Criar recursos do Oracle Cloud

Aprenda a criar um compartimento, uma VCN, uma sub-rede, usuários e grupos de usuários antes de começar a usar o Oracle Cloud Infrastructure GoldenGate.

Crie um compartimento

Os compartimentos permitem organizar e controlar o acesso aos recursos da nuvem. É um contêiner lógico que você pode usar para agrupar recursos de nuvem relacionados e permitir que grupos de usuários específicos acessem.

Quando você se inscreve no Oracle Cloud Infrastructure, o sistema Oracle cria sua tenancy, que é o compartimento-raiz que contém todos os seus recursos de nuvem. Você então cria compartimentos adicionais na tenancy e as políticas correspondentes para controlar o acesso aos recursos em cada compartimento.

Para criar um compartimento:

1. Abra o menu da navegação de console do Oracle Cloud e selecione Identidade & Segurança.

2. Em Identidade, selecione Compartimentos. É exibida uma lista dos compartimentos aos quais você tem acesso.

3. Navegue até o compartimento no qual você deseja criar o novo compartimento.

   • Para criar o compartimento na tenancy (compartimento-raiz), selecione Criar Compartimento.

   • Para criar o compartimento em um compartimento diferente da tenancy (compartimento-raiz), selecione através da hierarquia de compartimentos até chegar à página de detalhes do compartimento no qual você deseja criar o compartimento. Na página Detalhes do Compartimento, selecione Criar Compartimento.

4. Na caixa de diálogo Criar Compartimento, preencha os campos da seguinte forma:

   1. Para Nome, informe um nome exclusivo para o compartimento, no máximo 100 caracteres (inclui letras, números, pontos, hifens e sublinhados). O nome deve ser exclusivo entre todos os compartimentos da tenancy. Evite digitar informações confidenciais.

   2. Para Descrição, informe uma descrição que ajude a distinguir o compartimento de outros.

   3. Para Compartimento Pai, verifique se este é o compartimento no qual você deseja criar seu compartimento. Para escolher outro compartimento, selecione um na lista drop-down.

   4. (Opcional) Para Namespace de Tags, você pode adicionar uma tag de formato livre para ajudar a procurar seus recursos na console do Oracle Cloud. Selecione + Outra Tag para adicionar mais tags.

   5. Selecione Criar Compartimento.

O compartimento aparece na lista Compartimentos após sua criação. Agora você pode criar políticas e adicionar recursos ao seu compartimento.

Criar uma Rede Virtual na Nuvem e uma sub-rede

Uma rede virtual na nuvem (VCN) é uma rede que você configura nos data centers do Oracle Cloud Infrastructure em determinada região. Uma sub-rede é uma subdivisão de uma VCN.

O OCI GoldenGate requer uma VCN e pelo menos uma sub-rede privada com um Gateway NAT. Uma tabela de roteamento com uma regra de roteamento que redireciona o tráfego para o Gateway NAT da sub-rede privada deve estar disponível. Se você quiser ativar a conectividade usando um ponto final público, uma sub-rede pública também será necessária e a VCN deverá incluir um Gateway de Internet. Uma tabela de roteamento com uma regra de roteamento que redireciona o tráfego para o Gateway de Internet da sub-rede pública deve estar disponível.

Para criar uma VCN e uma sub-rede:

1. Abra o Menu de Navegação da Console do Oracle Cloud, selecione Rede e, em seguida, selecione Redes virtuais na nuvem.

2. Na página Redes Virtuais na Nuvem, confirme a seleção de compartimento ou selecione outro compartimento.

3. No menu Ações, selecione Iniciar Assistente de VCN.

4. No painel Iniciar Assistente da VCN, selecione Criar VCN com Conectividade com a Internet e selecione Iniciar Assistente da VCN.

5. Na página Configuração, em Informações Básicas, informe um nome de VCN.

6. Para Compartimento, selecione o compartimento no qual criar essa VCN.

7. Selecione Próximo.

8. Na página Revisar e Criar, verifique os detalhes da configuração e selecione Criar.

Selecione Exibir Detalhes da VCN para verificar se uma sub-rede Pública e Privada foram criadas.

Criar usuários

Crie usuários para adicionar a grupos que possam acessar seus recursos do OCI GoldenGate.

Antes de criar usuários, entenda que:

• O gerenciamento de usuários da implantação do OCI GoldenGate depende se sua tenancy usa o OCI IAM com Domínios de Identidade ou não. Consulte Gerenciar usuários de implantação.

