テナンシの構成

Oracleのグローバル分散データベース・サービスを使用して分散データベースを作成および管理する前に、これらの準備タスクを実行してテナンシの編成、様々なリソースのポリシーの作成、ネットワーク、セキュリティおよびインフラストラクチャ・リソースの調達および構成を行う必要があります。

タスク1. Ashburn Regionについて

テナント管理者は、Ashburn (IAD)リージョンと、Globally Distributed Exadata Database on Exascale Infrastructure実装の実行に必要なすべてのリージョンをサブスクライブします。

アッシュバーン(IAD)リージョンをサブスクライブします。
- このサービスを使用するには、アッシュバーン・リージョンをサブスクライブする必要があります。
- テナンシ・ホーム・リージョンはアッシュバーン・リージョンである必要はありませんが、Oracle Globally Distributed Databaseサービスを使用するにはアッシュバーン・リージョンをサブスクライブする必要があります。
データベースを配置する他のリージョンをサブスクライブします。
- 実装用にデータベースを配置する予定のリージョンをサブスクライブします。これには、カタログ用のデータベース、シャードおよびカタログ用のオプションのOracle Data Guardスタンバイ・データベースが含まれます。
  
  ノート: Globally Distributed Exadata Database on Exascale Infrastructureでは、2つのリージョンにシャードの作成のみがサポートされています。また、最高のパフォーマンスを得るために、Raftレプリケーションを使用する分散データベースでは、同じリージョンにシャードが必要です。

詳細は、リージョンの管理を参照してください。

タスク2. コンパートメントの作成

テナント管理者は、Oracle Globally Distributed Exadata Database on Exascale Infrastructureサービスに必要なすべてのリソースのコンパートメントをテナンシに作成します。

Oracleでは、次の構造が推奨され、これらのコンパートメントは設定タスク全体で参照されます。

デプロイメント全体に対する「親」コンパートメント。この例は gddです。
各種リソースそれぞれに対する「子」コンパートメント:
- 認証局、証明書、証明書バンドル、ボールト、および鍵の gdd_certs_vaults_keys
- データベース、VMクラスタ、VCNs、サブネット、プライベート・エンドポイントおよびGlobally Distributed Exadata Database on Exascale Infrastructureリソースのgdd_databases。
- gdd_instances: アプリケーション・サーバーのコンピュート・インスタンス(データベースに接続するための要塞として機能するエッジ・ノード/ジャンプ・ホスト)

結果のコンパートメント構造は次のようになります。

tenant /
     gdd /
          gdd_certs_vaults_keys
          gdd_databases
          gdd_instances

詳細は、コンパートメントの作業を参照してください。

タスク3. ユーザー・アクセス制約の作成

アクセス制御プランを策定し、適切なIAM (Identity and Access Management)リソースを作成して構成します。したがって、分散データベース内のアクセス制御は様々なレベルで実装され、ここでのグループおよびポリシーによって定義されます。

次の表で説明するユーザー・グループ、動的グループおよびポリシーは、分散データベース実装のための独自のユーザー・アクセス制御計画の作成をガイドする必要があります。

テナント管理者は、次の推奨グループ、動的グループおよびポリシーを作成して、以前に定義したロールに権限を付与します。例およびドキュメント・リンクでは、テナンシがアイデンティティ・ドメインを使用していることを前提としています。

ロールの分離について

クラウド・ユーザーが職務を遂行をするために適切な種類のクラウド・リソースのみを使用および作成できるようにするには、クラウド・ユーザーがアクセスできることを確認する必要があります。ベスト・プラクティスは、ロール区分の目的でロールを定義することです。

次の表で説明するロールおよび職責は、分散ExaDB-XS実装のユーザー・グループ、動的グループおよびポリシーの定義方法を理解するためのガイドとなります。ここに示したロールの例は、環境設定、リソース作成および管理の手順全体で使用されています。

ロール	責任
テナントの管理者	リージョンのサブスクライブコンパートメントを作成動的グループ、ユーザー・グループおよびポリシーの作成
インフラストラクチャ管理者	virtual-network-familyの作成/更新/削除 Exadataインフラストラクチャの作成/更新/削除 Exadata VMクラスタの作成/更新/削除 Exadata VMクラスタのタグ付けグローバル分散データベースのプライベート・エンドポイントの作成/更新/削除
証明書管理者	Vaultの作成/更新/削除キーの作成/更新/削除
ユーザー	UIとAPIを使用したグローバル分散データベースの作成と管理

動的グループ

次の動的グループを作成して、Oracle Globally Distributed Exadata Database on Exascale Infrastructureコンパートメントで作成されたリソースへのアクセスを制御します。

