Configurando a Tenancy

Para poder usar os serviços de Banco de Dados Globalmente Distribuído da Oracle para criar e gerenciar um banco de dados distribuído, você deve executar essas tarefas preparatórias para organizar sua tenancy, criar políticas para os vários recursos e, em seguida, adquirir e configurar os recursos de rede, segurança e infraestrutura.

• Tarefa 1. Inscreva-se na Ashburn Region
  
• Tarefa 2. Criar Compartimentos
  
• Tarefa 3. Criar Restrições de Acesso do Usuário
  
• Tarefa 4. Configurar Recursos de Rede
  
• Tarefa 5. Configurar Recursos de Segurança
  
• Tarefa 6. Criar Recursos do Exadata
  
• Tarefa 7. Fazer Upload dos Certificados de Cluster de VMs Autônomas na Nuvem
  
• (Opcional) Criar Chave de API e Restrições de Usuário
  

Tarefa 1. Assine a Região de Ashburn

Como administrador do tenant, inscreva-se na região Ashburn (IAD) e em todas as regiões necessárias para executar sua implementação do Globally Distributed Autonomous AI Database.

1. Inscreva-se na região Ashburn (IAD).
   • Para usar o serviço, você deve se inscrever na região Ashburn.

   • A Região Home da sua tenancy não precisa ser a região Ashburn, mas você deve se inscrever na região Ashburn para usar os serviços de Banco de Dados Distribuído Globalmente da Oracle.

2. Inscreva-se em qualquer outra região em que você esteja colocando um banco de dados.
   • Inscreva-se em qualquer região em que você planeje colocar bancos de dados para sua implementação; isso inclui bancos de dados para o catálogo, shards e, se você planeja usar o Oracle Data Guard, para os bancos de dados stand-by.

Para obter mais informações, consulte Gerenciando Regiões.

Tarefa 2. Criar Compartimentos

Como administrador do tenant, crie compartimentos em sua tenancy para todos os recursos exigidos pelo Globally Distributed Autonomous AI Database.

A Oracle recomenda a seguinte estrutura e esses compartimentos são referenciados em todas as tarefas de configuração:

• Um compartimento "pai" para toda a implantação. Este é o gdd nos exemplos.
• Compartimentos "filhos" para cada um dos vários tipos de recursos:
  • gdd_certs_vaults_keys para autoridades de certificação, certificados, pacotes de certificados, vaults e chaves
  • gdd_clusters para Clusters de VMs Autônomas na Nuvem
  • gdd_databases para bancos de dados, VCNs, sub-redes, pontos finais privados e recursos do Globally Distributed Database.
  • gdd_exadata para Infraestruturas Exadata
  • gdd_instances para instâncias de computação para servidores de aplicativos (nó de extremidade/host de salto para atuar como bastion para estabelecer conexão com o banco de dados)

A estrutura de compartimento resultante será semelhante à seguinte:

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_clusters       
          gdd_databases  
          gdd_exadata             
          gdd_instances

Para obter mais informações, consulte Como Trabalhar com Compartimentos.

Tarefa 3. Criar Restrições de Acesso do Usuário

Formule um plano de controle de acesso e, em seguida, institua-o criando recursos apropriados do IAM (Identity and Access Management). Assim, o controle de acesso dentro de um banco de dados distribuído é implementado em vários níveis, que são definidos pelos grupos e políticas aqui.

Os grupos de usuários, os grupos dinâmicos e as políticas descritos nas tabelas a seguir devem orientar a criação de seu próprio plano de controle de acesso do usuário para a implementação do banco de dados distribuído.

Como administrador do tenant, crie os seguintes grupos recomendados, grupos dinâmicos e políticas para conceder permissões às atribuições definidas anteriormente. Os exemplos e os links de documentação pressupõem que sua tenancy use domínios de identidade.

• Noções Básicas Sobre a Separação de Funções
  
• Grupos Dinâmicos
  
• Grupos de Usuários
  
• Políticas
  

Noções Básicas Sobre Separação de Função

Você precisa garantir que seus usuários de nuvem tenham acesso para usar e criar somente os tipos apropriados de recursos de nuvem para executar suas tarefas de job. Uma prática recomendada para o Globally Distributed Database é definir atribuições para fins de separação de atribuições.

