Crea risorse Oracle Cloud

Scopri come creare un compartimento, una VCN, una subnet, utenti e gruppi di utenti prima di iniziare a usare Oracle Cloud Infrastructure GoldenGate.

Creare un compartimento

I compartimenti consentono di organizzare e controllare l'accesso alle risorse cloud. Si tratta di un contenitore logico che è possibile utilizzare per raggruppare le risorse cloud correlate e consentire l'accesso a gruppi di utenti specifici.

Quando ti iscrivi a Oracle Cloud Infrastructure, Oracle crea la tua tenancy, che è il compartimento radice che contiene tutte le tue risorse cloud. Successivamente, creerai compartimenti aggiuntivi all'interno della tenancy e i criteri corrispondenti per controllare l'accesso alle risorse in ogni compartimento.

Per creare un compartimento, procedere come segue.

1. Aprire il menu di navigazione della console di Oracle Cloud, quindi selezionare Identità e sicurezza.

2. In Identità selezionare Compartimenti. Viene visualizzata una lista dei compartimenti a cui si ha accesso.

3. Andare al compartimento in cui si desidera creare il nuovo compartimento.

   • Per creare il compartimento nella tenancy (compartimento radice), selezionare Crea compartimento.

   • Per creare il compartimento in un compartimento diverso dalla tenancy (compartimento radice), selezionare la gerarchia dei compartimenti fino a raggiungere la pagina dei dettagli del compartimento in cui si desidera creare il compartimento. Nella pagina Dettagli compartimento selezionare Crea compartimento.

4. Nella finestra di dialogo Crea compartimento, completare i campi come indicato di seguito.

   1. In Nome, immettere un nome univoco per il compartimento, non più di 100 caratteri (include lettere, numeri, punti, trattini e caratteri di sottolineatura). Il nome deve essere univoco in tutti i compartimenti della tenancy. Evitare di fornire informazioni riservate.

   2. In Descrizione, immettere una descrizione che consenta di distinguere il compartimento dagli altri.

   3. Per Compartimento padre, verificare che si tratti del compartimento in cui si desidera creare il compartimento. Per scegliere un compartimento diverso, selezionarne uno dall'elenco a discesa.

   4. (Facoltativo) Per Spazio di nomi tag, è possibile aggiungere una tag in formato libero per facilitare la ricerca delle risorse nella console di Oracle Cloud. Selezionare + Altra tag per aggiungere altre tag.

   5. Selezionare Crea compartimento.

Il compartimento viene visualizzato nell'elenco Compartimenti dopo la sua creazione. È ora possibile creare criteri e aggiungere risorse al compartimento.

Creare una rete e una subnet cloud virtuali

Una rete cloud virtuale (VCN, virtual cloud network) è una rete configurata nei data center di Oracle Cloud Infrastructure in una determinata area. Una subnet è una suddivisione di una VCN.

OCI GoldenGate richiede una VCN e almeno una subnet privata con un gateway NAT. Una tabella di instradamento con una regola di instradamento che reindirizza il traffico al gateway NAT per la subnet privata deve essere disponibile. Se si desidera abilitare la connettività utilizzando un endpoint pubblico, è necessaria anche una subnet pubblica e la VCN deve includere un gateway Internet. Deve essere disponibile una tabella di instradamento con una regola di instradamento che reindirizza il traffico al gateway Internet per la subnet pubblica.

Per creare una VCN e una subnet, procedere come segue.

1. Aprire il menu di navigazione della console di Oracle Cloud, selezionare Networking e quindi Reti cloud virtuali.

2. Nella pagina Reti cloud virtuali confermare la selezione del compartimento o selezionare un compartimento diverso.

3. Dal menu Azioni selezionare Avvia procedura guidata VCN.

4. Nel pannello Avvia procedura guidata VCN selezionare Crea VCN con connettività Internet, quindi selezionare Avvia procedura guidata VCN.

5. Nella pagina Configurazione, in Informazioni di base, immettere un nome della VCN.

6. In Compartimento, selezionare il compartimento in cui creare questa VCN.

7. Selezionare Next.

8. Nella pagina Rivedi e crea verificare i dettagli della configurazione, quindi selezionare Crea.

Selezionare Visualizza dettagli VCN per verificare che sia stata creata una subnet pubblica che privata.

Crea utenti

Creare utenti da aggiungere ai gruppi che possono accedere alle risorse OCI GoldenGate.

Prima di creare utenti, tenere presente quanto riportato di seguito.

• La gestione degli utenti della distribuzione OCI GoldenGate dipende dal fatto che la tenancy utilizzi o meno OCI IAM con i domini di Identity. Vedere Gestisci utenti distribuzione.

• I nomi utente devono essere univoci tra tutti gli utenti all'interno della tenancy

• I nomi utente non sono modificabili

• Gli utenti non dispongono di autorizzazioni finché non vengono inseriti in un gruppo

Per creare utenti, procedere come segue.

1. Aprire il menu di navigazione della console di Oracle Cloud, selezionare Identità e sicurezza, quindi in Identità selezionare Domini.

