Configurazione della tenancy

Task 1. Iscriviti alla Regione di Ashburn

In qualità di amministratore tenant, esegui la sottoscrizione all'area Ashburn (IAD) e a tutte le aree necessarie per eseguire l'implementazione del database AI autonomo distribuito a livello globale.

Eseguire la sottoscrizione all'area Ashburn (IAD).
- Per utilizzare il servizio, è necessario effettuare la sottoscrizione all'area Ashburn.
- L'area di origine della tenancy non deve essere l'area Ashburn, ma è necessario effettuare la sottoscrizione all'area Ashburn per utilizzare i servizi Globally Distributed Database di Oracle.
Eseguire la sottoscrizione a qualsiasi altra area geografica in cui verrà inserito un database.
- Esegui la sottoscrizione a qualsiasi area geografica in cui prevedi di posizionare i database per l'implementazione, inclusi i database per il catalogo, le partizioni e, se prevedi di utilizzare Oracle Data Guard, per i database in standby.

Per ulteriori informazioni, vedere Gestione delle aree.

Argomento padre: Configurazione della tenancy

Task 2. Crea compartimenti

Come amministratore del tenant, crea compartimenti nella tua tenancy per tutte le risorse richieste da Globally Distributed Autonomous AI Database.

Oracle consiglia la struttura riportata di seguito e ai compartimenti riportati di seguito viene fatto riferimento durante i task di impostazione.

Compartimento "padre" per l'intera distribuzione. Questo è gdd negli esempi.
Compartimenti "bambini" per ciascuno dei vari tipi di risorse:
- gdd_certs_vaults_keys per autorità di certificazione, certificati, bundle di certificati, vault e chiavi
- gdd_clusters per i cluster VM Autonomous cloud
- gdd_databases per database, VCN, subnet, endpoint privati e risorse di Globally Distributed Database.
- gdd_exadata per le infrastrutture Exadata
- gdd_instances per le istanze di computazione per gli application server (edge node/jump host per fungere da bastion per la connessione al database)

La struttura del compartimento risultante assomiglierà a quanto segue:

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

Per ulteriori informazioni, vedere Utilizzo dei compartimenti.

Argomento padre: Configurazione della tenancy

Task 3. Crea vincoli di accesso utente

Formulare un piano di controllo dell'accesso, quindi istituirlo creando risorse IAM (Identity and Access Management) appropriate. Di conseguenza, il controllo dell'accesso all'interno di un database distribuito viene implementato a vari livelli, definiti dai gruppi e dai criteri qui riportati.

I gruppi di utenti, i gruppi dinamici e i criteri descritti nelle tabelle seguenti dovrebbero guidare la creazione del proprio piano di controllo dell'accesso utente per l'implementazione del database distribuito.

L'amministratore del tenant deve creare i gruppi, i gruppi dinamici e i criteri consigliati riportati di seguito per concedere le autorizzazioni ai ruoli definiti in precedenza. Gli esempi e i collegamenti alla documentazione presuppongono che la tenancy utilizzi i domini di Identity.

Argomento padre: Configurazione della tenancy

Introduzione alla separazione dei ruoli

Devi assicurarti che i tuoi utenti cloud abbiano accesso per utilizzare e creare solo i tipi appropriati di risorse cloud per svolgere le loro mansioni lavorative. Una best practice per Globally Distributed Database consiste nel definire i ruoli ai fini della separazione dei ruoli.

I ruoli e le responsabilità descritti nella tabella seguente devono comprendere come definire gruppi di utenti, gruppi dinamici e criteri per l'implementazione del database AI autonomo distribuito a livello globale. I ruoli di esempio riportati qui vengono utilizzati in tutte le istruzioni di impostazione dell'ambiente, creazione delle risorse e gestione.

Ruoli	Responsabilità
Amministratore tenant	Sottoscrivi alle aree Crea compartimenti Creare gruppi dinamici, gruppi di utenti e criteri
Amministratore dell'infrastruttura	Crea/Aggiorna/Elimina virtual-network-family Crea/Aggiorna/Elimina Autonomous Exadata Infrastructure Crea/Aggiorna/Elimina cluster VM Autonomous Exadata Contrassegna cluster VM Autonomous Exadata Crea/aggiorna/elimina endpoint privati di Globally Distributed Autonomous AI Database
Amministratore certificato	Creazione, aggiornamento ed eliminazione del vault Crea/aggiorna/elimina chiavi Crea/aggiorna/elimina autorità di certificazione Crea/aggiorna/elimina certificato Crea/aggiorna/elimina bundle CA Carica bundle di certificati e certificati in cluster VM Autonomous Exadata Scarica richiesta di firma certificato GSM (CSR) Crea un certificato GSM basato su CSR GSM Carica certificato GSM
User	Crea e gestisce i database distribuiti a livello globale utilizzando interfacce utente e API

Argomento padre: Task 3. Crea vincoli di accesso utente

Gruppi dinamici

Creare i gruppi dinamici seguenti per controllare l'accesso alle risorse create nei compartimenti di Globally Distributed Database.