• Os nomes de usuário devem ser exclusivos entre todos os usuários da tenancy

• Os nomes de usuário não podem ser alterados

• Os usuários não têm permissões até que sejam colocados em um grupo

Para criar usuários:

1. Abra o menu de navegação da console do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, selecione Domínios.

2. Na página Domínios, confirme a seleção de Compartimento ou altere para outro compartimento.

3. Na lista Domínios, selecione Padrão para acessar o domínio padrão ou selecione Criar Domínio para criar um novo.

4. Selecione o domínio na lista.

5. Na página de detalhes Domínios, selecione Gerenciamento de usuários.

6. Na página Usuários, selecione Criar usuário.

7. Na página Criar usuário, preencha os campos da seguinte forma:

   1. Informe o Nome, o Sobrenome e o Endereço de e-mail do usuário, que também podem ser usados como o Nome do Usuário.

      Observação: O nome deve ser exclusivo em todos os usuários da tenancy. Você não pode alterar esse valor posteriormente. O nome do usuário não pode conter espaços e só pode consistir em letras latinas básicas (ASCII), números, hifens, pontos, sublinhados, + e @.

   2. Para Grupos, selecione os grupos aos quais o usuário será atribuído.

8. Selecione Criar.

Em seguida, você pode adicionar o usuário a um grupo e criar políticas que concedam ao grupo acesso a recursos. Para obter informações sobre usuários, consulte Gerenciando usuários.

Criar grupos

Grupo é uma coleção de usuários que exigem o mesmo tipo de acesso a um conjunto de recursos ou compartimentos.

Antes de criar um grupo, entenda que:

• O nome do grupo deve ser exclusivo na tenancy.

• O nome do grupo não pode ser alterado depois de criado.

• Um grupo não tem permissões a menos que você escreva pelo menos uma permissão que dê ao grupo permissão para uma tenancy ou um compartimento.

Para criar um grupo:

1. Abra o menu de navegação da console do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, selecione Domínios.

2. Na página Domínios, confirme a seleção de Compartimento ou altere o compartimento.

3. Selecione um domínio na lista.

4. Na página de detalhes Domínio, selecione Gerenciamento de usuários.

5. Em Grupos, selecione Criar Grupo.

6. Na página Criar grupo:

   1. Para Nome, informe um nome exclusivo para o grupo.

      Observação: Depois que o grupo for criado, você não poderá alterar o nome. O nome do grupo deve ser exclusivo na tenancy. O nome do grupo pode ter de 1 a 100 caracteres alfanuméricos, em letras maiúsculas ou minúsculas e pode conter pontos, traços, hifens, mas sem espaços

   2. Para a Descrição, informe uma descrição amigável.

7. Selecione se um Usuário pode solicitar acesso a este grupo.

8. Na lista Usuários, selecione os usuários a serem atribuídos a este grupo.

9. Selecione Criar.

Um grupo não terá permissões até que você grave uma política que dê ao grupo permissão para um compartimento ou tenancy. Para obter informações sobre grupos, consulte Gerenciando grupos.

Criar políticas

As políticas definem quais ações os membros de um grupo podem executar e em quais compartimentos.

Use a console do Oracle Cloud para criar políticas. No menu de navegação da console do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, selecione Políticas. As políticas são escritas na seguinte sintaxe:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

As definições de parâmetro são as seguintes:

• <identity-domain>: (Opcional) Se estiver usando o OCI IAM para gerenciamento de identidades, inclua o domínio de identidades do grupo de usuários. Se for omitido, o OCI usará o domínio padrão.

• <group-name>: O nome do grupo de usuários ao qual você está concedendo permissões.

• <verb>: Dá ao grupo um determinado nível de acesso a um resource-type. À medida que os verbos vão de inspect a read a use a manage, o nível de acesso aumenta e as permissões concedidas são cumulativas.

  Saiba mais sobre a relação entre permissões e verbos.

• <resource-type>: O tipo de recurso com o qual você está dando a um grupo permissão para trabalhar. Há recursos individuais, como goldengate-deployments, goldengate-pipelines e goldengate-connections, e há famílias de recursos, como goldengate-family, que inclui os recursos individuais mencionados anteriormente.

  Para obter mais informações, consulte resource-types.

• <location>: Anexa a política a um compartimento ou tenancy. Você pode especificar um único compartimento ou caminho de compartimento por nome ou OCID ou especificar tenancy para abranger toda a tenancy.

• <condition>: Opcional. Uma ou mais condições às quais essa política será aplicada.

Saiba mais sobre sintaxe da política.

Como criar uma política

Para criar uma política:

1. No menu de navegação do Oracle Cloud, selecione Identidade e Segurança e, em Identificar, selecione Políticas.

2. Na página Políticas, selecione Criar Política.

3. Na página Criar Política, informe um nome e uma descrição para a política.

4. Selecione o Compartimento no qual criar esta política.

5. Na seção Criador de Política, você pode

   • Selecione GoldenGate Service no menu suspenso Caso de uso da política e um modelo de política comum, como Políticas obrigatórias para permitir que os usuários gerenciem recursos do GoldenGate.

