クロス・テナンシおよびクロス・リージョン・クローニング
Autonomous AI Databaseインスタンスは、1つのテナンシ(ソース・テナンシ)から別のテナンシ(宛先テナンシ)にクローニングできます。
クロス・テナンシ・クローニングについて
クロス・テナンシ・クローンを作成するときに、クローンをソース・テナンシと同じリージョンに作成するか、ソース・テナンシ(クロス・リージョン)とは異なるリージョンに作成するかを選択できます。
ノート
ノート:クロス・テナンシのクローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。
クロス・テナンシ・クローニングについては、次の点に注意してください:
-
クローン・データベースには、フル・クローン、メタデータ・クローンまたはリフレッシュ可能クローンなど、すべてのクローン・タイプがサポートされています。
-
クローンは、ソースのAutonomous AI Databaseインスタンスから、またはバックアップから(最新のバックアップ、指定されたバックアップを使用するか、長期バックアップを選択することで)作成できます。
-
ソースAutonomous AI Databaseインスタンスは、ECPUまたはOCPUコンピュート・モデルのいずれかを使用できます。ワークロード・タイプに応じて、OCPUコンピュート・モデルを使用するソースから、ECPUコンピュート・モデルを使用するクローンにクローニングできます(これは、データ・ウェアハウスおよびトランザクション処理ワークロード・タイプで許可されます)。
-
クローニングされたデータベースは、同じリージョンにすることも、別のリージョン(クロス・リージョン)にすることもできます。
-
デフォルトでは、クロス・テナンシ・クローンは、ソース・データベースの暗号化方法(Oracle管理暗号化キーまたは顧客管理暗号化キー)を継承します。
-
ソース・データベースで顧客管理暗号化キーを使用する場合、クローン・データベースの暗号化キーにはいくつかのオプションがあります。詳細は、クロス・テナンシ・クローニング暗号化キー・オプションを参照してください。
クロス・テナンシ・クローニングの前提条件
ソース・データベースが1つのテナンシにあり、クローン・データベースが別のテナンシにあるクロス・テナンシ・クローンを作成するための前提条件について説明します。
コマンドを実行して、宛先テナンシにクロス・テナンシ・クローンを作成する必要があります。クロス・テナンシ・クローンを作成する前に、ソース・テナンシ、クローニングするインスタンスを含むテナンシおよび宛先テナンシでOCI Identity and Access Managementのグループおよびポリシーを定義する必要があります。定義したグループおよびポリシーにより、宛先テナンシにクローンを作成するためのコマンドを実行でき、ソースAutonomous AI Databaseインスタンスが存在するソース・テナンシに宛先テナンシが接続できるようになります。
追加するOCI Identity and Access Managementグループおよびポリシーでは、次のものがサポートされます。
-
ソース・テナンシ内のグループのメンバーを使用すると、宛先テナンシのグループがソース・テナンシ上のソースAutonomous AI Databaseインスタンスにアクセス(読取り)できます。
ソースAutonomous AI Databaseインスタンスに対する他のアクション(起動、停止、書込み操作など)を許可する必要はありません。
-
宛先テナンシ内のグループのメンバーは、ソース・テナンシのAutonomous AI Databaseインスタンスをクローン・ソースとして使用して、宛先テナンシにクローンを作成できます。
宛先テナンシでは、グループがソース・テナンシ上のAutonomous AI Databaseインスタンスを管理できるようにするポリシーも追加します。たとえば、このポリシーにより、グループはクローン・データベースを作成でき、リフレッシュ可能クローンがソース・テナンシに接続するコマンド(リフレッシュや切断など)を実行できるようになります。
クロス・テナンシ・クローンを作成するには、OCI Identity and Access Managementを使用して、必要なグループを作成し、クロス・テナンシ・クローニングを認可するポリシーを定義します:
-
クローンの作成を許可されるユーザーを含む、宛先テナンシにグループを作成します。
a. 宛先テナンシで、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」をクリックします。
b. 「アイデンティティ」で、「ドメイン」をクリックし、アイデンティティ・ドメインを選択します(または、新しいアイデンティティ・ドメインを作成します)。
c. 「アイデンティティ・ドメイン」で、「グループ」をクリックします。
d. グループを追加するには、「グループの作成」をクリックします。
e. 「グループの作成」ページで、「名前」および「説明」を入力します。
For example, enter the Name: **DestinationGroup**.f. グループの作成ページで、「作成」をクリックします。
g グループを保存するには、「作成」をクリックします。
h. 「グループ」ページで、「グループへのユーザーの割当て」をクリックし、グループに追加するユーザーを選択します。
i 「追加」をクリックします。
