Configurazione della tenancy

Prima di poter utilizzare i servizi Globally Distributed Database di Oracle per creare e gestire un database distribuito, è necessario eseguire questi task preparatori per organizzare la tenancy, creare criteri per le varie risorse, quindi procurarsi e configurare le risorse di rete, sicurezza e infrastruttura.

• Task 1. Iscriviti alla Regione di Ashburn

• Task 2. Crea compartimenti

• Task 3. Crea vincoli di accesso utente

• Task 4. Configura risorse di rete

• Task 5. Configurare le risorse di sicurezza

• Task 6. Crea risorse Exadata

• (Facoltativo) Crea chiave API e vincoli utente

Task 1. Iscriviti alla Regione di Ashburn

In qualità di amministratore del tenant, eseguire la sottoscrizione all'area Ashburn (IAD) e a tutte le aree necessarie per eseguire l'implementazione di Globally Distributed Exadata Database on Exascale Infrastructure.

1. Eseguire la sottoscrizione all'area Ashburn (IAD).

   • Per utilizzare il servizio, è necessario effettuare la sottoscrizione all'area Ashburn.

   • L'area di origine della tenancy non deve essere l'area Ashburn, ma è necessario effettuare la sottoscrizione all'area Ashburn per utilizzare i servizi Globally Distributed Database di Oracle.

2. Eseguire la sottoscrizione a qualsiasi altra area geografica in cui verrà inserito un database.

   • Esegui la sottoscrizione a qualsiasi area geografica in cui prevedi di posizionare i database per l'implementazione, inclusi i database per il catalogo, le partizioni e il database di standby Oracle Data Guard facoltativo per il catalogo.

     Nota: Globally Distributed Exadata Database on Exascale Infrastructure supporta solo la creazione di partizioni in due aree. Inoltre, per ottenere le migliori prestazioni, i database distribuiti che utilizzano la replica Raft devono disporre di partizioni nella stessa area.

Per ulteriori informazioni, vedere Gestione delle aree.

Task 2. Crea compartimenti

Come amministratore del tenant, crea compartimenti nella tua tenancy per tutte le risorse richieste dal servizio Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Oracle consiglia la struttura riportata di seguito e ai compartimenti riportati di seguito viene fatto riferimento durante i task di impostazione.

• Compartimento "padre" per l'intera distribuzione. Negli esempi si tratta di gdd.

• Compartimenti "bambini" per ciascuno dei vari tipi di risorse:

  • gdd_certs_vaults_keys per autorità di certificazione, certificati, bundle di certificati, vault e chiavi

  • gdd_databases per database, cluster VM, VCN, subnet, endpoint privati e risorse Globally Distributed Exadata Database on Exascale Infrastructure.

  • gdd_instances per le istanze di computazione per gli Application Server (nodo edge/host jump che fungono da bastion per la connessione al database)

La struttura del compartimento risultante assomiglierà a quanto segue:

tenant /
     gdd /
          gdd_certs_vaults_keys
          gdd_databases
          gdd_instances

Per ulteriori informazioni, vedere Utilizzo dei compartimenti.

Task 3. Crea vincoli di accesso utente

Formulare un piano di controllo dell'accesso, quindi istituirlo creando risorse IAM (Identity and Access Management) appropriate. Di conseguenza, il controllo dell'accesso all'interno di un database distribuito viene implementato a vari livelli, definiti dai gruppi e dai criteri qui riportati.

I gruppi di utenti, i gruppi dinamici e i criteri descritti nelle tabelle riportate di seguito dovrebbero guidare la creazione del proprio piano di controllo dell'accesso utente per l'implementazione del database distribuito.

L'amministratore del tenant deve creare i gruppi, i gruppi dinamici e i criteri consigliati riportati di seguito per concedere le autorizzazioni ai ruoli definiti in precedenza. Gli esempi e i collegamenti alla documentazione presuppongono che la tenancy utilizzi i domini di Identity.

