참조 아키텍처로 자율운영 AI 데이터베이스 구성

이 사용 사례는 전용 Exadata 인프라에서 자율운영 AI 데이터베이스 리소스를 구성하여 기능을 더 잘 활용하는 방법을 보여줍니다. 전용 Exadata 인프라의 자율운영 AI 데이터베이스의 참조 아키텍처를 활용하는 포괄적이고 권장되는 구성입니다.

전용 Exadata 인프라의 Oracle Autonomous AI Database는 Oracle Cloud Infrastructure(OCI)에서 실행되는 고도로 자동화된 완전 관리형 데이터베이스 환경으로, 약정된 하드웨어 및 소프트웨어 리소스를 제공합니다. 이러한 격리된 리소스를 통해 조직은 엄격한 보안, 가용성 및 성능 요구 사항을 충족하는 동시에 비용과 복잡성을 줄일 수 있습니다.

참고: 자율운영 AI 데이터베이스 POC 환경을 빠르게 구성하기 위한 지침이 필요한 경우 Configure Autonomous AI Database for Proof of Concept (POC)을 참조하십시오.

사전 지식

이 사용 사례를 완전히 이해하고 평가하려면 배포 옵션, 주요 인프라 구성요소, 사용자 역할 및 주요 기능을 포함하여 전용 Exadata 인프라의 자율운영 AI 데이터베이스에 대한 기본적인 이해가 있어야 합니다. 자세한 내용은 전용 Exadata 인프라의 자율운영 AI 데이터베이스 정보를 참조하십시오.

사용 사례

Acme Company는 내부 프로젝트 애플리케이션에 전용 Exadata 인프라의 자율운영 AI 데이터베이스를 사용하도록 선택했습니다. Acme I.T. 부서는 회사에 대한 Exadata Infrastructure(EI) 및 자율운영 Exadata VM 클러스터(AVMC) 리소스 생성 및 관리를 담당하는 플리트 관리자 역할을 맡습니다. 각 프로젝트 팀 또는 사업부 내에서 지정된 사용자는 애플리케이션 개발자, 테스터, 배포자를 포함하여 데이터베이스 사용자를 위해 자율운영 컨테이너 데이터베이스(ACD) 및 자율운영 AI 데이터베이스를 생성하는 작업을 수행하는 애플리케이션 DBA 역할을 맡게 됩니다.

주: 이 예에서는 ACD 리소스를 생성하고 관리하는 DBA 응용 프로그램에 대해 설명합니다. 그러나 조직에서 플리트 관리자가 이 태스크를 직접 수행하는 것을 선호할 수 있습니다.

Acme I.T.는 다양한 팀에 리소스를 할당하여 필요한 SLA를 충족하는 AVMC 프로비저닝을 보장합니다. 또한 리소스 할당을 공정하게 제어하기 위해 Acme I.T.는 프로젝트 팀이나 LOB가 기본 전용 인프라에 대한 관리 액세스 권한을 가지기를 원하지 않습니다. 또한 규제 감사에 따라 Acme Management는 Acme I.T.가 서로 다른 프로젝트 팀 또는 LOB(현업 부서)에 속하는 데이터, 즉 애플리케이션 데이터베이스에 저장하는 데이터에 액세스할 수 있기를 원하지 않습니다.

Acme가 개발 및 활용하는 내부 HR 애플리케이션인 AcmeHR은 개발 및 테스트용(Dev) 및 프로덕션용(Prod)의 두 가지 개별 환경에서 작동합니다. Acme I.T.는 Dev 및 Prod 팀 간의 무단 액세스 또는 상호 작용을 방지하기 위해 이러한 환경 간의 엄격한 격리를 유지하기 위해 최선을 다하고 있습니다.

자원 필요

OCI IAM 구성요소

configure-adb-d-resource-isolation.png 그림에 대한 설명

네트워크 리소스

구성-adbd-refarch-network.png 그림에 대한 설명

보안 목록 아이콘 보안 목록을 나타냅니다.