Per istruzioni, vedere Creazione di un gruppo dinamico.

Nome del gruppo dinamico	Descrizione	Regole
gdd-cas-dg	Risorse autorità di certificazione	Tutti resource.type='autorità di certificazione' resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_certs_vaults_keys'
gdd-cluster-dg	Risorse del Cluster VM Autonomous	Tutti resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_clusters'
gdd-istanze-dg	Risorse delle istanze di computazione	Tutti resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_instances'

Nome del gruppo dinamico

Descrizione

Regole

gdd-cas-dg

Risorse autorità di certificazione

Tutti

resource.type='autorità di certificazione'

resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_certs_vaults_keys'

gdd-cluster-dg

Risorse del Cluster VM Autonomous

Tutti

resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_clusters'

gdd-istanze-dg

Risorse delle istanze di computazione

Tutti

resource.compartment.id = 'OCID della radice/gdd del tenant del compartimento/gdd_instances'

Argomento padre: Task 3. Crea vincoli di accesso utente

Gruppi utenti

Creare i gruppi riportati di seguito per concedere agli utenti le autorizzazioni per utilizzare le risorse nei compartimenti di Globally Distributed Database.

Per istruzioni, vedere Creazione di un gruppo.

Nome gruppi di utenti	Descrizione
gdd-certificato-admins	Amministratori di certificati che creano e gestiscono chiavi e vault.
gdd-infrastructure-admins	Amministratori dell'infrastruttura che creano e gestiscono le risorse della rete e dell'infrastruttura cloud
utenti gdd	Utenti che creano e gestiscono risorse di Globally Distributed Database utilizzando API e interfaccia utente

Argomento padre: Task 3. Crea vincoli di accesso utente

Criteri

Creare criteri IAM per concedere AI gruppi l'accesso alle risorse create nei compartimenti Globally Distributed Autonomous AI Database.

I criteri di esempio riportati di seguito, che si basano sulla struttura del compartimento e sui gruppi creati in precedenza, dovrebbero guidare la creazione di criteri IAM personalizzati per l'implementazione del database AI autonomo distribuito a livello globale.

Il dominio di Identity, ad esempio Predefinito, deve essere il dominio di Identity in cui sono stati creati i gruppi.

Per istruzioni, vedere Creazione di un criterio.

gdd-certificato-admins-tenant-level

Descrizione: privilegi a livello di tenant per il gruppo gdd-certificate-admins
Compartimento: tenant

delle istruzioni:

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

Descrizione: privilegi a livello di tenant per il gruppo gdd-infrastructure-admins
Compartimento: tenant

delle istruzioni:

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-utenti-livello tenant

Descrizione: privilegi a livello di tenant per il gruppo gdd-users
Compartimento: tenant

delle istruzioni:

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificato-admins

Descrizione: privilegi a livello di compartimento per il gruppo gdd-certificate-admins
Compartimento: tenant/gdd

delle istruzioni:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

Inoltre, se si utilizza Oracle Key Vault sono necessari i criteri riportati di seguito.

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infrastructure-admins

Descrizione: privilegi a livello di compartimento per il gruppo gdd-infrastructure-admins
Compartimento: tenant/gdd

delle istruzioni:

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

utenti gdd

Descrizione: privilegi a livello di compartimento per il gruppo gdd-users
Compartimento: tenant/gdd

delle istruzioni:

Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

Inoltre, se si utilizza Oracle Key Vault sono necessari i criteri riportati di seguito.

Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-cas

Descrizione: privilegi a livello di compartimento per il gruppo dinamico gdd-cas-dg
Compartimento: tenant/gdd

delle istruzioni:

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-cluster

Descrizione: privilegi a livello di compartimento per il gruppo dinamico gdd-clusters-dg
Compartimento: tenant/gdd

delle istruzioni:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

Inoltre, se si utilizza Oracle Key Vault sono necessari i criteri riportati di seguito.

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-km

Descrizione: privilegi a livello di compartimento per Key Management Service
Compartimento: tenant/gdd

delle istruzioni:

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

Descrizione: privilegi a livello di compartimento per Oracle Key Vault
Compartimento: tenant/gdd

delle istruzioni:

Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

Argomento padre: Task 3. Crea vincoli di accesso utente

Task 4. Configurare le risorse di rete

In qualità di amministratore dell'infrastruttura, creare le risorse di rete e abilitare la connettività necessaria per il database distribuito.