As atribuições e responsabilidades descritas na tabela a seguir devem orientar sua compreensão de como definir grupos de usuários, grupos dinâmicos e políticas para sua implementação do Globally Distributed Autonomous AI Database. As funções de exemplo apresentadas aqui são usadas em toda a definição do ambiente, criação de recursos e instruções de gerenciamento.

Atribuições	Responsabilidades
Administrador de tenant	Inscrever-se em regiões Criar compartimentos Criar grupos dinâmicos, grupos de usuários e políticas
Administrador de infraestrutura	Criar/Atualizar/Excluir família de redes virtuais Criar/Atualizar/Excluir Autonomous Exadata Infrastructure Criar/Atualizar/Excluir Clusters de VMs do Autonomous Exadata Marcando com Tag Clusters do Autonomous Exadata VM Criar/Atualizar/Excluir Pontos Finais Privados do Globally Distributed Autonomous AI Database
Administrador de certificados	Criar/Atualizar/Excluir Vault Criar/Atualizar/Excluir Chaves Criar/Atualizar/Excluir Autoridade de Certificação Criar/Atualizar/Excluir Certificado Criar/Atualizar/Excluir Bundle de CAs Fazer Upload de Pacotes de Certificados e Certificados para Clusters de VMs do Autonomous Exadata Fazer Download da Solicitação de Assinatura do Certificado GSM (CSR) Criar um Certificado GSM com base no GSM CSR Fazer Upload do Certificado GSM
Usuário	Criar e gerenciar Bancos de Dados Distribuídos Globalmente usando Interface do Usuário e APIs

Grupos Dinâmicos

Crie os grupos dinâmicos a seguir para controlar o acesso aos recursos criados nos compartimentos do Globally Distributed Database.

Consulte Criando um Grupo Dinâmico para obter instruções.

Nome do Grupo Dinâmico	Descrição	Regras
gdd-cas-dg	Recursos da autoridade de certificação	Tudo resource.type='certificateauthority' (autoridade do certificado) resource.compartment.id = 'OCID da raiz/gdd/gdd_certs_vaults_keys do tenant do compartimento'
gdd-clusters-dg	Recursos de cluster de VMs autônomas	Tudo resource.compartment.id = 'OCID da raiz/gdd/gdd_clusters do tenant do compartimento'
gdd-instâncias-dg	Recursos da instância de computação	Tudo resource.compartment.id = 'OCID da raiz/gdd/gdd_instances do tenant do compartimento'

Grupos de Usuários

Crie os grupos a seguir para conceder aos usuários permissões para usar recursos nos compartimentos do Globally Distributed Database.

Consulte Criando um Grupo para obter instruções.

Nome do Gr. de Usuários	Descrição
gdd-certificate-admins	Administradores de certificados que criam e gerenciam chaves e vaults.
gdd-infraestrutura-administradores	Administradores de infraestrutura que criam e gerenciam recursos de rede e infraestrutura na nuvem
gdd-usuários	Usuários que criam e gerenciam recursos do Globally Distributed Database usando APIs e UI

Políticas

Crie políticas do serviço IAM para conceder aos grupos acesso a recursos criados nos compartimentos do Globally Distributed Autonomous AI Database.

Os exemplos de políticas a seguir, que se baseiam na estrutura de compartimentos e nos grupos criados anteriormente, devem orientar a criação de suas próprias políticas do serviço IAM para sua implementação do Globally Distributed Autonomous AI Database.

O domínio de identidades (por exemplo, Padrão) deve ser o domínio de identidades no qual você criou os grupos.

Consulte Criando uma Política para obter instruções.

gdd-certificate-admins-nível do tenant

• Descrição: Tenant-level privilégios for group gdd-certificate-admins
• Compartimento: locatário
• Instruções:

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

• Descrição: Privilégios no nível do tenant para o grupo gdd-infrastructure-admins
• Compartimento: locatário
• Instruções:

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

nível de locatário-usuários-gdd

• Descrição: Privilégios no nível do tenant para o grupo gdd-users

• Compartimento: locatário
• Instruções:

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ distributed-autonomous-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificate-admins