자율운영 AI 데이터베이스 리소스

구성-adb-d-resources.png 그림에 대한 설명

위에 설명된 구성에 따른 자율운영 AI 데이터베이스 리소스입니다.

상위 레벨 단계

Acme I.T.가 전용 Exadata 인프라에서 자율운영 AI 데이터베이스 리소스 구성을 시작하기 전에 OCI 콘솔을 사용하여 Exadata 인프라 리소스(데이터베이스 서버 및 스토리지 서버)를 테넌시에 추가하도록 서비스 제한 증가를 요청합니다. 자세한 내용은 서비스 제한 증분 요청을 참조하십시오.

다음은 이 사용 사례를 구현하기 위한 개략적인 단계입니다.

  1. Acme Company의 클라우드 테넌시에 대한 보안 관리자는 리소스 격리를 위해 다음과 같은 컴파트먼트, 그룹 및 컴파트먼트 정책을 생성합니다.

    • FleetComp, DevCompProdComp 구획입니다.

    • FAGroup, DevGroupProdGroup 그룹입니다.

    • FleetCompPolicy, DevCompPolicyProdCompPolicy 정책입니다.

  2. 액세스 격리의 경우:

    • Oracle Public Cloud 배포의 경우 Acme I.T. 또는 Acme 네트워크 관리자가 FleetComp 컴파트먼트에 다음 네트워크 리소스를 생성합니다.

      • VCN: AcmeHRVCN

      • 전용 서브넷: DevVMSubnetProdVMSubnet

      • 공용 서브넷: AppSubnet

    • Exadata Cloud@Customer 배포의 경우 Acme I.T. 또는 Acme 네트워크 관리자가 다음을 수행합니다.

      • Preparing for Exadata Database Service on Cloud@CustomerNetwork Requirements for Oracle Exadata Database Service on Cloud@Customer에 나열된 대로 네트워크 규칙을 설정합니다.

      • 자율운영 Data Guard 설정에서 기본 데이터베이스와 대기 데이터베이스 간의 TCP 트래픽을 허용하려면 포트 1522를 엽니다.

  3. 네트워크 리소스를 만든 후 보안 관리자는 지정된 Acme I.T. 멤버의 클라우드 사용자를 FAGroup에 추가하여 해당 사용자에게 플리트 관리자로 권한을 부여합니다.

  4. 새로 권한이 부여된 플리트 관리자는 다음 전용 인프라 리소스를 생성합니다.

    • FleetComp 컴파트먼트의 Exadata 인프라 리소스 AcmeInfrastructure

    • FleetComp 컴파트먼트에 자율운영 Exadata VM 클러스터(AVMC) 2개, 새로 생성된 Exadata 인프라 지정:

      • DevAVMC.

        Oracle Public Cloud 배포의 경우 AcmeHRVCNDevVMSubnet을 VCN 및 서브넷으로 지정합니다.

      • ProdAVMC.

        Oracle Public Cloud 배포의 경우 AcmeHRVCNProdVMSubnet을 해당 VCN 및 서브넷으로 지정합니다.

  5. 그런 다음 보안 관리자는 지정된 클라우드 사용자를 DevGroupProdGroup에 추가하여 DevProd 환경에 대한 애플리케이션 DBA로 권한을 부여합니다.

  6. 새로 권한이 부여된 응용 프로그램 DBA는 각 작업 환경에서 DevProd인 다음 리소스를 만듭니다.

    • 두 개의 자율운영 컨테이너 데이터베이스(ACD):

      • DevComp 컴파트먼트의 DevACD, 기본 리소스로 DevAVMC 지정

      • ProdComp 컴파트먼트의 ProdACD - Prod AVMC를 기본 리소스로 지정합니다.

    • DevComp 구획에서 이름이 DevADB인 자율운영 AI 데이터베이스.