Le risorse di esempio sono denominate in queste istruzioni per semplificare il tracciamento e le relazioni. Ad esempio, il nome "gdd_iad" si riferisce alla VCN creata nell'area Ashburn (IAD).

Argomento padre: Configurazione della tenancy

Risorse di rete comuni

Tutte le implementazioni del database AI autonomo distribuito a livello globale richiedono una VCN, una subnet e un endpoint privato nell'area Ashburn (IAD).

Come amministratore dell'infrastruttura, creare le risorse come descritto nella tabella riportata di seguito.

Risorsa	Istruzioni
Rete Cloud virtuale (VCN) + subnet	In Ashburn (IAD), creare la gdd_iad VCN e la subnet gdd_subnet. Questa VCN e questa subnet sono necessarie per abilitare la connettività tra il servizio e i database Globally Distributed Autonomous AI Database nella topologia Globally Distributed Autonomous AI Database. Utilizzare i valori riportati di seguito. Compartimento = gdd / gdd_databases Regione = Ashburn (IAD) Nome subnet = gdd_subnet Tipo di subnet = Regionale La subnet deve essere regionale, estendendo tutti i domini di disponibilità
Endpoint privato	Creare un endpoint privato nell'area Ashburn (IAD) per abilitare la connettività tra il servizio Globally Distributed Autonomous AI Database e i database nella topologia Globally Distributed Autonomous AI Database. Aprire il menu di navigazione, fare clic su Oracle Database, quindi fare clic su Globally Distributed Autonomous AI Database. Fare clic su Endpoint privati nel riquadro di navigazione. Fare clic su Crea endpoint privato. Immettere le informazioni riportate di seguito. Nome: ad esempio gdd_pe Compartimento: gdd/gdd_databases Deve essere il compartimento contenente la subnet dell'area Ashburn creata in precedenza. Sottorete: gdd_subnet Se non viene visualizzata la subnet elencata, verificare che sia stata creata come subnet regionale. Rete cloud virtuale: gdd_iad Aggiungi tag (facoltativo): è possibile selezionare le tag per questa risorsa facendo clic su Mostra opzioni di applicazione tag.

Risorsa

Istruzioni

Rete Cloud virtuale (VCN) + subnet

In Ashburn (IAD), creare la gdd_iad VCN e la subnet gdd_subnet.

Questa VCN e questa subnet sono necessarie per abilitare la connettività tra il servizio e i database Globally Distributed Autonomous AI Database nella topologia Globally Distributed Autonomous AI Database.

Utilizzare i valori riportati di seguito.

Compartimento = gdd / gdd_databases
Regione = Ashburn (IAD)
Nome subnet = gdd_subnet
Tipo di subnet = Regionale

La subnet deve essere regionale, estendendo tutti i domini di disponibilità

Endpoint privato

Creare un endpoint privato nell'area Ashburn (IAD) per abilitare la connettività tra il servizio Globally Distributed Autonomous AI Database e i database nella topologia Globally Distributed Autonomous AI Database.

Aprire il menu di navigazione, fare clic su Oracle Database, quindi fare clic su Globally Distributed Autonomous AI Database.
Fare clic su Endpoint privati nel riquadro di navigazione.
Fare clic su Crea endpoint privato.
Immettere le informazioni riportate di seguito.
- Nome: ad esempio gdd_pe
- Compartimento: gdd/gdd_databases
  Deve essere il compartimento contenente la subnet dell'area Ashburn creata in precedenza.
- Sottorete: gdd_subnet
  Se non viene visualizzata la subnet elencata, verificare che sia stata creata come subnet regionale.
- Rete cloud virtuale: gdd_iad
- Aggiungi tag (facoltativo): è possibile selezionare le tag per questa risorsa facendo clic su Mostra opzioni di applicazione tag.

Argomento padre: Task 4. Configurare le risorse di rete

Risorse di rete aggiuntive basate sulla topologia

A seconda della topologia di Globally Distributed Database in uso, creare risorse di rete aggiuntive come descritto di seguito.

Tenere presente che i database per la topologia includono il catalogo, le partizioni e i database di standby Oracle Data Guard.

Tutte le risorse di rete devono essere create nel compartimento gdd/gdd_databases.