j. 「グループ」ページの「グループ情報」タブから、ステップ2で使用するOCIDをコピーします。
-
ソース・テナンシで、ソースAutonomous AI DatabaseインスタンスのOCI Identity and Access Managementポリシーを定義します。
a. ソース・テナンシのOracle Cloud Infrastructure Consoleで、「アイデンティティとセキュリティ」をクリックします。
b. 「アイデンティティ」で、「ポリシー」をクリックします。
c. ポリシーを記述するには、「ポリシーの作成」をクリックします。
d. 「ポリシーの作成」ページで、「名前」および「説明」を入力します。
e. ポリシーの作成ページで、「手動エディタの表示」を選択します。
f. ポリシー・ビルダーで、宛先テナンシのグループが、ソース・テナンシのAutonomous AI Databaseインスタンスをクローン・ソースとして使用してクローンを作成できるようにポリシーを追加します。
たとえば、次の汎用ポリシーを定義します。
define tenancy DestinationTenancy as ocid1.tenancy.oc1..unique_ID define group DestinationGroup as ocid1.group.region1..unique_ID admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment ocid1.compartment.region1..unique_ID where target.id = 'oc1.autonomousdatabase.oc1..unique_ID'このポリシーでは、次を指定します:
-
行1: OCIDは宛先テナンシのOCIDです。これは、クローンを作成するテナンシです。
-
2行目: OCIDは、クローンを作成するユーザーが属するグループのOCIDです。これは、ステップ1で作成したOCIDです。
-
行3: 最初のOCIDは、ソース・データベースが存在するコンパートメントのOCIDです。2番目のOCIDは、
where句の後に、ソースAutonomous AI DatabaseインスタンスのOCIDです。
ノート
ノート: where句はオプションで、特定のデータベースへのアクセス権を付与するためのより詳細な方法を提供します。たとえば、クロス・テナンシ・クローニングを許可するには、ソース・テナンシで次のポリシーを設定します:
define tenancy DestinationTenancy as ocid 1.tenancy.oc1..aaa_example_rcyx2a define group DestinationGroup as ocid1.group.oc1..aaa_example_6vctn6xsaq admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment ocid1.compartment.region1..bbb_example_rcyx2b where target.id = 'oc1.autonomousdatabase.oc1.aaaabbbbcccc'このポリシーは、
DestinationTenancyのDestinationGroup内のユーザーが、指定されたコンパートメント(ソース・テナンシ上)の特定のAutonomous AI Databaseインスタンスから読み取れることを指定します。クロス・テナンシ・クローンを作成するには、ポリシーでソースAutonomous AI Databaseインスタンスでの読取りのみを許可する必要があります。g ポリシーを保存するには、「作成」をクリックします。
-
-
宛先テナンシのポリシーを定義します。
-
宛先テナンシで、Oracle Cloud Infrastructure Consoleで「アイデンティティとセキュリティ」をクリックします。
-
「アイデンティティ」で、「ポリシー」をクリックします。
-
ポリシーを記述するには、「ポリシーの作成」をクリックします。
-
「ポリシーの作成」ページで、「名前」と「説明」を入力します。
-
ポリシーの作成ページで、「手動エディタの表示」を選択します。
-
ポリシー・ビルダーで、ソース・テナンシでAutonomous AI Databaseを管理するためにグループが承認されるようにポリシーを追加します。
たとえば:
Define tenancy SourceTenancy as ocid1.tenancy.oc1..unique_ID Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy Allow group CrossTenancyStandbyGroup to manage autonomous-databases in tenancyこのポリシーでは、次を指定します:
-
行1: OCIDはソース・テナンシOCIDです。これは、ソースAutonomous AI Databaseインスタンスが存在するテナンシです。
-
行2: DestinationGroupグループがソース・テナンシ内のAutonomous AIデータベースを管理できることを指定します。
-
宛先テナンシのポリシーを定義するためのノート:
-
次のポリシーの場合:
Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancyこのポリシーにより、グループ
