Crea risorse Oracle Cloud

Prima di iniziare a usare Oracle Cloud Infrastructure GoldenGate, scopri come creare un compartimento, una VCN, una subnet, utenti e gruppi di utenti.

Creare un compartimento

I compartimenti consentono di organizzare e controllare l'accesso alle risorse cloud. Si tratta di un contenitore logico che è possibile utilizzare per raggruppare le risorse cloud correlate e consentire l'accesso a gruppi di utenti specifici.

Quando ti iscrivi a Oracle Cloud Infrastructure, Oracle crea la tua tenancy, ovvero il compartimento radice che contiene tutte le tue risorse cloud. Successivamente, creerai compartimenti aggiuntivi all'interno della tua tenancy e i criteri corrispondenti per controllare l'accesso alle risorse in ogni compartimento.

Per creare un compartimento:
  1. Aprire il menu di navigazione della console di Oracle Cloud, quindi fare clic su Identità e sicurezza.
  2. In Identità, fare clic su Compartimenti. Viene visualizzata la lista dei compartimenti a cui si ha accesso.
  3. Andare al compartimento in cui si desidera creare il nuovo compartimento.
    • Per creare il compartimento nella tenancy (compartimento radice), fare clic su Crea compartimento.
    • Per creare il compartimento in un compartimento diverso dalla tenancy (compartimento radice), fare clic nella gerarchia dei compartimenti fino a raggiungere la pagina dei dettagli del compartimento in cui si desidera creare il compartimento. Nella pagina Dettagli compartimento fare clic su Crea compartimento.
  4. Nella finestra di dialogo Crea compartimento, completare i campi come indicato di seguito.
    1. Per Nome, immettere un nome univoco per il compartimento, non più di 100 caratteri (include lettere, numeri, punti, trattini e caratteri di sottolineatura). Il nome deve essere univoco in tutti i compartimenti della tenancy. Evitare di fornire informazioni riservate.
    2. In Descrizione, immettere una descrizione che consenta di distinguere il compartimento dagli altri.
    3. Per il compartimento padre, verificare che si tratti del compartimento in cui si desidera creare il compartimento. Per scegliere un compartimento diverso, selezionarne uno dall'elenco a discesa.
    4. (Facoltativo) Per Spazio di nomi tag, è possibile aggiungere una tag in formato libero per facilitare la ricerca delle risorse nella console di Oracle Cloud. Fare clic su + Altra tag per aggiungere altre tag.
    5. Fare clic su Crea compartimento.
Il compartimento viene visualizzato nella lista Compartimenti dopo la creazione. Ora puoi creare criteri e aggiungere risorse al tuo compartimento.

Creare una rete e una subnet cloud virtuale

Una rete cloud virtuale (VCN, virtual cloud network) è una rete configurata nei data center Oracle Cloud Infrastructure in una determinata area. Una subnet è una suddivisione di una VCN.

OCI GoldenGate richiede una VCN e almeno una subnet privata con un gateway NAT. Deve essere disponibile una tabella di instradamento con una regola di instradamento che reindirizza il traffico al gateway NAT per la subnet privata. Se si desidera abilitare la connettività utilizzando un endpoint pubblico, è necessaria anche una subnet pubblica e la VCN deve includere un gateway Internet. È necessario che sia disponibile una tabella di instradamento con una regola di instradamento che reindirizza il traffico al gateway Internet per la subnet pubblica.
Per creare una VCN e una subnet, effettuare le operazioni riportate di seguito.
  1. Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Networking, quindi selezionare Reti cloud virtuali.
  2. Nella pagina Reti cloud virtuali, confermare la selezione del compartimento o selezionare un compartimento diverso.
  3. Dal menu Azioni, selezionare Avvia procedura guidata VCN.
  4. Nel pannello Avvia procedura guidata VCN, selezionare Crea VCN con connettività Internet, quindi fare clic su Avvia procedura guidata VCN.
  5. Nella pagina Configurazione, in Informazioni di base, immettere un nome della VCN.
  6. Per il compartimento, selezionare il compartimento in cui creare questa VCN.
  7. Fare clic su Avanti.
  8. Nella pagina Revisione e creazione verificare i dettagli di configurazione, quindi fare clic su Crea.

Fare clic su Visualizza dettagli VCN per verificare che sia stata creata una subnet pubblica che privata.

Crea utenti

Creare utenti da aggiungere ai gruppi che possono accedere alle risorse OCI GoldenGate.

Prima di creare gli utenti, tenere presente quanto riportato di seguito.

