テナンシの構成

タスク1. Ashburn Regionについて

テナント管理者は、アッシュバーン(IAD)リージョンおよびGlobally Distributed Autonomous AI Database実装の実行に必要なすべてのリージョンをサブスクライブします。

アッシュバーン(IAD)リージョンをサブスクライブします。
- このサービスを使用するには、アッシュバーン・リージョンをサブスクライブする必要があります。
- テナンシ・ホーム・リージョンはアッシュバーン・リージョンである必要はありませんが、Oracle Globally Distributed Databaseサービスを使用するにはアッシュバーン・リージョンをサブスクライブする必要があります。
データベースを配置する他のリージョンをサブスクライブします。
- 実装用にデータベースを配置する予定のリージョンをサブスクライブします。これには、カタログ、シャード、およびスタンバイ・データベースに対してOracle Data Guardを使用する予定の場合は、データベースが含まれます。

詳細は、リージョンの管理を参照してください。

親トピック: テナンシの構成

タスク2. コンパートメントの作成

テナント管理者は、グローバル分散Autonomous AIデータベースに必要なすべてのリソースのコンパートメントをテナンシに作成します。

Oracleでは、次の構造が推奨され、これらのコンパートメントは設定タスク全体を通して参照されます。

デプロイメント全体に対する「親」コンパートメントこの例は gddです。
各種リソースそれぞれに対する「子」コンパートメント:
- 認証局、証明書、証明書バンドル、ボールトおよびキーについては、gdd_certs_vaults_keysを参照してください。
- クラウドAutonomous VMクラスタの場合はgdd_clusters
- データベース、VCNs、サブネット、プライベート・エンドポイントおよびグローバルに分散されたデータベース・リソースの場合は、gdd_databases。
- Exadataインフラストラクチャの場合はgdd_exadata
- gdd_instances: アプリケーション・サーバーのコンピュート・インスタンス(データベースに接続するための要塞として機能するエッジ・ノード/ジャンプ・ホスト)

結果のコンパートメント構造は次のようになります。

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

詳細は、コンパートメントの作業を参照してください。

親トピック: テナンシの構成

タスク3. ユーザー・アクセス制約の作成

アクセス制御プランを策定し、適切なIAM (Identity and Access Management)リソースを作成して構成します。したがって、分散データベース内のアクセス制御は様々なレベルで実装され、ここでのグループおよびポリシーによって定義されます。

次の表で説明するユーザー・グループ、動的グループおよびポリシーは、分散データベース実装用の独自のユーザー・アクセス制御計画の作成をガイドする必要があります。

テナント管理者は、次の推奨グループ、動的グループおよびポリシーを作成して、以前に定義したロールに権限を付与します。例およびドキュメント・リンクでは、テナンシがアイデンティティ・ドメインを使用していることを前提としています。

親トピック: テナンシの構成

ロール区分について

クラウド・ユーザーが職務を遂行のためには、適切な種類のクラウド・リソースのみを使用および作成するためのアクセス権があることを確認する必要があります。Globally Distributed Databaseのベスト・プラクティスは、ロール区分の目的でロールを定義することです。

次の表で説明するロールおよび職責は、グローバル分散Autonomous AI Database実装のユーザー・グループ、動的グループおよびポリシーの定義方法の理解をガイドする必要があります。ここに示したロールの例は、環境設定、リソース作成および管理の手順全体で使用されています。

ロール	責任
テナントの管理者	リージョンのサブスクライブコンパートメントを作成動的グループ、ユーザー・グループおよびポリシーの作成
インフラストラクチャ管理者	virtual-network-familyの作成/更新/削除 Autonomous Exadata Infrastructureの作成/更新/削除 Autonomous Exadata VMクラスタの作成/更新/削除 Autonomous Exadata VMクラスタのタグ付けグローバル分散Autonomous AIデータベースのプライベート・エンドポイントの作成/更新/削除
証明書管理者	Vaultの作成/更新/削除キーの作成/更新/削除認証局の作成/更新/削除証明書の作成/更新/削除 CAバンドルの作成/更新/削除 Autonomous Exadata VMクラスタへの証明書および証明書バンドルのアップロード GSM証明書署名リクエスト(CSR)のダウンロード GSM CSRに基づいたGSM証明書の作成 GSM証明書のアップロード
ユーザー	UIとAPIを使用したグローバル分散データベースの作成と管理

