テナンシの構成
Oracleのグローバル分散データベース・サービスを使用して分散データベースを作成および管理する前に、これらの準備タスクを実行してテナンシの編成、様々なリソースのポリシーの作成、ネットワーク、セキュリティおよびインフラストラクチャ・リソースの調達および構成を行う必要があります。
タスク1. Ashburn Regionについて
テナント管理者は、アッシュバーン(IAD)リージョンおよびGlobally Distributed Exadata Database on Exascale Infrastructure実装の実行に必要なすべてのリージョンをサブスクライブします。
- アッシュバーン(IAD)リージョンをサブスクライブします。
- このサービスを使用するには、アッシュバーン・リージョンをサブスクライブする必要があります。
-
テナンシ・ホーム・リージョンはアッシュバーン・リージョンである必要はありませんが、Oracle Globally Distributed Databaseサービスを使用するにはアッシュバーン・リージョンをサブスクライブする必要があります。
- データベースを配置する他のリージョンをサブスクライブします。
- 実装用にデータベースを配置する予定のリージョンをサブスクライブします。これには、カタログ用のデータベース、シャードおよびカタログ用のオプションのOracle Data Guardスタンバイ・データベースが含まれます。
ノート:
Globally Distributed Exadata Database on Exascale Infrastructureでは、2つのリージョンでのシャードの作成のみがサポートされています。また、最高のパフォーマンスを得るために、Raftレプリケーションを使用する分散データベースでは、同じリージョンにシャードが必要です。
- 実装用にデータベースを配置する予定のリージョンをサブスクライブします。これには、カタログ用のデータベース、シャードおよびカタログ用のオプションのOracle Data Guardスタンバイ・データベースが含まれます。
詳細は、リージョンの管理を参照してください。
親トピック: テナンシの構成
タスク2. コンパートメントの作成
テナント管理者は、Oracle Globally Distributed Exadata Database on Exascale Infrastructureサービスに必要なすべてのリソースのコンパートメントをテナンシに作成します。
Oracleでは、次の構造が推奨され、これらのコンパートメントは設定タスク全体を通して参照されます。
- デプロイメント全体に対する「親」コンパートメントこの例は gddです。
- 各種リソースそれぞれに対する「子」コンパートメント:
- 認証局、証明書、証明書バンドル、ボールトおよびキーについては、gdd_certs_vaults_keysを参照してください。
- gdd_databases for databases, VM clusters, VCNs, subnets, private endpoints, and Globally Distributed Exadata Database on Exascale Infrastructure resources.
- gdd_instances: アプリケーション・サーバーのコンピュート・インスタンス(データベースに接続するための要塞として機能するエッジ・ノード/ジャンプ・ホスト)
結果のコンパートメント構造は次のようになります。
tenant /
gdd /
gdd_certs_vaults_keys
gdd_databases
gdd_instances
詳細は、コンパートメントの作業を参照してください。
親トピック: テナンシの構成
タスク3. ユーザー・アクセス制約の作成
アクセス制御プランを策定し、適切なIAM (Identity and Access Management)リソースを作成して構成します。したがって、分散データベース内のアクセス制御は様々なレベルで実装され、ここでのグループおよびポリシーによって定義されます。
次の表で説明するユーザー・グループ、動的グループおよびポリシーは、分散データベース実装用の独自のユーザー・アクセス制御計画の作成をガイドする必要があります。
テナント管理者は、次の推奨グループ、動的グループおよびポリシーを作成して、以前に定義したロールに権限を付与します。例およびドキュメント・リンクでは、テナンシがアイデンティティ・ドメインを使用していることを前提としています。
ロール区分について
クラウド・ユーザーが職務を遂行をするために適切な種類のクラウド・リソースのみを使用および作成できるようにするには、クラウド・ユーザーがアクセスできることを確認する必要があります。ベスト・プラクティスは、ロール区分の目的でロールを定義することです。
次の表で説明するロールおよび職責は、分散ExaDB-XS実装のユーザー・グループ、動的グループおよびポリシーの定義方法の理解をガイドする必要があります。ここに示したロールの例は、環境設定、リソース作成および管理の手順全体で使用されています。
| ロール | 責任 |
|---|---|
| テナントの管理者 |
リージョンのサブスクライブ コンパートメントを作成 動的グループ、ユーザー・グループおよびポリシーの作成 |
| インフラストラクチャ管理者 |
virtual-network-familyの作成/更新/削除 Exadataインフラストラクチャの作成/更新/削除 Exadata VMクラスタの作成/更新/削除 Exadata VMクラスタのタグ付け グローバル分散データベースのプライベート・エンドポイントの作成/更新/削除 |
| 証明書管理者 |
Vaultの作成/更新/削除 キーの作成/更新/削除 |
| ユーザー | UIとAPIを使用したグローバル分散データベースの作成と管理 |
親トピック: タスク3.ユーザー・アクセス制約の作成
動的グループ
次の動的グループを作成して、Oracle Globally Distributed Exadata Database on Exascale Infrastructureコンパートメントで作成されたリソースへのアクセスを制御します。
手順は、動的グループの作成を参照してください。
| 動的グループの名前 | 説明 | ルール |
|---|---|---|
| gdd-cas-dg | 認証局リソース |
すべて resource.type='certificateauthority' resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_certs_vaults_keys' |
