테넌시 구성

작업 1. 애슈번 지역 구독

테넌트 관리자는 Globally Distributed Autonomous AI Database 구현을 실행하는 데 필요한 애슈번(IAD) 리전 및 모든 리전을 구독합니다.

애슈번(IAD) 지역을 구독합니다.
- 이 서비스를 사용하려면 애슈번 지역을 구독해야 합니다.
- 테넌시 홈 리전은 애슈번 리전일 필요는 없지만 Oracle의 Globally Distributed Database 서비스를 사용하려면 애슈번 리전을 구독해야 합니다.
데이터베이스를 배치할 다른 모든 영역을 구독합니다.
- 사용자의 구현을 위해 데이터베이스를 배치할 영역을 구독합니다. 여기에는 카탈로그, 샤드용 데이터베이스, 대기 데이터베이스에 대해 Oracle Data Guard를 사용하려는 경우 데이터베이스가 포함됩니다.

자세한 내용은 영역 관리를 참조하십시오..

상위 토픽: 테넌시 구성

작업 2. 컴파트먼트 생성

테넌트 관리자는 Globally Distributed Autonomous AI Database에 필요한 모든 리소스에 대한 구획을 테넌시에 생성합니다.

Oracle은 다음 구조를 권장하며 이러한 구획은 설정 작업 전체에서 참조됩니다.

전체 배치에 대한 "상위" 구획입니다. 이 예에서는 gdd입니다.
다양한 종류의 각 리소스에 대한 "하위" 구획:
- 인증 기관, 인증서, 인증서 번들, 저장소 및 키에 대한 gdd_certs_vaults_keys
- 클라우드 자율운영 VM 클러스터의 경우 gdd_clusters
- gdd_databases - 데이터베이스, VCN, 서브넷, 프라이빗 엔드포인트 및 Globally Distributed Database 리소스용
- Exadata 인프라의 경우 gdd_exadata
- 애플리케이션 서버의 컴퓨트 인스턴스의 경우 gdd_instances(데이터베이스에 접속하기 위한 배스천 역할을 하는 에지 노드/점프 호스트)

결과 구획 구조는 다음과 유사합니다.

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

자세한 내용은 컴파트먼트 사용을 참조하십시오.

상위 토픽: 테넌시 구성

작업 3. 사용자 접근 제한조건 생성

액세스 제어 계획을 구성한 다음 적절한 IAM(Identity and Access Management) 리소스를 생성하여 배치합니다. 따라서 분산 데이터베이스 내의 액세스 제어는 여기에서 그룹 및 정책에 의해 정의된 다양한 레벨에서 구현됩니다.

다음 표에 설명된 사용자 그룹, 동적 그룹 및 정책은 분산 데이터베이스 구현을 위한 고유의 사용자 액세스 제어 계획 생성을 안내해야 합니다.

테넌트 관리자로 다음 권장 그룹, 동적 그룹 및 정책을 생성하여 이전에 정의된 롤에 권한을 부여합니다. 예제 및 설명서 링크는 테넌시가 ID 도메인을 사용한다고 가정합니다.

상위 토픽: 테넌시 구성

역할 구분 이해

클라우드 사용자가 자신의 직무를 수행하기 위해 적절한 종류의 클라우드 리소스만 사용하고 생성할 수 있도록 해야 합니다. Globally Distributed Database의 모범 사례는 롤 구분을 위해 롤을 정의하는 것입니다.

다음 표에 설명된 역할 및 책임은 Globally Distributed Autonomous AI Database 구현에 대한 사용자 그룹, 동적 그룹 및 정책을 정의하는 방법을 이해하는 데 도움이 됩니다. 여기에 제시된 역할 예는 환경 설정, 리소스 만들기 및 관리 지침 전체에서 사용됩니다.

롤	권한
테넌트 시스템 관리자	영역 구독 컴파트먼트 생성 동적 그룹, 유저 그룹 및 정책 생성
Infrastructure 관리자	virtual-network-family 만들기/업데이트/삭제 자율운영 Exadata 인프라 생성/업데이트/삭제 자율운영 Exadata VM 클러스터 생성/업데이트/삭제 자율운영 Exadata VM 클라우드에 태그 지정 전 세계적으로 분산된 자율운영 AI 데이터베이스 프라이빗 끝점 생성/업데이트/삭제
인증서 관리자	저장소 생성/업데이트/삭제 키 생성/업데이트/삭제 인증 기관 생성/갱신/삭제 인증서 생성/업데이트/삭제 CA 번들 생성/업데이트/삭제 자율운영 Exadata VM 클러스터에 인증서 및 인증서 번들 업로드 GSM CSR(인증서 서명 요청) 다운로드 GSM CSR을 기반으로 GSM 인증서 생성 GSM 인증서 업로드
User	UI 및 API를 사용하여 Globally Distributed Databases 생성 및 관리

상위 항목: 작업 3. 사용자 액세스 제한조건 생성

동적 그룹

다음 동적 그룹을 생성하여 Globally Distributed Database 구획에서 생성된 리소스에 대한 액세스를 제어합니다.