DestinationGroupは、ソース・テナンシにAutonomous AI DatabaseおよびAutonomous AI Databaseクローンを作成できます。クローニング権限を制限して、グループがAutonomous AIデータベースのみをクローニングできますが、Autonomous AIデータベースを作成できないようにしたり、特定のタイプのクローン(フル・クローン、メタデータ・クローンまたはリフレッシュ可能クローン)のみを作成する権限をさらに制限できます。詳細および例は、Autonomous AI DatabaseのIAM権限およびAPI操作を参照してください。 -
これらのポリシーが取り消されると、クロス・テナンシ・クローニングは許可されなくなります。
-
詳細は、ポリシーの開始を参照してください。
クロス・テナンシまたはクロス・リージョン・クローンの作成
ソース・データベースとクローン・データベースが同じリージョンにある場合、またはソース・データベースとクローン・データベースが異なるリージョン(クロス・リージョン)にある場合に、クロス・テナンシ・クローンを作成するステップを示します。
クロス・リージョン・クローニングは、無料層またはAutonomous AI Database for Developersインスタンスではサポートされていません。
これらのステップでは、フル・クローンまたはメタデータ・クローンの作成について説明します。クロス・テナンシ・リフレッシュ可能クローンの作成の詳細は、クロス・テナンシまたはクロス・リージョン・リフレッシュ可能クローンの作成を参照してください。
ノート
ノート:クロス・テナンシのクローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。
クロス・テナンシ・クローンを作成するには:
-
クロス・テナンシ・クローニングを承認するためのOCI Identity and Access Managementポリシーを定義するための前提条件ステップを実行します。
詳細は、クロス・テナンシ・クローニングの前提条件を参照してください。
-
クローンを作成するテナンシで、宛先リージョンの宛先テナンシで、CLIを使用するか、有効なクローン・タイプがFULLまたはMETADATAのREST APIをコールして、ソース・データベースが別のテナンシ(ソース・テナンシ)にあるソース・データベースのOCIDを指定します。
たとえば、CLIでは次のようになります。
oci db autonomous-database create-from-clone --clone-type metadata --compartment-id ocid1.tenancy.oc1..unique_ID --source-id ocid1.autonomousdatabase.oc1.iad.unique_ID --db-name dbnameclone --admin-password password --data-storage-size-in-tbs 1 --compute-model ECPU --compute-count 4詳細は、create-from-cloneを参照してください。
CreateAutonomousDatabaseAPIを使用して、クロス・テナンシ・クローンを作成します。REST APIの追加情報については、次を参照してください。
-
詳細は、クロス・テナンシおよびクロス・リージョン・クローニングのノートを参照してください。
-
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。
-
SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
バックアップからのクロス・テナンシ・クローンの作成
バックアップからクロス・テナンシ・クローンを作成するステップを示します。
これらのステップでは、フル・クローンまたはメタデータ・クローンの作成について説明します。クロス・テナンシ・リフレッシュ可能クローンの作成の詳細は、クロス・テナンシまたはクロス・リージョン・リフレッシュ可能クローンの作成を参照してください。
ノート
ノート:クロス・テナンシのクローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。
バックアップからクロス・テナンシ・クローンを作成するには:
-
クロス・テナンシ・クローニングを承認するためのOCI Identity and Access Managementポリシーを定義するための前提条件ステップを実行します。
詳細は、クロス・テナンシ・クローニングの前提条件を参照してください。
-
クローンを作成するテナンシで、宛先リージョンの宛先テナンシで、CLIを使用するか、有効なクローン・タイプFULLまたはMETADATAを使用してREST APIをコールし、ソース・データベースが別のテナンシ(ソース・テナンシ)に存在するバックアップのOCID (ソース・テナンシ)を指定します。
ノート
ノート:クロス・テナンシのリフレッシュ可能クローンの作成については、クロス・テナンシまたはクロス・リージョンのリフレッシュ可能クローンの作成を参照してください。たとえば、CLIでは次のようになります。
