Documentação do Oracle Cloud Infrastructure

Clonagem entre Tenancies e entre Regiões

Você pode clonar uma instância do Autonomous AI Database de uma tenancy, tenancy de origem, para outra tenancy (tenancy de destino).

Tópico principal: Clonar, Mover ou Fazer Upgrade de uma Instância do Autonomous AI Database

Sobre a Clonagem entre Tenancies

Ao criar um clone entre tenancies, você pode selecionar que o clone seja criado na mesma região que a tenancy de origem ou em uma região diferente da tenancy de origem (entre regiões).

Observação

A opção de clonagem entre tenancies só está disponível usando a CLI ou as APIs REST do Autonomous AI Database. Esta opção não está disponível usando a Console do Oracle Cloud Infrastructure.

Observe o seguinte para clonagem entre tenancies:

  • Todos os tipos de clone são suportados: o banco de dados clonado pode ser um clone Completo, um clone de Metadados ou um clone Atualizável.

  • Um clone pode ser criado com base em uma instância do Autonomous AI Database de origem ou em um backup (usando o backup mais recente, um backup especificado ou selecionando um backup de longo prazo).

  • A instância do Autonomous AI Database de origem pode usar o modelo de computação ECPU ou OCPU. Dependendo do seu tipo de carga de trabalho, você pode clonar de uma origem que use o modelo de computação OCPU para um clone que use o modelo de computação ECPU (isso é permitido para os tipos de carga de trabalho Data Warehouse e Processamento de Transações).

  • O banco de dados clonado pode estar na mesma região ou em outra (entre regiões).

  • Por padrão, um clone entre tenancies herda o método de criptografia do banco de dados de origem, sejam chaves de criptografia gerenciadas pela Oracle ou chaves de criptografia gerenciadas pelo cliente.

  • Quando o banco de dados de origem usa chaves de criptografia gerenciadas pelo cliente, você tem várias opções para as chaves de criptografia em um banco de dados clonado. Consulte Opções de Chave de Criptografia de Clonagem entre Tenancies para obter mais informações.

Pré-requisitos para Clonagem entre Tenancies

Descreve os pré-requisitos para criar um clone entre tenancies em que o banco de dados de origem está em uma tenancy e o banco de dados clonado está em outra tenancy.

Execute os comandos para criar um clone entre tenancies na tenancy de destino. Antes de criar um clone entre tenancies, você precisa definir grupos e políticas do OCI Identity and Access Management na tenancy de origem, na tenancy que contém a instância que você está clonando e na tenancy de destino. Os grupos e as políticas definidos permitem que você execute comandos para criar o clone na tenancy de destino e permitir que a tenancy de destino entre em contato com a tenancy de origem na qual reside a instância do Autonomous AI Database de origem.

Os grupos e as políticas do OCI Identity and Access Management que você adiciona suportam o seguinte:

  • Um membro de um grupo na tenancy de origem permite que um grupo na tenancy de destino acesse (leia) a instância do Autonomous AI Database de origem na tenancy de origem.

    Não é necessário permitir outras ações na instância do Autonomous AI Database de origem (por exemplo, iniciar, interromper o encerramento ou qualquer operação de gravação).

  • Um membro de um grupo na tenancy de destino tem permissão para criar um clone na tenancy de destino usando a instância do Autonomous AI Database na tenancy de origem como a origem do clone.

    Na tenancy de destino, você também adiciona uma política que permite a um grupo gerenciar a instância do Autonomous AI Database na tenancy de origem. Por exemplo, essa política permite que o grupo crie o banco de dados de clone e permite que um clone atualizável execute comandos que entrem em contato com a tenancy de origem, como Atualizar e Desconectar.

Para criar um clone entre tenancies, use o OCI Identity and Access Management para criar os grupos necessários e definir as políticas que autorizam a clonagem entre tenancies:

  1. Crie um grupo na tenancy de destino que contenha o usuário que terá permissão para criar um clone.
    1. Na tenancy de destino, na Console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade, clique em Domínios e selecione um domínio de identidades (ou crie um novo domínio de identidades).
    3. Em domínio de identidades, clique em Grupos.
    4. Para adicionar um grupo, clique em Criar grupo.
    5. Na página Criar grupo, informe um Nome e uma Descrição.

      Por exemplo, informe o Nome: DestinationGroup.

    6. Na página Criar grupo, clique em Criar.
    7. Clique em Criar para salvar o grupo.
    8. Na página Grupo, clique em Designar usuário a grupos e selecione os usuários que deseja adicionar ao grupo.
    9. Clique em Adicionar.
    10. Na página Grupo, na guia Informações do grupo, copie o OCID para uso na Etapa 2.
  2. Na tenancy de origem, defina as políticas do OCI Identity and Access Management para a instância do Autonomous AI Database de origem.
    1. Na tenancy de origem, na Console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade, clique em Políticas.
    3. Para gravar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas para que o grupo na tenancy de destino tenha permissão para criar um clone usando uma instância do Autonomous AI Database na tenancy de origem como origem do clone.