지침은 동적 그룹 만들기를 참조하십시오.

동적 그룹 이름	설명	규칙
카테고리	인증 기관 리소스	모두 resource.type='인증서 권한' resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_certs_vaults_keys의 OCID'
gdd-클러스터-dg	자율운영 VM 클러스터 자원	모두 resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_clusters의 OCID'
gdd-인스턴스-dg	컴퓨트 인스턴스 리소스	모두 resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_instances의 OCID'

동적 그룹 이름

설명

규칙

카테고리

인증 기관 리소스

모두

resource.type='인증서 권한'

resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_certs_vaults_keys의 OCID'

gdd-클러스터-dg

자율운영 VM 클러스터 자원

모두

resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_clusters의 OCID'

gdd-인스턴스-dg

컴퓨트 인스턴스 리소스

모두

resource.compartment.id = '컴파트먼트 테넌트 루트/dd/gdd_instances의 OCID'

상위 항목: 작업 3. 사용자 액세스 제한조건 생성

사용자 그룹

다음 그룹을 생성하여 사용자에게 Globally Distributed Database 구획의 리소스를 사용할 수 있는 권한을 부여합니다.

지침은 그룹 만들기를 참조하십시오.

사용자 그룹 이름	설명
gdd-certificate-admins	키 및 저장소를 만들고 관리하는 인증서 관리자입니다.
gdd 기반 구조 관리자	클라우드 네트워크 및 인프라 리소스를 생성하고 관리하는 인프라 관리자
gdd 사용자	API 및 UI를 사용하여 Globally Distributed Database 리소스를 생성하고 관리하는 사용자입니다.

상위 항목: 작업 3. 사용자 액세스 제한조건 생성

정책

Globally Distributed Autonomous AI Database 구획에서 생성된 리소스에 대한 액세스 권한을 그룹에 부여하는 IAM 정책을 생성합니다.

이전에 생성된 구획 구조 및 그룹을 기반으로 하는 다음 예제 정책은 Globally Distributed Autonomous AI Database 구현에 대한 고유의 IAM 정책 생성을 안내해야 합니다.

ID 도메인(예: 기본값)은 그룹을 생성한 ID 도메인이어야 합니다.

지침은 정책 생성을 참조하십시오.

gdd-certificate-admins-tenant 레벨

설명: 그룹 gdd-certificate-admins에 대한 테넌트 레벨 권한
컴파트먼트: 테넌트

명령문:

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd 기반 구조 관리자-테넌트 레벨

설명: gdd-infrastructure-admins 그룹에 대한 테넌트 레벨 권한
컴파트먼트: 테넌트

명령문:

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-사용자-테넌트 레벨

설명: gdd-users 그룹에 대한 테넌트 레벨 권한
컴파트먼트: 테넌트

명령문:

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificate-admins

설명: 그룹 gdd-certificate-admins에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

또한 Oracle Key Vault를 사용하는 경우 다음 정책이 필요합니다.

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd 기반 구조 관리자

설명: gdd-infrastructure-admins 그룹에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

gdd 사용자

설명: gdd-users 그룹에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

또한 Oracle Key Vault를 사용하는 경우 다음 정책이 필요합니다.

Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-카스

설명: 동적 그룹 gdd-cas-dg에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg 클러스터

설명: 동적 그룹 gdd-clusters-dg에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

또한 Oracle Key Vault를 사용하는 경우 다음 정책이 필요합니다.

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

하드 디스크

설명: 키 관리 서비스에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

설명: Oracle Key Vault에 대한 컴파트먼트 레벨 권한
컴파트먼트: 테넌트/gdd

명령문:

Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

상위 항목: 작업 3. 사용자 액세스 제한조건 생성

작업 4. 네트워크 리소스 구성

인프라 관리자는 네트워크 리소스를 만들고 분산 데이터베이스에 필요한 연결을 사용으로 설정합니다.

추적 및 관계를 단순화하기 위해 이러한 지침에 따라 예제 리소스의 이름이 지정됩니다. 예를 들어, "gdd_iad"이라는 이름은 애슈번(IAD) 지역에 생성된 VCN을 나타냅니다.

상위 토픽: 테넌시 구성

공통 네트워크 리소스

모든 Globally Distributed Autonomous AI Database 구현에는 애슈번(IAD) 지역의 VCN, 서브넷 및 프라이빗 엔드포인트가 필요합니다.

인프라 관리자로서 다음 표에 설명된 대로 리소스를 만듭니다.