手順については、動的グループの作成を参照してください。

動的グループの名前	説明	ルール
gdd-cas-dg	認証局リソース	すべて resource.type='certificateauthority' resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_certs_vaults_keys'
gdd- クラスタ-dg	Exadata Database VMクラスタ・リソース	すべて resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_databases'
gddインスタンスdg	コンピュート・インスタンス・リソース	すべて resource.compartment.id = 'コンパートメント・テナント・ルート/gdd / gdd_instancesのOCID'

動的グループの名前

説明

ルール

gdd-cas-dg

認証局リソース

すべて

resource.type='certificateauthority'

resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_certs_vaults_keys'

gdd- クラスタ-dg

Exadata Database VMクラスタ・リソース

すべて

resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_databases'

gddインスタンスdg

コンピュート・インスタンス・リソース

すべて

resource.compartment.id = 'コンパートメント・テナント・ルート/gdd / gdd_instancesのOCID'

ユーザー・グループ

次のグループを作成して、Globally Distributed Databaseコンパートメントのリソースを使用する権限をユーザーに付与します。

手順は、グループの作成を参照してください。

ユーザーグループ名	説明
gdd証明書の管理者	キーおよびボールトを作成および管理する証明書管理者。
gdd-infrastructure-admin	クラウド・ネットワークおよびインフラストラクチャ・リソースを作成および管理するインフラストラクチャ管理者
gddユーザー	APIおよびUIを使用してGlobally Distributed Databaseリソースを作成および管理するユーザー

ポリシー

IAMポリシーを作成して、Oracle Globally Distributed Exadata Database on Exascale Infrastructureテナンシのコンパートメントで作成されたリソースへのグループ・アクセス権を付与します。

Oracle Cloudには複数のGlobally Distributed Databaseサービスがあることに注意してください。これらのポリシーは、Globally Distributed Exadata Database on Exascale Infrastructureサービスに固有です。

以前に作成したコンパートメント構造およびグループに基づく次のサンプル・ポリシーは、実装用の独自のIAMポリシーの作成をガイドする必要があります。

アイデンティティ・ドメイン(デフォルトなど)は、グループを作成したアイデンティティ・ドメインである必要があります。

手順は、ポリシーの作成を参照してください。

gdd証明書- 管理者- テナント・レベル

説明: グループgdd-certificate-adminsのテナント・レベルの権限
コンパートメント: tenant

文:

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenantレベル

説明: グループgdd-infrastructure-adminsのテナント・レベルの権限
コンパートメント: tenant

文:

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-users-tenantレベル

説明: グループgdd-usersのテナント・レベルの権限
コンパートメント: tenant

文:

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd証明書の管理者

説明: グループgdd-certificate-adminsのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd-infrastructure-admin

説明: グループgdd-infrastructure-adminsのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

gddユーザー

説明: グループgdd-usersのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
Allow service database to manage recovery-service-family in compartment gdd
Allow service rcs to manage recovery-service-family in compartment gdd
Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

説明: 動的グループgdd-cas-dgのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dgクラスタ

説明: 動的グループgdd-clusters-dgのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-kms

説明: Key Management Serviceのコンパートメント・レベルの権限
コンパートメント: tenant/gdd

文:

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

タスク 4 ネットワーク・リソースの構成

インフラストラクチャ管理者として、ネットワーク・リソースを作成し、分散データベースに必要な接続を有効にします。

追跡および関係を簡略化するために、これらの手順を通してリソースの名前を付ける例があります。たとえば、gdd_iadという名前は、アッシュバーン(IAD)リージョンで作成されたVCNを指します。

一般的なネットワーク・リソース

Exascale InfrastructureGlobally Distributed Exadata Database on Exascale Infrastructure上のすべてのGlobally Distributed Exadata Database (分散ExaDB-XS)実装では、アッシュバーン(IAD)リージョンにVCN、サブネットおよびプライベート・エンドポイントが必要です。

インフラストラクチャ管理者として、ここで説明するようにリソースを作成します。

Virtual Cloud Network (VCN)+サブネット

アッシュバーン(IAD)で、VCN gdd_iadおよびサブネットgdd_subnetを作成します。

このVCNおよびサブネットは、分散ExaDB-XSサービスとトポロジ内のデータベース間の接続を有効にするために必要です。

次の値を使用します。

コンパートメント= gdd/gdd_databases
リージョン= アッシュバーン(IAD)
サブネット名= gdd_subnet
サブネット・タイプ= リージョナル