Introduzione alla separazione dei ruoli

Devi assicurarti che i tuoi utenti cloud abbiano accesso per utilizzare e creare solo i tipi appropriati di risorse cloud per svolgere le loro mansioni lavorative. Una best practice consiste nel definire i ruoli ai fini della separazione dei ruoli.

I ruoli e le responsabilità descritti nella tabella seguente devono guidare l'utente nella comprensione di come definire gruppi di utenti, gruppi dinamici e criteri per l'implementazione di ExaDB-XS distribuito. I ruoli di esempio riportati qui vengono utilizzati in tutte le istruzioni di impostazione dell'ambiente, creazione delle risorse e gestione.

Ruoli	Responsabilità
Amministratore tenant	Sottoscrivi aree Crea compartimenti Creare gruppi dinamici, gruppi di utenti e criteri
Amministratore dell'infrastruttura	Crea/Aggiorna/Elimina virtual-network-family Crea/Aggiorna/Elimina infrastruttura Exadata Crea/aggiorna/elimina cluster VM Exadata Contrassegna cluster VM Exadata Crea/Aggiorna/Elimina endpoint privati di Globally Distributed Database
Amministratore certificato	Creazione, aggiornamento ed eliminazione del vault Crea/aggiorna/elimina chiavi
User	Crea e gestisce i database distribuiti a livello globale utilizzando interfacce utente e API

Gruppi dinamici

Creare i gruppi dinamici seguenti per controllare l'accesso alle risorse create nei compartimenti Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Per istruzioni, vedere Creazione di un gruppo dinamico.

Nome del gruppo dinamico	Descrizione	Regole
gdd-cas-dg	Risorse autorità di certificazione	Tutti resource.type='certificateauthority' resource.compartment.id = 'OCID della radice del tenant del compartimento / gdd / gdd_certs_vaults_keys'
gdd-cluster-dg	Risorse del cluster VM del database Exadata	Tutti resource.compartment.id = 'OCID della radice del tenant del compartimento / gdd / gdd_databases'
gdd-istanze-dg	Risorse delle istanze di computazione	Tutti resource.compartment.id = 'OCID della radice del tenant del compartimento / gdd / gdd_instances'

Gruppi utenti

Creare i gruppi riportati di seguito per concedere agli utenti le autorizzazioni per utilizzare le risorse nei compartimenti di Globally Distributed Database.

Per istruzioni, vedere Creazione di un gruppo.

Nome gruppi di utenti	Descrizione
gdd-certificato-admins	Amministratori di certificati che creano e gestiscono chiavi e vault.
gdd-infrastructure-admins	Amministratori dell'infrastruttura che creano e gestiscono le risorse della rete e dell'infrastruttura cloud
utenti gdd	Utenti che creano e gestiscono risorse di Globally Distributed Database utilizzando API e interfaccia utente

Criteri

Creare criteri IAM per concedere ai gruppi l'accesso alle risorse create nei compartimenti per la tenancy Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Tenere presente che su Oracle Cloud è disponibile più di un servizio Globally Distributed Database. Questi criteri sono specifici del servizio Globally Distributed Exadata Database on Exascale Infrastructure.

I criteri di esempio riportati di seguito, basati sulla struttura del compartimento e sui gruppi creati in precedenza, dovrebbero guidare la creazione di criteri IAM personalizzati per l'implementazione.

Il dominio di Identity, ad esempio Predefinito, deve essere il dominio di Identity in cui sono stati creati i gruppi.

