Configurer la location

Pour pouvoir utiliser les services Globally Distributed Database d'Oracle afin de créer et de gérer une base de données distribuée, vous devez effectuer les tâches préparatoires suivantes afin d'organiser votre location, de créer des stratégies pour les différentes ressources, puis d'acquérir et de configurer les ressources réseau, de sécurité et d'infrastructure.

• Tâche 1. S'abonner à Ashburn Region

• Tâche 2. Créer des compartiments

• Tâche 3. Créer des contraintes d'accès utilisateur

• Tâche 4. Configuration des ressources réseau

• Tâche 5. Configurer la sécurité des ressources

• Tâche 6. Création de ressources Exadata

• (Facultatif) Créer une clé d'API et des contraintes utilisateur

Tâche 1 : S'abonner à Ashburn Region

En tant qu'administrateur de locataire, abonnez-vous à la région Ashburn (IAD) et à toutes les régions requises pour exécuter votre implémentation de base de données Globally Distributed Exadata Database on Exascale Infrastructure.

1. Abonnez-vous à la région Ashburn (IAD).

   • Pour utiliser le service, vous devez vous abonner à la région Ashburn.

   • La région d'accueil de votre location ne doit pas nécessairement être la région Ashburn, mais vous devez vous abonner à la région Ashburn pour utiliser les services Globally Distributed Database d'Oracle.

2. Abonnez-vous à toute autre région dans laquelle vous placerez une base de données.

   • Abonnez-vous aux régions dans lesquelles vous prévoyez de placer des bases de données pour votre implémentation. Cela inclut les bases de données pour le catalogue, les shards et la base de données de secours Oracle Data Guard facultative pour le catalogue.

     Remarque : Globally Distributed Exadata Database on Exascale Infrastructure prend uniquement en charge la création de shards dans deux régions. En outre, pour des performances optimales, les bases de données distribuées utilisant la réplication Raft doivent comporter des shards dans la même région.

Pour plus d'informations, reportez-vous à Gestion des régions.

Tâche 2 : Création de compartiments

En tant qu'administrateur de locataire, créez des compartiments dans votre location pour toutes les ressources requises par le service Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Oracle recommande la structure suivante et ces compartiments sont référencés tout au long des tâches de configuration :

• Un compartiment "parent" pour l'ensemble du déploiement. Ceci est gdd dans les exemples.

• Compartiments "enfant" pour chacun des différents types de ressource :

  • gdd_certs_vaults_keys pour les autorités de certification, les certificats, les groupes de certificats, les coffres et les clés

  • gdd_databases pour les bases de données, les clusters de machines virtuelles, les réseaux cloud virtuels, les sous-réseaux, les adresses privées et les ressources Globally Distributed Exadata Database on Exascale Infrastructure.

  • gdd_instances pour les instances de calcul des serveurs d'applications (noeud d'extrémité/hôte de saut servant de bastion pour la connexion à la base de données)

La structure de compartiment obtenue ressemble à ce qui suit :

tenant /
     gdd /
          gdd_certs_vaults_keys
          gdd_databases
          gdd_instances

Pour plus d'informations, reportez-vous à Utilisation des compartiments.

Tâche 3 : Créer des contraintes d'accès utilisateur

Formuler un plan de contrôle d'accès, puis le mettre en place en créant les ressources IAM (Identity and Access Management) appropriées. En conséquence, le contrôle d'accès au sein d'une base de données distribuée est implémenté à différents niveaux, qui sont définis par les groupes et les stratégies ici.

Les groupes d'utilisateurs, les groupes dynamiques et les stratégies décrits dans les tableaux suivants doivent guider la création de votre propre plan de contrôle d'accès utilisateur pour votre implémentation de base de données distribuée.

En tant qu'administrateur de locataire, créez les groupes, groupes dynamiques et stratégies recommandés suivants pour accorder des droits d'accès aux rôles précédemment définis. Les exemples et les liens de documentation supposent que votre location utilise des domaines d'identité.