• Descrição: Privilégios de nível de compartimento para o grupo gdd-certificate-admins
• Compartimento: locatário/gdd
• Instruções:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE certificate-authority-family in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ buckets in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ instances in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to USE key-delegate in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-databases in compartment gdd  
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT autonomous-exadata-infrastructures in compartment gdd 
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT cloud-autonomous-vmclusters in compartment gdd

  Além disso, as seguintes políticas serão necessárias se o Oracle Key Vault estiver sendo usado:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE secret-family in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keystores in compartment gdd

gdd-infraestrutura-administradores

• Descrição: Privilégios no nível do compartimento para o grupo gdd-infrastructure-admins
• Compartimento: locatário/gdd
• Instruções:

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE autonomous-exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE cloud-autonomous-vmclusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-container-databases in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ autonomous-virtual-machines in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ leaf-certificate-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins" to READ distributed-database-workrequest in compartment gdd

gdd-usuários

• Descrição: Privilégios de nível de compartimento para o grupo gdd-users
• Compartimento: locatário/gdd
• Instruções:

  Allow group 'Default' / 'gdad-users' to INSPECT exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdad-users' to INSPECT distributed-database-privateendpoint in compartment gdd
  Allow group 'Default' / 'gdad-users' to INSPECT autonomous-virtual-machines in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-backups in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-container-databases in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE autonomous-databases in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE distributed-autonomous-database in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdad-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE autonomous-exadata-infrastructures in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE cloud-autonomous-vmclusters in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdad-users' to USE volumes in compartment gdd

  Além disso, as seguintes políticas serão necessárias se o Oracle Key Vault estiver sendo usado:

  Allow group 'Default' / 'gdad-users' to READ secret-family in compartment gdd
  Allow group 'Default' / 'gdad-users' to READ keystores in compartment gdd

gdd-dg-cas

• Descrição: Privilégios de nível de compartimento para o grupo dinâmico gdd-cas-dg
• Compartimento: locatário/gdd
• Instruções:

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-clusters

• Descrição: Privilégios de nível de compartimento para o grupo dinâmico gdd-clusters-dg
• Compartimento: locatário/gdd
• Instruções:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

  Além disso, as seguintes políticas serão necessárias se o Oracle Key Vault estiver sendo usado:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ secret-family in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ keystores in compartment gdd_certs_vaults_keys

gdd-kms

• Descrição: Privilégios no nível do compartimento para o Key Management Service
• Compartimento: locatário/gdd
• Instruções:

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

gdd-okv

• Descrição: Privilégios no nível do compartimento para o Oracle Key Vault
• Compartimento: locatário/gdd
• Instruções:

  Allow service database to READ secret-family in compartment gdd_certs_vaults_keys

Tarefa 4. Configurar Recursos de Rede

Como administrador de infraestrutura, crie os recursos de rede e ative a conectividade necessária ao banco de dados distribuído.

Exemplos de recursos são nomeados em todas essas instruções para simplificar o rastreamento e os relacionamentos. Por exemplo, o nome "gdd_iad" refere-se à VCN criada na região Ashburn (IAD).

• Recursos Comuns de Rede
  
• Recursos Adicionais de Rede Baseados em Sua Topologia
  

Recursos de Rede Comuns

Todas as implementações do Globally Distributed Autonomous AI Database exigem uma VCN, uma sub-rede e um ponto final privado na região Ashburn (IAD).

Como administrador de infraestrutura, crie os recursos conforme descrito na tabela a seguir.

Recurso	Instruções
Rede Virtual na Nuvem (VCN) + sub-rede	Em Ashburn (IAD), crie a VCN gdd_iad e a sub-rede gdd_subnet. Essa VCN e essa sub-rede são necessárias para permitir a conectividade entre o serviço Globally Distributed Autonomous AI Database e os bancos de dados na topologia Globally Distributed Autonomous AI Database. Use os seguintes valores: Compartimento = gdd / gdd_databases Região = Ashburn (IAD) Nome da sub-rede = gdd_subnet Tipo de Sub-rede = Regional A sub-rede deve ser regional, abrangendo todos os domínios de disponibilidade
Ponto Final Privado	Crie um ponto final privado na região Ashburn (IAD) para permitir a conectividade entre o serviço Globally Distributed Autonomous AI Database e os bancos de dados na topologia Globally Distributed Autonomous AI Database. Abra o menu de navegação, clique emOracle Database e, em seguida, clique em Globally Distributed Autonomous AI Database. Clique em Pontos Finais Privados no painel de navegação. Clique em Criar ponto final privado. Digite as seguintes informações. Nome: Por exemplo, gdd_pe Compartimento: gdd/gdd_databases Esse deve ser o compartimento que contém a sub-rede da região Ashburn criada acima. Sub-rede: gdd_subnet Se você não vir a sub-rede listada, verifique se ela foi criada como uma sub-rede Regional. Rede virtual na nuvem: gdd_iad Adicionar tags (opcional): você pode selecionar tags para esse recurso clicando em Mostrar Opções de Tag.