親トピック: タスク3.ユーザー・アクセス制約の作成

動的グループ

次の動的グループを作成して、Globally Distributed Databaseコンパートメントで作成されたリソースへのアクセスを制御します。

手順は、動的グループの作成を参照してください。

動的グループの名前	説明	ルール
gdd-cas-dg	認証局リソース	すべて resource.type='certificateauthority' resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_certs_vaults_keys'
gdd- クラスタ-dg	Autonomous VMクラスタのリソース	すべて resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_clusters'
gddインスタンスdg	コンピュート・インスタンス・リソース	すべて resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_instances'

動的グループの名前

説明

ルール

gdd-cas-dg

認証局リソース

すべて

resource.type='certificateauthority'

resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_certs_vaults_keys'

gdd- クラスタ-dg

Autonomous VMクラスタのリソース

すべて

resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_clusters'

gddインスタンスdg

コンピュート・インスタンス・リソース

すべて

resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_instances'

親トピック: タスク3.ユーザー・アクセス制約の作成

ユーザー・グループ

次のグループを作成して、Globally Distributed Databaseコンパートメントのリソースを使用する権限をユーザーに付与します。

手順は、グループの作成を参照してください。

ユーザーグループ名	説明
gdd証明書の管理者	キーおよびボールトを作成および管理する証明書管理者。
gdd-infrastructure-admin	クラウド・ネットワークおよびインフラストラクチャ・リソースを作成および管理するインフラストラクチャ管理者
gddユーザー	APIおよびUIを使用してGlobally Distributed Databaseリソースを作成および管理するユーザー

親トピック: タスク3.ユーザー・アクセス制約の作成

ポリシー

IAMポリシーを作成して、グローバル分散Autonomous AI Databaseコンパートメントで作成されたリソースへのグループ・アクセス権を付与します。

以前に作成したコンパートメント構造およびグループに基づく次のサンプル・ポリシーは、グローバル分散Autonomous AI Database実装用の独自のIAMポリシーの作成をガイドする必要があります。

アイデンティティ・ドメイン(デフォルトなど)は、グループを作成したアイデンティティ・ドメインである必要があります。

手順は、ポリシーの作成を参照してください。

gdd証明書- 管理者- テナント・レベル

説明: グループgdd-certificate-adminsのテナントレベルの権限
コンパートメント: テナント

文:

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenantレベル

説明: グループgdd-infrastructure-adminsのテナントレベルの権限
コンパートメント: テナント

文:

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-users-tenantレベル

説明: グループgdd-usersのテナント・レベルの権限
コンパートメント: テナント

文:

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd証明書の管理者

説明: グループgdd-certificate-adminsのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

また、Oracle Key Vaultを使用する場合は、次のポリシーが必要です。

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infrastructure-admin

説明: グループgdd-infrastructure-adminsのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

gddユーザー

説明: グループgdd-usersのコンパートメントレベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

また、Oracle Key Vaultを使用する場合は、次のポリシーが必要です。

Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-cas

説明: 動的グループgdd-cas-dgのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dgクラスタ

説明: 動的グループgdd-clusters-dgのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

また、Oracle Key Vaultを使用する場合は、次のポリシーが必要です。

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-kms

説明: Key Management Serviceのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

説明: Oracle Key Vaultのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

親トピック: タスク3.ユーザー・アクセス制約の作成

タスク 4 ネットワーク・リソースの構成

インフラストラクチャ管理者として、ネットワーク・リソースを作成し、分散データベースに必要な接続を有効にします。

追跡および関係を簡略化するために、これらの手順を通してリソースの名前を付ける例があります。たとえば、gdd_iadという名前は、アッシュバーン(IAD)リージョンで作成されたVCNを指します。

親トピック: テナンシの構成

一般的なネットワーク・リソース

すべてのグローバル分散Autonomous AI Database実装には、アッシュバーン(IAD)リージョンにVCN、サブネットおよびプライベート・エンドポイントが必要です。