Comprendre la séparation des rôles

Vous devez veiller à ce que vos utilisateurs cloud aient accès à employer et créer uniquement les types de ressources cloud appropriés pour réaliser leur travail. Il est recommandé de définir les rôles à des fins de séparation des rôles.

Les rôles et responsabilités décrits dans le tableau suivant doivent vous aider à comprendre comment définir des groupes d'utilisateurs, des groupes dynamiques et des stratégies pour votre implémentation Distributed ExaDB-XS. Les exemples de rôle présentés ici sont utilisés tout au long de la configuration de l'environnement, de la création des ressources et des instructions de gestion.

Rôles	Responsabilités
Administrateur de locataires	S'abonner aux régions Créer des compartiments Créer des groupes dynamiques, des groupes d'utilisateurs et des stratégies
Administrateur d'infrastructure	Créer/Mettre à jour/Supprimer virtual-network-family Créer/mettre à jour/supprimer une infrastructure Exadata Créer/mettre à jour/supprimer des clusters de machines virtuelles Exadata Balisage de clusters de machines virtuelles Exadata Créer/mettre à jour/supprimer des adresses privées de base de données distribuée globalement
Administrateur de certificats	Créer/Mettre à jour/Supprimer un coffre Créer/Mettre à jour/Supprimer des clés
Utilisateur	Créer et gérer des bases de données distribuées à l'échelle mondiale à l'aide d'interface utilisateur et d'API

Groupes dynamiques

Créez les groupes dynamiques suivants pour contrôler l'accès aux ressources créées dans les compartiments Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Pour obtenir des instructions, reportez-vous à Création d'un groupe dynamique.

Nom de groupe dynamique	Description	Règles
gdd-cas-dg	Ressources de l'autorité de certification	Toutes resource.type='certificateauthority' resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_certs_vaults_keys'
gdd-clusters-dg	Ressources de cluster de machines virtuelles de base de données Exadata	Toutes resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_databases'
gdd-instances-dg	Ressources d'instance de calcul	Toutes resource.compartment.id = 'OCID de la racine du locataire de compartiment / gdd / gdd_instances'

Groupes d'utilisateurs

Créez les groupes suivants pour autoriser les utilisateurs à utiliser des ressources dans les compartiments de la base de données distribuée globalement.

Pour obtenir des instructions, reportez-vous à Création d'un groupe.

Nom de groupe d'utilisateurs	Description
gdd-certificat-admins	Administrateurs de certificats qui créent et gèrent des clés et des coffres.
gdd-infrastructure-admins	Administrateurs d'infrastructure qui créent et gèrent des ressources de réseau et d'infrastructure cloud
gdd-utilisateurs	Utilisateurs qui créent et gèrent des ressources de base de données distribuée globalement à l'aide des API et de l'interface utilisateur

Stratégies

Créez des stratégies IAM pour accorder aux groupes l'accès aux ressources créées dans les compartiments de votre location Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Il existe plusieurs services de base de données distribuée globalement sur Oracle Cloud. Ces stratégies sont propres au service Globally Distributed Exadata Database on Exascale Infrastructure.

Les exemples de stratégie suivants, qui sont basés sur la structure de compartiment et les groupes créés précédemment, doivent guider la création de vos propres stratégies IAM pour votre implémentation.

Le domaine d'identité (par exemple, Par défaut) doit être le domaine d'identité dans lequel vous avez créé les groupes.

Pour obtenir des instructions, reportez-vous à Création d'une stratégie.

gdd-certificate-admins-tenant-level

• Description : privilèges de niveau locataire pour le groupe gdd-certificate-admins

• Compartiment : tenant

• d'instructions:

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

• Description : privilèges de niveau locataire pour le groupe gdd-infrastructure-admins

• Compartiment : tenant

• d'instructions:

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-users-tenant-level

• Description : privilèges de niveau locataire pour le groupe gdd-users

• Compartiment : tenant

• d'instructions:

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificat-admins

• Description : privilèges au niveau du compartiment pour le groupe gdd-certificate-admins

• Compartiment : tenant/gdd

• d'instructions:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd-infrastructure-admins

• Description : privilèges au niveau du compartiment pour le groupe gdd-infrastructure-admins