      Por exemplo, defina as seguintes políticas genéricas:

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..unique_ID
define group DestinationGroup as ocid1.group.region1..unique_ID
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family
       in compartment ocid1.compartment.region1..unique_ID 
       where target.id = 'oc1.autonomousdatabase.oc1..unique_ID'

      Essa política especifica o seguinte:

      • Linha 1: o OCID é o OCID da tenancy de destino. Esta é a tenancy em que você criará o clone.

      • Linha 2: o OCID é o OCID do grupo ao qual o usuário que criará o clone pertence. Este é o OCID que você criou na Etapa 1.

      • Linha 3: O primeiro OCID é o OCID do compartimento no qual reside o banco de dados de origem. O segundo OCID, após a cláusula where, é o OCID da instância do Autonomous AI Database de origem.

      Observação

      A cláusula where é opcional e fornece uma maneira mais detalhada de conceder acesso a um banco de dados específico.

      Por exemplo, defina estas políticas na tenancy de origem para permitir a clonagem entre tenancies:

      define tenancy DestinationTenancy as ocid1.tenancy.oc1..aaa_example_rcyx2a
define group DestinationGroup as ocid1.group.oc1..aaa_example_6vctn6xsaq
admit group DestinationGroup of tenancy DestinationTenancy to read autonomous-database-family in compartment 
   ocid1.compartment.region1..bbb_example_rcyx2b where target.id = 'oc1.autonomousdatabase.oc1.aaaabbbbcccc'

      Esta política especifica que um usuário no DestinationGroup do DestinationTenancy pode ler em uma instância específica do Autonomous AI Database no compartimento especificado (na tenancy de origem). Para criar um clone entre tenancies, a política só precisa permitir a leitura na instância do Autonomous AI Database de origem.

    7. Clique em Criar para salvar a política.
  3. Defina políticas na tenancy de destino.
    1. Na tenancy de destino, na Console do Oracle Cloud Infrastructure, clique em Identidade e Segurança.
    2. Em Identidade, clique em Políticas.
    3. Para gravar uma política, clique em Criar Política.
    4. Na página Criar Política, informe um Nome e uma Descrição.
    5. Na página Criar Política, selecione Mostrar editor manual.
    6. No construtor de políticas, adicione políticas para que um grupo seja endossado para gerenciar Autonomous AI Databases na tenancy de origem.

      Por exemplo:

      Define tenancy SourceTenancy as ocid1.tenancy.oc1..unique_ID
Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      Essa política especifica o seguinte:

      • Linha 1: O OCID é o OCID da tenancy de origem. Esta é a tenancy em que reside a instância do Autonomous AI Database de origem.

      • Linha 2: Especifica que o grupo DestinationGroup pode gerenciar Autonomous AI Databases na tenancy de origem.

    Observações para definir políticas na tenancy de destino:

    • Para a seguinte política:

      Endorse group DestinationGroup to manage autonomous-database-family in tenancy SourceTenancy

      Esta política permite que o grupo DestinationGroup crie Autonomous Databases e clones do Autonomous Database na tenancy de origem. Você pode limitar as permissões de clonagem para que o grupo só possa clonar Autonomous Databases, mas não possa criar Autonomous Databases ou limitar ainda mais a permissão para criar apenas um tipo específico de clone: Clone Completo, Clone de Metadados ou Clone Atualizável. Consulte Permissões do IAM e Operações de API para o Autonomous AI Database para obter mais informações e exemplos.

    • Se essas políticas forem revogadas, a clonagem entre tenancies não será mais permitida.

Consulte Conceitos Básicos sobre Políticas para obter mais informações.

Criar uma Tenancy Cruzada ou Clone entre Regiões

Mostra as etapas para criar um clone entre tenancies quando o banco de dados de origem e o banco de dados clonado estiverem na mesma região ou quando o banco de dados de origem e o banco de dados clonado estiverem em diferentes regiões (entre regiões).

Não há suporte para a clonagem entre regiões na camada gratuita ou para instâncias do Autonomous Database for Developers.

Essas etapas abrangem a criação de um clone Completo ou de um clone de Metadados. Consulte Criar uma Tenancy Cruzada ou um Clone Atualizável entre Regiões para obter detalhes sobre a criação de um clone atualizável entre tenancies.

Observação

A opção de clonagem entre tenancies só está disponível usando a CLI ou as APIs REST do Autonomous AI Database. Esta opção não está disponível usando a Console do Oracle Cloud Infrastructure.

Para criar um clone entre tenancies:

  1. Execute as etapas de pré-requisito para definir as políticas do OCI Identity and Access Management para autorizar a clonagem entre tenancies.

    Consulte Pré-requisitos para Clonagem entre Tenancies para obter detalhes.

