiment : locataire/gdd
• d'instructions:

  Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

Tâche 4 : Configurer les ressources réseau

En tant qu'administrateur d'infrastructure, créez les ressources réseau et activez la connectivité nécessaire à la base de données distribuée.

Des exemples de ressources sont nommés tout au long de ces instructions pour simplifier le suivi et les relations. Par exemple, le nom "gdd_iad" fait référence au VCN créé dans la région d'Ashburn (IAD).

• Ressources réseau courantes
  
• Ressources réseau supplémentaires basées sur votre topologie
  

Ressources réseau communes

Toutes les implémentations de base de données d'IA autonome distribuée à l'échelle mondiale nécessitent un VCN, un sous-réseau et une adresse privée dans la région d'Ashburn (IAD).

En tant qu'administrateur d'infrastructure, créez les ressources comme décrit dans le tableau suivant.

Ressource	Instructions
Réseau cloud virtuel (VCN) + sous-réseau	Dans Ashburn (IAD), créez le VCN gdd_iad et le sous-réseau gdd_subnet. Ce VCN et ce sous-réseau sont requis pour activer la connectivité entre le service Globally Distributed Autonomous AI Database et les bases de données dans la topologie Globally Distributed Autonomous AI Database. Utilisez les valeurs suivantes : Compartiment = gdd / gdd_databases Region = Ashburn (IAD) Nom du sous-réseau = gdd_subnet Type de sous-réseau = Régional Le sous-réseau doit être régional et couvrir tous les domaines de disponibilité
Adresse privée	Créez une adresse privée dans la région d'Ashburn (IAD) pour activer la connectivité entre le service Base de données d'IA autonome distribuée à l'échelle mondiale et les bases de données de la topologie Base de données d'IA autonome distribuée à l'échelle mondiale. Ouvrez le menu de navigation, cliquez sur Oracle Database, puis sur Base de données d'IA autonome distribuée à l'échelle mondiale. Cliquez sur Adresses privées dans le panneau de navigation. Cliquez sur Créer une adresse privée, Saisissez les informations suivantes . Nom : par exemple gdd_pe Compartiment : gdd/gdd_databases Il doit s'agir du compartiment contenant le sous-réseau de la région Ashburn que vous avez créé ci-dessus. Sous-réseau : gdd_subnet Si le sous-réseau ne figure pas dans la liste, vérifiez qu'il a été créé en tant que sous-réseau régional. Réseau cloud virtuel : gdd_iad Ajouter des balises (facultatif) : vous pouvez sélectionner des balises pour cette ressource en cliquant sur Afficher les options de balisage.

Ressources réseau supplémentaires basées sur votre topologie

En fonction de votre topologie de base de données distribuée globalement, créez des ressources réseau supplémentaires comme décrit ci-dessous.

Les bases de données de la topologie incluent les bases de données de catalogue, de shards et de secours Oracle Data Guard.

Toutes les ressources réseau doivent être créées dans le compartiment gdd/gdd_databases.

Cas d'emploi	Ressources réseau	Appairage et connectivité
Toutes les bases de données sont placées dans la région Ashburn (IAD)	Créez un sous-réseau et une passerelle de service dans la région Ashburn (IAD) pour vos clusters de machines virtuelles Autonomous cloud. Dans la région Ashburn (IAD), créez un sous-réseau osd-databases-subnet-iad dans le VCN gdd_iad. Dans la région Ashburn (IAD), créez une passerelle de service gdd_sgw_iad	Appairage requis aucun Connectivité requise Connectivité illimitée avec le sous-réseau gdd_subnet (créée pour l'adresse privée)
Toutes les bases de données sont placées dans une seule région, R1, qui n'est pas Ashburn (IAD)*	Créez un sous-réseau et une passerelle de service dans la région pour vos clusters de machines virtuelles Autonomous cloud. Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1 Dans la région R1, créez la passerelle de service gdd_sgw_R1	Appairage requis gdd_iad ↔ gdd_R1 Connectivité requise Il n'y a aucune restriction entre gdd_iad.gdd_subnet (créé pour l'adresse privée) et gdd_R1.osd-database-subnet-R1
Les bases de données sont placées dans plusieurs régions R1, R2, ..., RN	Créez des sous-réseaux et des passerelles de service dans chaque région pour vos clusters de machines virtuelles Autonomous cloud. Sous-réseau: Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1 Dans la région R2, créez le VCN gdd_R2 avec le sous-réseau osd-database-subnet-R2 ... Dans la région Rn, créez le VCN gdd_Rn avec le sous-réseau osd-database-subnet-Rn Passerelles de service: Dans la région R1, créez la passerelle de service gdd_sgw_R1 Dans la région R2, créez la passerelle de service gdd_sgw_R2 ... Dans la région Rn, créez la passerelle de service gdd_sgw_Rn	Appairage requis gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Connectivité requise Sans restriction et bidirectionnel entre gdd_iad.gdd_subnet (créé pour l'adresse privée) et gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-base de données-sous-réseau-Rn sans restriction et bidirectionnel entre gdd_R1.osd-database-subnet-R1 et gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-base de données-sous-réseau-Rn sans restriction et bidirectionnel entre gdd_R2.osd-database-subnet-R2 et gdd_Rn.osd-base de données-sous-réseau-Rn