• Compartiment : tenant/gdd

• d'instructions:

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

gdd-utilisateurs

• Description : privilèges au niveau du compartiment pour le groupe gdd-users

• Compartiment : tenant/gdd

• d'instructions:

  Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
  Allow service database to manage recovery-service-family in compartment gdd
  Allow service rcs to manage recovery-service-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
  Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

• Description : privilèges de niveau compartiment pour le groupe dynamique gdd-cas-dg

• Compartiment : tenant/gdd

• d'instructions:

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-clusters

• Description : privilèges de niveau compartiment pour le groupe dynamique gdd-clusters-dg

• Compartiment : tenant/gdd

• d'instructions:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-kms

• Description : privilèges de niveau compartiment pour Key Management Service

• Compartiment : tenant/gdd

• d'instructions:

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

Tâche 4 : Configurer les ressources réseau

En tant qu'administrateur d'infrastructure, créez les ressources réseau et activez la connectivité nécessaire à la base de données distribuée.

Des exemples de ressources sont nommés tout au long de ces instructions pour simplifier le suivi et les relations. Par exemple, le nom gdd_iad fait référence au VCN créé dans la région d'Ashburn (IAD).

Ressources réseau communes

Toutes les implémentations de Globally Distributed Exadata Database on Exascale Infrastructure (Distributed ExaDB-XS) nécessitent un VCN, un sous-réseau et une adresse privée dans la région d'Ashburn (IAD).

En tant qu'administrateur d'infrastructure, créez les ressources comme décrit ici.

Réseau cloud virtuel (VCN)+ sous-réseau

Dans Ashburn (IAD), créez le VCN gdd_iad et le sous-réseau gdd_subnet.

Ce VCN et ce sous-réseau sont requis pour permettre la connectivité entre le service Distributed ExaDB-XS et les bases de données de la topologie.

Utilisez les valeurs suivantes :

• Compartiment = gdd/gdd_databases

• Region = Ashburn (IAD)

• Nom du sous-réseau = gdd_subnet

• Type de sous-réseau = Régional

  Le sous-réseau doit être régional et couvrir tous les domaines de disponibilité

Reportez-vous à la section Réseaux cloud virtuels et sous-réseaux pour connaître les étapes de leur création.

Adresse privée

Créez une adresse privée dans la région d'Ashburn (IAD) pour permettre la connectivité entre le service Distributed ExaDB-XS et les bases de données de la topologie.

1. Ouvrez le menu de navigation, sélectionnez Oracle AI Database, puis Globally Distributed Exadata Database on Exascale Infrastructure.

2. Sélectionnez Adresses privées dans le panneau de navigation.

3. Sélectionnez Créer une adresse privé.

4. Saisissez les informations suivantes .

   • Nom : par exemple gdd_pe

   • Compartiment : gdd/gdd_databases

     Il doit s'agir du compartiment contenant le sous-réseau de région Ashburn que vous avez créé ci-dessus.

   • Sous-réseau : gdd_subnet

     Si le sous-réseau ne figure pas dans la liste, vérifiez qu'il a été créé en tant que sous-réseau régional.

   • Réseau Cloud virtuel : gdd_iad

5. Ajoutez des balises (facultatif) : vous pouvez sélectionner des balises pour cette ressource en sélectionnant Afficher les options de balisage.

Reportez-vous à Création et gestion d'adresses privées pour plus d'informations sur cette ressource.

Ressources réseau supplémentaires basées sur votre topologie

En fonction de votre topologie Oracle Globally Distributed Exadata Database on Exascale Infrastructure, créez des ressources réseau supplémentaires comme décrit ci-dessous.

Notez que les bases de données de la topologie incluent le catalogue, les shards et la base de données de secours Oracle Data Guard facultative pour le catalogue.

Toutes les ressources réseau doivent être créées dans le compartiment gdd/gdd_databases.

Toutes les bases de données sont placées dans la région Ashburn (IAD)

Créez un sous-réseau et une passerelle de service dans la région Ashburn (IAD) pour vos clusters de machines virtuelles de base de données Exadata cloud.