    • ProdComp 구획에서 이름이 ProdADB인 자율운영 AI 데이터베이스입니다.

단계 1. 컴파트먼트 생성

이 단계에서는 Acme Company의 클라우드 테넌시에 대한 보안 관리자가 FleetComp, DevCompProdComp 구획을 생성합니다.

이 단계를 수행하기 위해 보안 관리자는 Oracle Cloud Infrastructure 설명서구획 관리에 설명된 지침에 따라 Oracle Cloud 콘솔을 사용하여 구획을 생성합니다. 이러한 지침을 따르면 보안 관리자는 테넌시의 루트 구획을 세 구획의 각 상위 구획으로 지정합니다.

단계 2. 그룹 만들기

이 단계에서 보안 관리자는 FAGroup, DevGroupProdGroup 그룹을 만듭니다.

이 단계를 수행하기 위해 보안 관리자는 Oracle Cloud Infrastructure 설명서그룹 관리에 설명된 지침에 따라 Oracle Cloud 콘솔을 사용하여 그룹을 생성합니다.

3단계. 정책 생성

이 단계에서 보안 관리자는 FleetCompPolicy, DevCompPolicyProdCompPolicy 정책을 만듭니다.

이 단계를 수행하기 위해 보안 관리자는 Oracle Cloud Infrastructure 설명서정책 관리에 설명된 지침에 따라 Oracle Cloud 콘솔을 사용하여 정책을 생성합니다.

주: 필수 정책 문을 생성하는 것 외에도 이 예에서 보안 관리자는 그룹 멤버가 기존 태그를 생성한 리소스에 지정할 수 있도록 "USE tag-namespaces" 정책 문을 생성합니다. 그룹 멤버가 기존 태그를 사용하고 태그를 생성하도록 허용하기 위해 보안 관리자는 대신 "MANAGE tag-namespaces" 정책 문을 생성합니다.

FleetCompPolicy 정책에 대해 다음 지침을 따르는 경우 보안 관리자는 다음을 수행합니다.

  1. 정책 생성을 누르기 전에 사이드 메뉴의 컴파트먼트를 FleetComp로 설정합니다.

  2. 배치 플랫폼에 따라 다음 정책 문 중 하나를 추가합니다.

    • Oracle Public Cloud 배포:

      • FleetComp 컴파트먼트의 FAGroup 그룹이 cloud-exadata-infrastructures를 관리하도록 허용

      • FleetComp 컴파트먼트의 FAGroup 그룹이 cloud-autonomous-vmclusters를 MANAGE하도록 허용

      • FleetComp 컴파트먼트의 FAGroup 그룹이 virtual-network-family를 사용하도록 허용

      • FleetComp 컴파트먼트의 FAGroup 그룹이 태그 네임스페이스를 사용하도록 허용

      • 그룹 DevGroup이 컴파트먼트 FleetComp의 클라우드 엑사데이터 인프라를 READ하도록 허용

      • 그룹 DevGroup이 FleetComp 컴파트먼트의 클라우드 자율운영 VM 클러스터를 READ하도록 허용

      • FleetComp 컴파트먼트에서 DevGroup 그룹이 virtual-network-family를 사용하도록 허용

      • 그룹 ProdGroup이 컴파트먼트 FleetComp의 클라우드-엑사데이터-인프라스트럭처를 읽도록 허용

      • 컴파트먼트 FleetComp의 ProdGroup 그룹이 클라우드 자율운영 VM 클러스터를 읽도록 허용

      • FleetComp 컴파트먼트에서 ProdGroup 그룹이 virtual-network-family를 사용하도록 허용

    • Exadata Cloud@Customer 배치:

      • FleetComp 컴파트먼트의 FAGroup 그룹이 exadata 인프라를 MANAGE하도록 허용

      • FAGroup 그룹이 FleetComp 컴파트먼트의 autonomous-vmclusters를 MANAGE하도록 허용

      • FleetComp 컴파트먼트의 FAGroup 그룹이 태그 네임스페이스를 사용하도록 허용

      • 그룹 DevGroup이 컴파트먼트 FleetComp의 Exadata 인프라를 READ하도록 허용

      • 컴파트먼트 FleetComp의 DevGroup 그룹이 자율운영 VM 클러스터를 읽도록 허용

      • 컴파트먼트 FleetComp의 ProdGroup 그룹이 Exadata 인프라를 읽도록 허용

      • 컴파트먼트 FleetComp의 ProdGroup 그룹이 자율운영 VM 클러스터를 읽도록 허용

DevCompPolicy 정책에 대해 다음 지침을 따르면 보안 관리자는 다음을 수행합니다.

  1. 정책 생성을 누르기 전에 사이드 메뉴의 컴파트먼트를 DevComp로 설정합니다.

  2. 다음 정책 문을 추가합니다.

    • DevGroup 그룹이 DevCompartment의 자율 컨테이너 데이터베이스를 MANAGE하도록 허용

    • DevGroup 그룹이 DevCompartment의 자율운영 데이터베이스를 MANAGE하도록 허용

    • DevGroup 그룹이 DevCompartment의 자율 백업을 관리하도록 허용

    • DevGroup 그룹이 DevCompartment 컴파트먼트의 instance-family를 MANAGE하도록 허용

    • DevGroup 그룹이 DevCompartment의 태그 네임스페이스를 사용하도록 허용

    • DevGroup 그룹이 DevCompartment의 측정항목을 MANAGE하도록 허용

    • DevGroup 그룹이 DevCompartment의 작업 요청을 INSPECT하도록 허용

ProdCompPolicy 정책에 대해 다음 지침을 따르는 경우 보안 관리자는 다음을 수행합니다.

  1. 정책 생성을 누르기 전에 사이드 메뉴의 컴파트먼트를 ProdComp로 설정합니다.

  2. 다음 정책 문을 추가합니다.

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 자율운영 컨테이너 데이터베이스를 관리하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 자율운영 데이터베이스를 MANAGE하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 자율운영 백업을 관리하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 instance-family를 MANAGE하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 태그 이름 공간을 사용하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 측정항목을 관리하도록 허용

    • ProdGroup 그룹이 ProdComp 컴파트먼트의 작업 요청을 INSPECT하도록 허용

4단계. VCN 및 서브네트 생성

적용 대상: 적용 가능 Oracle Public Cloud only

이 단계에서는 Acme I.T. 또는 Acme의 네트워크 관리자가 FleetComp 컴파트먼트에 AcmeHRVCN VCN 및 DevVMSubnet, ProdVMSubnetAppSubnet 서브넷을 생성합니다.

이 단계를 수행하기 위해 Acme I.T.는 먼저 회사의 온프레미스 네트워크와 충돌하지 않는 CIDR IP 주소 범위를 예약하기 위해 Acme I.T. 부서의 네트워킹을 준수합니다. 그렇지 않으면 VCN이 온프레미스 네트워크와 충돌하며 IPSec VPN을 설정할 수 없습니다. 예약된 범위는 CIDR 10.0.0.0/16입니다.

그런 다음 Acme I.T.는 Oracle Cloud Infrastructure Documentation에서 Scenario B: Private Subnet with a VPN의 지침을 조정하여 Oracle Cloud 콘솔을 사용하여 VCN, 서브넷 및 기타 네트워크 리소스를 생성합니다.

이 예에서는 다음 CIDR 블록이 AcmeHRVCN에 있는 세 개의 서브넷에 사용됩니다.

이러한 지침을 조정할 때 Acme I.T.는 기본 보안 목록을 사용하는 대신 수동으로 보안 목록을 생성하여 보안 규칙을 격리하고 분리하여 네트워크 관리를 간소화합니다. 이러한 보안 목록은 다음과 같습니다.

AVMC 수신 및 송신 요구사항에 대한 자세한 내용은 자율운영 Exadata VM 클러스터 프로비전 요구 사항을 참조하십시오.

