Oracle Cloud 리소스 생성

Oracle Cloud Infrastructure GoldenGate를 시작하기 전에 컴파트먼트, VCN, 서브넷, 사용자 및 사용자 그룹을 생성하는 방법을 알아봅니다.

컴파트먼트 생성

구획을 통해 클라우드 리소스에 대한 액세스를 구성하고 제어할 수 있습니다. 관련 클라우드 리소스를 함께 그룹화하고 특정 사용자 그룹이 액세스하도록 허용하는 데 사용할 수 있는 논리적 컨테이너입니다.

Oracle Cloud Infrastructure에 등록하면 Oracle에서 모든 클라우드 리소스가 포함된 루트 구획인 테넌시가 생성됩니다. 그런 후 테넌시 내에 추가 구획을 생성하고, 각 구획의 리소스에 대한 액세스를 제어하기 위해 해당 정책을 생성합니다.

컴파트먼트를 생성하려면 다음을 수행합니다.

Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 선택합니다.
ID에서 구획을 선택합니다. 액세스 권한이 있는 구획 목록이 표시됩니다.
새 컴파트먼트를 생성할 컴파트먼트로 이동합니다.
- 테넌시(루트 컴파트먼트)에 컴파트먼트를 생성하려면 컴파트먼트 생성을 선택합니다.
- 테넌시(루트 컴파트먼트)가 아닌 다른 컴파트먼트에 컴파트먼트를 생성하려면 컴파트먼트를 생성할 컴파트먼트의 세부정보 페이지에 도달할 때까지 컴파트먼트 계층을 선택합니다. 컴파트먼트 세부정보 페이지에서 컴파트먼트 생성을 선택합니다.
[컴파트먼트 생성] 대화상자에서 다음과 같이 필드에 정보를 입력합니다.
1. 이름에 100자 이하의 구획에 대해 고유한 이름을 입력합니다(문자, 숫자, 마침표, 하이픈, 밑줄 포함). 이름은 테넌시의 모든 구획에서 고유해야 합니다. 기밀 정보를 입력하지 마십시오.
2. 설명에 구획과 다른 구획을 구분하는 데 도움이 되는 설명을 입력합니다.
3. 상위 컴파트먼트의 경우 컴파트먼트를 생성할 컴파트먼트인지 확인합니다. 다른 컴파트먼트를 선택하려면 드롭다운에서 하나를 선택합니다.
4. (선택 사항) 태그 네임스페이스의 경우 Oracle Cloud 콘솔에서 리소스를 검색하는 데 도움이 되는 자유 형식 태그를 추가할 수 있습니다. 태그를 더 추가하려면 + 다른 태그를 선택합니다.
5. 컴파트먼트 생성을 선택합니다.

컴파트먼트는 생성된 후 [컴파트먼트] 목록에 나타납니다. 이제 정책을 생성하고 컴파트먼트에 리소스를 추가할 수 있습니다.

가상 클라우드 네트워크에 대한 서브넷 생성

VCN(가상 클라우드 네트워크)은 특정 지역의 Oracle Cloud Infrastructure 데이터 센터에 설정하는 네트워크입니다. 서브넷은 VCN의 세분화입니다.

OCI GoldenGate에는 VCN 및 NAT 게이트웨이가 있는 전용 서브넷이 하나 이상 필요합니다. 전용 서브넷에 대해 NAT 게이트웨이로 트래픽을 재지정하는 경로 규칙이 있는 경로 테이블을 사용할 수 있어야 합니다. 퍼블릭 끝점을 사용하여 접속을 사용으로 설정하려면 퍼블릭 서브넷도 필요하며 VCN에 인터넷 게이트웨이가 포함되어야 합니다. 공용 서브넷에 대해 트래픽을 인터넷 게이트웨이로 재지정하는 경로 규칙이 있는 경로 테이블을 사용할 수 있어야 합니다.

VCN 및 서브넷을 생성하려면 다음과 같이 하십시오.

Oracle Cloud 콘솔 탐색 메뉴를 열고 네트워킹을 선택한 다음 가상 클라우드 네트워크를 선택합니다.
가상 클라우드 네트워크 페이지에서 컴파트먼트 선택을 확인하거나 다른 컴파트먼트를 선택합니다.
작업 메뉴에서 VCN 마법사 시작을 선택합니다.
[VCN 마법사 시작] 패널에서 인터넷 접속으로 VCN 생성을 선택한 다음 VCN 마법사 시작을 선택합니다.
구성 페이지의 기본 정보 아래에 VCN 이름을 입력합니다.
구획에서 이 VCN을 생성할 구획을 선택합니다.
다음을 선택합니다.
[검토 및 생성] 페이지에서 구성 세부정보를 확인한 다음 생성을 선택합니다.