Recursos de Rede Adicionais com Base em sua Topologia

Dependendo da topologia do Globally Distributed Database, crie recursos de rede adicionais, conforme descrito abaixo.

Observe que os bancos de dados da topologia incluem os bancos de dados de catálogo, shards e stand-by do Oracle Data Guard.

Todos os recursos de rede devem ser criados no compartimento gdd/gdd_databases.

Caso de Uso	Recursos de Rede	Pareamento e conectividade
Todos os bancos de dados são colocados na região Ashburn (IAD)	Crie uma sub-rede e um gateway de serviço na região Ashburn (IAD) para seus Clusters de VMs do Autonomous na Nuvem. Na região Ashburn (IAD), crie a sub-rede osd-databases-subnet-iad na VCN gdd_iad. Na região Ashburn (IAD), crie o gateway de serviço gdd_sgw_iad	Pareamento Obrigatório Nenhum(a) Conectividade Obrigatória Conectividade irrestrita com a sub-rede gdd_subnet (criada para ponto final privado)
Todos os bancos de dados são colocados em uma única região, R1, que não é Ashburn (IAD)*	Crie uma sub-rede e um gateway de serviço na região para seus Clusters de VMs do Autonomous na Nuvem. Na região R1, crie a VCN gdd_R1 com a sub-rede osd-database-subnet-R1 Na região R1, crie o gateway de serviço gdd_sgw_R1	Pareamento Obrigatório gdd_iad ↔ gdd_R1 Conectividade Obrigatória Irrestrito entre gdd_iad.gdd_subnet (criado para ponto final privado) e gdd_R1.osd-database-subnet-R1
Os bancos de dados são colocados em várias regiões R1, R2, ..., RN	Crie sub-redes e gateways de serviço em cada região para seus Clusters de VMs do Autonomous na Nuvem. Sub-rede: Na região R1, crie a VCN gdd_R1 com a sub-rede osd-database-subnet-R1 Na região R2, crie a VCN gdd_R2 com a sub-rede osd-database-subnet-R2 ... Na região Rn, crie a VCN gdd_Rn com a sub-rede osd-database-subnet-Rn Gateways de serviço: Na região R1, crie o Gateway de serviço gdd_sgw_R1 Na região R2, crie o gateway de Serviço gdd_sgw_R2 ... Na região Rn, crie o Gateway de serviço gdd_sgw_Rn	Pareamento Obrigatório gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn Conectividade Obrigatória Irrestrito e bidirecional entre gdd_iad.gdd_subnet (criado para ponto final privado) e gdd_R1.osd-database-subnet-R1 gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Irrestrito e bidirecional entre gdd_R1.osd-database-subnet-R1 e gdd_R2.osd-database-subnet-R2 gdd_Rn.osd-database-subnet-Rn Irrestrito e bidirecional entre gdd_R2.osd-database-subnet-R2 e gdd_Rn.osd-database-subnet-Rn

*O plano de controle do serviço Globally Distributed Database só existe na região Ashburn (IAD). O ponto final privado que você criou em uma etapa anterior na região Ashburn (IAD) é usado para se comunicar com os recursos do Globally Distributed Database em suas respectivas regiões.

Tarefa 5. Configurar Recursos de Segurança

Como administrador de certificados do Globally Distributed Database, crie os recursos de vault, chave, autoridade de certificado, certificado e bundle de CAs.

Todos os recursos de segurança são criados no compartimento gdd/gdd_certs_vaults_keys.

Atenção:

Depois de criar um Banco de Dados Distribuído Globalmente que faça referência a uma chave, você não poderá mover o vault ou as chaves para um novo compartimento sem também reiniciar os bancos de dados contêineres autônomos que fazem referência ao vault ou à chave movida.