리소스	지침
VCN(가상 클라우드 Network) + 서브넷	애슈번(IAD)에서 VCN gdd_iad 및 서브넷 gdd_subnet을 생성합니다. 이 VCN 및 서브넷은 Globally Distributed Autonomous AI Database 서비스와 Globally Distributed Autonomous AI Database 토폴로지의 데이터베이스 간의 연결을 활성화하는 데 필요합니다. 다음 값을 사용합니다. 컴파트먼트 = gdd / gdd_databases 지역 = 애슈번(IAD) 서브넷 이름 = gdd_subnet 서브넷 유형 = 지역 서브넷은 모든 가용성 도메인에 걸쳐 있는 지역별이어야 합니다.
프라이빗 끝점	애슈번(IAD) 지역에서 프라이빗 끝점을 생성하여 Globally Distributed Autonomous AI Database 서비스와 Globally Distributed Autonomous AI Database 토폴로지의 데이터베이스 간 연결을 사용으로 설정합니다. 탐색 메뉴를 열고 Oracle Database를 누른 다음 전역 분산 자율운영 AI 데이터베이스를 누릅니다. 탐색 창에서 개인 끝점을 누릅니다. 프라이빗 끝점 생성을 누릅니다. 다음 정보를 입력합니다. 이름: 예: gdd_pe 구획: gdd/gdd_databases 위에서 생성한 애슈번 지역 서브넷이 포함된 컴파트먼트여야 합니다. 서브넷: gdd_subnet 서브넷이 나열되지 않은 경우 서브넷이 지역 서브넷으로 생성되었는지 확인합니다. 가상 클라우드 네트워크: gdd_iad 태그 추가(선택 사항): 태그 지정 옵션 표시를 눌러 이 리소스에 대한 태그를 선택할 수 있습니다.

리소스

지침

VCN(가상 클라우드 Network) + 서브넷

애슈번(IAD)에서 VCN gdd_iad 및 서브넷 gdd_subnet을 생성합니다.

이 VCN 및 서브넷은 Globally Distributed Autonomous AI Database 서비스와 Globally Distributed Autonomous AI Database 토폴로지의 데이터베이스 간의 연결을 활성화하는 데 필요합니다.

다음 값을 사용합니다.

컴파트먼트 = gdd / gdd_databases
지역 = 애슈번(IAD)
서브넷 이름 = gdd_subnet
서브넷 유형 = 지역

서브넷은 모든 가용성 도메인에 걸쳐 있는 지역별이어야 합니다.

프라이빗 끝점

애슈번(IAD) 지역에서 프라이빗 끝점을 생성하여 Globally Distributed Autonomous AI Database 서비스와 Globally Distributed Autonomous AI Database 토폴로지의 데이터베이스 간 연결을 사용으로 설정합니다.

탐색 메뉴를 열고 Oracle Database를 누른 다음 전역 분산 자율운영 AI 데이터베이스를 누릅니다.
탐색 창에서 개인 끝점을 누릅니다.
프라이빗 끝점 생성을 누릅니다.
다음 정보를 입력합니다.
- 이름: 예: gdd_pe
- 구획: gdd/gdd_databases
  위에서 생성한 애슈번 지역 서브넷이 포함된 컴파트먼트여야 합니다.
- 서브넷: gdd_subnet
  서브넷이 나열되지 않은 경우 서브넷이 지역 서브넷으로 생성되었는지 확인합니다.
- 가상 클라우드 네트워크: gdd_iad
- 태그 추가(선택 사항): 태그 지정 옵션 표시를 눌러 이 리소스에 대한 태그를 선택할 수 있습니다.

상위 항목: 작업 4. 네트워크 리소스 구성

토폴로지를 기반으로 하는 추가 네트워크 리소스

Globally Distributed Database 토폴로지에 따라 아래 설명된 대로 추가 네트워크 리소스를 만듭니다.

토폴로지용 데이터베이스에는 카탈로그, 샤드 및 Oracle Data Guard 대기 데이터베이스가 포함됩니다.

모든 네트워크 리소스는 gdd/gdd_databases 컴파트먼트에 생성되어야 합니다.