  • La gestione degli utenti della distribuzione OCI GoldenGate dipende dal fatto che la tenancy utilizzi o meno IAM OCI con i domini di Identity. Vedere Gestisci utenti distribuzione.
  • I nomi utente devono essere univoci in tutti gli utenti della tenancy
  • I nomi utente sono immutabili
  • Gli utenti non hanno autorizzazioni fino a quando non vengono inseriti in un gruppo
Per creare utenti:
  1. Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Identità e sicurezza, quindi in Identità fare clic su Domini.
  2. Nella pagina Domini, confermare la selezione del Compartimento o passare a un altro compartimento.
  3. Nella lista Domini fare clic su Predefinito per accedere al dominio predefinito oppure fare clic su Crea dominio per crearne uno nuovo.
  4. Selezionare il dominio dall'elenco.
  5. Nella pagina Dettagli domini, fare clic su Gestione utenti.
  6. Nella pagina Utenti, fare clic su Crea utente.
  7. Nella pagina Crea utente, completare i campi come indicato di seguito.
    1. Immettere il nome, il cognome e l'indirizzo di posta elettronica dell'utente, che può essere utilizzato anche come nome utente.

      Nota

      Il nome deve essere univoco per tutti gli utenti della tenancy. Non può essere modificato in un secondo momento. Il nome utente non può contenere spazi e può essere composto solo da lettere latine di base (ASCII), numeri, trattini, punti, caratteri di sottolineatura, + e @.
    2. Per Gruppi, selezionare i gruppi a cui assegnare l'utente.
  8. Fare clic su Crea.
È quindi possibile aggiungere l'utente a un gruppo e creare criteri che consentono al gruppo di accedere alle risorse. Per ulteriori informazioni sugli utenti, vedere Gestione degli utenti.

Crea gruppi

Un gruppo è una raccolta di utenti che richiedono lo stesso tipo di accesso a un set di risorse o compartimenti.

Prima di creare un gruppo, tenere presente quanto riportato di seguito.
  • Il nome del gruppo deve essere univoco all'interno della tenancy.
  • Una volta creato, il nome del gruppo non può essere modificato.
  • Un gruppo non dispone di autorizzazioni che consentono di annullare la scrittura di almeno un'autorizzazione che concede al gruppo l'autorizzazione per una tenancy o un compartimento.
Per creare un gruppo, effettuare le operazioni riportate di seguito.
  1. Aprire il menu di navigazione della console di Oracle Cloud, fare clic su Identità e sicurezza, quindi in Identità fare clic su Domini.
  2. Nella pagina Domini, confermare la selezione di Compartimento o modificare il compartimento.
  3. Selezionare un dominio dall'elenco.
  4. Nella pagina Dettagli dominio fare clic su Gestione utenti.
  5. In Gruppi, fare clic su Crea gruppo.
  6. Nella pagina Crea gruppo, effettuare le operazioni riportate di seguito.
    1. Per Nome, immettere un nome univoco per il gruppo.

      Nota

      Una volta creato, non è possibile modificare il nome. Il nome del gruppo deve essere univoco all'interno della tenancy. Il nome del gruppo può avere una lunghezza compresa tra 1 e 100 caratteri alfanumerici, lettere maiuscole o minuscole e può contenere punti, lineette, trattini, ma senza spazi
    2. In Descrizione, immettere una descrizione descrittiva.
  7. Selezionare se un utente può richiedere l'accesso a questo gruppo.
  8. Nella lista Utenti selezionare gli utenti da assegnare a questo gruppo.
  9. Fare clic su Crea.
Un gruppo non dispone di autorizzazioni finché non si scrive un criterio che concede al gruppo l'autorizzazione per un compartimento o una tenancy. Per ulteriori informazioni sui gruppi, vedere Gestione dei gruppi.

creare nuovi criteri;

I criteri definiscono le azioni che i membri di un gruppo possono eseguire e in quali compartimenti.

Utilizzare la console di Oracle Cloud per creare criteri. Nel menu di navigazione della console di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità e selezionare Criteri. I criteri vengono scritti nella sintassi seguente:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

Le definizioni dei parametri sono le seguenti:

  • <identity-domain>: (facoltativo) se si utilizza IAM OCI per la gestione delle identità, includere il dominio di Identity del gruppo di utenti. Se omesso, OCI utilizza il dominio predefinito.
  • <group-name>: il nome del gruppo di utenti a cui si stanno concedendo le autorizzazioni.
  • <verb>: conferisce al gruppo un certo livello di accesso a un tipo di risorsa. Man mano che i verbi passano da inspect a read a use a manage, il livello di accesso aumenta e le autorizzazioni concesse sono cumulative.

    Ulteriori informazioni sulla relazione tra .autorizzazioni e verbi.

  • <resource-type>: il tipo di risorsa con cui si autorizza un gruppo a lavorare. Esistono singole risorse, ad esempio goldengate-deployments, goldengate-pipelines e goldengate-connections, nonché famiglie di risorse, ad esempio goldengate-family, che includono le singole risorse menzionate in precedenza.

    Per maggiori informazioni, vedere resource-types.

  • <location>: collega il criterio a un compartimento o a una tenancy. È possibile specificare un singolo compartimento o percorso di compartimento in base al nome o all'OCID oppure specificare tenancy per coprire l'intera tenancy.
  • <condition>: facoltativo. Una o più condizioni per le quali verrà applicata questa politica.