*Le plan de contrôle du service Globally Distributed Database n'existe que dans la région Ashburn (IAD). L'adresse privée que vous avez créée à l'étape précédente dans la région d'Ashburn (IAD) est utilisée pour communiquer avec les ressources de base de données distribuée à l'échelle mondiale dans leurs régions respectives.

Tâche 5 : Configuration des ressources de sécurité

En tant qu'administrateur de certificat Globally Distributed Database, créez les ressources de coffre, de clé, d'autorité de certification, de certificat et de package d'autorité de certification.

Toutes les ressources de sécurité sont créées dans le compartiment gdd/gdd_certs_vaults_keys.

Attention :

Après avoir créé une base de données distribuée globalement qui référence une clé, vous ne pouvez pas déplacer le coffre ou les clés vers un nouveau compartiment sans redémarrer également les bases de données Conteneur Autonomous qui référencent le coffre ou la clé déplacé.

En fonction de votre topologie de base de données distribuée globalement, créez des ressources de sécurité comme décrit dans les tableaux suivants.

Les exemples de noms de ressource utilisés dans les tableaux suivants doivent guider la création de vos propres ressources de sécurité pour votre implémentation de la base de données distribuée globalement.

• Distribution automatique des données, région unique
  
• Répartition automatique des données, régions principale et de secours
  
• Distribution de données gérée par l'utilisateur, région unique
  
• Distribution de données gérée par l'utilisateur, plusieurs régions
  

Distribution automatique des données, région unique

Dans ce cas d'emploi, les ressources de sécurité sont créées dans une région singe.

Dans les exemples ci-dessous, toutes les ressources sont créées dans la région R1.

Ressource	Instructions et exemples
Coffre	Créez un coffre pour les clés de cryptage maître de l'autorité de certification (CA) et du cryptage transparent des données. Dans la région R1, créez le coffre gdd_vault_R1 Instructions : Création d'un coffre
Clé d'autorité de certification	Dans la région R1, créez la clé de cryptage maître gdd_ca_key_R1, dans le coffre gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : algorithme = RSA Longueur = 2048 Instructions : Création d'une clé de cryptage maître
Clé TDE	Dans la région R1, créez l'espace gdd_TDE_key de clé de cryptage maître dans le coffre gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Création d'une clé de cryptage maître
Autorité de certification	Créez une autorité de certification pour l'émission de certificats pour les clusters de machines virtuelles Autonomous cloud et les instances de calcul GSM. Dans la région R1, en utilisant la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification 3e partie vers OCI Certificate Service. Instructions : Création d'une autorité de certificat
Certificat	Créez un certificat à télécharger vers les clusters de machines virtuelles Autonomous cloud. Dans la région R1, en utilisant l'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Instructions : Creating a Certificate
Package d'autorité de certification	Créez un package d'autorité de certification pour le téléchargement vers les clusters de machines virtuelles Autonomous cloud. Dans la région R1, créez un package d'autorité de certification gdd_cert_bundle contenant la chaîne de certificat pour le certificat gdd_cert Instructions : Création d'un package d'autorité de certifications

Distribution automatique des données, régions principale et de secours

Cette topologie se produit lorsque les bases de données principale et de secours sont placées dans différentes régions. Dans ce cas d'emploi, les ressources de sécurité sont créées dans les régions de base de données principale et de base de données de secours.

Dans les exemples ci-dessous, les ressources sont créées dans les régions Rp (principale) et Rs (de secours).

Ressource	Instructions et exemples
Coffres	Créez les coffres pour les clés de cryptage maître de l'autorité de certification. Dans la région Rp, créez le coffre gdd_vault_Rp Dans la région Rs, créez le coffre gdd_vault_Rs Instructions : Création d'un coffre
Coffre virtuel répliqué	Créez un coffre virtuel répliqué pour la clé de cryptage maître TDE (Transparent Data Encryption). Dans la région Rp, créez un coffre virtuel gdd_vault_Rp_Rs qui est répliqué vers les régions Rs Instructions : Réplication d'un coffre et de clés
Clés d'autorité de certification	Dans la région Rp, créez la clé de cryptage maître gdd_ca_key_Rp dans le coffre gdd_vault_Rp Dans la région Rs, créez la clé de cryptage maître gdd_ca_key_Rs dans le coffre gdd_vault_Rs Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : algorithme = RSA Longueur = 2048 Instructions : Création d'une clé de cryptage maître
Clé TDE	Dans la région Rp, créez l'espace d'allocation de clé de cryptage maître gdd_TDE_key dans le coffre virtuel répliqué gdd_vault_Rp_Rs Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Création d'une clé de cryptage maître
Autorités de certification	Créez des autorités de certification pour la délivrance de certificats pour les clusters de machines virtuelles Autonomous cloud et les instances de calcul GSM. Dans la région Rp, en utilisant la clé gdd_ca_key_Rp, créez l'autorité de certification gdd_ca_Rp Dans la région Rs, en utilisant la clé gdd_ca_key_Rs, créez l'autorité de certification gdd_ca_Rs Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification 3e partie vers OCI Certificate Service. Instructions : Création d'une autorité de certificat
Certificates	Créez les certificats à télécharger vers les clusters de machines virtuelles Autonomous cloud. Remarque : vous devez utiliser le même nom commun pour les certificats dans les régions Rp et Rs. Dans la région Rp, à l'aide de l'autorité de certification gdd_ca_Rp, créez le certificat gdd_cert Dans la région Rs, à l'aide de l'autorité de certification gdd_ca_Rs, créez le certificat gdd_cert Instructions : Creating a Certificate
Packages d'autorité de certification	Créez les packages d'autorité de certification à télécharger vers les clusters de machines virtuelles Autonomous cloud. Dans la région Rp, créez le package d'autorité de certification gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions Rp et Rs Dans la région Rs, créez le package d'autorité de certification gdd_cert_bundle contenant la chaîne de certificat pour les certificats gdd_cert dans les régions Rp et Rs Instructions : Création d'un package d'autorité de certifications

Distribution des données gérées par l'utilisateur, région unique

Dans ce cas d'emploi, les ressources de sécurité sont créées dans une région singe

Dans les exemples ci-dessous, toutes les ressources sont créées dans la région R1.

Ressource	Instructions et exemples
Coffre	Créez un coffre pour les clés de cryptage maître de l'autorité de certification (CA) et du cryptage transparent des données. Dans la région R1, créez le coffre gdd_vault_R1 Instructions : Création d'un coffre
Clé d'autorité de certification	Dans la région R1, créez la clé gdd_ca_key_R1 dans le coffre gdd_vault_R1 Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : algorithme = RSA Longueur = 2048 Instructions : Création d'une clé de cryptage maître
Clés TDE	Dans la région R1, créez la clé gdd_TDE_key-catalog dans le coffre gdd_vault_R1 pour crypter le catalogue Dans la région R1, créez la clé gdd_TDE_key-spaceN dans le coffre gdd_vault_R1 pour crypter les shards dans l'espace de shard N. Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Création d'une clé de cryptage maître
Autorité de certification	Créez une autorité de certification pour l'émission de certificats pour les clusters de machines virtuelles Autonomous cloud et les instances de calcul GSM. Dans la région R1, en utilisant la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification 3e partie vers OCI Certificate Service. Instructions : Création d'une autorité de certificat
Certificat	Créez un certificat à télécharger vers les clusters de machines virtuelles Autonomous cloud. Dans la région R1, en utilisant la clé d'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Instructions : Creating a Certificate
Package d'autorité de certification	Créez un package d'autorité de certification pour le téléchargement vers les clusters de machines virtuelles Autonomous cloud. Dans la région R1, créez un package d'autorité de certification gdd_cert_bundle contenant la chaîne de certificat pour le certificat gdd_cert Instructions : Création d'un package d'autorité de certifications

Distribution de données gérée par l'utilisateur, régions multiples

Dans ce cas d'emploi, les ressources de sécurité sont créées dans chaque région où une base de données sera placée.

Cette topologie peut se produire lorsque l'une des conditions suivantes est remplie, ou les deux :

• Le catalogue principal et les bases de données de shard sont placés dans différentes régions

• Les bases de données d'un espace de shard sont placées dans différentes régions.

Des ressources de sécurité sont créées dans chaque région, R1, ..., Rn, où une base de données sera placée.

Ressource	Instructions et exemples
Coffres	Créez un coffre dans chaque région pour les clés de cryptage maître de l'autorité de certification. Dans la région R1, créez le coffre gdd_vault_R1 Dans la région R2, créez le coffre gdd_vault_R2 ... Dans la région Rn, créez le coffre gdd_vault_Rn Instructions : Création d'un coffre
Coffres virtuels répliqués	Créez des coffres virtuels répliqués pour les clés de cryptage maître TDE (Transparent Data Encryption). Pour chaque base de données, catalogue ou shard, avec une région principale, Rp, différente de sa région de secours, Rs : Créez un coffre virtuel, gdd_vault_Rp_Rs, dans la région principale de la base de données, Rp, qui est répliqué vers la région de secours de la base de données, Rs. Réplication d'un coffre et de clés
Clés d'autorité de certification	Dans la région R1, créez la clé gdd_ca_key_R1 dans le coffre gdd_vault_R1 Dans la région R2, créez la clé gdd_ca_key_R2 dans le coffre gdd_vault_R2 ... Dans la région Rn, créez la clé gdd_ca_key_Rn dans le coffre gdd_vault_Rn Valeurs d'attribut requises : Mode de protection = HSM Forme de la clé : algorithme = RSA Longueur = 2048 Instructions : Création d'une clé de cryptage maître
Clés TDE	Pour chaque base de données, catalogue ou shard, qui n'a pas de base de données de secours ou qui a une région de secours identique à sa région principale : Créez le catalogue de clés gdd_TDE_key pour la base de données de catalogue dans le coffre de la région dans laquelle la base de données du catalogue est placée Créez la clé gdd_TDE_key-spaceN pour une base de données d'espace de shard dans le coffre de la région dans laquelle la base de données du shard est placée. Pour chaque base de données, catalogue ou shard, avec une région principale différente de sa région stand-by : Créez le catalogue de clés gdd_TDE_key dans le coffre virtuel répliqué de la région dans laquelle la base de données principale du catalogue est placée Créez la clé gdd_TDE_key-spaceN dans le coffre virtuel répliqué de la région dans laquelle la base de données principale du shard est placée. Valeurs d'attribut requises : Mode de protection = Logiciel Forme de la clé : Algorithme = AES Longueur = 256 Instructions : Création d'une clé de cryptage maître
Autorités de certification	Créez une autorité de certification dans chaque région pour l'émission de certificats pour les clusters de machines virtuelles Autonomous cloud et les instances de calcul GSM. Dans la région R1, en utilisant la clé gdd_ca_key_R1, créez l'autorité de certification gdd_ca_R1 Dans la région R2, en utilisant la clé gdd_ca_key_R2, créez l'autorité de certification gdd_ca_R2 ... Dans la région Rn, en utilisant la clé gdd_ca_key_Rn, créez l'autorité de certification gdd_ca_Rn Vous pouvez utiliser une autorité de certification tierce pour créer un certificat, mais vous devez importer le certificat émis par l'autorité de certification 3e partie vers OCI Certificate Service. Instructions : Création d'une autorité de certificat
Certificates	Créez des certificats dans chaque région pour le téléchargement vers des clusters de machines virtuelles Autonomous cloud. Remarque : vous devez utiliser le même nom commun pour les certificats de toutes les régions. Dans la région R1, en utilisant l'autorité de certification gdd_ca_R1, créez le certificat gdd_cert Dans la région R2, en utilisant l'autorité de certification gdd_ca_R2, créez le certificat gdd_cert ... Dans la région Rn, à l'aide de l'autorité de certification gdd_ca_Rn, créez le certificat gdd_cert Instructions : Creating a Certificate
Packages d'autorité de certification	Créez les packages d'autorité de certification à télécharger vers les clusters de machines virtuelles Autonomous cloud. Dans la région R1, créez le groupe de certificats CA gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn Dans la région R2, créez le groupe de certificats CA gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn ... Dans la région Rn, créez le package d'autorité de certification gdd_cert_bundle contenant la chaîne de certificats pour les certificats gdd_cert dans les régions R1, R2, ..., Rn Instructions : Création d'un package d'autorité de certifications

Tâche 6 : Création de ressources Exadata

En tant qu'administrateur d'infrastructure, configurez la topologie de la base de données d'IA autonome distribuée à l'échelle mondiale dans les étapes suivantes.