Per istruzioni, vedere Creazione di un criterio.

gdd-certificato-admins-livello tenant

• Descrizione: privilegi a livello di tenant per il gruppo gdd-certificate-admins

• Compartimento: tenant

• delle istruzioni:

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

• Descrizione: privilegi a livello di tenant per il gruppo gdd-infrastructure-admins

• Compartimento: tenant

• delle istruzioni:

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-utenti-livello tenant

• Descrizione: privilegi a livello di tenant per il gruppo gdd-users

• Compartimento: tenant

• delle istruzioni:

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificato-admins

• Descrizione: privilegi a livello di compartimento per il gruppo gdd-certificate-admins

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd-infrastructure-admins

• Descrizione: privilegi a livello di compartimento per il gruppo gdd-infrastructure-admins

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

utenti gdd

• Descrizione: privilegi a livello di compartimento per il gruppo gdd-users

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
  Allow service database to manage recovery-service-family in compartment gdd
  Allow service rcs to manage recovery-service-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
  Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

• Descrizione: privilegi a livello di compartimento per il gruppo dinamico gdd-cas-dg

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-cluster

• Descrizione: privilegi a livello di compartimento per il gruppo dinamico gdd-clusters-dg

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-km

• Descrizione: privilegi a livello di compartimento per Key Management Service

• Compartimento: tenant/gdd

• delle istruzioni:

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

Task 4. Configurare le risorse di rete

In qualità di amministratore dell'infrastruttura, creare le risorse di rete e abilitare la connettività necessaria per il database distribuito.

Le risorse di esempio sono denominate in queste istruzioni per semplificare il tracciamento e le relazioni. Ad esempio, il nome gdd_iad si riferisce alla VCN creata nell'area Ashburn (IAD).

Risorse di rete comuni

Tutte le implementazioni di Globally Distributed Exadata Database on Exascale Infrastructure (Distributed ExaDB-XS) richiedono una VCN, una subnet e un endpoint privato nell'area Ashburn (IAD).

Come amministratore dell'infrastruttura, creare le risorse come descritto qui.

Subnet rete cloud virtuale (VCN)+

In Ashburn (IAD), creare la gdd_iad VCN e la subnet gdd_subnet.

Questa VCN e subnet sono necessarie per abilitare la connettività tra il servizio ExaDB-XS distribuito e i database nella topologia.

Utilizzare i valori riportati di seguito.

• Compartimento = gdd/gdd_databases

• Regione = Ashburn (IAD)

• Nome subnet = gdd_subnet

• Tipo di subnet = Regionale

  La subnet deve essere regionale, estendendo tutti i domini di disponibilità

Vedere VCN e subnet per i passi da eseguire per crearle.

Endpoint privato

Creare un endpoint privato nell'area Ashburn (IAD) per abilitare la connettività tra il servizio ExaDB-XS distribuito e i database nella topologia.

1. Aprire il menu di navigazione, selezionare Oracle AI Database, quindi Globally Distributed Exadata Database on Exascale Infrastructure.

2. Selezionare Endpoint privati nel riquadro di navigazione.

3. Selezionare Crea endpoint privato.

4. Immettere le informazioni riportate di seguito.

   • Nome: ad esempio gdd_pe

   • Compartimento: gdd/gdd_databases

     Deve essere il compartimento contenente la subnet dell'area Ashburn creata in precedenza.

   • Subnet: gdd_subnet

     Se non viene visualizzata la subnet elencata, verificare che sia stata creata come subnet regionale.

   • Rete cloud virtuali: gdd_iad

5. Aggiungi tag (facoltativo): è possibile selezionare le tag per questa risorsa selezionando Mostra opzioni di applicazione tag.

Per ulteriori informazioni su questa risorsa, vedere Crea e gestisci endpoint privati.

Risorse di rete aggiuntive basate sulla topologia

A seconda della topologia Oracle Globally Distributed Exadata Database on Exascale Infrastructure, crea risorse di rete aggiuntive come descritto di seguito.

Tenere presente che i database per la topologia includono il catalogo, le partizioni e il database di standby Oracle Data Guard facoltativo per il catalogo.

Tutte le risorse di rete devono essere create nel compartimento gdd/gdd_databases.

Tutti i database vengono inseriti nell'area Ashburn (IAD)

Creare una subnet e un gateway di servizi nell'area Ashburn (IAD) per i cluster VM del database Exadata Cloud.