VCN 세부정보 보기를 선택하여 퍼블릭 서브넷과 프라이빗 서브넷이 모두 생성되었는지 확인합니다.

사용자 생성

OCI GoldenGate 리소스에 액세스할 수 있는 그룹에 추가할 사용자를 생성합니다.

사용자를 생성하기 전에 다음 사항을 이해하십시오.

OCI GoldenGate 배치 사용자 관리는 테넌시가 OCI IAM with Identity Domains를 사용하는지 여부에 따라 달라집니다. 배포 사용자 관리를 참조하십시오.
사용자 이름은 테넌시 내의 모든 사용자에서 고유해야 합니다.
사용자 이름은 변경할 수 없습니다.
사용자는 그룹에 배치될 때까지 권한이 없습니다.

사용자를 생성하려면:

Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 ID에서 도메인을 선택합니다.
Domains 페이지에서 컴파트먼트 선택을 확인하거나 다른 컴파트먼트로 변경합니다.
[도메인] 목록에서 기본값을 선택하여 기본 도메인에 액세스하거나 도메인 생성을 선택하여 새 도메인을 생성합니다.
목록에서 해당 도메인을 선택합니다.
Domains(도메인) 세부정보 페이지에서 User management(사용자 관리)를 선택합니다.
[사용자] 페이지에서 사용자 생성을 선택합니다.
Create user 페이지에서 다음과 같이 필드에 정보를 입력합니다.
1. 사용자 이름으로도 사용할 수 있는 사용자의 이름, 성 및 전자메일 주소를 입력합니다.
  
  참고: 이름은 테넌시의 모든 사용자에서 고유해야 합니다. 이 값은 나중에 변경할 수 없습니다. 사용자 이름은 공백을 포함할 수 없으며 기본 라틴 문자(ASCII), 숫자, 하이픈, 마침표, 밑줄, + 및 @로만 구성될 수 있습니다.
2. 그룹의 경우 사용자를 지정할 그룹을 선택하십시오.
생성을 선택합니다.

그런 다음 사용자를 그룹에 추가하고 그룹에 리소스에 대한 액세스 권한을 부여하는 정책을 생성할 수 있습니다. 사용자에 대한 자세한 내용은 사용자 관리를 참조하십시오.

그룹 생성

그룹은 일련의 리소스 또는 구획에 대해 동일한 유형의 액세스를 원한 유저의 모음입니다.

그룹을 생성하기 전에 다음 사항을 이해하십시오.

그룹 이름은 테넌시 내에서 고유해야 합니다.
그룹 이름은 생성 후 변경할 수 없습니다.
그룹에 테넌시 또는 컴파트먼트에 대한 권한을 부여하는 권한을 하나 이상 쓰지 않으면 그룹에 권한이 없습니다.

그룹을 생성하려면 다음과 같이 하십시오.

Oracle Cloud 콘솔 탐색 메뉴를 열고 ID 및 보안을 선택한 다음 ID에서 도메인을 선택합니다.
[도메인] 페이지에서 컴파트먼트 선택을 확인하거나 컴파트먼트를 변경합니다.
목록에서 도메인 선택.
도메인 세부정보 페이지에서 사용자 관리를 선택합니다.
[그룹]에서 그룹 생성을 선택합니다.
Create group 페이지에서 다음을 수행합니다.
1. 이름에 대해 그룹의 고유 이름을 입력합니다.
  
  주: 그룹이 생성되면 이름을 변경할 수 없습니다. 그룹 이름은 테넌시 내에서 고유해야 합니다. 그룹 이름은 1~100자의 영숫자, 대문자 또는 소문자일 수 있으며 마침표, 대시, 하이픈은 포함할 수 있지만 공백은 포함할 수 없습니다.
2. 설명에 친숙한 설명을 입력합니다.
이 그룹에 대한 사용자가 액세스를 요청할 수 있는지 여부를 선택합니다.
사용자 목록에서 이 그룹에 지정할 사용자를 선택합니다.
생성을 선택합니다.

그룹에 컴파트먼트 또는 테넌시에 대한 권한을 부여하는 정책을 작성하기 전까지는 그룹에 권한이 없습니다. 그룹에 대한 자세한 내용은 그룹 관리를 참조하십시오.