サブネットは、すべての可用性ドメインにわたってリージョナルである必要があります

作成するステップは、VCNsおよびサブネットを参照してください。

プライベート・エンドポイント

アッシュバーン(IAD)リージョンにプライベート・エンドポイントを作成して、分散ExaDB-XSサービスとトポロジ内のデータベース間の接続を有効にします。

ナビゲーション・メニューを開き、「Oracle AI Database」、「Globally Distributed Exadata Database on Exascale Infrastructure」の順に選択します。
ナビゲーション・ペインで「プライベート・エンドポイント」を選択します。
「プライベート・エンドポイントの作成」を選択します。
次の情報を入力します
- 名前: 例: gdd_pe
- コンパートメント: gdd/gdd_databases
  
  これは、上で作成したアッシュバーン・リージョン・サブネットを含むコンパートメントである必要があります。
- サブネット: gdd_subnet
  
  リストされているサブネットが表示されない場合は、それがリージョナル・サブネットとして作成されたことを確認します。
- 仮想クラウド・ネットワーク: gdd_iad
タグの追加(オプション): 「タグ付けオプションの表示」を選択して、このリソースのタグを選択できます。

このリソースの詳細は、プライベート・エンドポイントの作成および管理を参照してください。

トポロジに基づく追加のネットワークリソース

Oracle Globally Distributed Exadata Database on Exascale Infrastructureトポロジに応じて、次に示すように追加のネットワーク・リソースを作成します。

トポロジのデータベースには、カタログ、シャードおよびカタログのオプションのOracle Data Guardスタンバイ・データベースが含まれます。

すべてのネットワーク・リソースは、gdd/gdd_databasesコンパートメントに作成する必要があります。

すべてのデータベースがアッシュバーン(IAD)リージョンに配置されます

クラウドExadata Database VMクラスタのアッシュバーン(IAD)リージョンにサブネットおよびサービス・ゲートウェイを作成します。

リージョンのアッシュバーン(IAD)で、VCN gdd_iadにサブネットosd-databases-subnet-iadを作成します。
リージョンのアッシュバーン(IAD)で、サービス・ゲートウェイgdd_sgw_iadを作成します

必須ピアリング: なし

必要な接続性: サブネットgdd_subnetとの無制限の接続性

すべてのデータベースは、アッシュバーン(IAD)ではない単一のリージョンR1に配置されます。

クラウドExadata Database VMクラスタのリージョンにサブネットおよびサービス・ゲートウェイを作成します。

リージョンR1で、サブネットosd-database-subnet-R1を使用してVCN gdd_R1を作成します
リージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成します

必要なピアリング: gdd_iad↔ gdd_R1

必要な接続性: gdd_iad.gdd_subnetとgdd_R1.osd-database-subnet-R1の間の制限なし

データベースは、複数のリージョンR1、R2、…、RNに配置されます。

クラウドExadata Database VMクラスタの各リージョンにサブネットおよびサービス・ゲートウェイを作成します。

サブネット:

リージョンR1で、サブネットosd-database-subnet-R1を使用してVCN gdd_R1を作成します
リージョンR2で、サブネットosd-database-subnet-R2を使用してVCN gdd_R2を作成します
…
リージョンRnで、サブネットosd-database-subnet-Rnを使用してVCN gdd_Rnを作成します

サービス・ゲートウェイ:

リージョンR1で、サービス・ゲートウェイgdd_sgw_R1を作成します
リージョンR2で、サービス・ゲートウェイgdd_sgw_R2を作成します
…
リージョンRnで、サービス・ゲートウェイgdd_sgw_Rnを作成します

必須ピアリング:

gdd_iad ↔ gdd_R1
gdd_iad ↔ gdd_R2
gdd_iad ↔ gdd_Rn
gdd_R1 ↔ gdd_R2
gdd_R1 ↔ gdd_Rn
gdd_R2 ↔ gdd_Rn

必要な接続性: gdd_iad.gdd_subnetと次の間の制限なしおよび双方向

gdd_R1.osd-database-subnet-R1
gdd_R2.osd-database-subnet-R2
gdd_Rn.osd-database-subnet-Rn

gdd_R1.osd-database-subnet-R1と次の間の制限なしおよび双方向:

gdd_R2.osd-database-subnet-R2
gdd_Rn.osd-database-subnet-Rn

gdd_R2.osd-database-subnet-R2とgdd_Rn.osd-database-subnet-Rnの間の制限なしおよび双方向

ノート: Oracle Globally Distributed Exadata Database on Exascale Infrastructureサービス・コントロール・プレーンは、アッシュバーン(IAD)リージョンにのみ存在します。アッシュバーン(IAD)リージョンの前のステップで作成したプライベート・エンドポイントは、各リージョンの分散データベース・リソースと通信するために使用されます。