Caso d'uso	Risorse di rete	Peering e connettività
Tutti i database vengono posizionati nell'area Ashburn (IAD)	Crea una subnet e un gateway di servizi nell'area Ashburn (IAD) per i cluster VM Cloud Autonomous. Nell'area Ashburn (IAD), creare i database osd-database-subnet-iad della subnet nella VCN gdd_iad. Nell'area Ashburn (IAD), creare il gateway di servizi gdd_sgw_iad	Peering richiesto Nessuno. Connettività richiesta Connettività illimitata con la subnet gdd_subnet (creata per l'endpoint privato)
Tutti i database sono posizionati in una singola area, R1, che non è Ashburn (IAD)*	Creare una subnet e un gateway di servizi nell'area per i cluster VM Cloud Autonomous. Nell'area R1, creare una VCN gdd_R1 con la subnet osd-database-subnet-R1 Nell'area R1, creare il gateway di servizi gdd_sgw_R1	Peering richiesto gdd_iad ↔ gdd_R1 Connettività richiesta Non limitato tra gdd_iad.gdd_subnet (creato per endpoint privato) e gdd_R1.osd-database-subnet-R1
I database vengono posizionati in più aree R1, R2, ..., RN	Crea subnet e gateway di servizi in ogni area per i cluster VM cloud autonomi. Subnet: Nell'area R1, creare una VCN gdd_R1 con la subnet osd-database-subnet-R1 Nell'area R2, creare una VCN gdd_R2 con la subnet osd-database-subnet-R2 ... Nell'area Rn, creare una VCN gdd_Rn con la subnet osd-database-subnet-Rn Gateway del servizio: Nell'area R1, creare il gateway di servizi gdd_sgw_R1 Nell'area R2, creare il gateway del servizio gdd_sgw_R2 ... Nell'area Rn, creare il gateway del servizio gdd_sgw_Rn	Peering richiesto gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Connettività richiesta Non limitato e bidirezionale tra gdd_iad.gdd_subnet (creato per endpoint privato) e gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn illimitato e bidirezionale tra gdd_R1.osd-database-subnet-R1 e gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn illimitato e bidirezionale tra gdd_R2.osd-database-subnet-R2 e gdd_Rn.osd-database-subnet-Rn

Caso d'uso

Risorse di rete

Peering e connettività

Tutti i database vengono posizionati nell'area Ashburn (IAD)

Crea una subnet e un gateway di servizi nell'area Ashburn (IAD) per i cluster VM Cloud Autonomous.

Nell'area Ashburn (IAD), creare i database osd-database-subnet-iad della subnet nella VCN gdd_iad.
Nell'area Ashburn (IAD), creare il gateway di servizi gdd_sgw_iad

Peering richiesto

Nessuno.

Connettività richiesta

Connettività illimitata con la subnet gdd_subnet (creata per l'endpoint privato)

Tutti i database sono posizionati in una singola area, R1, che non è Ashburn (IAD)*

Creare una subnet e un gateway di servizi nell'area per i cluster VM Cloud Autonomous.

Nell'area R1, creare una VCN gdd_R1 con la subnet osd-database-subnet-R1
Nell'area R1, creare il gateway di servizi gdd_sgw_R1

Peering richiesto

gdd_iad ↔ gdd_R1

Connettività richiesta

Non limitato tra gdd_iad.gdd_subnet (creato per endpoint privato) e gdd_R1.osd-database-subnet-R1

I database vengono posizionati in più aree R1, R2, ..., RN

Crea subnet e gateway di servizi in ogni area per i cluster VM cloud autonomi.

Subnet:

Nell'area R1, creare una VCN gdd_R1 con la subnet osd-database-subnet-R1
Nell'area R2, creare una VCN gdd_R2 con la subnet osd-database-subnet-R2
...
Nell'area Rn, creare una VCN gdd_Rn con la subnet osd-database-subnet-Rn

Gateway del servizio:

Nell'area R1, creare il gateway di servizi gdd_sgw_R1
Nell'area R2, creare il gateway del servizio gdd_sgw_R2
...
Nell'area Rn, creare il gateway del servizio gdd_sgw_Rn

Peering richiesto

gdd_iad ↔ gdd_R1

gdd_iad ↔ gdd_R2

gdd_iad ↔ gdd_Rn

gdd_R1 ↔ gdd_R2

gdd_R1 ↔ gdd_Rn

gdd_R2 ↔ gdd_Rn

Connettività richiesta

Non limitato e bidirezionale tra gdd_iad.gdd_subnet (creato per endpoint privato) e

gdd_R1.osd-database-subnet-R1

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

illimitato e bidirezionale tra gdd_R1.osd-database-subnet-R1 e

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

illimitato e bidirezionale tra gdd_R2.osd-database-subnet-R2 e

gdd_Rn.osd-database-subnet-Rn

*Il piano di controllo del servizio Globally Distributed Database esiste solo nell'area Ashburn (IAD). L'endpoint privato creato in un passo precedente nell'area Ashburn (IAD) viene utilizzato per comunicare con le risorse del Globally Distributed Database nelle rispettive aree.