Dependendo da topologia do Globally Distributed Database, crie recursos de segurança conforme descrito nas tabelas a seguir.

Os nomes de recursos de exemplo usados nas tabelas a seguir devem orientar a criação de seus próprios recursos de segurança para a implementação do Globally Distributed Database.

• Distribuição Automática de Dados, Região Única
  
• Distribuição Automática de Dados, Regiões Principal e Stand-by
  
• Distribuição de Dados Gerenciada pelo Usuário, Região Única
  
• Distribuição de Dados Gerenciada pelo Usuário, Várias Regiões
  

Distribuição Automática de Dados, Região Única

Nesse caso de uso, os recursos de segurança são criados em uma região individual.

Nos exemplos abaixo, todos os recursos são criados na região R1.

Recurso	Instruções e Exemplos
Vault	Crie um vault para as chaves mestras de criptografia CA (Certificate Authority) e TDE (Transparent Data Encryption). Na região R1, crie o vault gdd_vault_R1 Instruções: Criando um Vault
Chave da autoridade certificadora	Na região R1, crie a chave de criptografia mestra gdd_ca_key_R1, no vault gdd_vault_R1 Valores de atributo obrigatórios: Modo de Proteção = HSM Forma da Chave: Algoritmo = RSA Tamanho = 2048 Instruções: Criar uma Chave Mestra de Criptografia
Chave TDE	Na região R1, crie a chave de criptografia mestra gdd_TDE_key-oraspace no vault gdd_vault_R1 Valores de atributo obrigatórios: Modo de Proteção = Software Forma da Chave: Algoritmo = AES Tamanho = 256 Instruções: Criar uma Chave Mestra de Criptografia
Autoridade de Certificação	Crie uma CA para emitir certificados para Clusters de VMs Autônomas na Nuvem e instâncias de computação GSM. Na região R1, usando a chave gdd_ca_key_R1, crie a CA gdd_ca_R1 Você pode usar uma CA de terceiros para criar um certificado, mas deve importar o certificado emitido pela CA de 3ª Parte para o OCI Certificate Service. Instruções: Criando uma Autoridade de Certificação
Certificado	Crie um Certificado para upload nos Clusters de VMs do Autonomous Cloud. Na região R1, usando a CA gdd_ca_R1, crie o Certificado gdd_cert Instruções: Criando um Certificado
Pacote de CAs	Crie um Bundle de CAs para upload nos Clusters de VMs do Autonomous Cloud. Na região R1, crie um Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados para o Certificado gdd_cert Instruções: Criando um Pacote de CAs

Distribuição Automática de Dados, Regiões Principal e Stand-by

Essa topologia resulta quando os bancos de dados principal e stand-by são colocados em regiões diferentes. Nesse caso de uso, os recursos de segurança são criados em um banco de dados principal e em regiões de banco de dados stand-by.

Nos exemplos abaixo, os recursos são criados nas regiões Rp (principal) e Rs (stand-by).