사용 사례	네트워크 리소스	피어링 및 연결
모든 데이터베이스는 애슈번(IAD) 지역에 배치됩니다.	클라우드 자율운영 VM 클러스터에 대한 애슈번(IAD) 영역에 서브넷 및 서비스 게이트웨이를 생성합니다. IAD(영역 애슈번)에서 VCN gdd_iad에 서브넷 osd-databases-subnet-iad를 생성합니다. 애슈번(IAD) 지역에서는 서비스 게이트웨이를 생성합니다. gdd_sgw_iad	필수 피어링 없음 필요한 연결 gdd_subnet 서브넷과의 무제한 연결(프라이빗 끝점에 대해 생성됨)
모든 데이터베이스는 애슈번(IAD)이 아닌 단일 리전(R1)에 배치됩니다*	클라우드 자율운영 VM 클러스터에 대한 영역에 서브넷 및 서비스 게이트웨이를 생성합니다. R1 영역에서 osd-database-subnet-R1 서브넷이 있는 VCN gdd_R1을 생성합니다. R1 영역에서 서비스 게이트웨이 gdd_sgw_R1를 생성합니다.	필수 피어링 gdd_iad ↔ gdd_R1 필요한 연결 gdd_iad.gdd_subnet(프라이빗 엔드포인트로 생성됨)와 gdd_R1.osd-database-subnet-R1 사이에서 제한되지 않음
데이터베이스는 여러 리전에 배치됩니다. R1, R2, ..., RN	클라우드 자율운영 VM 클러스터의 각 리전에 서브넷 및 서비스 게이트웨이를 생성합니다. 서브넷: R1 영역에서 osd-database-subnet-R1 서브넷이 있는 VCN gdd_R1을 생성합니다. R2 영역에서 osd-database-subnet-R2 서브넷이 있는 VCN gdd_R2을 생성합니다. ... Rn 영역에서 osd-database-subnet-Rn 서브넷을 사용하여 VCN gdd_Rn을 생성합니다. 서비스 게이트웨이: R1 영역에서 서비스 게이트웨이 gdd_sgw_R1를 생성합니다. R2 영역에서 서비스 게이트웨이 gdd_sgw_R2를 생성합니다. ... Rn 영역에서 서비스 게이트웨이 생성 gdd_sgw_Rn	필수 피어링 gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn 필요한 연결 gdd_iad.gdd_subnet(프라이빗 끝점에 대해 생성됨)과 gdd_R1.osd-데이터베이스-서브넷-R1 gdd_R2.osd-데이터베이스-서브넷-R2 gdd_Rn.osd-database-subnet-Rn gdd_R1.osd-database-subnet-R1 및 gdd_R2.osd-데이터베이스-서브넷-R2 gdd_Rn.osd-database-subnet-Rn gdd_R2.osd-database-subnet-R2 및 gdd_Rn.osd-database-subnet-Rn

사용 사례

네트워크 리소스

피어링 및 연결

모든 데이터베이스는 애슈번(IAD) 지역에 배치됩니다.

클라우드 자율운영 VM 클러스터에 대한 애슈번(IAD) 영역에 서브넷 및 서비스 게이트웨이를 생성합니다.

IAD(영역 애슈번)에서 VCN gdd_iad에 서브넷 osd-databases-subnet-iad를 생성합니다.
애슈번(IAD) 지역에서는 서비스 게이트웨이를 생성합니다. gdd_sgw_iad

필수 피어링

없음

필요한 연결

gdd_subnet 서브넷과의 무제한 연결(프라이빗 끝점에 대해 생성됨)

모든 데이터베이스는 애슈번(IAD)이 아닌 단일 리전(R1)에 배치됩니다*

클라우드 자율운영 VM 클러스터에 대한 영역에 서브넷 및 서비스 게이트웨이를 생성합니다.

R1 영역에서 osd-database-subnet-R1 서브넷이 있는 VCN gdd_R1을 생성합니다.
R1 영역에서 서비스 게이트웨이 gdd_sgw_R1를 생성합니다.

필수 피어링

gdd_iad ↔ gdd_R1

필요한 연결

gdd_iad.gdd_subnet(프라이빗 엔드포인트로 생성됨)와 gdd_R1.osd-database-subnet-R1 사이에서 제한되지 않음

데이터베이스는 여러 리전에 배치됩니다. R1, R2, ..., RN

클라우드 자율운영 VM 클러스터의 각 리전에 서브넷 및 서비스 게이트웨이를 생성합니다.

서브넷:

R1 영역에서 osd-database-subnet-R1 서브넷이 있는 VCN gdd_R1을 생성합니다.
R2 영역에서 osd-database-subnet-R2 서브넷이 있는 VCN gdd_R2을 생성합니다.
...
Rn 영역에서 osd-database-subnet-Rn 서브넷을 사용하여 VCN gdd_Rn을 생성합니다.

서비스 게이트웨이:

R1 영역에서 서비스 게이트웨이 gdd_sgw_R1를 생성합니다.
R2 영역에서 서비스 게이트웨이 gdd_sgw_R2를 생성합니다.
...
Rn 영역에서 서비스 게이트웨이 생성 gdd_sgw_Rn

필수 피어링

gdd_iad ↔ gdd_R1

gdd_iad ↔ gdd_R2

gdd_iad ↔ gdd_Rn

gdd_R1 ↔ gdd_R2

gdd_R1 ↔ gdd_Rn

gdd_R2 ↔ gdd_Rn

필요한 연결

gdd_iad.gdd_subnet(프라이빗 끝점에 대해 생성됨)과

gdd_R1.osd-데이터베이스-서브넷-R1

gdd_R2.osd-데이터베이스-서브넷-R2

gdd_Rn.osd-database-subnet-Rn

gdd_R1.osd-database-subnet-R1 및

gdd_R2.osd-데이터베이스-서브넷-R2

gdd_Rn.osd-database-subnet-Rn

gdd_R2.osd-database-subnet-R2 및

gdd_Rn.osd-database-subnet-Rn

*Globally Distributed Database 서비스 제어 플레인은 애슈번(IAD) 지역에만 존재합니다. 애슈번(IAD) 지역의 이전 단계에서 생성한 프라이빗 끝점은 해당 지역의 Globally Distributed Database 리소스와 통신하는 데 사용됩니다.