Argomento padre: Task 4. Configurare le risorse di rete

Task 5. Configura risorse di sicurezza

In qualità di amministratore dei certificati di Globally Distributed Database, creare le risorse del vault, della chiave, dell'autorità di certificazione, del certificato e del bundle CA.

Tutte le risorse di sicurezza vengono create nel compartimento gdd/gdd_certs_vaults_keys.

Attenzione

Dopo aver creato un Globally Distributed Database che fa riferimento a una chiave, non è possibile spostare il vault o le chiavi in un nuovo compartimento senza anche riavviare i container database autonomi che fanno riferimento al vault o alla chiave spostati.

A seconda della topologia di Globally Distributed Database in uso, creare risorse di sicurezza come descritto nelle tabelle riportate di seguito.

I nomi delle risorse di esempio utilizzati nelle tabelle seguenti dovrebbero guidare la creazione di risorse di sicurezza proprie per l'implementazione di Globally Distributed Database.

Argomento padre: Configurazione della tenancy

Distribuzione automatica dei dati, area singola

In questo caso d'uso, le risorse di sicurezza vengono create in un'unica area.

Negli esempi seguenti, tutte le risorse vengono create nell'area R1.

Risorsa	Istruzioni ed esempi
Vault	Creare un vault per le chiavi di cifratura master TDE (Transparent Data Encryption) e CA (Certificate Authority). Nell'area R1, creare il vault gdd_vault_R1 Istruzioni: Creazione di un v Vault
Chiave autorità di certificazione	Nell'area R1, creare la chiave di cifratura master gdd_ca_key_R1 nel vault gdd_vault_R1 Valori attributo obbligatori: Modalità di protezione = HSM Forma chiave: algoritmo = RSA Lunghezza = 2048 Istruzioni: Creare una chiave di cifratura master
Chiave TDE	Nell'area R1, creare la chiave di cifratura master gdd_TDE_key-oraspace nel vault gdd_vault_R1 Valori attributo obbligatori: Modalità di protezione = Software Forma chiave: algoritmo = AES Lunghezza = 256 Istruzioni: Creare una chiave di cifratura master
Autorità di certificazione	Creare una CA per l'emissione di certificati per i cluster VM Cloud Autonomous e le istanze di computazione GSM. Nell'area R1, utilizzando la chiave gdd_ca_key_R1, creare CA gdd_ca_R1 È possibile utilizzare una CA di terze parti per creare un certificato, ma è necessario importare il certificato emesso dalla CA di 3a parte nel servizio certificati OCI. Istruzioni: Creazione di un'autorità di certificato
Certificato	Creare un certificato per il caricamento nei cluster VM Autonomous cloud. Nell'area R1, utilizzando CA gdd_ca_R1, creare il certificato gdd_cert Istruzioni: Creazione di un buono
Bundle CA	Creare un bundle CA per il caricamento nei cluster VM Autonomous cloud. Nell'area R1, creare un bundle CA gdd_cert_bundle contenente la catena di certificati per il certificato gdd_cert Istruzioni: Creazione di un gruppo CA

Argomento padre: Task 5. Configurare le risorse di sicurezza

Distribuzione automatica dei dati, aree principali e in standby

Questa topologia si verifica quando i database primari e in standby vengono posizionati in aree diverse. In questo caso d'uso, le risorse di sicurezza vengono create in un database primario e in un database in standby.

Negli esempi riportati di seguito, le risorse vengono create nelle aree Rp (primario) e Rs (standby).