• Remarques concernant les ressources Exadata
  
• Création d'instances d'infrastructure Exadata
  
• Importer l'espace de noms de balise Oracle-ApplicationName
  
• Création de clusters de machines virtuelles Autonomous cloud
  

Remarques concernant les ressources Exadata

Gardez à l'esprit les points suivants :

• Le service Globally Distributed Autonomous AI Database ne prend en charge que deux noeuds, un quart de rack Exadata.
• Une infrastructure Exadata est propre à une région. Cela signifie que chaque région dans laquelle vous prévoyez de placer un catalogue ou une base de données de shard nécessitera une infrastructure Exadata.
• Vous devez créer un cluster de machines virtuelles Autonomous cloud pour chaque base de données de catalogue et de shard que vous prévoyez de déployer dans la base de données d'IA autonome distribuée au niveau mondial.
• Les bases de données de catalogue et de shards peuvent être colocalisées sur un cluster de machines virtuelles Autonomous cloud donné. Cependant, l'utilisation d'un cluster de machines virtuelles Autonomous cloud commun pour les bases de données de catalogue et de shard peut entraîner un goulet d'étranglement de traitement.

Création d'instances d'infrastructure Exadata

Créez des ressources d'infrastructure Exadata dans le compartiment gdd/gdd_exadata.

Suivez les instructions de la section Création d'une ressource d'infrastructure Exadata.

Importer l'espace de noms de balise Oracle-ApplicationName

Importez l'espace de noms de balise Oracle-ApplicationName dans le compartiment racine de votre location.

1. Dans le menu de navigation de la console cloud, sélectionnez Gouvernance et administration, puis Espaces de noms de balise (sous la catégorie Gestion des locations).

2. Dans le panneau Espaces de noms de balise, vérifiez si l'espace de noms Oracle-ApplicationName existe dans le compartiment racine de votre location.

   Assurez-vous que le compartiment racine de votre location est sélectionné sous Portée de la liste.

3. Si vous ne voyez pas Oracle-ApplicationName dans la liste, procédez comme suit :

   1. Cliquez sur Importer des balises standard (situé au-dessus de la liste).

   2. Cochez la case en regard de l'espace de noms Oracle-ApplicationName et cliquez sur Importer.

Créer des clusters de machines virtuelles Autonomous cloud

Créez un cluster pour chaque base de données dans la topologie Globally Distributed Database.

Pour connaître les étapes de création des clusters, reportez-vous à Création d'un cluster de machines virtuelles Exadata Autonomous.

Lors de la création des clusters, veillez à effectuer les opérations suivantes :

• Vous devez définir la balise suivante lors de la création de chaque cluster :

  Oracle-ApplicationName.Other_Oracle_Application: Sharding

  Pour pouvoir ajouter la balise à un cluster de machines virtuelles Exadata Autonomous, vous devez importer l'espace de noms de la balise.

  Remarques :

  Une fois que vous avez balisé un cluster pour l'utiliser dans une base de données distribuée globalement, il continue à facturer le SKU de la base de données distribuée globalement jusqu'à ce que le cluster soit supprimé.

• Créez des clusters dans le compartiment gdd/gdd_clusters.

• Pour la version 26ai : si vous prévoyez d'utiliser des bases de données de version 26ai, vérifiez la section des prérequis dans Création d'un cluster de machines virtuelles Exadata Autonomous pour connaître les exigences de version logicielle de base de données 26ai.

• Lorsque les clusters sont configurés, ils doivent être définis sur le même fuseau horaire.

• Il est recommandé d'utiliser un cluster de machines virtuelles par base de données (shard ou catalogue).

Tâche 7 : Téléchargement des certificats de cluster de machines virtuelles Autonomous cloud

En tant qu'administrateur de certificat, vous avez créé l'autorité de certification, les certificats et le package d'autorité de certification dans le compartiment gdd/gdd_certs_vaults_keys. Vous allez maintenant télécharger le package d'autorité de certification vers chaque cluster de machines virtuelles Exadata Autonomous.

Important :

• Le package d'autorité de certification que vous téléchargez doit être identique pour tous les clusters de machines virtuelles Exadata Autonomous.

• Le nom commun de certificat doit être identique pour tous les clusters de machines virtuelles Exadata Autonomous.

Pour plus d'informations, reportez-vous à Gestion des certificats de sécurité pour une ressource d'un cluster de machines virtuelles Exadata Autonomous.

(Facultatif) Créer une clé d'API et des contraintes utilisateur

Créez une paire de clés d'API OCI si vous souhaitez utiliser directement l'API REST Globally Distributed Database, les kits de développement logiciel OCI et l'interface de ligne de commande.

Suivez les instructions fournies dans Clés et OCID requis.

Si vous souhaitez définir des contrôles utilisateur sur les API, reportez-vous à Droits d'accès pour les API de base de données d'IA autonome distribuées à l'échelle mondiale.