정책 생성

정책은 그룹의 멤버가 수행할 수 있는 작업 및 구획을 정의합니다.

Oracle Cloud 콘솔을 사용하여 정책을 생성합니다. Oracle Cloud 콘솔 탐색 메뉴에서 ID 및 보안, ID 순으로 선택하고 정책을 선택합니다. 정책은 다음 구문으로 작성됩니다.

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

매개변수 정의는 다음과 같습니다.

<identity-domain>: (선택사항) ID 관리를 위해 OCI IAM을 사용하는 경우 사용자 그룹의 ID 도메인을 포함합니다. 생략할 경우 OCI는 기본 도메인을 사용합니다.
<group-name>: 권한을 부여할 사용자 그룹의 이름입니다.
<verb>: 그룹에 리소스 유형에 대한 특정 레벨의 액세스 권한을 부여합니다. 동사가 inspect에서 read에서 use에서 manage로 이동하면 액세스 레벨이 증가하고 부여된 권한은 누적됩니다.

사용 권한 및 동사 간의 관계에 대해 자세히 알아봅니다.
<resource-type>: 그룹에게 작업 권한을 부여하는 리소스 유형입니다. goldengate-deployments, goldengate-pipelines 및 goldengate-connections와 같은 개별 리소스가 있으며 이전에 언급한 개별 리소스가 포함된 goldengate-family와 같은 리소스 패밀리가 있습니다.

자세한 내용은 resource-types를 참조하십시오.
<location>: 정책을 컴파트먼트 또는 테넌시에 연결합니다. 이름 또는 OCID별로 단일 컴파트먼트 또는 컴파트먼트 경로를 지정하거나, 전체 테넌시를 포함하도록 tenancy를 지정할 수 있습니다.
<condition>: 선택사항. 이 정책이 적용될 하나 이상의 조건입니다.

정책 구문에 대해 자세히 알아봅니다.

정책을 생성하는 방법

정책을 생성하려면 다음과 같이 하십시오.

Oracle Cloud 탐색 메뉴에서 ID 및 보안을 선택한 다음 [식별]에서 정책을 선택합니다.
[정책] 페이지에서 정책 생성을 선택합니다.
[정책 생성] 페이지에서 정책에 대한 이름과 설명을 입력합니다.
이 정책을 생성할 구획을 선택합니다.
정책 작성기 섹션에서 다음 중 하나를 수행할 수 있습니다.
- 정책 사용 사례 드롭다운에서 GoldenGate 서비스를 선택하고 공통 정책 템플리트(예: 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책)를 선택합니다.
- 수동 편집기 표시를 선택하여 다음 형식으로 정책 규칙을 입력합니다.
```
allow <subject> to <verb> <resource-type> in <location> where <condition>
```
  조건은 선택 사항입니다. 동사 + 리소스 유형 조합에 대한 세부정보를 참조하십시오.
참고: 자세한 내용은 최소 권장 정책을 참조하십시오.
생성을 선택합니다.

정책에 대한 자세한 내용은 정책 작동 방식, 정책 구문 및 정책 참조를 참조하십시오.

최소 권장 정책

참고 사항:

공통 정책 템플리트를 사용하여 필요한 모든 정책을 추가하려면 다음과 같이 하십시오.

정책 사용 사례의 경우 드롭다운에서 GoldenGate 서비스를 선택합니다.
일반 사용 템플리트의 경우 드롭다운에서 사용자가 GoldenGate 리소스를 관리할 수 있도록 하는 필수 정책을 선택합니다.

최소한 다음과 같은 정책이 필요합니다.