Risorsa	Istruzioni ed esempi
Vault	Creare i vault per le chiavi di cifratura master CA (Certificate Authority). Nell'area Rp, creare il vault gdd_vault_Rp Nell'area Rs, creare il vault gdd_vault_Rs Istruzioni: Creazione di un v Vault
Vault virtuale replicato	Creare un vault virtuale replicato per la chiave di cifratura master TDE (Transparent Data Encryption). Nell'area Rp, creare il vault virtuale gdd_vault_Rp_Rs replicato nelle aree Rs Istruzioni: Replica di un vault e di chiavi
Chiavi autorità di certificazione	Nell'area Rp, creare la chiave di cifratura master gdd_ca_key_Rp nel vault gdd_vault_Rp Nell'area Rs, creare la chiave di cifratura master gdd_ca_key_Rs nel vault gdd_vault_Rs Valori attributo obbligatori: Modalità di protezione = HSM Forma chiave: algoritmo = RSA Lunghezza = 2048 Istruzioni: Creare una chiave di cifratura master
Chiave TDE	Nell'area Rp, creare la chiave di cifratura master gdd_TDE_key-oraspace nel vault virtuale replicato gdd_vault_Rp_Rs Valori attributo obbligatori: Modalità di protezione = Software Forma chiave: algoritmo = AES Lunghezza = 256 Istruzioni: Creare una chiave di cifratura master
Autorità di certificazione	Crea CA per l'emissione di certificati per i cluster VM Cloud Autonomous e le istanze di computazione GSM. Nell'area Rp, utilizzando la chiave gdd_ca_key_Rp, creare CA gdd_ca_Rp Nell'area Rs, utilizzando la chiave gdd_ca_key_Rs, creare CA gdd_ca_Rs È possibile utilizzare una CA di terze parti per creare un certificato, ma è necessario importare il certificato emesso dalla CA di 3a parte nel servizio certificati OCI. Istruzioni: Creazione di un'autorità di certificato
Certificati	Creare i certificati per il caricamento nei cluster VM Autonomous cloud. Nota: è necessario utilizzare lo stesso nome comune per i certificati nelle aree Rp e Rs. Nell'area Rp, utilizzando CA gdd_ca_Rp, creare il certificato gdd_cert Nell'area Rs, utilizzando CA gdd_ca_Rs, creare il certificato gdd_cert Istruzioni: Creazione di un buono
Bundle CA	Creare i bundle CA per il caricamento nei cluster VM Cloud Autonomous. Nell'area Rp, creare il bundle CA gdd_cert_bundle contenente la catena di certificati per i certificati gdd_cert nelle aree Rp e Rs Nell'area Rs, creare il bundle CA gdd_cert_bundle contenente la catena di certificati per i certificati gdd_cert nelle aree Rp e Rs Istruzioni: Creazione di un gruppo CA

Argomento padre: Task 5. Configurare le risorse di sicurezza

Distribuzione dati gestita dall'utente, area singola

In questo caso d'uso, le risorse di sicurezza vengono create in un'unica area

Negli esempi seguenti, tutte le risorse vengono create nell'area R1.

Risorsa	Istruzioni ed esempi
Vault	Creare un vault per le chiavi di cifratura master TDE (Transparent Data Encryption) e CA (Certificate Authority). Nell'area R1, creare il vault gdd_vault_R1 Istruzioni: Creazione di un v Vault
Chiave autorità di certificazione	Nell'area R1, creare la chiave gdd_ca_key_R1 nel vault gdd_vault_R1 Valori attributo obbligatori: Modalità di protezione = HSM Forma chiave: algoritmo = RSA Lunghezza = 2048 Istruzioni: Creare una chiave di cifratura master
Chiavi TDE	Nell'area R1, creare la chiave gdd_TDE_key-catalog nel vault gdd_vault_R1 per la cifratura del catalogo Nell'area R1, creare la chiave gdd_TDE_key-spaceN nel vault gdd_vault_R1 per la cifratura delle partizioni nello spazio delle partizioni N Valori attributo obbligatori: Modalità di protezione = Software Forma chiave: algoritmo = AES Lunghezza = 256 Istruzioni: Creare una chiave di cifratura master
Autorità di certificazione	Creare una CA per l'emissione di certificati per i cluster VM Cloud Autonomous e le istanze di computazione GSM. Nell'area R1, utilizzando la chiave gdd_ca_key_R1, creare CA gdd_ca_R1 È possibile utilizzare una CA di terze parti per creare un certificato, ma è necessario importare il certificato emesso dalla CA di 3a parte nel servizio certificati OCI. Istruzioni: Creazione di un'autorità di certificato
Certificato	Creare un certificato per il caricamento nei cluster VM Autonomous cloud. Nell'area R1, utilizzando la chiave CA gdd_ca_R1, creare il certificato gdd_cert Istruzioni: Creazione di un buono
Bundle CA	Creare un bundle CA per il caricamento nei cluster VM Autonomous cloud. Nell'area R1, creare un bundle CA gdd_cert_bundle contenente la catena di certificati per il certificato gdd_cert Istruzioni: Creazione di un gruppo CA

Argomento padre: Task 5. Configurare le risorse di sicurezza

Distribuzione dati gestita dall'utente, più aree

In questo caso d'uso, le risorse di sicurezza vengono create in ogni area in cui verrà posizionato un database.