   • Selecione Mostrar editor manual para informar uma regra de política no seguinte formato:

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     As condições são opcionais. Consulte Detalhes das Combinações de Verbos e Resource-Type.

   Dica: Consulte Políticas mínimas recomendadas para obter mais informações.

6. Selecione Criar.

Para obter mais informações sobre políticas, consulte como as políticas funcionam, sintaxe de políticas e referência de políticas.

Políticas mínimas recomendadas

Dica:

Para usar um modelo de política comum para adicionar todas as políticas necessárias:

1. Para Casos de uso da política, selecione GoldenGate Service no menu suspenso.

2. Para Modelos de uso comum, selecione Políticas obrigatórias para permitir que os usuários gerenciem recursos do GoldenGate na lista drop-down.

No mínimo, você precisa de políticas para:

• Permita que os usuários usem ou gerenciem recursos GoldenGate, para que possam trabalhar com implantações e conexões. Por exemplo:

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• Permita que os usuários gerenciem recursos da rede, para que eles possam exibir e selecionar compartimentos e sub-redes, além de criar e excluir pontos finais privados durante a criação de recursos do GoldenGate. Por exemplo:

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  Observação:

  • Ao criar uma implantação ou uma conexão usando um ponto final dedicado, um ou mais IPs são alocados na sub-rede selecionada. Você deve fornecer os privilégios de acesso à rede necessários na sub-rede e na implantação ou no compartimento da conexão para permitir que o serviço crie os recursos de rede.

  • Da mesma forma, os privilégios de acesso de rede apropriados são necessários ao excluir uma implantação ou conexão usando um ponto final dedicado para permitir que o serviço exclua os recursos de rede.

  Se preferir, você poderá proteger ainda mais os recursos de rede usando uma combinação de políticas granulares. Consulte Exemplos de Política para Proteger Recursos de Rede.

• Crie um Grupo Dinâmico para conceder permissões a recursos com base em regras definidas, permitindo que suas implantações e/ou pipelines do GoldenGate acessem recursos em sua tenancy. Substitua <dynamic-group-name> pelo nome de sua escolha. Você pode criar quantos grupos dinâmicos precisar, por exemplo, para controlar permissões em implantações em diferentes compartimentos ou tenancies.

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  Dica: As políticas a seguir nesta lista se referem à <dynamic-group-name>. Se você criar mais de um grupo dinâmico, certifique-se de consultar o nome correto do grupo dinâmico ao adicionar qualquer uma das políticas a seguir.

• Se estiver usando conexões com segredos de senha, a implantação que você está designando à conexão deverá ser capaz de acessar os segredos de senha da conexão. Certifique-se de adicionar a política ao seu compartimento ou tenancy:

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• Permita que os usuários leiam o usuário e grupo do IAM (Identity and Access Management) para validações em tenancies ativadas pelo IAM:

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• Acessar chaves de criptografia gerenciadas pelo cliente e segredos de senha no Oracle Vault. Por exemplo:

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

Se você planeja usar os seguintes recursos, poderá precisar também adicionar políticas para:

• Bancos de Dados Oracle AI, para seus bancos de Dados de origem e/ou de destino. Por exemplo:

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage, para armazenar backups manuais e programados do OCI GoldenGate. Por exemplo:

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI Logging para acessar grupos de logs. Por exemplo:

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• Balanceador de Carga, se você ativar o acesso público à console de implantação:

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• Solicitações de serviço:

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• ZPR (Zero Trust Packet Routing). Obrigatório somente Se você tiver adicionado atributos de segurança à sua VCN e/ou Balanceador de Carga para controlar o acesso para suas conexões e implantações públicas, adicione as seguintes políticas para permitir o tráfego da internet pública para o balanceador de carga e o fluxo de tráfego entre o balanceador de carga e os pontos finais privados:

  • Se atributos de segurança tiverem sido adicionados para a VCN e o balanceador de carga:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • Se atributos de segurança tiverem sido adicionados somente para a VCN, e não para o balanceador de carga, e o balanceador de carga estiver em uma sub-rede pública com CIDR 10.0.1.0/24:

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    Observação: para outros recursos, como conexões dedicadas e implantações privadas, os atributos de segurança são adicionados ao ponto final privado criado. Como os balanceadores de carga não são criados por padrão com implantações privadas, os exemplos de ZPR acima não se aplicam. Você pode precisar de uma política de ZPR, pois o ZPR protege o ponto final privado nesse caso. A política exata depende do seu caso de uso.

  Saiba mais sobre a sintaxe da Política ZPR.

A instrução a seguir fornece uma permissão de grupo para gerenciar namespaces de tag e tags para espaços de trabalho:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

Para adicionar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para saber mais sobre tags, consulte Tags de Recursos.