상위 항목: 작업 4. 네트워크 리소스 구성

작업 5. 보안 리소스 구성

Globally Distributed Database 인증서 관리자로 저장소, 키, 인증 기관, 인증서 및 CA 번들 리소스를 만듭니다.

모든 보안 리소스는 gdd/gdd_certs_vaults_keys 컴파트먼트에 생성됩니다.

주의:

키를 참조하는 Globally Distributed Database를 생성한 후에는 이동된 저장소 또는 키를 참조하는 자율운영 컨테이너 데이터베이스를 재시작하지 않고도 저장소 또는 키를 새 컴파트먼트로 이동할 수 없습니다.

Globally Distributed Database 토폴로지에 따라 다음 표에 설명된 대로 보안 리소스를 만듭니다.

다음 표에 사용된 예제 리소스 이름은 Globally Distributed Database 구현을 위한 고유 보안 리소스 생성을 안내해야 합니다.

상위 토픽: 테넌시 구성

자동 데이터 분배, 단일 영역

이 사용 사례에서는 보안 리소스가 단일 리전에 생성됩니다.

아래 예제에서는 모든 리소스가 R1 영역에 생성됩니다.

리소스	지침 및 예
저장소	CA(인증 기관) 및 TDE(투명한 데이터 암호화) 마스터 암호화 키에 대한 저장소를 만듭니다. R1 영역에서 gdd_vault_R1 저장소를 생성합니다. 지침: 저장소 생성
인증 기관 키	R1 영역에서 gdd_vault_R1 저장소에 마스터 암호화 키 gdd_ca_key_R1를 생성합니다. 필수 속성값: 보호 모드 = HSM 키 구성: 알고리즘 = RSA 길이 = 2048 지침: 마스터 암호화 키 생성
TDE 키	R1 영역에서 저장소 gdd_vault_R1에 마스터 암호화 키 gdd_TDE_key-oraspace를 생성합니다. 필수 속성값: 보호 모드 = 소프트웨어 키 구성: 알고리즘 = AES 길이 = 256 지침: 마스터 암호화 키 생성
인증 기관	클라우드 자율운영 VM 클러스터 및 GSM 컴퓨트 인스턴스에 대한 인증서를 발행하기 위한 CA를 생성합니다. R1 영역에서 gdd_ca_key_R1 키를 사용하여 CA gdd_ca_R1를 생성합니다. 타사 CA를 사용하여 인증서를 생성할 수 있지만 타사 CA에서 발급한 인증서를 OCI 인증서 서비스로 임포트해야 합니다. 지침: 인증 기관 생성
인증서	클라우드 자율운영 VM 클러스터에 업로드할 인증서를 생성합니다. R1 영역에서 CA gdd_ca_R1를 사용하여 인증서 gdd_cert를 생성합니다. 지침: 인증서 생성
CA 번들	클라우드 자율운영 VM 클러스터로 업로드할 CA 번들을 생성합니다. R1 영역에서 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. 지침: CA 번들 생성

상위 항목: 작업 5. 보안 리소스 구성

자동 데이터 분산, 기본 및 대기 영역

이 토폴로지는 기본 및 대기 데이터베이스가 서로 다른 영역에 배치될 때 발생합니다. 이 사용 사례에서는 기본 데이터베이스 및 대기 데이터베이스 영역에 보안 리소스가 생성됩니다.

아래 예제에서 리소스는 Rp(기본) 및 Rs(대기) 영역에서 생성됩니다.