リソースを作成する手順は、次の場所で入手できます。

タスク 5 セキュリティ・リソースの構成

すべてのセキュリティ・リソースは、gdd/gdd_certs_vaults_keysコンパートメントに作成されます。

注意:キーを参照する分散データベースを作成した後は、移動されたボールトまたはキーを参照するコンテナ・データベースも再起動せずに、ボールトまたはキーを新しいコンパートメントに移動することはできません。

Vaultの作成

シャード・データベースが存在するリージョンのTransparent Data Encryption (TDE)マスター暗号化キーのボールトをgdd/gdd_certs_vaults_keysコンパートメントに作成します。

たとえば、リージョンR1で、ボールトgdd_vault_R1を作成します。

ボールトの作成の詳細は、「Vaultの作成」を参照してください。

TDEキーの作成

データベースにアクセスするためのマスター暗号化キーを作成します。

たとえば、次の属性を持つマスター暗号化キーgdd_TDE_key-oraspaceをボールトgdd_vault_R1に作成します。

保護モード= ソフトウェア
キー・シェイプ: アルゴリズム= AES
長さ= 256

マスター暗号化キーの作成の詳細は、マスター暗号化キーの作成を参照してください。

タスク 6 Exadataリソースの作成

インフラストラクチャ管理者として、次のステップでOracle Globally Distributed Exadata Database on Exascale Infrastructureトポロジを構成します。

Oracle-ApplicationNameタグ・ネームスペースのインポート

テナンシのルート・コンパートメントにOracle-ApplicationNameタグ・ネームスペースをインポートします。

クラウド・コンソールのナビゲーション・メニューから、「ガバナンスと管理」、「タグ・ネームスペース」(「テナンシ管理」カテゴリの下)の順に選択します。
「タグ・ネームスペース」パネルで、テナンシのルート・コンパートメントにOracle-ApplicationNameネームスペースが存在するかどうかを確認します。

テナンシのルート・コンパートメントが「リスト範囲」で選択されていることを確認します。
リストにOracle-ApplicationNameが表示されない場合は、次の手順を実行します。
1. 「標準タグのインポート」を選択します(リストの上にあります)。
2. Oracle-ApplicationNameネームスペースの横にあるチェック・ボックスを選択し、「インポート」を選択します。

ExascaleインフラストラクチャでのExadata VMクラスタの作成

カタログ・データベース用のExadata Database Service on Exascaleインフラストラクチャ・サービス、オプションのData Guardスタンバイ・カタログ・データベースおよび各シャード・データベースを使用して、分散ExaDB-XSトポロジにデプロイする予定のVMクラスタを作成します。

VMクラスタの作成時に、次の要件および推奨事項を使用します:

データベースごとに1つのVMクラスタ(シャード、カタログ、カタログ・スタンバイ)を使用することをお薦めします。

1つのシャード・データベースと1つのカタログ・データベースを特定のVMクラスタに配置できます。ただし、カタログとシャードの両方に共通のVMクラスタを使用すると、処理のボトルネックが発生する可能性があります。
単一ノード・クラスタを作成します。単一ノード・クラスタのみがサポートされています。
コンパートメント:テナンシのgdd/gdd_clustersコンパートメントにVMクラスタを作成します。
VMごとに有効になるECPU:シャード用のVMクラスタに対して8つのECPUを有効にします。
データベース・ストレージ:トポロジ内のすべてのデータベースに500GB以上のストレージ容量を構成していれば、すべてのVMクラスタ(カタログおよびシャード)に同じボールトを使用できます。

たとえば、3つのシャードと1つのカタログがある場合、必要な最小ストレージの合計は500GB x 4 = 2000GBです。この場合、最小2000GBのストレージ容量を持つ単一のボールトを作成します。
タイムゾーン:トポロジ内のすべてのVMクラスタを同じタイムゾーンに設定します。この設定は、「拡張オプション」の下にあります。
タグ:定義済のタグOracle-ApplicationName.Other_Oracle_Application: Shardingを追加します。この設定は、「拡張オプション」の下にあります。

タグを追加する前に、「Oracle-ApplicationNameタグ・ネームスペースのインポート」の説明に従って、タグのネームスペースをインポートする必要があります。

ノート:分散データベースで使用するためにVMクラスタにタグ付けすると、VMクラスタが削除されるまでそのSKUに対する請求が継続されます。

クラスタを作成するステップは、VMクラスタの管理を参照してください。

(オプション) APIキーおよびユーザー制約の作成

Globally Distributed Database REST API、OCIソフトウェア開発キットおよびコマンドライン・インタフェースを直接使用する場合は、OCI APIキー・ペアを作成します。

必要なキーとOCIDの指示に従います。

APIにユーザー・コントロールを設定する場合は、「グローバル分散データベースAPIの権限」を参照してください。