DevSeclist의 보안 규칙

다음은 DevSeclist에서 생성된 수신 규칙입니다.

Stateless 소스 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 10.0.10.0/24 ICMP 모두 모두 모두 ICMP 트래픽 대상: 모두
아니요 10.0.10.0/24 TCP 모두 모두   포트에 대한 TCP 트래픽: 모두
아니요 10.0.100.0/24 TCP 모두 1521   포트에 대한 TCP 트래픽: 1521 Oracle Net
아니요 10.0.100.0/24 TCP 모두 2484   포트에 대한 TCPS 트래픽: 2484 Oracle Net
아니요 10.0.100.0/24 TCP 모두 6200   항구를 위한 ONS/FAN: 6200
아니요 10.0.100.0/24 TCP 모두 443   포트에 대한 HTTPS 트래픽: 443

다음은 DevSeclist에서 생성된 송신 규칙입니다.

Stateless 대상 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 10.0.10.0/24 ICMP 모두 모두 모두 DevVMSubnet 내 모든 ICMP 트래픽
아니요 10.0.10.0/24 TCP 모두 모두   DevVMSubnet 내 모든 TCP 트래픽

ProdSeclist의 보안 규칙

주: ProdSeclistDevSeclist와 동일한 보안 규칙이 있지만 네트워크 관리자는 두 프로젝트 팀 모두에 대해 단일 보안 목록을 생성하는 대신 별도의 보안 목록을 생성하여 향후 프로젝트 팀 중 하나에 필요한 추가 보안 규칙을 수용했습니다.

다음은 ProdSeclist에서 생성된 수신 규칙입니다.

Stateless 소스 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 10.0.20.0/24 ICMP 모두 모두 모두 ICMP 트래픽 대상: 모두
아니요 10.0.20.0/24 TCP 모두 모두   포트에 대한 TCP 트래픽: 모두
아니요 10.0.100.0/24 TCP 모두 1521   포트에 대한 TCP 트래픽: 1521 Oracle Net
아니요 10.0.100.0/24 TCP 모두 2484   포트에 대한 TCPS 트래픽: 2484 Oracle Net
아니요 10.0.100.0/24 TCP 모두 6200   항구를 위한 ONS/FAN: 6200
아니요 10.0.100.0/24 TCP 모두 443   포트에 대한 HTTPS 트래픽: 443

다음은 ProdSeclist에서 생성된 송신 규칙입니다.

Stateless 대상 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 10.0.20.0/24 ICMP 모두 모두 모두 ProdVMSubnet 내의 모든 ICMP 트래픽
아니요 10.0.20.0/24 TCP 모두 모두   ProdVMSubnet 내의 모든 TCP 트래픽

AppSeclist의 보안 규칙

다음은 AppSeclist에서 생성된 수신 규칙입니다.

Stateless 소스 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 0.0.0.0/0 TCP 모두 22 모두 포트에 대한 SSH 트래픽: 22

주: 보안 규칙의 0.0.0.0/0을 승인된 CIDR 범위/IP 주소 목록으로 변경하는 것이 좋습니다.

다음은 AppSeclist에서 생성된 송신 규칙입니다.

Stateless 대상 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
아니요 10.0.10.0/24 TCP 모두 1521    
아니요 10.0.10.0/24 TCP 모두 2484    
아니요 10.0.10.0/24 TCP 모두 443    
아니요 10.0.10.0/24 TCP 모두 6200    
아니요 10.0.20.0/24 TCP 모두 1521    
아니요 10.0.20.0/24 TCP 모두 2484    
아니요 10.0.20.0/24 TCP 모두 443    
아니요 10.0.20.0/24 TCP 모두 6200    

5단계. 플리트 관리자 지정

이 단계에서 보안 관리자는 지정된 Acme I.T. 멤버의 클라우드 사용자를 FAGroup에 추가합니다.