インフラストラクチャ管理者として、次の表の説明に従ってリソースを作成します。

リソース	手順説明
Virtual Cloud Network (VCN) +サブネット	アッシュバーン(IAD)で、VCN gdd_iadおよびサブネットgdd_subnetを作成します。このVCNおよびサブネットは、グローバル分散Autonomous AIデータベース・サービスとグローバル分散Autonomous AIデータベース・トポロジ内のデータベース間の接続を有効にするために必要です。次の値を使用します。コンパートメント= gdd / gdd_databases リージョン= アッシュバーン(IAD) サブネット名= gdd_subnet サブネット・タイプ= リージョナルサブネットは、すべての可用性ドメインにわたってリージョナルである必要があります
プライベート・エンドポイント	アッシュバーン(IAD)リージョンにプライベート・エンドポイントを作成して、Globally Distributed Autonomous AI DatabaseサービスとGlobally Distributed Autonomous AI Databaseトポロジ内のデータベース間の接続を有効にします。ナビゲーション・メニューを開き、「Oracle Database」、「グローバル分散Autonomous AIデータベース」の順にクリックします。ナビゲーション・ペインで「プライベート・エンドポイント」をクリックします。プライベート・エンドポイントの作成をクリックします。次の情報を入力します名前:例: gdd_pe コンパートメント: gdd/gdd_databases これは、上で作成したアッシュバーン・リージョン・サブネットを含むコンパートメントである必要があります。サブネット: gdd_subnet リストされているサブネットが表示されない場合は、それがリージョナル・サブネットとして作成されたことを確認します。仮想クラウド・ネットワーク: gdd_iad タグの追加(オプション):「タグ付けオプションの表示」をクリックすると、このリソースのタグを選択できます。

リソース

手順説明

Virtual Cloud Network (VCN) +サブネット

アッシュバーン(IAD)で、VCN gdd_iadおよびサブネットgdd_subnetを作成します。

このVCNおよびサブネットは、グローバル分散Autonomous AIデータベース・サービスとグローバル分散Autonomous AIデータベース・トポロジ内のデータベース間の接続を有効にするために必要です。

次の値を使用します。

コンパートメント= gdd / gdd_databases
リージョン= アッシュバーン(IAD)
サブネット名= gdd_subnet
サブネット・タイプ= リージョナル

サブネットは、すべての可用性ドメインにわたってリージョナルである必要があります

プライベート・エンドポイント

アッシュバーン(IAD)リージョンにプライベート・エンドポイントを作成して、Globally Distributed Autonomous AI DatabaseサービスとGlobally Distributed Autonomous AI Databaseトポロジ内のデータベース間の接続を有効にします。

ナビゲーション・メニューを開き、「Oracle Database」、「グローバル分散Autonomous AIデータベース」の順にクリックします。
ナビゲーション・ペインで「プライベート・エンドポイント」をクリックします。
プライベート・エンドポイントの作成をクリックします。
次の情報を入力します
- 名前:例: gdd_pe
- コンパートメント: gdd/gdd_databases
  これは、上で作成したアッシュバーン・リージョン・サブネットを含むコンパートメントである必要があります。
- サブネット: gdd_subnet
  リストされているサブネットが表示されない場合は、それがリージョナル・サブネットとして作成されたことを確認します。
- 仮想クラウド・ネットワーク: gdd_iad
- タグの追加(オプション):「タグ付けオプションの表示」をクリックすると、このリソースのタグを選択できます。