• Dans la région Ashburn (IAD), créez le sous-réseau osd-databases-subnet-iad dans le VCN gdd_iad.

• Dans la région Ashburn (IAD), créez une passerelle de service gdd_sgw_iad

Appairage requis : aucun

Connectivité requise : connectivité sans restriction avec le sous-réseau gdd_subnet

Toutes les bases de données sont placées dans une seule région, R1, qui n'est pas Ashburn (IAD)

Créez un sous-réseau et une passerelle de service dans la région pour vos clusters de machines virtuelles de base de données Exadata cloud.

• Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1

• Dans la région R1, créez la passerelle de service gdd_sgw_R1

Appairage requis : gdd_iad ↔ gdd_R1

Connectivité requise : il n'y a aucune restriction entre gdd_iad.gdd_subnet et gdd_R1.osd-database-subnet-R1

Les bases de données sont placées dans plusieurs régions R1, R2, …, RN

Créez des sous-réseaux et des passerelles de service dans chaque région pour vos clusters de machines virtuelles de base de données Exadata cloud.

Sous-réseau:

• Dans la région R1, créez le VCN gdd_R1 avec le sous-réseau osd-database-subnet-R1

• Dans la région R2, créez le VCN gdd_R2 avec le sous-réseau osd-database-subnet-R2

• …

• Dans la région Rn, créez le VCN gdd_Rn avec le sous-réseau osd-database-subnet-Rn

Passerelles de service:

• Dans la région R1, créez la passerelle de service gdd_sgw_R1

• Dans la région R2, créez la passerelle de service gdd_sgw_R2

• …

• Dans la région Rn, créez la passerelle de service gdd_sgw_Rn

Appairage requis :

• gdd_iad ↔ gdd_R1

• gdd_iad ↔ gdd_R2

• gdd_iad ↔ gdd_Rn

• gdd_R1 ↔ gdd_R2

• gdd_R1 ↔ gdd_Rn

• gdd_R2 ↔ gdd_Rn

Connectivité requise : sans restriction et bidirectionnelle entre gdd_iad.gdd_subnet et :

• gdd_R1.osd-database-subnet-R1

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Sans restriction et bidirectionnel entre gdd_R1.osd-database-subnet-R1 et :

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Sans restriction et bidirectionnel entre gdd_R2.osd-database-subnet-R2 et gdd_Rn.osd-database-subnet-Rn

Remarque : le plan de contrôle de service Oracle Globally Distributed Exadata Database on Exascale Infrastructure existe uniquement dans la région d'Ashburn (IAD). L'adresse privée que vous avez créée à l'étape précédente dans la région d'Ashburn (IAD) est utilisée pour communiquer avec les ressources de base de données distribuée dans leurs régions respectives.

Les instructions de création des ressources sont disponibles à l'adresse :

• Réseaux cloud virtuels et sous-réseaux

• Création d'une passerelle de services

• Appairage de réseaux cloud virtuels de régions différentes via une passerelle de routage dynamique

Tâche 5 : Configuration des ressources de sécurité

Toutes les ressources de sécurité sont créées dans le compartiment gdd/gdd_certs_vaults_keys.

Attention : après avoir créé une base de données distribuée qui référence une clé, vous ne pouvez pas déplacer le coffre ou les clés vers un nouveau compartiment sans redémarrer également les bases de données Conteneur qui référencent le coffre ou la clé déplacé.

Création d'un compartiment

Créez un coffre dans le compartiment gdd/gdd_certs_vaults_keys pour les clés de cryptage maître Transparent Data Encryption (TDE) dans la région dans laquelle les bases de données de shard résideront.

Par exemple, dans la région R1, créez le coffre gdd_vault_R1.

Pour plus d'informations sur la création d'un coffre, reportez-vous à Création d'un coffre.

Créer une clé TDE

Créez la clé de cryptage maître pour accéder à la base de données.

Par exemple, créez la clé de cryptage maître gdd_TDE_key-oraspace dans le coffre gdd_vault_R1 avec les attributs suivants.