• Nell'area Ashburn (IAD), creare la subnet osd-databases-subnet-iad nella VCN gdd_iad.

• Nell'area Ashburn (IAD), creare il gateway di servizi gdd_sgw_iad

Peering richiesto: nessuno

Connettività richiesta: connettività illimitata con la sottorete gdd_subnet

Tutti i database vengono posizionati in una singola area, R1, che non è Ashburn (IAD)

Creare una subnet e un gateway di servizi nell'area per i cluster VM del database Exadata Cloud.

• Nell'area R1, creare la gdd_R1 VCN con la subnet osd-database-subnet-R1

• Nell'area R1, creare il gateway del servizio gdd_sgw_R1

Peering richiesto: gdd_iad ↔ gdd_R1

Connettività richiesta: illimitata tra gdd_iad.gdd_subnet e gdd_R1.osd-database-subnet-R1

I database sono posizionati in più aree R1, R2, …, RN

Crea subnet e gateway di servizi in ogni area per i cluster VM del database Exadata Cloud.

Subnet:

• Nell'area R1, creare la gdd_R1 VCN con la subnet osd-database-subnet-R1

• Nell'area R2, creare una gdd_R2 VCN con la subnet osd-database-subnet-R2

• …

• Nell'area Rn, creare la gdd_Rn VCN con la subnet osd-database-subnet-Rn

Gateway del servizio:

• Nell'area R1, creare il gateway del servizio gdd_sgw_R1

• Nell'area R2, creare il gateway del servizio gdd_sgw_R2

• …

• Nell'area Rn, creare il gateway del servizio gdd_sgw_Rn

Peering richiesto:

• gdd_iad ↔ gdd_R1

• gdd_iad ↔ gdd_R2

• gdd_iad ↔ gdd_Rn

• gdd_R1 ↔ gdd_R2

• gdd_R1 ↔ gdd_Rn

• gdd_R2 ↔ gdd_Rn

Connettività richiesta: illimitata e bidirezionale tra gdd_iad.gdd_subnet e:

• gdd_R1.osd-database-subnet-R1

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Non limitato e bidirezionale tra gdd_R1.osd-database-subnet-R1 e:

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Non limitato e bidirezionale tra gdd_R2.osd-database-subnet-R2 e gdd_Rn.osd-database-subnet-Rn

Nota: il piano di controllo del servizio Oracle Globally Distributed Exadata Database on Exascale Infrastructure esiste solo nell'area Ashburn (IAD). L'endpoint privato creato in un passo precedente nell'area Ashburn (IAD) viene utilizzato per comunicare con le risorse del database distribuito nelle rispettive aree.

Le istruzioni per la creazione delle risorse sono disponibili all'indirizzo:

• VCN e subnet

• Creazione di un gateway del servizio

• Peering di VCN in aree diverse tramite un DRG

Task 5. Configura risorse di sicurezza

Tutte le risorse di sicurezza vengono create nel compartimento gdd/gdd_certs_vaults_keys.

Attenzione: dopo aver creato un database distribuito che fa riferimento a una chiave, non è possibile spostare il vault o le chiavi in un nuovo compartimento senza anche riavviare i container database che fanno riferimento al vault o alla chiave spostati.

Crea un v Vault

Creare un vault nel compartimento gdd/gdd_certs_vaults_keys per le chiavi di cifratura master TDE (Transparent Data Encryption) nell'area in cui risiederanno i database delle partizioni.

Ad esempio, nell'area R1, creare il vault gdd_vault_R1.

Per informazioni dettagliate sulla creazione di un vault, vedere Creazione di un vault.

Creare una chiave TDE

Creare la chiave di cifratura master per accedere al database.

Ad esempio, creare la chiave di cifratura master gdd_TDE_key-oraspace nel vault gdd_vault_R1 con gli attributi seguenti.