Ulteriori informazioni sulla sintassi dei criteri.

Come creare un criterio

Per creare un criterio, effettuare le operazioni riportate di seguito.
  1. Nel menu di navigazione di Oracle Cloud, selezionare Identità e sicurezza, quindi in Identifica fare clic su Criteri.
  2. Nella pagina Criteri fare clic su Crea criterio.
  3. Nella pagina Crea criterio, immettere un nome e un'indicazione del criterio.
  4. Selezionare il compartimento in cui creare questo criterio.
  5. Nella sezione Costruzione guidata criteri è possibile effettuare una delle due operazioni riportate di seguito.
    • Selezionare Servizio GoldenGate dall'elenco a discesa Caso d'uso dei criteri e un modello di criteri comune, ad esempio Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate.
    • Fare clic su Mostra editor manuale per immettere una regola dei criteri nel seguente formato:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      Le condizioni sono facoltative. Vedere Dettagli per combinazioni Verbi + Tipo di risorsa.

    Suggerimento

    Per ulteriori informazioni, vedere Criteri consigliati minimi.
  6. Fare clic su Crea.

Per ulteriori informazioni sui criteri, vedere funzionamento dei criteri, sintassi dei criteri e riferimento ai criteri.

Criteri consigliati minimi

Suggerimento

Per utilizzare un modello criteri comune per aggiungere tutti i criteri necessari, effettuare le operazioni riportate di seguito.
  1. Per Casi d'uso dei criteri, selezionare GoldenGate Servizio dall'elenco a discesa.
  2. Per Modelli di uso comune, selezionare Criteri obbligatori per consentire agli utenti di gestire le risorse GoldenGate dall'elenco a discesa.

Sono necessari almeno criteri per:

  • Consentire agli utenti di utilizzare o gestire le risorse GoldenGate in modo da poter utilizzare le distribuzioni e le connessioni. Ad esempio:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • Consenti agli utenti di gestire le risorse di rete, in modo che possano visualizzare e selezionare compartimenti e subnet, nonché creare ed eliminare endpoint privati durante la creazione delle risorse GoldenGate. Ad esempio:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    Facoltativamente, è possibile proteggere ulteriormente le risorse di rete utilizzando una combinazione di criteri granulari. Vedere Esempi di criteri per la protezione delle risorse di rete.

  • Creare un gruppo dinamico per concedere le autorizzazioni alle risorse in base a regole definite, consentendo alle distribuzioni e/o alle pipeline GoldenGate di accedere alle risorse nella tenancy. Sostituire <dynamic-group-name> con un nome a scelta. È possibile creare tutti i gruppi dinamici necessari, ad esempio per controllare le autorizzazioni nelle distribuzioni in compartimenti o tenancy diversi.
    name: <dynamic-group-name>
    Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    Suggerimento

    I criteri seguenti in questo elenco si riferiscono a <dynamic-group-name>. Se si creano più gruppi dinamici, assicurarsi di fare riferimento al nome corretto del gruppo dinamico quando si aggiunge uno qualsiasi dei criteri seguenti.

  • Se si utilizzano connessioni con segreti password, la distribuzione che si sta assegnando alla connessione deve essere in grado di accedere ai segreti password della connessione. Assicurarsi di aggiungere il criterio al compartimento o alla tenancy:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • Consenti agli utenti di leggere l'utente e il gruppo IAM (Identity and Access Management) per le convalide nelle tenancy abilitate per IAM:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault per accedere alle chiavi di cifratura gestite dal cliente e ai segreti password. Ad esempio:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
    allow group <identity-domain>/<group-name> to use keys in <location>
    allow group <identity-domain>/<group-name> to use vaults in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

A seconda che si intenda utilizzare o meno i servizi seguenti, potrebbe essere necessario aggiungere criteri per:

  • Database Oracle, per i database di origine e/o di destinazione. Ad esempio:
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Storage degli oggetti Oracle, per memorizzare i backup manuali di OCI GoldenGate. Ad esempio:
    allow group <identity-domain>/<group-name> to manage objects in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
    allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • Log OCI per accedere ai gruppi di log. Ad esempio:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
    allow group <identity-domain>/<group-name> to read log-content in <location>
  • Load balancer, se si abilita l'accesso pubblico alla console di distribuzione:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
    allow group <identity-domain>/<group-name> to manage public-ips in <location> 
     
    allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
    allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
    
  • Richieste di lavoro:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

L'istruzione seguente concede a un gruppo l'autorizzazione per gestire gli spazi di nomi tag e le tag per le aree di lavoro:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Per aggiungere una tag definita, è necessario disporre dell'autorizzazione per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa.

Per ulteriori informazioni e criteri di esempio aggiuntivi, vedere Criteri OCI GoldenGate.