oci db autonomous-database create-from-backup-timestamp --autonomous-database-id ocid1.autonomousdatabase.oc1.iad.anuw_example --clone-type full --compartment-id ocid1.tenancy.oc1..fcue4_example --admin-password password --compute-model ECPU --compute-count 2 --db-name ExampleTest1 --timestamp 2023-12-15T19:30:00Z --data-storage-size-in-tbs 1詳細は、create-from-backup-timestampおよびcreate-from-backup-idを参照してください。
CreateAutonomousDatabaseAPIを使用して、既存のAutonomous AI Databaseのバックアップからクローニングすることで、クロス・テナンシ・クローンを作成します。REST APIの詳細は、次を参照してください。
-
APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。
-
SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
クロス・テナンシのクローニング暗号化キー・オプション
Autonomous AI Databaseには、クロス・テナンシ・クローンの暗号化キーのタイプと場所に関する複数のオプションが用意されています。
クロス・テナンシ・クローニング・オプションは、CLIまたはAutonomous AI Database REST APIを使用してのみ使用できます。このオプションは、Oracle Cloud Infrastructure Consoleでは使用できません。
ノート
ノート:デフォルトでは、クロス・テナンシ・クローンは、ソースの暗号化キー・メソッド(Oracle管理暗号化キーまたは顧客管理暗号化キー)を継承します。顧客管理暗号化キーを使用するクロス・テナンシ・クローンを作成するには、クロス・テナンシ・クローンを作成するときに、OCI CLIコマンドに顧客管理暗号化キーの詳細を明示的に含める必要があります。
ソース・データベースで顧客管理暗号化キーを使用する場合、クロス・テナンシ・クローンの作成時に暗号化キーのタイプと場所を指定するための次のオプションがあります:
| 暗号化キーのクローニング | 摘要 |
|---|---|
| ソースと同じキーを使用 | クロス・テナンシ・クローンで同じ顧客管理暗号化キー(ソース・データベースのOCI Vaultのキー)を使用する場合は、次のものを作成する必要があります。クローンがソース・テナンシの暗号化キーに到達できるように、Oracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーが必要であり、暗号化キーはクロス・テナンシ・クローンと同じリージョンにある必要があります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。 |
| クローンと同じテナンシのVaultで異なるキーを使用 | クロス・テナンシ・クローンで別の顧客管理暗号化キーを使用する場合、クロス・テナンシ・クローンの暗号化キーはクローンのOCI Vaultにありますテナンシでは、クローンが暗号化キーに到達できるように、必要なOracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーを作成し、暗号化キーをクローンと同じリージョンに配置する必要があります。詳細は、データベースと同じテナンシにVaultを使用した顧客管理対象キーの動的グループおよびポリシーの作成を参照してください。 |
| サード・テナンシでのVaultでの異なるキーの使用 | 別の顧客管理暗号化キーを使用する場合、暗号化キーは、ソース・データベースのテナンシまたはテナンシのテナンシではない3番目のテナンシのOCI Vaultに存在しますクローニングされたデータベースでは、クローンがリモート・テナンシ上のOCI Vaultに到達できるように、必要なOracle Cloud Infrastructure Identity and Access Management動的グループおよびポリシーを作成し、OCI Vaultがクローンと同じリージョンにある必要があります。詳細は、データベースとは異なるテナンシでのVaultを使用した顧客管理キーの動的グループおよびポリシーの作成を参照してください。 |
| Oracle管理鍵の使用 | ソース・データベースで顧客管理暗号化キーが使用されている間に、リモート・クローンでOracle管理キーを使用する場合は、このオプションもサポートされます。 |
クローニングされたデータベースでリモート・テナンシの顧客管理暗号化キーを使用する場合:
-
動的グループおよびポリシーが定義されている場合、Oracle Cloud Infrastructure Consoleの「Autonomous AI Databaseの詳細」ページに、暗号化キー名とキーOCIDが表示されます。
-
動的グループおよびポリシーが欠落している(または有効でない)場合、またはクローンのテナンシのIAMユーザーにリモート・キーの詳細を表示するための十分な権限がない場合、Autonomous AIデータベースの詳細ページには、暗号化キーが顧客管理キーとして表示されます。
ノート
ノート:顧客管理キーを使用したクロス・テナンシ・リフレッシュ可能クローンの作成はサポートされていません。