리소스	지침 및 예
저장소	CA(인증 기관) 마스터 암호화 키에 대한 저장소를 만듭니다. 영역 Rp에서 저장소 생성 gdd_vault_Rp 영역 R에서 저장소 생성 gdd_vault_Rs 지침: 저장소 생성
복제된 가상 저장소	TDE(투명한 데이터 암호화) 마스터 암호화 키에 대해 복제된 가상 저장소를 생성합니다. 영역 Rp에서 영역 R로 복제되는 가상 저장소 gdd_vault_Rp_Rs를 생성합니다. 지침: 저장소 및 키 복제
인증 기관 키	영역 Rp에서 저장소 gdd_vault_Rp에 마스터 암호화 키 gdd_ca_key_Rp을 생성합니다. 영역 R에서 저장소 gdd_vault_Rs에 마스터 암호화 키 gdd_ca_key_Rs을 생성합니다. 필수 속성값: 보호 모드 = HSM 키 구성: 알고리즘 = RSA 길이 = 2048 지침: 마스터 암호화 키 생성
TDE 키	영역 Rp에서 복제된 가상 저장소에 마스터 암호화 키 gdd_TDE_key-oraspace를 생성합니다. gdd_vault_Rp_Rs 필수 속성값: 보호 모드 = 소프트웨어 키 구성: 알고리즘 = AES 길이 = 256 지침: 마스터 암호화 키 생성
인증 기관	클라우드 자율운영 VM 클러스터 및 GSM 컴퓨트 인스턴스에 대한 인증서 발행을 위한 CA를 생성합니다. Rp 영역에서 gdd_ca_key_Rp 키를 사용하여 CA gdd_ca_Rp를 생성합니다. R 영역에서 gdd_ca_key_Rs 키를 사용하여 CA gdd_ca_Rs를 생성합니다. 타사 CA를 사용하여 인증서를 생성할 수 있지만 타사 CA에서 발급한 인증서를 OCI 인증서 서비스로 임포트해야 합니다. 지침: 인증 기관 생성
인증서	클라우드 자율운영 VM 클러스터에 업로드할 인증서를 생성합니다. 참고: Rp 및 Rs 영역의 인증서에 대해 동일한 공통 이름을 사용해야 합니다. Rp 영역에서 CA gdd_ca_Rp를 사용하여 인증서 gdd_cert를 생성합니다. 지역 Rs에서 CA gdd_ca_Rs를 사용하여 인증서 gdd_cert를 생성합니다. 지침: 인증서 생성
CA 번들	클라우드 자율운영 VM 클러스터에 업로드할 CA 번들을 생성합니다. 영역 Rp에서 영역 Rp 및 Rs의 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. 영역 Rs에서 영역 Rp 및 Rs의 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. 지침: CA 번들 생성

상위 항목: 작업 5. 보안 리소스 구성

사용자 관리형 데이터 배포, 단일 리전

이 사용 사례에서 보안 리소스는 단일 리전에 생성됩니다.

아래 예제에서는 모든 리소스가 R1 영역에 생성됩니다.

리소스	지침 및 예
저장소	CA(인증 기관) 및 TDE(투명한 데이터 암호화) 마스터 암호화 키에 대한 저장소를 만듭니다. R1 영역에서 gdd_vault_R1 저장소를 생성합니다. 지침: 저장소 생성
인증 기관 키	R1 영역의 저장소 gdd_vault_R1에 gdd_ca_key_R1 키를 생성합니다. 필수 속성값: 보호 모드 = HSM 키 구성: 알고리즘 = RSA 길이 = 2048 지침: 마스터 암호화 키 생성
TDE 키	R1 영역에서 카탈로그 암호화를 위해 저장소 gdd_vault_R1에 gdd_TDE_key-catalog 키를 생성합니다. R1 영역에서 샤드 공간 N의 샤드를 암호화하기 위해 저장소 gdd_vault_R1에 gdd_TDE_key-spaceN 키를 생성합니다. 필수 속성값: 보호 모드 = 소프트웨어 키 구성: 알고리즘 = AES 길이 = 256 지침: 마스터 암호화 키 생성
인증 기관	클라우드 자율운영 VM 클러스터 및 GSM 컴퓨트 인스턴스에 대한 인증서를 발행하기 위한 CA를 생성합니다. R1 영역에서 gdd_ca_key_R1 키를 사용하여 CA gdd_ca_R1를 생성합니다. 타사 CA를 사용하여 인증서를 생성할 수 있지만 타사 CA에서 발급한 인증서를 OCI 인증서 서비스로 임포트해야 합니다. 지침: 인증 기관 생성
인증서	클라우드 자율운영 VM 클러스터에 업로드할 인증서를 생성합니다. R1 영역에서 CA 키 gdd_ca_R1를 사용하여 인증서 gdd_cert를 생성합니다. 지침: 인증서 생성
CA 번들	클라우드 자율운영 VM 클러스터로 업로드할 CA 번들을 생성합니다. R1 영역에서 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. 지침: CA 번들 생성

상위 항목: 작업 5. 보안 리소스 구성

사용자 관리형 데이터 배포, 여러 지역

이 사용 사례에서는 데이터베이스가 배치될 모든 지역에서 보안 리소스가 생성됩니다.

이 토폴로지는 다음 중 하나 또는 둘 다에 해당하는 경우 발생할 수 있습니다.

기본 카탈로그 및 샤드 데이터베이스는 서로 다른 영역에 배치됩니다.
샤드 공간 내의 데이터베이스는 서로 다른 영역에 배치됩니다.