親トピック: タスク4.ネットワーク・リソースの構成

トポロジに基づく追加のネットワークリソース

Globally Distributed Databaseトポロジに応じて、次に示すように追加のネットワーク・リソースを作成します。

トポロジのデータベースには、カタログ、シャードおよびOracle Data Guardスタンバイ・データベースが含まれます。

すべてのネットワーク・リソースをgdd/gdd_databasesコンパートメントに作成する必要があります。

ユース・ケース	ネットワーク・リソース	ピアリングと接続
すべてのデータベースがアッシュバーン(IAD)リージョンに配置されます	クラウドAutonomous VMクラスタのアッシュバーン(IAD)リージョンにサブネットおよびサービス・ゲートウェイを作成します。リージョンのアッシュバーン(IAD)で、VCN gdd_iadにサブネットosd-databases-subnet-iadを作成します。リージョンのアッシュバーン(IAD)で、サービス・ゲートウェイgdd_sgw_iadを作成します	必須ピアリングなし必要な接続サブネットgdd_subnetとの無制限の接続(プライベート・エンドポイント用に作成)
すべてのデータベースは、アッシュバーン(IAD)ではない単一のリージョンR1に配置されます*	クラウドAutonomous VMクラスタのリージョンにサブネットおよびサービス・ゲートウェイを作成します。リージョンR1で、サブネットosd-database-subnet-R1を含むVCN gdd_R1を作成しますリージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成します	必須ピアリング gdd_iad ↔ gdd_R1 必要な接続 gdd_iad.gdd_subnet (プライベート・エンドポイント用に作成)とgdd_R1.osd-database-subnet-R1の間の制限なし
データベースは、複数のリージョンR1、R2、...、RNに配置されます。	クラウドAutonomous VMクラスタの各リージョンにサブネットおよびサービス・ゲートウェイを作成します。サブネット: リージョンR1で、サブネットosd-database-subnet-R1を含むVCN gdd_R1を作成しますリージョンR2で、サブネットosd-database-subnet-R2を含むVCN gdd_R2を作成します ... リージョンRnで、サブネットosd-database-subnet-Rnを持つVCN gdd_Rnを作成しますサービス・ゲートウェイ: リージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成しますリージョンR2で、サービス・ゲートウェイgdd_sgw_R2を作成します ... リージョンRnで、サービス・ゲートウェイgdd_sgw_Rnを作成します	必須ピアリング gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn 必要な接続 gdd_iad.gdd_subnet (プライベート・エンドポイント用に作成)と gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn gdd_R1.osd-database-subnet-R1と gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn gdd_R2.osd-database-subnet-R2と gdd_Rn.osd-database-subnet-Rn

ユース・ケース

ネットワーク・リソース

ピアリングと接続

すべてのデータベースがアッシュバーン(IAD)リージョンに配置されます

クラウドAutonomous VMクラスタのアッシュバーン(IAD)リージョンにサブネットおよびサービス・ゲートウェイを作成します。

リージョンのアッシュバーン(IAD)で、VCN gdd_iadにサブネットosd-databases-subnet-iadを作成します。
リージョンのアッシュバーン(IAD)で、サービス・ゲートウェイgdd_sgw_iadを作成します

必須ピアリング

なし

必要な接続

サブネットgdd_subnetとの無制限の接続(プライベート・エンドポイント用に作成)

すべてのデータベースは、アッシュバーン(IAD)ではない単一のリージョンR1に配置されます*

クラウドAutonomous VMクラスタのリージョンにサブネットおよびサービス・ゲートウェイを作成します。

リージョンR1で、サブネットosd-database-subnet-R1を含むVCN gdd_R1を作成します
リージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成します

必須ピアリング

gdd_iad ↔ gdd_R1

必要な接続

gdd_iad.gdd_subnet (プライベート・エンドポイント用に作成)とgdd_R1.osd-database-subnet-R1の間の制限なし

データベースは、複数のリージョンR1、R2、...、RNに配置されます。

クラウドAutonomous VMクラスタの各リージョンにサブネットおよびサービス・ゲートウェイを作成します。

サブネット:

リージョンR1で、サブネットosd-database-subnet-R1を含むVCN gdd_R1を作成します
リージョンR2で、サブネットosd-database-subnet-R2を含むVCN gdd_R2を作成します
...
リージョンRnで、サブネットosd-database-subnet-Rnを持つVCN gdd_Rnを作成します

サービス・ゲートウェイ:

リージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成します
リージョンR2で、サービス・ゲートウェイgdd_sgw_R2を作成します
...
リージョンRnで、サービス・ゲートウェイgdd_sgw_Rnを作成します

必須ピアリング

gdd_iad ↔ gdd_R1

gdd_iad ↔ gdd_R2

gdd_iad ↔ gdd_Rn

gdd_R1 ↔ gdd_R2

gdd_R1 ↔ gdd_Rn

gdd_R2 ↔ gdd_Rn

必要な接続

gdd_iad.gdd_subnet (プライベート・エンドポイント用に作成)と

gdd_R1.osd-database-subnet-R1

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

gdd_R1.osd-database-subnet-R1と

gdd_R2.osd-database-subnet-R2

gdd_Rn.osd-database-subnet-Rn

gdd_R2.osd-database-subnet-R2と

gdd_Rn.osd-database-subnet-Rn

*Globally Distributed Databaseサービス・コントロール・プレーンは、アッシュバーン(IAD)リージョンにのみ存在します。アッシュバーン(IAD)リージョンの前のステップで作成したプライベート・エンドポイントは、各リージョンのグローバル分散データベース・リソースと通信するために使用されます。