• Mode de protection = Logiciel

• Forme de la clé : Algorithme = AES

• Longueur = 256

Pour plus d'informations sur la création de clés de cryptage maître, reportez-vous à Création d'une clé de cryptage maître.

Tâche 6 : Création de ressources Exadata

En tant qu'administrateur d'infrastructure, configurez la topologie Oracle Globally Distributed Exadata Database on Exascale Infrastructure dans les étapes suivantes.

Importer l'espace de noms de balise Oracle-ApplicationName

Importez l'espace de noms de balise Oracle-ApplicationName dans le compartiment racine de votre location.

1. Dans le menu de navigation de la console cloud, sélectionnez Gouvernance et administration, puis Espaces de noms de balise (sous la catégorie Gestion des locations).

2. Dans le panneau Espaces de noms de balise, vérifiez si l'espace de noms Oracle-ApplicationName existe dans le compartiment racine de votre location.

   Assurez-vous que le compartiment racine de votre location est sélectionné sous Portée de la liste.

3. Si Oracle-ApplicationName ne figure pas dans la liste, procédez comme suit :

   1. Sélectionnez Importer les balises standard (situé au-dessus de la liste).

   2. Cochez la case en regard de l'espace de noms Oracle-ApplicationName et sélectionnez Importer.

Création de clusters de machines virtuelles Exadata sur une infrastructure Exascale

Créez un cluster de machines virtuelles à l'aide du service Exadata Database Service on Exascale Infrastructure pour la base de données de catalogue, la base de données de catalogue de secours Data Guard facultative et chaque base de données de shard, que vous prévoyez de déployer dans la topologie Distributed ExaDB-XS.

Lors de la création des clusters de machines virtuelles, respectez les exigences et recommandations suivantes :

• Il est recommandé d'utiliser un cluster de machines virtuelles par base de données (shard, catalogue, base de données de secours du catalogue).

  Une base de données de shard et une base de données de catalogue peuvent être co-localisées sur un cluster de machines virtuelles donné. Cependant, l'utilisation d'un cluster de machines virtuelles commun pour le catalogue et le shard peut entraîner un goulet d'étranglement de traitement.

• Créez des clusters à noeud unique. Seuls les clusters à noeud unique sont pris en charge.

• Compartiment : créez les clusters de machines virtuelles dans le compartiment gdd/gdd_clusters de votre location.

• ECPU activées par machine virtuelle : activez 8 ECPU pour les clusters de machines virtuelles destinés aux shards.

• Stockage de base de données : vous pouvez utiliser le même coffre pour tous les clusters de machines virtuelles (catalogue et shards), à condition de configurer une capacité de stockage minimale de 500 Go pour chaque base de données de la topologie.

  Par exemple, si vous disposez de 3 shards et de 1 catalogue, le stockage minimal total requis est de 500 Go x 4 = 2000 Go. Dans ce cas, vous créez un coffre unique avec une capacité de stockage minimale de 2000 Go.

• Fuseau horaire : définissez tous les clusters de machines virtuelles de la topologie sur le même fuseau horaire. Ce paramètre se trouve sous Options avancées.

• Balises : ajoutez la balise définie Oracle-ApplicationName.Other_Oracle_Application: Sharding. Ce paramètre se trouve sous Options avancées.

  Pour pouvoir ajouter la balise, vous devez importer l'espace de noms de la balise comme décrit dans Importer l'espace de noms de balise Oracle-ApplicationName.

  Remarque : une fois que vous avez balisé un cluster de machines virtuelles pour l'utiliser dans une base de données distribuée, il continue à facturer cette SKU jusqu'à ce que le cluster de machines virtuelles soit supprimé.

Pour connaître les étapes de création des clusters, reportez-vous à Gestion des clusters de machines virtuelles.

(Facultatif) Créer une clé d'API et des contraintes utilisateur

Créez une paire de clés d'API OCI si vous souhaitez utiliser directement l'API REST Globally Distributed Database, les kits de développement logiciel OCI et l'interface de ligne de commande.

Suivez les instructions fournies dans Clés et OCID requis.

Pour définir des contrôles utilisateur sur les API, reportez-vous à Droits d'accès pour les API de base de données distribuée globalement.