2. Nella pagina Domini, confermare la selezione del Compartimento o passare a un altro compartimento.

3. Nell'elenco Domini selezionare Predefinito per accedere al dominio predefinito oppure selezionare Crea dominio per crearne uno nuovo.

4. Selezionare il dominio dall'elenco.

5. Nella pagina dei dettagli Domini selezionare Gestione utenti.

6. Nella pagina Utenti, selezionare Crea utente.

7. Nella pagina Crea utente, completare i campi come indicato di seguito.

   1. Immettere il nome, il cognome e l'indirizzo di posta elettronica dell'utente, che può essere utilizzato anche come nome utente.

      Nota: il nome deve essere univoco tra tutti gli utenti nella tenancy. Impossibile modificare questo valore in un secondo momento. Il nome utente non può contenere spazi e può essere costituito solo da lettere latine di base (ASCII), numeri, trattini, punti, caratteri di sottolineatura, + e @.

   2. Per Gruppi, selezionare i gruppi a cui assegnare l'utente.

8. Selezionare Crea.

È quindi possibile aggiungere l'utente a un gruppo e creare criteri che consentono al gruppo di accedere alle risorse. Per ulteriori informazioni sugli utenti, vedere Gestione degli utenti.

Crea gruppi

Un gruppo è una raccolta di utenti che richiedono lo stesso tipo di accesso a un set di risorse o compartimenti.

Prima di creare un gruppo, comprendere quanto riportato di seguito.

• Il nome del gruppo deve essere univoco all'interno della tenancy.

• Una volta creato, il nome del gruppo non può essere modificato.

• Un gruppo non dispone di autorizzazioni a meno che non si scriva almeno un'autorizzazione che concede al gruppo l'autorizzazione a una tenancy o a un compartimento.

Per creare un gruppo, effettuare le operazioni riportate di seguito.

1. Aprire il menu di navigazione della console di Oracle Cloud, selezionare Identità e sicurezza, quindi in Identità selezionare Domini.

2. Nella pagina Domini, confermare la selezione del Compartimento o modificare il compartimento.

3. Selezionare un dominio dall'elenco.

4. Nella pagina dei dettagli del dominio selezionare Gestione utenti.

5. In Gruppi selezionare Crea gruppo.

6. Nella pagina Crea gruppo, effettuare le operazioni riportate di seguito.

   1. Per Nome, immettere un nome univoco per il gruppo.

      Nota: una volta creato il gruppo, non è possibile modificarne il nome. Il nome del gruppo deve essere univoco all'interno della tenancy. Il nome del gruppo può contenere da 1 a 100 caratteri alfanumerici, lettere maiuscole o minuscole e può contenere punti, lineette, trattini, ma senza spazi

   2. In Descrizione, immettere una descrizione descrittiva.

7. Selezionare se un utente può richiedere l'accesso a questo gruppo.

8. Nella lista Utenti, selezionare gli utenti da assegnare a questo gruppo.

9. Selezionare Crea.

Un gruppo non dispone di autorizzazioni fino a quando non si scrive un criterio che concede al gruppo l'autorizzazione per un compartimento o una tenancy. Per ulteriori informazioni sui gruppi, vedere Gestione dei gruppi.

creare nuovi criteri;

I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti.

Utilizzare la console di Oracle Cloud per creare criteri. Nel menu di navigazione della console di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità e selezionare Criteri. I criteri vengono scritti nella sintassi seguente:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Le definizioni dei parametri sono le seguenti:

• <identity-domain>: (facoltativo) se si utilizza OCI IAM per la gestione delle identità, includere il dominio di Identity del gruppo di utenti. Se omesso, OCI utilizza il dominio predefinito.

• <group-name>: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni.

• <verb>: fornisce al gruppo un determinato livello di accesso a un tipo di risorsa. Man mano che i verbi passano da inspect a read a use a manage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.

  Ulteriori informazioni sulla relazione tra autorizzazioni e verbi.

• <resource-type>: il tipo di risorsa con cui si sta concedendo a un gruppo l'autorizzazione a lavorare. Ci sono singole risorse, come goldengate-deployments, goldengate-pipelines e goldengate-connections, e ci sono famiglie di risorse, come goldengate-family, che include le singole risorse precedentemente menzionate.

  Per ulteriori informazioni, vedere resource-types.

• <location>: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo percorso di compartimento o compartimento in base al nome o all'OCID oppure specificare tenancy per coprire l'intera tenancy.

• <condition>: facoltativo. Una o più condizioni alle quali si applicherà questa politica.

Ulteriori informazioni sulla sintassi dei criteri.

Come creare un criterio

Per creare un criterio, effettuare le operazioni riportate di seguito.

1. Nel menu di navigazione di Oracle Cloud selezionare Identità e sicurezza, quindi in Identifica selezionare Criteri.

2. Nella pagina Criteri, selezionare Crea criterio.

3. Nella pagina Crea criterio, immettere un nome e un'indicazione del criterio.

4. Selezionare il compartimento in cui creare questo criterio.

5. Nella sezione Costruzione guidata criteri è possibile

   • Selezionare Servizio GoldenGate dall'elenco a discesa Caso d'uso dei criteri e un modello di criteri comune, ad esempio Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate.