親トピック: タスク4.ネットワーク・リソースの構成

タスク 5 セキュリティ・リソースの構成

Globally Distributed Databaseの証明書管理者として、ボールト、キー、認証局、証明書およびCAバンドル・リソースを作成します。

すべてのセキュリティ・リソースは、gdd/gdd_certs_vaults_keysコンパートメントに作成されます。

注意:

キーを参照するグローバル分散データベースを作成した後は、移動されたボールトまたはキーを参照する自律型コンテナ・データベースも再起動せずに、ボールトまたはキーを新しいコンパートメントに移動することはできません。

Globally Distributed Databaseトポロジに応じて、次の表の説明に従ってセキュリティ・リソースを作成します。

次の表で使用されているリソース名の例では、Globally Distributed Database実装用の独自のセキュリティ・リソースの作成をガイドする必要があります。

親トピック: テナンシの構成

自動データ分散、単一リージョン

このユース・ケースでは、セキュリティ・リソースが単一リージョンに作成されます。

次の例では、すべてのリソースがリージョンR1に作成されます。

リソース	指示と例
ボールト	認証局(CA)およびTransparent Data Encryption (TDE)マスター暗号化キーのボールトを作成します。リージョンR1で、ボールトgdd_vault_R1を作成します手順: Vaultの作成
認証局キー	リージョンR1で、ボールトgdd_vault_R1にマスター暗号化キーgdd_ca_key_R1を作成します必須の属性値: 保護モード= HSM キー・シェイプ: アルゴリズム= RSA 長さ= 2048 手順: マスター暗号化鍵の作成
TDEキー	リージョンR1で、ボールトgdd_vault_R1にマスター暗号化キーgdd_TDE_key-oraspaceを作成します必須の属性値: 保護モード= ソフトウェアキー・シェイプ: アルゴリズム= AES 長さ= 256 手順: マスター暗号化鍵の作成
認証局(Certificate Authority)	クラウドAutonomous VMクラスタおよびGSMコンピュート・インスタンスの証明書を発行するためのCAを作成します。リージョンR1で、キーgdd_ca_key_R1を使用してCA gdd_ca_R1を作成しますサード・パーティCAを使用して証明書を作成できますが、サード・パーティCAによって発行された証明書をOCI証明書サービスにインポートする必要があります。手順: 認証局の作成
証明書(Certificate)	クラウドAutonomous VMクラスタにアップロードするための証明書を作成します。リージョンR1で、CA gdd_ca_R1を使用して証明書gdd_certを作成します手順: 証明書の作成
CAバンドル	Cloud Autonomous VMクラスタにアップロードするためのCAバンドルを作成します。リージョンR1で、証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成します手順: CAバンドルの作成

親トピック: タスク5.セキュリティ・リソースの構成

自動データ分散、プライマリおよびスタンバイ・リージョン

このトポロジは、プライマリ・データベースとスタンバイ・データベースが別のリージョンに配置されたときに発生します。このユース・ケースでは、セキュリティ・リソースがプライマリ・データベース・リージョンおよびスタンバイ・データベース・リージョンに作成されます。