Questa topologia può risultare quando una delle due condizioni seguenti è vera o entrambe:

I database del catalogo primario e delle partizioni vengono posizionati in aree diverse
I database all'interno di uno spazio delle partizioni vengono posizionati in aree diverse

Le risorse di sicurezza vengono create in ogni area, R1, ..., Rn, dove verrà posizionato un database.

Risorsa	Istruzioni ed esempi
Vault	Creare un vault in ogni area per le chiavi di cifratura master CA (Certificate Authority). Nell'area R1, creare il vault gdd_vault_R1 Nell'area R2, creare il vault gdd_vault_R2 ... Nell'area Rn, creare il vault gdd_vault_Rn Istruzioni: Creazione di un v Vault
Vault virtuali replicati	Crea vault virtuali replicati per le chiavi di cifratura master TDE (Transparent Data Encryption). Per ogni database, catalogo o partizione, con una region primaria, Rp, diversa dalla relativa standby region, Rs: Creare un vault virtuale, gdd_vault_Rp_Rs, nell'area primaria del database, Rp, replicato nell'area di standby del database, Rs. Replica di un vault e di chiavi
Chiavi autorità di certificazione	Nell'area R1, creare la chiave gdd_ca_key_R1 nel vault gdd_vault_R1 Nell'area R2, creare la chiave gdd_ca_key_R2 nel vault gdd_vault_R2 ... Nell'area Rn, creare la chiave gdd_ca_key_Rn nel vault gdd_vault_Rn Valori attributo obbligatori: Modalità di protezione = HSM Forma chiave: algoritmo = RSA Lunghezza = 2048 Istruzioni: Creare una chiave di cifratura master
Chiavi TDE	Per ogni database, catalogo o partizione, che non dispone di database in standby o ha una standby region uguale alla sua region primaria: Crea il catalogo di chiavi gdd_TDE_key per il database del catalogo nel vault nell'area in cui è posizionato il database del catalogo Creare la chiave gdd_TDE_key-spaceN per un database dello spazio delle partizioni nel vault nell'area in cui è posizionato il database della partizione Per ogni database, catalogo o partizione, con un'area primaria diversa da quella geografica: Crea il catalogo di chiavi gdd_TDE_key nel vault virtuale replicato nell'area in cui è posizionato il database primario del catalogo Creare la chiave gdd_TDE_key-spaceN nel vault virtuale replicato nell'area in cui viene posizionato il database primario della partizione Valori attributo obbligatori: Modalità di protezione = Software Forma chiave: algoritmo = AES Lunghezza = 256 Istruzioni: Creare una chiave di cifratura master
Autorità di certificazione	Creare un'autorità di certificazione (CA) in ogni area per l'emissione di certificati per i cluster VM Cloud Autonomous e le istanze di computazione GSM. Nell'area R1, utilizzando la chiave gdd_ca_key_R1, creare CA gdd_ca_R1 Nell'area R2, utilizzando la chiave gdd_ca_key_R2, creare CA gdd_ca_R2 ... Nell'area Rn, utilizzando la chiave gdd_ca_key_Rn, creare CA gdd_ca_Rn È possibile utilizzare una CA di terze parti per creare un certificato, ma è necessario importare il certificato emesso dalla CA di 3a parte nel servizio certificati OCI. Istruzioni: Creazione di un'autorità di certificato
Certificati	Creare i certificati in ogni area per il caricamento nei cluster VM Autonomous cloud. Nota: è necessario utilizzare lo stesso nome comune per i certificati in tutte le aree. Nell'area R1, utilizzando CA gdd_ca_R1, creare il certificato gdd_cert Nell'area R2, utilizzando CA gdd_ca_R2, creare il certificato gdd_cert ... Nell'area Rn, utilizzando CA gdd_ca_Rn, creare il certificato gdd_cert Istruzioni: Creazione di un buono
Bundle CA	Creare i bundle CA per il caricamento nei cluster VM Cloud Autonomous. Nell'area R1, creare il bundle CA gdd_cert_bundle contenente la catena di certificati per i certificati gdd_cert nelle aree R1, R2, ..., Rn Nell'area R2, creare il bundle CA gdd_cert_bundle contenente la catena di certificati per i certificati gdd_cert nelle aree R1, R2, ..., Rn ... Nell'area Rn, creare il bundle CA gdd_cert_bundle contenente la catena di certificati per i certificati gdd_cert nelle aree R1, R2, ..., Rn Istruzioni: Creazione di un gruppo CA

Argomento padre: Task 5. Configurare le risorse di sicurezza

Task 6. Crea risorse Exadata

Come amministratore dell'infrastruttura, configura la topologia di Globally Distributed Autonomous AI Database nei passi riportati di seguito.