| gdd- クラスタ-dg | Exadata Database VMクラスタ・リソース |
すべて resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_databases' |
| gddインスタンスdg | コンピュート・インスタンス・リソース |
すべて resource.compartment.id = 'コンパートメント・テナント・ルートのOCID / gdd / gdd_instances' |
親トピック: タスク3.ユーザー・アクセス制約の作成
ユーザー・グループ
次のグループを作成して、Globally Distributed Databaseコンパートメントのリソースを使用する権限をユーザーに付与します。
手順は、グループの作成を参照してください。
| ユーザー グループ名 | 説明 |
|---|---|
| gdd証明書の管理者 | キーおよびボールトを作成および管理する証明書管理者。 |
| gdd-infrastructure-admin | クラウド・ネットワークおよびインフラストラクチャ・リソースを作成および管理するインフラストラクチャ管理者 |
| gddユーザー | APIおよびUIを使用してGlobally Distributed Databaseリソースを作成および管理するユーザー |
親トピック: タスク3.ユーザー・アクセス制約の作成
ポリシー
IAMポリシーを作成して、Oracle Globally Distributed Exadata Database on Exascale Infrastructureテナンシのコンパートメントで作成されたリソースへのグループ・アクセス権を付与します。
Oracle Cloudには複数のGlobally Distributed Databaseサービスがあることに注意してください。これらのポリシーは、Globally Distributed Exadata Database on Exascale Infrastructureサービスに固有です。
以前に作成したコンパートメント構造およびグループに基づく次のサンプル・ポリシーは、実装用の独自のIAMポリシーの作成をガイドする必要があります。
アイデンティティ・ドメイン(デフォルトなど)は、グループを作成したアイデンティティ・ドメインである必要があります。
手順は、ポリシーの作成を参照してください。
gdd証明書- 管理者- テナント・レベル
- 説明: グループgdd-certificate-adminsのテナントレベルの権限
- コンパートメント: テナント
- 文:
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy
gdd-infrastructure-admins-tenantレベル
- 説明: グループgdd-infrastructure-adminsのテナントレベルの権限
- コンパートメント: テナント
- 文:
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy
gdd-users-tenantレベル
-
説明: グループgdd-usersのテナント・レベルの権限
- コンパートメント: テナント
- 文:
Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy Allow group 'Default' / 'gdd-users' to READ limits in tenancy Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy
gdd証明書の管理者
- 説明: グループgdd-certificate-adminsのコンパートメント・レベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
gdd-infrastructure-admin
- 説明: グループgdd-infrastructure-adminsのコンパートメント・レベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd
gddユーザー
- 説明: グループgdd-usersのコンパートメントレベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd Allow service database to manage recovery-service-family in compartment gdd Allow service rcs to manage recovery-service-family in compartment gdd Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd
gdd-dg-cas
- 説明: 動的グループgdd-cas-dgのコンパートメント・レベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd
gdd-dgクラスタ
- 説明: 動的グループgdd-clusters-dgのコンパートメント・レベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys
gdd-kms
- 説明: Key Management Serviceのコンパートメント・レベルの権限
- コンパートメント: tenant/gdd
- 文:
Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys
親トピック: タスク3.ユーザー・アクセス制約の作成
タスク 4 ネットワーク・リソースの構成
インフラストラクチャ管理者として、ネットワーク・リソースを作成し、分散データベースに必要な接続を有効にします。
追跡および関係を簡略化するために、これらの手順を通してリソースの名前を付ける例があります。たとえば、gdd_iadという名前は、アッシュバーン(IAD)リージョンで作成されたVCNを指します。
一般的なネットワーク・リソース
All Globally Distributed Exadata Database on Exascale Infrastructure (Distributed ExaDB-XS) implementations require a VCN, subnet, and a private endpoint in the Ashburn (IAD) region.