次の例では、リソースはリージョンRp (プライマリ)およびRs (スタンバイ)に作成されます。

リソース	指示と例
ボールト	認証局(CA)マスター暗号化キーのボールトを作成します。リージョンRpで、ボールトgdd_vault_Rpを作成しますリージョンRで、ボールトgdd_vault_Rsを作成します手順: Vaultの作成
レプリケートされたVirtual Vault	Transparent Data Encryption (TDE)マスター暗号化キー用にレプリケートされた仮想ボールトを作成します。リージョンRpで、リージョンRにレプリケートされる仮想ボールトgdd_vault_Rp_Rsを作成します手順: Vaultおよびキーのレプリケート
認証局キー	リージョンRpで、ボールトgdd_vault_Rpにマスター暗号化キーgdd_ca_key_Rpを作成しますリージョンRで、ボールトgdd_vault_Rsにマスター暗号化キーgdd_ca_key_Rsを作成します必須の属性値: 保護モード= HSM キー・シェイプ: アルゴリズム= RSA 長さ= 2048 手順: マスター暗号化鍵の作成
TDEキー	リージョンRpで、レプリケートされた仮想ボールトgdd_vault_Rp_Rsにマスター暗号化キーgdd_TDE_key-oraspaceを作成します必須の属性値: 保護モード= ソフトウェアキー・シェイプ: アルゴリズム= AES 長さ= 256 手順: マスター暗号化鍵の作成
認証局	クラウドAutonomous VMクラスタおよびGSMコンピュート・インスタンスの証明書を発行するためのCAを作成します。リージョンRpで、キーgdd_ca_key_Rpを使用してCA gdd_ca_Rpを作成しますリージョンRで、キーgdd_ca_key_Rsを使用してCA gdd_ca_Rsを作成しますサード・パーティCAを使用して証明書を作成できますが、サード・パーティCAによって発行された証明書をOCI証明書サービスにインポートする必要があります。手順: 認証局の作成
証明書	クラウドAutonomous VMクラスタにアップロードするための証明書を作成します。ノート: リージョンRpおよびRsの証明書には、同じ共通名を使用する必要があります。リージョンRpで、CA gdd_ca_Rpを使用して、証明書gdd_certを作成しますリージョンRで、CA gdd_ca_Rsを使用して、証明書gdd_certを作成します手順: 証明書の作成
CAバンドル	Cloud Autonomous VMクラスタにアップロードするためのCAバンドルを作成します。リージョンRpで、リージョンRpおよびRsの証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成しますリージョンRで、リージョンRpおよびRsの証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成します手順: CAバンドルの作成

親トピック: タスク5.セキュリティ・リソースの構成

ユーザー管理データ分散、単一リージョン

このユース・ケースでは、セキュリティ・リソースが単一リージョンに作成されます

次の例では、すべてのリソースがリージョンR1に作成されます。

リソース	指示と例
ボールト	認証局(CA)およびTransparent Data Encryption (TDE)マスター暗号化キーのボールトを作成します。リージョンR1で、ボールトgdd_vault_R1を作成します手順: Vaultの作成
認証局キー	リージョンR1で、ボールトgdd_vault_R1にキーgdd_ca_key_R1を作成します必須の属性値: 保護モード= HSM キー・シェイプ: アルゴリズム= RSA 長さ= 2048 手順: マスター暗号化鍵の作成
TDE鍵	リージョンR1で、カタログを暗号化するためのキーgdd_TDE_keyカタログをボールトgdd_vault_R1に作成しますリージョンR1で、シャード領域Nのシャードを暗号化するためのキーgdd_TDE_key-spaceNをボールトgdd_vault_R1に作成します必須の属性値: 保護モード= ソフトウェアキー・シェイプ: アルゴリズム= AES 長さ= 256 手順: マスター暗号化鍵の作成
認証局(Certificate Authority)	クラウドAutonomous VMクラスタおよびGSMコンピュート・インスタンスの証明書を発行するためのCAを作成します。リージョンR1で、キーgdd_ca_key_R1を使用してCA gdd_ca_R1を作成しますサード・パーティCAを使用して証明書を作成できますが、サード・パーティCAによって発行された証明書をOCI証明書サービスにインポートする必要があります。手順: 認証局の作成
証明書(Certificate)	クラウドAutonomous VMクラスタにアップロードするための証明書を作成します。リージョンR1で、CAキーgdd_ca_R1を使用して、証明書gdd_certを作成します手順: 証明書の作成
CAバンドル	Cloud Autonomous VMクラスタにアップロードするためのCAバンドルを作成します。リージョンR1で、証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成します手順: CAバンドルの作成