Recurso	Instruções e Exemplos
Vaults	Crie os vaults para as chaves de criptografia mestras da Autoridade de Certificação (CA). Na região Rp, crie o vault gdd_vault_Rp Na região Rs, crie o vault gdd_vault_Rs Instruções: Criando um Vault
Vault Virtual Replicado	Crie um vault virtual replicado para a chave de criptografia mestra de TDE (Transparent Data Encryption). Na região Rp, crie um vault virtual gdd_vault_Rp_Rs que seja replicado para a região Rs Instruções: Replicando um Vault e Chaves
Chaves da Autoridade de Certificação	Na região Rp, crie a chave de criptografia mestra gdd_ca_key_Rp no vault gdd_vault_Rp Na região Rs, crie a chave de criptografia mestra gdd_ca_key_Rs no vault gdd_vault_Rs Valores de atributo obrigatórios: Modo de Proteção = HSM Forma da Chave: Algoritmo = RSA Tamanho = 2048 Instruções: Criar uma Chave Mestra de Criptografia
Chave TDE	Na região Rp, crie uma chave de criptografia mestra gdd_TDE_key-oraspace no vault virtual replicado gdd_vault_Rp_Rs Valores de atributo obrigatórios: Modo de Proteção = Software Forma da Chave: Algoritmo = AES Tamanho = 256 Instruções: Criar uma Chave Mestra de Criptografia
Autoridades de Certificação	Crie CAs para emitir certificados para Clusters de VMs Autônomas na Nuvem e instâncias de computação GSM. Na região Rp, usando a chave gdd_ca_key_Rp, crie a CA gdd_ca_Rp Na região Rs, usando a chave gdd_ca_key_Rs, crie a CA gdd_ca_Rs Você pode usar uma CA de terceiros para criar um certificado, mas deve importar o certificado emitido pela CA de 3ª Parte para o OCI Certificate Service. Instruções: Criando uma Autoridade de Certificação
Certificates	Crie os Certificados para upload em Clusters de VMs Autônomas na Nuvem. Observação: Você deve usar o mesmo nome comum para os certificados nas regiões Rp e Rs. Na região Rp, usando a CA gdd_ca_Rp, crie o Certificado gdd_cert Na região Rs, usando a CA gdd_ca_Rs, crie o Certificado gdd_cert Instruções: Criando um Certificado
Pacotes de CAs	Crie os Pacotes de CAs para upload nos Clusters de VMs do Autonomous Cloud. Na região Rp, crie o Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados dos Certificados gdd_cert nas regiões Rp e Rs Na região Rs, crie o Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados do serviço Certificates gdd_cert nas regiões Rp e Rs Instruções: Criando um Pacote de CAs

Distribuição de Dados Gerenciados pelo Usuário, Região Única

Nesse caso de uso, os recursos de segurança são criados em uma região individual

Nos exemplos abaixo, todos os recursos são criados na região R1.

Recurso	Instruções e Exemplos
Vault	Crie um vault para as chaves mestras de criptografia CA (Certificate Authority) e TDE (Transparent Data Encryption). Na região R1, crie o vault gdd_vault_R1 Instruções: Criando um Vault
Chave da autoridade certificadora	Na região R1, crie a chave gdd_ca_key_R1 no vault gdd_vault_R1 Valores de atributo obrigatórios: Modo de Proteção = HSM Forma da Chave: Algoritmo = RSA Tamanho = 2048 Instruções: Criar uma Chave Mestra de Criptografia
Chaves TDE	Na região R1, crie o catálogo gdd_TDE_key de chaves no vault gdd_vault_R1 para criptografar o catálogo Na região R1, crie a chave gdd_TDE_key-spaceN no vault gdd_vault_R1 para criptografar os shards no espaço de shard N Valores de atributo obrigatórios: Modo de Proteção = Software Forma da Chave: Algoritmo = AES Tamanho = 256 Instruções: Criar uma Chave Mestra de Criptografia
Autoridade de Certificação	Crie uma CA para emitir certificados para Clusters de VMs Autônomas na Nuvem e instâncias de computação GSM. Na região R1, usando a chave gdd_ca_key_R1, crie a CA gdd_ca_R1 Você pode usar uma CA de terceiros para criar um certificado, mas deve importar o certificado emitido pela CA de 3ª Parte para o OCI Certificate Service. Instruções: Criando uma Autoridade de Certificação
Certificado	Crie um Certificado para upload nos Clusters de VMs do Autonomous Cloud. Na região R1, usando a chave de CA gdd_ca_R1, crie o Certificado gdd_cert Instruções: Criando um Certificado
Pacote de CAs	Crie um Bundle de CAs para upload nos Clusters de VMs do Autonomous Cloud. Na região R1, crie um Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados para o Certificado gdd_cert Instruções: Criando um Pacote de CAs

Distribuição de Dados Gerenciados pelo Usuário, Várias Regiões

Nesse caso de uso, os recursos de segurança são criados em todas as regiões em que um banco de dados será colocado.

Essa topologia pode resultar quando uma das seguintes opções, ou ambas, for verdadeira:

• Os bancos de dados de catálogo e shard principais são colocados em diferentes regiões

• Os bancos de dados dentro de um espaço de shard são colocados em diferentes regiões

Os recursos de segurança são criados em cada região, R1, ..., Rn, na qual um banco de dados será colocado.