   • Selezionare Mostra editor manuale per immettere una regola dei criteri nel seguente formato:

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     Le condizioni sono facoltative. Vedere Dettagli per le combinazioni di verbi e tipi di risorsa.

   Suggerimento: per ulteriori informazioni, vedere Criteri consigliati minimi.

6. Selezionare Crea.

Per ulteriori informazioni sui criteri, vedere come funzionano i criteri, sintassi dei criteri e riferimento ai criteri.

Criteri consigliati minimi

Suggerimento

Per utilizzare un modello criteri comune per aggiungere tutti i criteri necessari, effettuare le operazioni riportate di seguito.

1. Per i casi d'uso dei criteri, selezionare GoldenGate Service dall'elenco a discesa.

2. Per Modelli di uso comune, selezionare Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate dall'elenco a discesa.

Come minimo, sono necessarie politiche per:

• Consente agli utenti di utilizzare o gestire le risorse GoldenGate, in modo che possano lavorare con distribuzioni e connessioni. Ad esempio:

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Consenti agli utenti di gestire le risorse di rete in modo che possano visualizzare e selezionare compartimenti e subnet, nonché creare ed eliminare endpoint privati durante la creazione delle risorse GoldenGate. Ad esempio:

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  Nota:

  • Quando si crea una distribuzione o una connessione utilizzando un endpoint dedicato, uno o più IP vengono allocati nella subnet selezionata. Per consentire al servizio di creare le risorse di rete, è necessario fornire i privilegi di accesso di rete necessari sia nella subnet che nel compartimento di distribuzione o connessione.

  • Analogamente, i privilegi di accesso di rete appropriati sono necessari quando si elimina una distribuzione o una connessione utilizzando un endpoint dedicato per consentire al servizio di eliminare le risorse di rete.

  Facoltativamente, puoi proteggere ulteriormente le risorse di rete utilizzando una combinazione di criteri granulari. Vedere Esempi di criteri per la protezione delle risorse di rete.

• Creare un gruppo dinamico per concedere le autorizzazioni alle risorse in base a regole definite, consentendo alle distribuzioni e/o alle pipeline GoldenGate di accedere alle risorse nella tenancy. Sostituire <dynamic-group-name> con un nome a scelta. È possibile creare tutti i gruppi dinamici necessari, ad esempio per controllare le autorizzazioni nelle distribuzioni in compartimenti o tenancy diversi.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  Suggerimento: i criteri che seguono in questo elenco fanno riferimento a <dynamic-group-name>. Se si creano più gruppi dinamici, assicurarsi di fare riferimento al nome corretto del gruppo dinamico quando si aggiunge uno qualsiasi dei criteri seguenti.

• Se si utilizzano connessioni con segreti password, la distribuzione che si sta assegnando alla connessione deve essere in grado di accedere ai segreti password della connessione. Assicurarsi di aggiungere il criterio al compartimento o alla tenancy:

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Consentire agli utenti di leggere l'utente e il gruppo IAM (Identity and Access Management) per le convalide nelle tenancy abilitate IAM:

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Accedi alle chiavi di cifratura gestite dal cliente e ai segreti password in Oracle Vault. Ad esempio:

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

A seconda che si intenda utilizzare i seguenti servizi, potrebbe essere necessario aggiungere criteri per:

• Database Oracle AI, per i database di origine e/o di destinazione. Ad esempio:

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Storage degli oggetti Oracle per memorizzare i backup OCI GoldenGate manuali e pianificati. Ad esempio:

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• Log OCI per accedere ai gruppi di log. Ad esempio:

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Load balancer, se abiliti l'accesso pubblico alla console di distribuzione:

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• Richieste di lavoro:

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• Zero Trust Packet Routing (ZPR). Obbligatorio solo se sono stati aggiunti attributi di sicurezza alla VCN e/o al load balancer per controllare l'accesso per le connessioni e le distribuzioni pubbliche, aggiungere i criteri riportati di seguito per consentire il traffico Internet pubblico al load balancer e il flusso di traffico tra il load balancer e gli endpoint privati.

  • Se gli attributi di sicurezza sono stati aggiunti sia per la VCN che per il load balancer:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • Se gli attributi di sicurezza sono stati aggiunti solo per la VCN e non per il load balancer e il load balancer si trova in una subnet pubblica con CIDR 10.0.1.0/24:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    Nota: per altre risorse, ad esempio connessioni dedicate e distribuzioni private, gli attributi di sicurezza vengono aggiunti all'endpoint privato creato. I load balancer non vengono creati per impostazione predefinita con distribuzioni private, pertanto gli esempi ZPR riportati sopra non sono applicabili. In questo caso, potrebbe essere necessario un criterio ZPR, in quanto ZPR protegge l'endpoint privato. La politica esatta dipende dal tuo caso d'uso.

  Ulteriori informazioni sulla sintassi dei criteri ZPR.

L'istruzione seguente concede a un gruppo l'autorizzazione per gestire gli spazi di nomi tag e le tag per le aree di lavoro:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa.