Configurando a Tenancy

Para poder usar os serviços de Banco de Dados Globalmente Distribuído da Oracle para criar e gerenciar um banco de dados distribuído, você deve executar essas tarefas preparatórias para organizar sua tenancy, criar políticas para os vários recursos e, em seguida, adquirir e configurar os recursos de rede, segurança e infraestrutura.

• Tarefa 1. Assine a Região de Ashburn

• Tarefa 2. Criar Compartimentos

• Tarefa 3. Criar Restrições de Acesso do Usuário

• Tarefa 4. Configurar Recursos de Rede

• Tarefa 5. Configurar Recursos de Segurança

• Tarefa 6. Criar Recursos do Exadata

• (Opcional) Criar Chave de API e Restrições de Usuário

Tarefa 1. Assine a Região de Ashburn

Como administrador do tenant, inscreva-se na região Ashburn (IAD) e em todas as regiões necessárias para executar sua implementação do Globally Distributed Exadata Database on Exascale Infrastructure.

1. Inscreva-se na região Ashburn (IAD).

   • Para usar o serviço, você deve se inscrever na região Ashburn.

   • A Região Home da sua tenancy não precisa ser a região Ashburn, mas você deve se inscrever na região Ashburn para usar os serviços de Banco de Dados Globalmente Distribuído da Oracle.

2. Inscreva-se em qualquer outra região em que você esteja colocando um banco de dados.

   • Inscreva-se em qualquer região em que você planeje colocar bancos de dados para sua implementação; isso inclui bancos de dados para o catálogo, shards e banco de dados stand-by opcional do Oracle Data Guard para o catálogo.

     Observação: O Globally Distributed Exadata Database on Exascale Infrastructure só suporta a criação de shards em duas regiões. Além disso, para obter o melhor desempenho, os bancos de dados distribuídos que usam replicação Raft devem ter shards na mesma região.

Para obter mais informações, consulte Gerenciando Regiões.

Tarefa 2. Criar Compartimentos

Como administrador do tenant, crie compartimentos em sua tenancy para todos os recursos exigidos pelo serviço Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

A Oracle recomenda a seguinte estrutura e esses compartimentos são referenciados em todas as tarefas de configuração:

• Um compartimento "pai" para toda a implantação. Este é o gdd nos exemplos.

• Compartimentos "Filhos" para cada um dos vários tipos de recursos:

  • gdd_certs_vaults_keys para autoridades de certificação, certificados, pacotes de certificados, vaults e chaves

  • gdd_databases para bancos de dados, clusters de VMs, VCNs, sub-redes, pontos finais privados e recursos do Globally Distributed Exadata Database on Exascale Infrastructure.

  • gdd_instances para instâncias de computação de servidores de aplicativos (nó de borda/host de salto para atuar como bastion para estabelecer conexão com o banco de dados)

A estrutura de compartimento resultante será semelhante à seguinte:

tenant /
     gdd /
          gdd_certs_vaults_keys
          gdd_databases
          gdd_instances

Para obter mais informações, consulte Como Trabalhar com Compartimentos.

Tarefa 3. Criar Restrições de Acesso do Usuário

Formule um plano de controle de acesso e, em seguida, institua-o criando recursos apropriados do IAM (Identity and Access Management). Assim, o controle de acesso dentro de um banco de dados distribuído é implementado em vários níveis, que são definidos pelos grupos e políticas aqui.

Os grupos de usuários, os grupos dinâmicos e as políticas descritos nas tabelas a seguir devem orientar a criação de seu próprio plano de controle de acesso de usuário para a implementação do banco de dados distribuído.

Como administrador do tenant, crie os seguintes grupos recomendados, grupos dinâmicos e políticas para conceder permissões às atribuições definidas anteriormente. Os exemplos e os links de documentação pressupõem que sua tenancy use domínios de identidade.

Noções Básicas Sobre Separação de Função

Você precisa garantir que seus usuários de nuvem tenham acesso para usar e criar somente os tipos apropriados de recursos de nuvem para executar suas tarefas de job. Uma prática recomendada é definir funções para fins de separação de funções.

As funções e responsabilidades descritas na tabela a seguir devem orientar sua compreensão de como definir grupos de usuários, grupos dinâmicos e políticas para sua implementação do Distributed ExaDB-XS. As funções de exemplo apresentadas aqui são usadas em toda a definição do ambiente, criação de recursos e instruções de gerenciamento.

Atribuições	Responsabilidades
Administrador de tenant	Inscrever-se em regiões Criar compartimentos Criar grupos dinâmicos, grupos de usuários e políticas
Administrador de infraestrutura	Criar/Atualizar/Excluir família de redes virtuais Criar/Atualizar/Excluir Exadata Infrastructure Criar/Atualizar/Excluir Clusters de VMs do Exadata Marcando com Tag Clusters da VM do Exadata Criar/Atualizar/Excluir Pontos Finais Privados do Banco de Dados Distribuído Globalmente
Administrador de certificados	Criar/Atualizar/Excluir Vault Criar/Atualizar/Excluir Chaves
Usuário	Criar e gerenciar Bancos de Dados Distribuídos Globalmente usando Interface do Usuário e APIs

Grupos Dinâmicos

Crie os grupos dinâmicos a seguir para controlar o acesso aos recursos criados nos compartimentos do Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Consulte Criando um Grupo Dinâmico para obter instruções.

Nome do Grupo Dinâmico	Descrição	Regras
gdd-cas-dg	Recursos da autoridade de certificação	Tudo resource.type='certificateauthority' resource.compartment.id = 'OCID da raiz/gdd/gdd_certs_vaults_keys do tenant do compartimento'
gdd-clusters-dg	Recursos de cluster de VMs do Exadata Database	Tudo resource.compartment.id = 'OCID da raiz do tenant do compartimento / gdd / gdd_databases'
gdd-instâncias-dg	Recursos da instância de computação	Tudo resource.compartment.id = 'OCID da raiz do tenant do compartimento / gdd / gdd_instances'

Grupos de Usuários

Crie os grupos a seguir para conceder aos usuários permissões para usar recursos nos compartimentos do Globally Distributed Database.

Consulte Criando um Grupo para obter instruções.

Nome do Gr. de Usuários	Descrição
gdd-certificate-admins	Administradores de certificados que criam e gerenciam chaves e vaults.
gdd-infraestrutura-administradores	Administradores de infraestrutura que criam e gerenciam recursos de rede e infraestrutura na nuvem
gdd-usuários	Usuários que criam e gerenciam recursos do Globally Distributed Database usando APIs e UI

Políticas

Crie políticas do serviço IAM para conceder aos grupos acesso a recursos criados nos compartimentos da tenancy do Oracle Globally Distributed Exadata Database on Exascale Infrastructure.

Observe que há mais de um serviço de Banco de Dados Globalmente Distribuído no Oracle Cloud. Essas políticas são específicas do serviço Globally Distributed Exadata Database on Exascale Infrastructure.

Os exemplos de políticas a seguir, que se baseiam na estrutura de compartimentos e nos grupos criados anteriormente, devem orientar a criação de suas próprias políticas do serviço IAM para sua implementação.

O domínio de identidades (por exemplo, Padrão) deve ser o domínio de identidades no qual você criou os grupos.

Consulte Criando uma Política para obter instruções.

gdd-certificate-admins-nível do tenant

• Descrição: Privilégios no nível do tenant para o grupo gdd-certificate-admins

• Compartimento: tenant

• Instruções:

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant-level

• Descrição: Privilégios no nível do tenant para o grupo gdd-infrastructure-admins

• Compartimento: tenant

• Instruções:

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd-usuários-nível do tenant

• Descrição: Privilégios no nível do tenant para o grupo gdd-users

• Compartimento: tenant

• Instruções:

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd-certificate-admins

• Descrição: Privilégios de nível de compartimento para o grupo gdd-certificate-admins

• Compartimento: tenant/gdd

• Instruções:

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd-infraestrutura-administradores

• Descrição: Privilégios de nível de compartimento para o grupo gdd-infrastructure-admins

• Compartimento: tenant/gdd

• Instruções:

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

gdd-usuários

• Descrição: Privilégios de nível de compartimento para o grupo gdd-users

• Compartimento: tenant/gdd

• Instruções:

  Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
  Allow service database to manage recovery-service-family in compartment gdd
  Allow service rcs to manage recovery-service-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
  Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

• Descrição: Privilégios de nível de compartimento para o grupo dinâmico gdd-cas-dg

• Compartimento: tenant/gdd

• Instruções:

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg-clusters

• Descrição: Privilégios de nível de compartimento para o grupo dinâmico gdd-clusters-dg

• Compartimento: tenant/gdd

• Instruções:

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-kms

• Descrição: Privilégios no nível do compartimento para o Key Management Service

• Compartimento: tenant/gdd

• Instruções:

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

Tarefa 4. Configurar Recursos de Rede

Como administrador de infraestrutura, crie os recursos de rede e ative a conectividade necessária ao banco de dados distribuído.

Exemplos de recursos são nomeados em todas essas instruções para simplificar o rastreamento e os relacionamentos. Por exemplo, o nome gdd_iad se refere à VCN criada na região Ashburn (IAD).

Recursos de Rede Comuns

Todas as implementações do Globally Distributed Exadata Database on Exascale Infrastructure (Distributed ExaDB-XS) exigem uma VCN, uma sub-rede e um ponto final privado na região Ashburn (IAD).

Como administrador de infraestrutura, crie os recursos conforme descrito aqui.

Rede Virtual na Nuvem (VCN) e sub-rede

Em Ashburn (IAD), crie a VCN gdd_iad e a sub-rede gdd_subnet.

Essa VCN e essa sub-rede são necessárias para permitir a conectividade entre o serviço ExaDB-XS Distribuído e os bancos de dados na topologia.

Use os seguintes valores:

• Compartimento = gdd/gdd_databases

• Região = Ashburn (IAD)

• Nome da sub-rede = gdd_subnet

• Tipo de Sub-rede = Regional

  A sub-rede deve ser regional, abrangendo todos os domínios de disponibilidade

Consulte VCNs e Sub-redes para ver as etapas para criá-las.

Ponto Final Privado

Crie um ponto final privado na região Ashburn (IAD) para ativar a conectividade entre o serviço ExaDB-XS Distribuído e os bancos de dados na topologia.

1. Abra o menu de navegação, selecione Oracle AI Database e Globally Distributed Exadata Database on Exascale Infrastructure.

2. Selecione Pontos Finais Privados no painel de navegação.

3. Selecione Criar ponto final privado.

4. Digite as seguintes informações.

   • Nome: Por exemplo, gdd_pe

   • Compartimento: gdd/gdd_databases

     Esse deve ser o compartimento que contém a sub-rede da região Ashburn criada acima.

   • Sub-rede: gdd_subnet

     Se você não vir a sub-rede listada, verifique se ela foi criada como uma sub-rede Regional.

   • Rede virtual na nuvem: gdd_iad

5. Adicionar tags (opcional): você pode selecionar tags para este recurso selecionando Mostrar Opções de Tag.

Consulte Criar e Gerenciar Pontos Finais Privados para obter mais informações sobre esse recurso.

Recursos de Rede Adicionais Baseados em sua Topologia

Dependendo da topologia do Oracle Globally Distributed Exadata Database on Exascale Infrastructure, crie recursos de rede adicionais, conforme descrito abaixo.

Observe que os bancos de dados da topologia incluem o catálogo, shards e banco de dados stand-by opcional do Oracle Data Guard para o catálogo.

Todos os recursos de rede devem ser criados no compartimento gdd/gdd_databases.

Todos os bancos de dados são colocados na região Ashburn (IAD)

Crie uma sub-rede e um gateway de serviço na região Ashburn (IAD) para seus Clusters de VMs do Cloud Exadata Database.

• Na região Ashburn (IAD), crie a sub-rede osd-databases-subnet-iad na VCN gdd_iad.

• Na região Ashburn (IAD), crie o gateway de serviço gdd_sgw_iad

Pareamento Obrigatório: Nenhum

Conectividade Necessária: Conectividade irrestrita com a sub-rede gdd_subnet

Todos os bancos de dados são colocados em uma única região, R1, que não é Ashburn (IAD)

Crie uma sub-rede e um gateway de serviço na região para seus Clusters de VMs do Cloud Exadata Database.

• Na região R1, crie a VCN gdd_R1 com a sub-rede osd-database-subnet-R1

• Na região R1, crie o gateway de serviço gdd_sgw_R1

Pareamento necessário: gdd_iad ↔ gdd_R1

Conectividade Necessária: Irrestrita entre gdd_iad.gdd_subnet e gdd_R1.osd-database-subnet-R1

Os bancos de dados são colocados em várias regiões R1, R2, …, RN

Crie sub-redes e gateways de serviço em cada região para seus Clusters de VMs do Cloud Exadata Database.

Sub-rede:

• Na região R1, crie a VCN gdd_R1 com a sub-rede osd-database-subnet-R1

• Na região R2, crie a VCN gdd_R2 com a sub-rede osd-database-subnet-R2

• …

• Na Rn da região, crie a VCN gdd_Rn com a sub-rede osd-database-subnet-Rn

Gateways de serviço:

• Na região R1, crie o Gateway de serviço gdd_sgw_R1

• Na região R2, crie o gateway de Serviço gdd_sgw_R2

• …

• Na região Rn, crie o Gateway de serviço gdd_sgw_Rn

Pareamento Obrigatório:

• gdd_iad ↔ gdd_R1

• gdd_iad ↔ gdd_R2

• gdd_iad ↔ gdd_Rn

• gdd_R1 ↔ gdd_R2

• gdd_R1 ↔ gdd_Rn

• gdd_R2 ↔ gdd_Rn

Conectividade Necessária: Irrestrita e bidirecional entre gdd_iad.gdd_subnet e:

• gdd_R1.osd-database-subnet-R1

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Irrestrito e bidirecional entre gdd_R1.osd-database-subnet-R1 e:

• gdd_R2.osd-database-subnet-R2

• gdd_Rn.osd-database-subnet-Rn

Irrestrito e bidirecional entre gdd_R2.osd-database-subnet-R2 e gdd_Rn.osd-database-subnet-Rn

Observação: O plano de controle de serviço do Oracle Globally Distributed Exadata Database on Exascale Infrastructure só existe na região Ashburn (IAD). O ponto final privado que você criou em uma etapa anterior na região Ashburn (IAD) é usado para se comunicar com os recursos do banco de dados distribuído em suas respectivas regiões.

As instruções para criar os recursos estão disponíveis em:

• VCNs e Sub-redes

• Criando um Gateway de Serviço

• Pareamento de VCNs em diferentes regiões por meio de um DRG

Tarefa 5. Configurar Recursos de Segurança

Todos os recursos de segurança são criados no compartimento gdd/gdd_certs_vaults_keys.

Cuidado: Depois de criar um banco de dados distribuído que faça referência a uma chave, você não poderá mover o vault ou as chaves para um novo compartimento sem também reiniciar os bancos de dados contêineres que fazem referência ao vault ou à chave movidos.

Criar um Vault

Crie um vault no compartimento gdd/gdd_certs_vaults_keys para as chaves de criptografia mestras de TDE (Transparent Data Encryption) na região em que os bancos de dados de shard residirão.

Por exemplo, na região R1, crie o vault gdd_vault_R1.

Para obter detalhes sobre como criar um vault, consulte Criando um Vault.

Criar uma Chave TDE

Crie a chave de criptografia principal para acessar o banco de dados.

Por exemplo, crie a chave de criptografia mestra gdd_TDE_key-oraspace no vault gdd_vault_R1 com os atributos a seguir.

• Modo de Proteção = Software

• Forma da Chave: Algoritmo = AES

• Tamanho = 256

Para obter detalhes sobre como criar chaves de criptografia principais, consulte Criar uma Chave de Criptografia Principal.

Tarefa 6. Criar Recursos do Exadata

Como administrador de infraestrutura, configure a topologia do Oracle Globally Distributed Exadata Database on Exascale Infrastructure nas etapas a seguir.

Importar Namespace de Tag Oracle-ApplicationName

Importe o namespace da tag Oracle-ApplicationName no compartimento raiz da sua tenancy.

1. No menu de navegação da console do Cloud, selecione Governança e Administração e, em seguida, Namespaces de Tag (na categoria Gerenciamento de Tenancy).

2. No painel Namespaces de Tag, verifique se o namespace Oracle-ApplicationName existe no compartimento raiz da sua tenancy.

   Certifique-se de que o compartimento raiz da sua tenancy esteja selecionado em Escopo da Lista.

3. Se você não vir Oracle-ApplicationName na lista, faça o seguinte:

   1. Selecione Importar Tags Padrão (localizado acima da lista).

   2. Marque a caixa de seleção ao lado do namespace Oracle-ApplicationName e selecione Importar.

Criar Clusters de VMs do Exadata na Infraestrutura do Exascale

Crie um cluster de VMs usando o serviço Exadata Database Service on Exascale Infrastructure para o banco de dados de catálogo, a base de dados de catálogo stand-by opcional do Data Guard e cada banco de dados de shard, você planeja implantar na topologia Distributed ExaDB-XS.

Ao criar os clusters de VMs, use os seguintes requisitos e recomendações:

• É recomendável usar um cluster de VMs por banco de dados (shard, catálogo, stand-by de catálogo).

  Um banco de dados de shard e um banco de dados de catálogo podem ser colocados em um determinado cluster de VMs. No entanto, o uso de um cluster de VMs comum para o catálogo e o shard tem o potencial de causar um gargalo de processamento.

• Crie clusters de nó único. Somente clusters de nós únicos são suportados.

• Compartimento: Crie os clusters de VMs no compartimento gdd/gdd_clusters da sua tenancy.

• ECPUs ativadas por VM: Ative 8 ECPUs para os clusters de VMs destinados a shards.

• Armazenamento de banco de dados: Você pode usar o mesmo vault para todos os clusters de VMs (catálogo e shards), desde que configure um mínimo de 500 GB em capacidade de armazenamento para cada banco de dados na topologia.

  Por exemplo, se você tiver 3 shards e 1 catálogo, o armazenamento mínimo total necessário será 500 GB x 4 = 2000 GB. Nesse caso, você cria um único vault com um mínimo de 2000 GB de capacidade de armazenamento.

• Fuso horário: Defina todos os clusters de VMs na topologia para o mesmo fuso horário. Esta configuração está em Opções avançadas.

• Tags: Adicione a tag definida Oracle-ApplicationName.Other_Oracle_Application: Sharding. Esta configuração está em Opções avançadas.

  Para poder adicionar a tag, importe o namespace da tag conforme descrito em Importar Namespace de Tag do Oracle-ApplicationName.

  Observação: Depois que você marcar um cluster de VMs para uso em um banco de dados distribuído, ele continuará cobrando por essa SKU até que o cluster de VMs seja excluído.

Consulte Gerenciar Clusters de VMs para obter etapas para criar os clusters.

(Opcional) Criar Chave de API e Restrições de Usuário

Crie um par de chaves de API do OCI se você pretende usar diretamente a API REST Globally Distributed Database, os Kits de Desenvolvimento de Software do OCI e a Interface de Linha de Comando.

Siga as instruções em Chaves e OCIDs Obrigatórios.

Se você quiser definir controles de usuário nas APIs, consulte Permissões para APIs de Banco de Dados Distribuído Globalmente.