親トピック: タスク5.セキュリティ・リソースの構成

ユーザー管理のデータ分散、複数のリージョン

このユース・ケースでは、データベースが配置されるすべてのリージョンにセキュリティ・リソースが作成されます。

このトポロジは、次のいずれかまたは両方に当てはまる場合に発生することがあります。

プライマリ・カタログ・データベースとシャード・データベースは、異なるリージョンに配置されます
シャード領域内のデータベースは、異なるリージョンに配置されます。

セキュリティ・リソースは、データベースが配置される各リージョンR1、...、Rnに作成されます。

リソース	指示と例
ボールト	認証局(CA)マスター暗号化キーのボールトを各リージョンに作成します。リージョンR1で、ボールトgdd_vault_R1を作成しますリージョンR2で、ボールトgdd_vault_R2を作成します ... リージョンRnで、ボールトgdd_vault_Rnを作成します手順: Vaultの作成
レプリケートされた仮想ボールト	Transparent Data Encryption (TDE)マスター暗号化キー用にレプリケートされた仮想ボールトを作成します。プライマリ・リージョンRpを持つデータベース、カタログまたはシャードごとに、スタンバイ・リージョンRsとは異なります。データベースのプライマリ・リージョンRpに、データベースのスタンバイ・リージョンRsにレプリケートされる仮想ボールトgdd_vault_Rp_Rsを作成します。 Vaultおよびキーのレプリケート
認証局キー	リージョンR1で、ボールトgdd_vault_R1にキーgdd_ca_key_R1を作成しますリージョンR2で、ボールトgdd_vault_R2にキーgdd_ca_key_R2を作成します ... リージョンRnで、ボールトgdd_vault_Rnにキーgdd_ca_key_Rnを作成します必須の属性値: 保護モード= HSM キー・シェイプ: アルゴリズム= RSA 長さ= 2048 手順: マスター暗号化鍵の作成
TDE鍵	データベース、カタログまたはシャードごとに、スタンバイ・データベースがないか、プライマリ・リージョンと同じスタンバイ・リージョンがあります。カタログ・データベースが配置されているリージョンのボールトにカタログ・データベースのキーgdd_TDE_keyカタログを作成しますシャードのデータベースが配置されているリージョンのボールトのシャード領域データベースに対して、キーgdd_TDE_key-spaceNを作成しますスタンバイ・リージョンとは異なるプライマリ・リージョンを持つデータベース、カタログまたはシャードごとに: カタログのプライマリ・データベースが配置されているリージョンのレプリケートされた仮想ボールトにキーgdd_TDE_keyカタログを作成しますシャードのプライマリ・データベースが配置されているリージョンのレプリケートされた仮想ボールトにキーgdd_TDE_key-spaceNを作成します必須の属性値: 保護モード= ソフトウェアキー・シェイプ: アルゴリズム= AES 長さ= 256 手順: マスター暗号化鍵の作成
認証局	クラウドAutonomous VMクラスタおよびGSMコンピュート・インスタンスの証明書を発行するために、各リージョンに認証局(CA)を作成します。リージョンR1で、キーgdd_ca_key_R1を使用してCA gdd_ca_R1を作成しますリージョンR2で、キーgdd_ca_key_R2を使用してCA gdd_ca_R2を作成します ... リージョンRnで、キーgdd_ca_key_Rnを使用してCA gdd_ca_Rnを作成しますサード・パーティCAを使用して証明書を作成できますが、サード・パーティCAによって発行された証明書をOCI証明書サービスにインポートする必要があります。手順: 認証局の作成
証明書	クラウドAutonomous VMクラスタにアップロードするための証明書を各リージョンに作成します。ノート:すべてのリージョンの証明書には、同じ共通名を使用する必要があります。リージョンR1で、CA gdd_ca_R1を使用して証明書gdd_certを作成しますリージョンR2で、CA gdd_ca_R2を使用して証明書gdd_certを作成します ... リージョンRnで、CA gdd_ca_Rnを使用して、証明書gdd_certを作成します手順: 証明書の作成
CAバンドル	Cloud Autonomous VMクラスタにアップロードするためのCAバンドルを作成します。リージョンR1で、リージョンR1、R2、...、Rnの証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成しますリージョンR2で、リージョンR1、R2、...、Rnの証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成します ... リージョンRnで、リージョンR1、R2、...、Rnの証明書gdd_certの証明書チェーンを含むCAバンドルgdd_cert_bundleを作成します手順: CAバンドルの作成

親トピック: タスク5.セキュリティ・リソースの構成

タスク 6 Exadataリソースの作成

インフラストラクチャ管理者として、次のステップでGlobally Distributed Autonomous AI Databaseトポロジを構成します。

親トピック: テナンシの構成

Exadataリソースの考慮事項

次に留意してください:

Globally Distributed Autonomous AI Databaseサービスは、2ノードのクォータ・ラックExadataのみをサポートします。
Exadataインフラストラクチャはリージョン固有です。つまり、カタログまたはシャード・データベースを配置する予定の各リージョンには、Exadataインフラストラクチャが必要になります。
グローバル分散Autonomous AIデータベースにデプロイする予定のカタログおよびシャード・データベースごとに、クラウドAutonomous VMクラスタを作成する必要があります。
シャードおよびカタログ・データベースは、特定のクラウドAutonomous VMクラスタに配置できます。ただし、カタログおよびシャード・データベースに共通のクラウドAutonomous VMクラスタを使用すると、処理のボトルネックが発生する可能性があります。

親トピック: タスク6.Exadataリソースの作成

Exadata Infrastructureインスタンスの作成

gdd/gdd_exadataコンパートメントにExadataインフラストラクチャ・リソースを作成します。

Exadataインフラストラクチャ・リソースの作成の指示に従います。

親トピック: タスク6.Exadataリソースの作成

Oracle-ApplicationNameタグ・ネームスペースのインポート

テナンシのルート・コンパートメントにOracle-ApplicationNameタグ・ネームスペースをインポートします。

クラウド・コンソールのナビゲーション・メニューから、「ガバナンスと管理」、「タグ・ネームスペース」(「テナンシ管理」カテゴリの下)の順に選択します。
「タグ・ネームスペース」パネルで、テナンシのルート・コンパートメントにOracle-ApplicationNameネームスペースが存在するかどうかを確認します。

テナンシのルート・コンパートメントが「リスト範囲」で選択されていることを確認します。
リストにOracle-ApplicationNameが表示されない場合は、次の手順を実行します。
1. (リストの上にある)「標準タグのインポート」をクリックします。
2. Oracle-ApplicationNameネームスペースの横にあるチェック・ボックスを選択し、「インポート」をクリックします。

親トピック: タスク6.Exadataリソースの作成

クラウドAutonomous VMクラスタの作成

Globally Distributed Databaseトポロジの各データベースのクラスタを作成します。

クラスタを作成するステップは、Autonomous Exadata VMクラスタの作成を参照してください。

クラスタの作成時に、次のことを実行してください。

各クラスタの作成時に、次のタグを定義する必要があります。

Oracle-ApplicationName.Other_Oracle_Application: Sharding

Autonomous Exadata VMクラスタにタグを追加する前に、タグのネームスペースをインポートする必要があります。

ノート:
Globally Distributed Databaseで使用するクラスタにタグ付けすると、クラスタが削除されるまで、Globally Distributed Database SKUに対する請求が継続されます。
gdd/gdd_clustersコンパートメントにクラスタを作成します。
リリース26aiの場合:リリース26aiデータベースを使用する場合は、26aiデータベース・ソフトウェアのバージョン要件について、Autonomous Exadata VMクラスタの作成の前提条件の項を確認してください。
クラスタが設定されている場合は、同じタイムゾーンに設定する必要があります。
データベース(シャードまたはカタログ)ごとに1つのVMクラスタを使用することをお薦めします。

親トピック: タスク6.Exadataリソースの作成

タスク 7 クラウドAutonomous VMクラスタ証明書のアップロード

証明書管理者は、gdd/gdd_certs_vaults_keysコンパートメントに認証局、証明書およびCAバンドルを作成しました。次に、CAバンドルを各Autonomous Exadata VMクラスタにアップロードします。

重要:

アップロードするCAバンドルは、すべてのAutonomous Exadata VMクラスタに対して同一である必要があります。
すべてのAutonomous Exadata VMクラスタの証明書共通名は、同一である必要があります。

詳細は、Autonomous Exadata VMクラスタ・リソースのセキュリティ証明書の管理を参照してください。

親トピック: テナンシの構成

(オプション) APIキーおよびユーザー制約の作成

Globally Distributed Database REST API、OCIソフトウェア開発キットおよびコマンドライン・インタフェースを直接使用する場合は、OCI APIキー・ペアを作成します。

必要なキーとOCIDの指示に従います。

APIにユーザー・コントロールを設定する場合は、「Globally Distributed Autonomous AI Database APIの権限」を参照してください。

親トピック: テナンシの構成