보안 리소스는 데이터베이스가 배치될 각 영역 R1, ..., Rn에 생성됩니다.

리소스	지침 및 예
저장소	CA(인증 기관) 마스터 암호화 키에 대한 각 영역에 저장소를 생성합니다. R1 영역에서 gdd_vault_R1 저장소를 생성합니다. R2 영역에서 gdd_vault_R2 저장소를 생성합니다. ... 영역 Rn에서 저장소 생성 gdd_vault_Rn 지침: 저장소 생성
복제된 가상 저장소	TDE(투명한 데이터 암호화) 마스터 암호화 키에 대해 복제된 가상 저장소를 생성합니다. 기본 영역인 Rp가 있는 각 데이터베이스, 카탈로그 또는 샤드에 대해 대기 영역 Rs와는 다릅니다. 데이터베이스의 기본 영역인 Rp에 데이터베이스의 대기 영역인 Rs로 복제되는 가상 저장소 gdd_vault_Rp_Rs를 생성합니다. 저장소 및 키 복제
인증 기관 키	R1 영역의 저장소 gdd_vault_R1에 gdd_ca_key_R1 키를 생성합니다. R2 영역의 저장소 gdd_vault_R2에 gdd_ca_key_R2 키를 생성합니다. ... Rn 영역의 저장소 gdd_vault_Rn에 gdd_ca_key_Rn 키를 생성합니다. 필수 속성값: 보호 모드 = HSM 키 구성: 알고리즘 = RSA 길이 = 2048 지침: 마스터 암호화 키 생성
TDE 키	각 데이터베이스, 카탈로그 또는 샤드에 대해 대기 데이터베이스가 없거나 기본 영역과 동일한 대기 영역이 있습니다. 카탈로그 데이터베이스가 배치된 영역의 저장소에 카탈로그 데이터베이스에 대한 gdd_TDE_key-catalog 키를 생성합니다. 샤드의 데이터베이스가 배치된 영역의 저장소에 있는 샤드 공간 데이터베이스에 대한 gdd_TDE_key-spaceN 키를 생성합니다. 대기 영역과 다른 기본 영역이 있는 각 데이터베이스, 카탈로그 또는 샤드에 대해 다음을 수행합니다. 카탈로그의 기본 데이터베이스가 배치된 영역의 복제된 가상 저장소에 gdd_TDE_key-catalog 키를 생성합니다. 샤드의 기본 데이터베이스가 배치된 영역의 복제된 가상 저장소에 gdd_TDE_key-spaceN 키를 생성합니다. 필수 속성값: 보호 모드 = 소프트웨어 키 구성: 알고리즘 = AES 길이 = 256 지침: 마스터 암호화 키 생성
인증 기관	클라우드 자율운영 VM 클러스터 및 GSM 컴퓨트 인스턴스에 대한 인증서를 발행하기 위해 각 영역에 CA(인증 기관)를 생성합니다. R1 영역에서 gdd_ca_key_R1 키를 사용하여 CA gdd_ca_R1를 생성합니다. R2 영역에서 gdd_ca_key_R2 키를 사용하여 CA gdd_ca_R2를 생성합니다. ... Rn 영역에서 gdd_ca_key_Rn 키를 사용하여 CA gdd_ca_Rn를 생성합니다. 타사 CA를 사용하여 인증서를 생성할 수 있지만 타사 CA에서 발급한 인증서를 OCI 인증서 서비스로 임포트해야 합니다. 지침: 인증 기관 생성
인증서	클라우드 자율운영 VM 클러스터에 업로드할 인증서를 각 영역에 생성합니다. 주: 모든 영역의 인증서에 대해 동일한 공통 이름을 사용해야 합니다. R1 영역에서 CA gdd_ca_R1를 사용하여 인증서 gdd_cert를 생성합니다. R2 영역에서 CA gdd_ca_R2를 사용하여 인증서 gdd_cert를 생성합니다. ... Rn 영역에서 CA gdd_ca_Rn를 사용하여 인증서 gdd_cert을 생성합니다. 지침: 인증서 생성
CA 번들	클라우드 자율운영 VM 클러스터에 업로드할 CA 번들을 생성합니다. R1 영역에서 R1, R2, ..., Rn 영역의 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. R2 영역에서 R1, R2, ..., Rn 영역의 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. ... Rn 영역에서 R1, R2, ..., Rn 영역의 인증서 gdd_cert에 대한 인증서 체인을 포함하는 CA 번들 gdd_cert_bundle을 생성합니다. 지침: CA 번들 생성

상위 항목: 작업 5. 보안 리소스 구성

작업 6. Exadata 리소스 생성

인프라 관리자는 다음 단계에서 전역 분산 자율운영 AI 데이터베이스 토폴로지를 구성합니다.

상위 토픽: 테넌시 구성

Exadata 리소스 고려 사항

다음 사항을 염두에 두십시오.