インフラストラクチャ管理者として、次の表の説明に従ってリソースを作成します。
| リソース | 手順説明 |
|---|---|
| Virtual Cloud Network (VCN)+サブネット |
アッシュバーン(IAD)で、VCN gdd_iadおよびサブネットgdd_subnetを作成します。 このVCNおよびサブネットは、分散ExaDB-XSサービスとトポロジ内のデータベース間の接続を有効にするために必要です。 次の値を使用します。
作成するステップは、VCNsおよびサブネットを参照してください。 |
| プライベート・エンドポイント |
アッシュバーン(IAD)リージョンにプライベート・エンドポイントを作成して、分散ExaDB-XSサービスとトポロジ内のデータベース間の接続を有効にします。
このリソースの詳細は、プライベート・エンドポイントの作成および管理を参照してください。 |
親トピック: タスク4.ネットワーク・リソースの構成
トポロジに基づく追加のネットワークリソース
Oracle Globally Distributed Exadata Database on Exascale Infrastructureトポロジに応じて、次に示すように追加のネットワーク・リソースを作成します。
トポロジのデータベースには、カタログ、シャードおよびカタログのオプションのOracle Data Guardスタンバイ・データベースが含まれます。
すべてのネットワーク・リソースをgdd/gdd_databasesコンパートメントに作成する必要があります。
| ユース・ケース | ネットワーク・リソース | ピアリングと接続 |
|---|---|---|
|
すべてのデータベースがアッシュバーン(IAD)リージョンに配置されます
|
クラウドExadata Database VMクラスタのアッシュバーン(IAD)リージョンにサブネットおよびサービス・ゲートウェイを作成します。
|
必須ピアリング なし 必要な接続 サブネットgdd_subnetとの無制限の接続性 |
| すべてのデータベースは、アッシュバーン(IAD)ではない単一のリージョンR1に配置されます* |
クラウドExadata Database VMクラスタのリージョンにサブネットおよびサービス・ゲートウェイを作成します。
|
必須ピアリング gdd_iad ↔ gdd_R1 必要な接続 gdd_iad.gdd_subnetとgdd_R1.osd-database-subnet-R1の間の制限なし |
| データベースは、複数のリージョンR1、R2、...、RNに配置されます。 |
クラウドExadata Database VMクラスタの各リージョンにサブネットおよびサービス・ゲートウェイを作成します。 サブネット:
サービス・ゲートウェイ:
|
必須ピアリング gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn 必要な接続 gdd_iad.gdd_subnetと gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn gdd_R1.osd-database-subnet-R1と gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn gdd_R2.osd-database-subnet-R2と gdd_Rn.osd-database-subnet-Rn |
*Oracle Globally Distributed Exadata Database on Exascale Infrastructureサービス・コントロール・プレーンは、アッシュバーン(IAD)リージョンにのみ存在します。アッシュバーン(IAD)リージョンの前のステップで作成したプライベート・エンドポイントは、各リージョンの分散データベース・リソースと通信するために使用されます。
リソースを作成する手順は、次の場所で入手できます。
親トピック: タスク4.ネットワーク・リソースの構成
タスク 5 セキュリティ・リソースの構成
注意:
キーを参照する分散データベースを作成した後は、移動したボールトまたはキーを参照するコンテナ・データベースも再起動せずに、ボールトまたはキーを新しいコンパートメントに移動することはできません。Vaultの作成
シャード・データベースが存在するリージョンのTransparent Data Encryption (TDE)マスター暗号化キー用にgdd/gdd_certs_vaults_keysコンパートメントにボールトを作成します。
たとえば、リージョンR1で、ボールトgdd_vault_R1を作成します
ボールトの作成の詳細は、Vaultの作成を参照してください。
親トピック: タスク5.セキュリティ・リソースの構成
TDEキーの作成
データベースにアクセスするためのマスター暗号化キーを作成します。