Argomento padre: Configurazione della tenancy

Considerazioni sulle risorse Exadata

Tenere a mente quanto segue:

Il servizio Globally Distributed Autonomous AI Database supporta solo Exadata Quarter Rack a due nodi.
Un'infrastruttura Exadata si trova in un'area specifica. Ciò significa che ogni area in cui si prevede di posizionare un catalogo o un database delle partizioni richiederà un'infrastruttura Exadata.
È necessario creare un cluster VM Cloud Autonomous per ogni catalogo e database delle partizioni che si prevede di distribuire in Globally Distributed Autonomous AI Database.
Le partizioni e i database del catalogo possono essere posizionati contemporaneamente in un determinato cluster VM Cloud Autonomous. Tuttavia, l'uso di un cluster VM Cloud Autonomous comune per il catalogo e il database delle partizioni può causare un collo di bottiglia nell'elaborazione.

Argomento padre: Task 6. Crea risorse Exadata

Crea istanze infrastruttura Exadata

Creare le risorse dell'infrastruttura Exadata nel compartimento gdd/gdd_exadata.

Seguire le istruzioni riportate in Crea una risorsa dell'infrastruttura Exadata.

Argomento padre: Task 6. Crea risorse Exadata

Importa spazio di nomi tag Oracle-ApplicationName

Importare lo spazio di nomi delle tag Oracle-ApplicationName nel compartimento radice della tenancy.

Nel menu di navigazione della console cloud selezionare Governance e amministrazione, quindi Aree di nomi tag (nella categoria Gestione tenancy).
Nel pannello Spazi di nomi tag, verificare se lo spazio di nomi Oracle-ApplicationName esiste nel compartimento radice della tenancy.

Assicurarsi che il compartimento radice della tenancy sia selezionato in Ambito lista.
Se l'elenco non contiene Oracle-ApplicationName, effettuare le operazioni riportate di seguito.
1. Fare clic su Importa tag standard (sopra l'elenco).
2. Selezionare la casella di controllo accanto allo spazio di nomi Oracle-ApplicationName e fare clic su Importa.

Argomento padre: Task 6. Crea risorse Exadata

Crea cluster VM Autonomous cloud

Creare un cluster per ogni database nella topologia di Globally Distributed Database.

Per informazioni sui passi da eseguire per creare i cluster, vedere Creare un cluster VM Autonomous Exadata.

Durante la creazione dei cluster, assicurarsi di effettuare le operazioni riportate di seguito.

È necessario definire la tag seguente durante la creazione di ogni cluster:

Oracle-ApplicationName.Other_Oracle_Application: Sharding

Prima di poter aggiungere la tag a un cluster VM Autonomous Exadata, è necessario importare lo spazio di nomi della tag.

Nota
Dopo aver contrassegnato un cluster per l'uso in un database distribuito a livello globale, continuerà a fatturare per la SKU del database distribuito a livello globale fino all'eliminazione del cluster.
Creare cluster nel compartimento gdd/gdd_clusters.
Per la release 26ai: se si prevede di utilizzare i database della release 26ai, controllare la sezione dei prerequisiti in Crea un cluster VM Autonomous Exadata per i requisiti della versione software del database 26ai.
Quando i cluster sono impostati, devono essere impostati sullo stesso fuso orario.
Si consiglia di utilizzare un cluster VM per database (shard o catalogo).

Argomento padre: Task 6. Crea risorse Exadata

Task 7. Caricare i certificati del cluster VM Autonomous cloud

L'amministratore del certificato ha creato l'autorità di certificazione, i certificati e il bundle CA nel compartimento gdd/gdd_certs_vaults_keys. Ora si carica il bundle CA in ogni cluster VM Autonomous Exadata.

Importante

Il bundle CA caricato deve essere identico per tutti i cluster VM Autonomous Exadata.
Il nome comune del certificato deve essere identico per tutti i cluster VM Autonomous Exadata.

Per ulteriori informazioni, vedere Gestire i certificati di sicurezza per una risorsa cluster VM Autonomous Exadata.

Argomento padre: Configurazione della tenancy

(Facoltativo) Crea chiave API e vincoli utente

Crea una coppia di chiavi API OCI se intendi utilizzare direttamente l'API REST di Globally Distributed Database, i kit di sviluppo software OCI e l'interfaccia della riga di comando.

Seguire le istruzioni in Chiavi e OCID obbligatori.

Se si desidera impostare i controlli utente sulle API, vedere Autorizzazioni per le API di Globally Distributed Autonomous AI Database.

Argomento padre: Configurazione della tenancy