• Modalità di protezione = Software

• Forma chiave: algoritmo = AES

• Lunghezza = 256

Per informazioni dettagliate sulla creazione delle chiavi di cifratura master, vedere Creare una chiave di cifratura master.

Task 6. Crea risorse Exadata

Come amministratore dell'infrastruttura, configura la topologia Oracle Globally Distributed Exadata Database on Exascale Infrastructure nei passi seguenti.

Importa spazio di nomi tag Oracle-ApplicationName

Importare lo spazio di nomi delle tag Oracle-ApplicationName nel compartimento radice della tenancy.

1. Nel menu di navigazione della console cloud selezionare Governance e amministrazione, quindi Aree di nomi tag (nella categoria Gestione tenancy).

2. Nel pannello Spazi di nomi tag, verificare se lo spazio di nomi Oracle-ApplicationName esiste nel compartimento radice della tenancy.

   Assicurarsi che il compartimento radice della tenancy sia selezionato in Ambito lista.

3. Se l'elenco non contiene Oracle-ApplicationName, effettuare le operazioni riportate di seguito.

   1. Selezionare Importa tag standard (sopra l'elenco).

   2. Selezionare la casella di controllo accanto allo spazio di nomi Oracle-ApplicationName e selezionare Importa.

Crea cluster VM Exadata su infrastruttura Exascale

Creare un cluster VM utilizzando il servizio Exadata Database Service on Exascale Infrastructure per il database del catalogo, il database del catalogo di standby Data Guard facoltativo e ogni database delle partizioni, si prevede di distribuire nella topologia ExaDB-XS distribuita.

Durante la creazione dei cluster VM, utilizzare i requisiti e i suggerimenti riportati di seguito.

• Si consiglia di utilizzare un cluster VM per database (shard, catalogo, standby del catalogo).

  È possibile posizionare contemporaneamente un database delle partizioni e un database del catalogo in un determinato cluster VM. Tuttavia, l'uso di un cluster VM comune sia per il catalogo che per la partizione può causare un collo di bottiglia nell'elaborazione.

• Creare cluster a nodo singolo. Sono supportati solo cluster a nodo singolo.

• Compartimento: creare i cluster VM nel compartimento gdd/gdd_clusters della tenancy.

• ECPU abilitate per ogni VM: abilita 8 ECPU per i cluster VM destinati alle partizioni.

• Storage del database: puoi utilizzare lo stesso vault per tutti i cluster VM (catalogo e partizioni), a condizione che tu configuri una capacità di storage minima di 500 GB per ogni database nella topologia.

  Ad esempio, se si dispone di 3 partizioni e 1 catalogo, lo storage minimo totale necessario è 500 GB x 4 = 2000 GB. In questo caso, crei un singolo vault con una capacità di storage minima di 2000 GB.

• Fuso orario: impostare tutti i cluster VM nella topologia sullo stesso fuso orario. Questa impostazione si trova in Opzioni avanzate.

• Tag: aggiungere la tag definita Oracle-ApplicationName.Other_Oracle_Application: Sharding. Questa impostazione si trova in Opzioni avanzate.

  Prima di poter aggiungere la tag, è necessario importare lo spazio di nomi della tag come descritto in Importa spazio di nomi tag Oracle-ApplicationName.

  Nota: una volta contrassegnato un cluster VM per l'uso in un database distribuito, continuerà a fatturare tale SKU fino all'eliminazione del cluster VM.

Per informazioni sui passi da eseguire per creare i cluster, vedere Gestisci cluster VM.

(Facoltativo) Crea chiave API e vincoli utente

Crea una coppia di chiavi API OCI se intendi utilizzare direttamente l'API REST di Globally Distributed Database, i kit di sviluppo software OCI e l'interfaccia della riga di comando.

Seguire le istruzioni in Chiavi e OCID obbligatori.

Se si desidera impostare i controlli utente sulle API, vedere Autorizzazioni per le API di Globally Distributed Database.