Recurso	Instruções e Exemplos
Vaults	Crie um vault em cada região para as chaves de criptografia mestras da Autoridade de Certificação (CA). Na região R1, crie o vault gdd_vault_R1 Na região R2, crie o vault gdd_vault_R2 ... Na Rn da região, crie o vault gdd_vault_Rn Instruções: Criando um Vault
Vaults Virtuais Replicados	Crie vaults virtuais replicados para as chaves mestras de criptografia TDE (Transparent Data Encryption). Para cada banco de dados, catálogo ou shard, com uma região principal, Rp, que é diferente de sua região stand-by, Rs: Crie um vault virtual, gdd_vault_Rp_Rs, na região principal do banco de dados, Rp, que é replicada para a região stand-by do banco de dados, Rs. Replicando um Vault e Chaves
Chaves da Autoridade de Certificação	Na região R1, crie a chave gdd_ca_key_R1 no vault gdd_vault_R1 Na região R2, crie a chave gdd_ca_key_R2 no vault gdd_vault_R2 ... Na região Rn, crie a chave gdd_ca_key_Rn no vault gdd_vault_Rn Valores de atributo obrigatórios: Modo de Proteção = HSM Forma da Chave: Algoritmo = RSA Tamanho = 2048 Instruções: Criar uma Chave Mestra de Criptografia
Chaves TDE	Para cada banco de dados, catálogo ou shard, que não tenha banco de dados stand-by ou tenha uma região stand-by igual à sua região principal: Criar o catálogo gdd_TDE_key de chaves para o banco de dados do catálogo no vault da região em que o banco de dados do catálogo é colocado Crie a chave gdd_TDE_key-spaceN para um banco de dados de espaço de shard no vault da região em que o banco de dados do shard é colocado Para cada banco de dados, catálogo ou shard, com uma região principal diferente de sua região stand-by: Crie o catálogo de chaves gdd_TDE_key no vault virtual replicado na região em que o banco de dados principal do catálogo é colocado Crie a chave gdd_TDE_key-spaceN no vault virtual replicado na região em que o banco de dados principal do shard é colocado Valores de atributo obrigatórios: Modo de Proteção = Software Forma da Chave: Algoritmo = AES Tamanho = 256 Instruções: Criar uma Chave Mestra de Criptografia
Autoridades de Certificação	Crie uma Autoridade de Certificação (CA) em cada região para emitir certificados para Clusters de VMs Autônomas na Nuvem e instâncias de computação GSM. Na região R1, usando a chave gdd_ca_key_R1, crie a CA gdd_ca_R1 Na região R2, usando a chave gdd_ca_key_R2, crie a CA gdd_ca_R2 ... Na região Rn, usando a chave gdd_ca_key_Rn, crie a CA gdd_ca_Rn Você pode usar uma CA de terceiros para criar um certificado, mas deve importar o certificado emitido pela CA de 3ª Parte para o OCI Certificate Service. Instruções: Criando uma Autoridade de Certificação
Certificates	Crie Certificados em cada região para upload em Clusters de VMs Autônomas na Nuvem. Observação: você deve usar o mesmo nome comum para os certificados em todas as regiões. Na região R1, usando a CA gdd_ca_R1, crie o Certificado gdd_cert Na região R2, usando a CA gdd_ca_R2, crie o Certificado gdd_cert ... Na região Rn, usando a CA gdd_ca_Rn, crie o Certificado gdd_cert Instruções: Criando um Certificado
Pacotes de CAs	Crie os Pacotes de CAs para upload nos Clusters de VMs do Autonomous Cloud. Na região R1, crie o Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados para Certificados gdd_cert nas regiões R1, R2, ..., Rn Na região R2, crie o Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados para Certificados gdd_cert nas regiões R1, R2, ..., Rn ... Na região Rn, crie o Pacote de CAs gdd_cert_bundle contendo a cadeia de certificados dos Certificados gdd_cert nas regiões R1, R2, ..., Rn Instruções: Criando um Pacote de CAs

Tarefa 6. Criar Recursos do Exadata

Como administrador de infraestrutura, configure a topologia do Globally Distributed Autonomous AI Database nas etapas a seguir.