たとえば、次の属性を使用して、ボールトgdd_vault_R1にマスター暗号化キーgdd_TDE_key-oraspaceを作成します。
-
保護モード= ソフトウェア
-
キー・シェイプ: アルゴリズム= AES
-
長さ= 256
マスター暗号化キーの作成の詳細は、マスター暗号化キーの作成を参照してください。
親トピック: タスク5.セキュリティ・リソースの構成
タスク 6 Exadataリソースの作成
インフラストラクチャ管理者として、次のステップでOracle Globally Distributed Exadata Database on Exascale Infrastructureトポロジを構成します。
Oracle-ApplicationNameタグ・ネームスペースのインポート
テナンシのルート・コンパートメントにOracle-ApplicationNameタグ・ネームスペースをインポートします。
-
クラウド・コンソールのナビゲーション・メニューから、「ガバナンスと管理」、「タグ・ネームスペース」(「テナンシ管理」カテゴリの下)の順に選択します。
-
「タグ・ネームスペース」パネルで、テナンシのルート・コンパートメントにOracle-ApplicationNameネームスペースが存在するかどうかを確認します。
テナンシのルート・コンパートメントが「リスト範囲」で選択されていることを確認します。
-
リストにOracle-ApplicationNameが表示されない場合は、次の手順を実行します。
-
(リストの上にある)「標準タグのインポート」をクリックします。
-
Oracle-ApplicationNameネームスペースの横にあるチェック・ボックスを選択し、「インポート」をクリックします。
-
親トピック: タスク6.Exadataリソースの作成
ExascaleインフラストラクチャでのExadata VMクラスタの作成
カタログ・データベース用のExadata Database Service on Exascaleインフラストラクチャ・サービス、オプションのData Guardスタンバイ・カタログ・データベースおよび各シャード・データベースを使用して、分散ExaDB-XSトポロジにデプロイする予定のVMクラスタを作成します。
VMクラスタの作成時に、次の要件および推奨事項を使用します:
-
データベースごとに1つのVMクラスタ(シャード、カタログ、カタログ・スタンバイ)を使用することをお薦めします。
1つのシャード・データベースと1つのカタログ・データベースを特定のVMクラスタに配置できます。ただし、カタログとシャードの両方に共通のVMクラスタを使用すると、処理のボトルネックが発生する可能性があります。
-
単一ノード・クラスタを作成します。単一ノード・クラスタのみがサポートされています。
-
コンパートメント:テナンシのgdd/gdd_clustersコンパートメントにVMクラスタを作成します。
-
VMごとに有効になるECPU:シャード用のVMクラスタに対して8つのECPUを有効にします。
-
データベース・ストレージ:トポロジ内のすべてのデータベースに500GB以上のストレージ容量を構成していれば、すべてのVMクラスタ(カタログおよびシャード)に同じボールトを使用できます。
たとえば、3つのシャードと1つのカタログがある場合、必要な最小ストレージの合計は500GB x 4 = 2000GBです。この場合、最小2000GBのストレージ容量を持つ単一のボールトを作成します。
-
タイムゾーン:トポロジ内のすべてのVMクラスタを同じタイムゾーンに設定します。この設定は、「拡張オプション」の下にあります。
-
タグ:定義済のタグ
Oracle-ApplicationName.Other_Oracle_Application: Shardingを追加します。この設定は、「拡張オプション」の下にあります。タグを追加する前に、「Oracle-ApplicationNameタグ・ネームスペースのインポート」の説明に従って、タグのネームスペースをインポートする必要があります。
ノート:
分散データベースで使用するためにVMクラスタにタグ付けすると、VMクラスタが削除されるまで、そのSKUに対する請求が継続されます。
クラスタを作成するステップは、VMクラスタの管理を参照してください。
親トピック: タスク6.Exadataリソースの作成
(オプション) APIキーおよびユーザー制約の作成
Globally Distributed Database REST API、OCIソフトウェア開発キットおよびコマンドライン・インタフェースを直接使用する場合は、OCI APIキー・ペアを作成します。
必要なキーとOCIDの指示に従います。
APIにユーザー・コントロールを設定する場合は、「グローバル分散データベースAPIの権限」を参照してください。
親トピック: テナンシの構成