사용자가 배포 및 연결 작업을 수행할 수 있도록 GoldenGate 리소스를 사용하거나 관리할 수 있습니다. 예:
```
allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
```
사용자가 구획 및 서브넷을 보고 선택할 수 있도록 네트워크 리소스를 관리하고, GoldenGate 리소스를 생성할 때 프라이빗 끝점을 생성 및 삭제할 수 있도록 허용합니다. 예:
```
allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>
```
참고:
- 전용 끝점을 사용하여 배치 또는 접속을 생성할 때 선택한 서브넷에 하나 이상의 IP가 할당됩니다. 서비스가 네트워크 리소스를 생성할 수 있도록 하려면 서브넷과 배치 또는 접속의 컴파트먼트 모두에 필요한 네트워크 액세스 권한을 제공해야 합니다.
- 마찬가지로, 서비스가 네트워크 리소스를 삭제할 수 있도록 전용 끝점을 사용하여 배치 또는 접속을 삭제할 때 적합한 네트워크 액세스 권한이 필요합니다.
선택적으로 세분화된 정책 조합을 사용하여 네트워크 리소스를 추가로 보호할 수 있습니다. 네트워크 리소스 보안을 위한 정책 예를 참조하십시오.
동적 그룹을 생성하여 정의된 규칙을 기반으로 리소스에 권한을 부여합니다. 이를 통해 GoldenGate 배치 및/또는 파이프라인이 테넌시의 리소스에 액세스할 수 있습니다. <dynamic-group-name>를 선택한 이름으로 바꿉니다. 필요에 따라 여러 동적 그룹을 생성하여 여러 구획 또는 테넌시에 걸친 배포의 권한을 제어할 수 있습니다.
```
name: <dynamic-group-name>
Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}
```
참고: 이 목록의 다음 정책은 <dynamic-group-name>을 참조하십시오. 동적 그룹을 두 개 이상 생성하는 경우 다음 정책을 추가할 때 올바른 동적 그룹 이름을 참조해야 합니다.
비밀번호 암호와의 접속을 사용하는 경우 접속에 지정하려는 배치가 접속의 비밀번호 암호에 액세스할 수 있어야 합니다. 컴파트먼트 또는 테넌시에 정책을 추가했는지 확인합니다.
```
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
```

IAM 사용 테넌시에서 검증을 위해 IAM(ID 및 액세스 관리) 사용자 및 그룹을 읽을 수 있습니다.

allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

Oracle Vault에서 고객 관리 암호화 키 및 비밀번호 암호에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to manage secret-family in <location>
allow group <identity-domain>/<group-name> to use keys in <location>
allow group <identity-domain>/<group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

다음 서비스를 사용할지 여부에 따라 다음 정책도 추가해야 할 수 있습니다.

소스 및/또는 대상 데이터베이스를 위한 Oracle AI 데이터베이스. 예:

allow group <identity-domain>/<group-name> to read database-family in <location>

allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

Oracle Object Storage - 수동 및 일정이 잡힌 OCI GoldenGate 백업을 저장합니다. 예:

allow group <identity-domain>/<group-name> to manage objects in <location>
allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
allow group <identity-domain>/<group-name> to inspect buckets in <location>

OCI 로깅 - 로그 그룹에 액세스합니다. 예:

allow group <identity-domain>/<group-name> to read log-groups in <location>
allow group <identity-domain>/<group-name> to read log-content in <location>

로드 밸런서(배치 콘솔에 대한 퍼블릭 액세스를 사용으로 설정하는 경우):

allow group <identity-domain>/<group-name> to manage load-balancers in <location>
allow group <identity-domain>/<group-name> to manage public-ips in <location>

allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

작업 요청:

allow group <identity-domain>/<group-name> to inspect work-requests in <location>

Zero Trust Packet Routing(ZPR). 필수만 VCN 및/또는 로드 밸런서에 보안 속성을 추가하여 접속 및 공용 배치에 대한 액세스를 제어하는 경우 다음 정책을 추가하여 로드 밸런서에 대한 공용 인터넷 트래픽과 로드 밸런서와 프라이빗 끝점 간의 트래픽 플로우를 허용합니다.
- VCN 및 로드 밸런서에 대해 보안 속성이 추가된 경우:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints
```
- 보안 속성이 로드 밸런서가 아닌 VCN에 대해서만 추가되었으며 로드 밸런서가 CIDR 10.0.1.0/24인 퍼블릭 서브넷에 있는 경우:
```
in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints
```
  주: 전용 접속 및 프라이빗 배치와 같은 기타 리소스의 경우 보안 속성이 생성된 프라이빗 끝점에 추가됩니다. 로드 밸런서는 기본적으로 프라이빗 배치와 함께 생성되지 않으므로 위의 ZPR 예제는 적용되지 않습니다. 이 경우 ZPR이 프라이빗 끝점을 보호하므로 ZPR 정책이 필요할 수 있습니다. 정확한 정책은 사용 사례에 따라 달라집니다.
ZPR 정책 구문에 대해 자세히 알아보십시오.

다음 명령문은 작업 영역에 대한 태그 네임스페이스 및 태그를 관리할 수 있는 그룹 권한을 제공합니다.

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

정의된 태그를 추가하려면 태그 네임스페이스 사용 권한이 있어야 합니다. 태그 지정에 대한 자세한 내용은 리소스 태그를 참조하십시오.