이 단계를 수행하기 위해 보안 관리자는 Oracle Cloud Infrastructure 설명서사용자 관리에 설명된 지침에 따라 Oracle Cloud 콘솔을 사용하여 그룹에 사용자를 추가합니다.

6단계. Exadata 인프라 리소스 생성

이 단계에서 플리트 관리자는 Exadata 인프라 리소스 생성의 지침에 따라 FleetComp 컴파트먼트에 AcmeInfrastructure라는 Exadata 인프라 리소스를 생성합니다.

7단계. 자율운영 Exadata VM 클러스터 리소스 생성

이 단계에서 플리트 관리자는 Create an Autonomous Exadata VM Cluster의 지침에 따라 다음 사양으로 FleetComp 컴파트먼트에 DevAVMCProdAVMC를 생성하고 다른 모든 속성은 기본 설정으로 둡니다.

설정 개발 환경 운용 환경
AVMC 이름 데이브AVMC ProdAVMC
기본 Exadata 인프라 Acme인프라 Acme인프라
VCN(가상 클라우드 네트워크)

적용 대상: 적용 가능 Oracle Public Cloud 전용		 아크메HRVCN 아크메HRVCN
서브넷

적용 대상: 적용 가능 Oracle Public Cloud 전용		 DevVMSubnet 제품 VMSubnet

8단계. 애플리케이션 DBA 지정

이 단계에서 보안 관리자는 지정된 클라우드 사용자를 DevGroup에 추가하여 Dev 리소스에 대한 애플리케이션 DBA로 권한을 부여한 다음 ProdGroup에 대한 프로세스를 반복합니다.

이 단계를 수행하려면 각 사용자에 대해 보안 관리자가 Oracle Cloud Infrastructure 설명서사용자 관리에 설명된 지침에 따라 Oracle Cloud 콘솔을 사용하여 그룹에 사용자를 추가합니다.

9단계. 자율운영 컨테이너 데이터 리소스 생성

이 단계에서는 각 애플리케이션 DBA가 자율운영 컨테이너 데이터베이스 생성의 지침에 따라 개발자운용 환경에 대한 ACD(자율운영 컨테이너 데이터베이스)를 생성합니다. 이러한 ACD는 다른 모든 속성을 기본 설정으로 두고 다음 사양으로 생성됩니다.

설정 개발 환경 운용 환경
구획 개발 컴포넌트 제품 컴포넌트
ACD 이름 디바이스 제품ACD
기본 AVMC 데이브AVMC ProdAVMC
컨테이너 데이터베이스 Software 버전 최신 소프트웨어 버전(N) 소프트웨어 버전의 즉시 전임자(N-1)
유지보수 버전 최신 RU(릴리스 업데이트) 다음 RU(릴리스 업데이트)
백업 보존 기간 7일 30일

10단계. 자율운영 AI 데이터베이스 리소스 생성

이 단계에서는 각 애플리케이션 DBA가 자율운영 AI 데이터베이스 생성의 지침에 따라 개발자운용 환경에 대한 자율운영 AI 데이터베이스를 생성합니다. 이러한 데이터베이스는 다른 모든 속성을 기본 설정으로 두고 다음 사양으로 생성됩니다.

설정 개발 환경 운용 환경
구획 개발 컴포넌트 제품 컴포넌트
데이터베이스 이름 DevADB 제품 ADB
기본 ACD 디바이스 제품ACD
데이터베이스 인스턴스 자율운영 AI 데이터베이스 또는 개발자를 위한 자율운영 AI 데이터베이스를 생성하도록 선택할 수 있음 자율운영 AI 데이터베이스

전용 Exadata 인프라의 자율운영 AI 데이터베이스는 이제 운영 환경에서 후속 배포를 통해 AcmeHR 애플리케이션을 개발하고 테스트하도록 구성됩니다.

관련 콘텐츠

전용 Exadata 인프라의 자율운영 AI 데이터베이스 구성요소