• Considerações sobre Recursos do Exadata
  
• Criar Instâncias do Exadata Infrastructure
  
• Importar Namespace de Tag Oracle-ApplicationName
  
• Criar Clusters de VMs Autônomas na Nuvem
  

Considerações sobre Recursos do Exadata

Mantenha o seguinte em mente:

• O serviço Globally Distributed Autonomous AI Database suporta apenas dois nós, quarter rack Exadata.
• Uma Infraestrutura Exadata é específica da região. Isso significa que cada região na qual você planeja colocar um catálogo ou banco de dados de shard exigirá um Exadata Infrastructure.
• Crie um Cluster de VMs Autônomas na Nuvem para cada catálogo e banco de dados de shard que você planeja implantar no Globally Distributed Autonomous AI Database.
• Os shards e os bancos de dados de catálogo podem ser colocados em um determinado Cluster de VMs Autônomas na Nuvem. No entanto, o uso de um Cluster de VMs Autônomas na Nuvem comum para banco de dados de catálogo e shard tem o potencial de causar um gargalo de processamento.

Criar Instâncias do Exadata Infrastructure

Crie recursos do Exadata Infrastructure no compartimento gdd/gdd_exadata.

Siga as instruções em Criar um Recurso de Infraestrutura Exadata.

Importar Namespace de Tag Oracle-ApplicationName

Importe o namespace de tag Oracle-ApplicationName no compartimento raiz da sua tenancy.

1. No menu de navegação da console do Cloud, selecione Governança e Administração e, em seguida, Namespaces de Tag (na categoria Gerenciamento de Tenancy).

2. No painel Namespaces de Tag, verifique se o namespace Oracle-ApplicationName existe no compartimento raiz da sua tenancy.

   Certifique-se de que o compartimento raiz da sua tenancy esteja selecionado em Escopo da Lista.

3. Se você não vir o Oracle-ApplicationName na lista, faça o seguinte:

   1. Clique em Importar Tags Padrão (localizado acima da lista).

   2. Marque a caixa de seleção ao lado do namespace Oracle-ApplicationName e clique em Importar.

Criar Clusters de VMs Autônomas na Nuvem

Crie um cluster para cada banco de dados na topologia Globally Distributed Database.

See Create an Autonomous Exadata VM Cluster for steps to create the clusters.

Ao criar os clusters, certifique-se de fazer o seguinte:

• É necessário definir a seguinte tag ao criar cada cluster:

  Oracle-ApplicationName.Other_Oracle_Application: Sharding

  Para poder adicionar a tag a um Cluster de VMs do Autonomous Exadata, importe o namespace da tag.

  Observação:

  Depois que você marcar um cluster para uso em um Banco de Dados Globalmente Distribuído, ele continuará cobrando pela SKU do Banco de Dados Globalmente Distribuído até que o cluster seja excluído.

• Crie clusters no compartimento gdd/gdd_clusters.

• Para a release 26ai: Se você planeja usar os bancos de dados da release 26ai, verifique a seção de pré-requisitos em Criar um Cluster de VMs do Autonomous Exadata para os requisitos de versão do software de banco de dados 26ai.

• Quando os clusters são configurados, precisam ser definidos para o mesmo fuso horário.

• É recomendável usar um cluster de VMs por banco de dados (shard ou catálogo).

Tarefa 7. Fazer Upload dos Certificados de Cluster de VMs Autônomas na Nuvem

Como administrador de certificados, você criou a autoridade de certificação, os certificados e o pacote de CAs no compartimento gdd/gdd_certs_vaults_keys. Agora você faz upload do Pacote de CAs para cada Cluster de VMs do Autonomous Exadata.

Importante:

• O bundle de CAs do qual você faz upload deve ser idêntico para todos os Clusters de VMs do Autonomous Exadata.

• O nome comum do certificado deve ser idêntico para todos os Clusters de VMs do Autonomous Exadata.

Para obter mais informações, consulte Gerenciar Certificados de Segurança para um Recurso do Cluster da VM Autonomous Exadata.

(Opcional) Criar Chave de API e Restrições de Usuário

Crie um par de chaves de API do OCI se você pretende usar diretamente a API REST Globally Distributed Database, os Kits de Desenvolvimento de Software do OCI e a Interface de Linha de Comando.

Siga as instruções em Chaves e OCIDs Obrigatórios.

Se quiser definir controles de usuário nas APIs, consulte Permissões para APIs do Autonomous AI Database Distribuídas Globalmente.