Globally Distributed Autonomous AI Database 서비스는 2개의 노드, 쿼터 랙 Exadata만 지원합니다.
Exadata 인프라가 지역마다 다릅니다. 즉, 카탈로그 또는 샤드 데이터베이스를 배치하려는 각 지역에는 Exadata 인프라가 필요합니다.
Globally Distributed Autonomous AI Database에서 배포하려는 각 카탈로그 및 샤드 데이터베이스에 대해 클라우드 자율운영 VM 클러스터를 생성해야 합니다.
샤드 및 카탈로그 데이터베이스는 지정된 클라우드 자율운영 VM 클러스터에 함께 배치할 수 있습니다. 그러나 카탈로그 및 샤드 데이터베이스에 공통 클라우드 자율운영 VM 클러스터를 사용하면 처리 병목이 발생할 수 있습니다.

상위 항목: 작업 6. Exadata 리소스 생성

Exadata 인프라 인스턴스 생성

gdd/gdd_exadata 컴파트먼트에 Exadata 인프라 리소스를 생성합니다.

Exadata 인프라 리소스 생성의 지침을 따릅니다.

상위 항목: 작업 6. Exadata 리소스 생성

Oracle-ApplicationName 태그 네임스페이스 임포트

테넌시의 루트 컴파트먼트에서 Oracle-ApplicationName 태그 네임스페이스를 임포트합니다.

클라우드 콘솔 탐색 메뉴에서 거버넌스 및 관리, 태그 네임스페이스(테넌시 관리 범주 아래)를 차례로 선택합니다.
[태그 네임스페이스] 패널에서 테넌시의 루트 컴파트먼트에 Oracle-ApplicationName 네임스페이스가 존재하는지 확인합니다.

테넌시의 루트 컴파트먼트가 목록 범위에서 선택되었는지 확인합니다.
목록에 Oracle-ApplicationName가 표시되지 않으면 다음을 수행합니다.
1. 목록 위에 있는 표준 태그 임포트를 누릅니다.
2. Oracle-ApplicationName 네임스페이스 옆에 있는 체크박스를 선택하고 임포트를 누릅니다.

상위 항목: 작업 6. Exadata 리소스 생성

클라우드 자율운영 VM 클러스터 생성

Globally Distributed Database 토폴로지에서 각 데이터베이스에 대한 클러스터를 생성합니다.

클러스터 생성 단계는 자율운영 Exadata VM 클러스터 생성을 참조하십시오.

클러스터를 생성하는 동안 다음을 수행해야 합니다.

각 클러스터를 생성할 때 다음 태그를 정의해야 합니다.

Oracle-ApplicationName.Other_Oracle_Application: Sharding

자율운영 Exadata VM 클러스터에 태그를 추가하려면 먼저 태그의 네임스페이스를 임포트해야 합니다.

주:
Globally Distributed Database에서 사용할 클러스터에 태그를 지정하면 클러스터가 삭제될 때까지 Globally Distributed Database SKU에 대해 계속 청구됩니다.
gdd/gdd_clusters 컴파트먼트에 클러스터를 생성합니다.
릴리스 26ai의 경우: 릴리스 26ai 데이터베이스를 사용하려는 경우 26ai 데이터베이스 소프트웨어 버전 요구사항에 대한 Create an Autonomous Exadata VM Cluster의 필요 조건 섹션을 확인하십시오.
클러스터가 설정되면 동일한 시간대로 설정해야 합니다.
데이터베이스당 하나의 VM 클러스터(샤드 또는 카탈로그)를 사용하는 것이 좋습니다.

상위 항목: 작업 6. Exadata 리소스 생성

작업 7. 클라우드 자율운영 VM 클러스터 인증서 업로드

인증서 관리자는 gdd/gdd_certs_vaults_keys 컴파트먼트에 인증 기관, 인증서 및 CA 번들을 만들었습니다. 이제 각 자율운영 Exadata VM 클러스터에 CA 번들을 업로드합니다.

중요:

업로드하는 CA 번들은 모든 자율운영 Exadata VM 클러스터에 대해 동일해야 합니다.
인증서 공통 이름은 모든 자율운영 Exadata VM 클러스터에 대해 동일해야 합니다.

자세한 내용은 Manage Security Certificates for an Autonomous Exadata VM Cluster Resource를 참조하십시오.

상위 토픽: 테넌시 구성

(선택 사항) API 키 및 사용자 제약 조건 생성

Globally Distributed Database REST API, OCI 소프트웨어 개발 키트, 명령행 인터페이스를 직접 사용하려는 경우 OCI API 키 쌍을 생성합니다.

필수 키 및 OCID의 지침을 따릅니다.

API에 대한 사용자 제어를 설정하려면 글로벌 분산 자율운영 AI 데이터베이스 API에 대한 권한을 참조하십시오.

상위 토픽: 테넌시 구성