  2. Na tenancy em que você deseja criar o clone, na tenancy de destino na região de destino, use a CLI ou chame a API REST com um tipo de clone FULL ou METADATA válido e forneça o OCID do banco de dados de origem, em que o banco de dados de origem reside em outra tenancy (a tenancy de origem).

    Por exemplo, com a CLI:

    oci db autonomous-database create-from-clone 
      --clone-type metadata 
      --compartment-id ocid1.tenancy.oc1..unique_ID 
      --source-id ocid1.autonomousdatabase.oc1.iad.unique_ID
      --db-name dbnameclone 
      --admin-password password 
      --data-storage-size-in-tbs 1
      --compute-model ECPU 
      --compute-count 4

    Consulte create-from-clone para obter mais informações.

    Use a API CreateAutonomousDatabase para criar um clone entre tenancies.

    Consulte o seguinte para obter informações adicionais sobre a API REST:

Criar um Clone entre Tenancies com base em um Backup

Mostra as etapas para criar um clone entre tenancies com base em um backup.

Essas etapas abrangem a criação de um clone Completo ou de um clone de Metadados. Consulte Criar uma Tenancy Cruzada ou um Clone Atualizável entre Regiões para obter detalhes sobre a criação de um clone atualizável entre tenancies.

Observação

A opção de clonagem entre tenancies só está disponível usando a CLI ou as APIs REST do Autonomous AI Database. Esta opção não está disponível usando a Console do Oracle Cloud Infrastructure.

Para criar um clone entre tenancies com base em um backup:

  1. Execute as etapas de pré-requisito para definir as políticas do OCI Identity and Access Management para autorizar a clonagem entre tenancies.

    Consulte Pré-requisitos para Clonagem entre Tenancies para obter detalhes.

  2. Na tenancy em que você deseja criar o clone, na tenancy de destino na região de destino, use a CLI ou chame a API REST com um tipo de clone FULL ou METADATA válido e forneça o OCID do backup (na tenancy de origem), em que o banco de dados de origem reside em outra tenancy (a tenancy de origem).
    Observação

    Consulte Criar uma Tenancy Cruzada ou um Clone Atualizável entre Regiões para criar um clone atualizável entre tenancies.

    Por exemplo, com a CLI:

    oci db autonomous-database create-from-backup-timestamp 
     --autonomous-database-id ocid1.autonomousdatabase.oc1.iad.anuw_example
     --clone-type full 
     --compartment-id ocid1.tenancy.oc1..fcue4_example
     --admin-password password 
     --compute-model ECPU 
     --compute-count 2 
     --db-name ExampleTest1
     --timestamp 2023-12-15T19:30:00Z 
     --data-storage-size-in-tbs 1

    Consulte create-from-backup-timestamp e create-from-backup-id para obter mais informações.

    Use a API CreateAutonomousDatabase para criar um clone entre tenancies por meio da clonagem de um backup de um Autonomous Database existente.

    Consulte o seguinte para obter informações sobre a API REST:

Opções de Chave de Criptografia de Clonagem entre Tenancies

O Autonomous AI Database fornece várias opções para o tipo e a localização das chaves de criptografia de um clone entre tenancies.

A opção de clonagem entre tenancies só está disponível usando a CLI ou as APIs REST do Autonomous AI Database. Esta opção não está disponível usando a Console do Oracle Cloud Infrastructure.

Observação

Por padrão, um clone entre tenancies herda o método de chave de criptografia da origem, sejam chaves de criptografia gerenciadas pela Oracle ou chaves de criptografia gerenciadas pelo cliente. Para criar um clone entre tenancies que use chaves de criptografia gerenciadas pelo cliente, você deve incluir explicitamente os detalhes da chave de criptografia gerenciada pelo cliente no comando da CLI do OCI ao criar o clone entre tenancies.

Quando o banco de dados de origem usa chaves de criptografia gerenciadas pelo cliente, você tem as seguintes opções para especificar o tipo e a localização da chave de criptografia ao criar um clone entre tenancies:

Clonar Chave de Criptografia Descrição

Usar a Mesma Chave da Origem

Se quiser que o clone entre tenancies use a mesma chave de criptografia gerenciada pelo cliente, ou seja, a chave do OCI Vault no banco de dados de origem, crie o grupo dinâmico e políticas do Oracle Cloud Infrastructure Identity and Access Management necessários para que o clone possa acessar a chave de criptografia da tenancy de origem e a chave de criptografia deve estar na mesma região que o clone entre tenancies. Consulte Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Serviço Vault em Tenancy Diferente do Banco de Dados para obter mais informações.

Usar Chave Diferente com o Vault na mesma Tenancy que Clone

Se você quiser usar outra chave de criptografia gerenciada pelo cliente no clone entre tenancies, em que a chave de criptografia do clone entre tenancies esteja em um Vault do OCI no clone na tenancy, você deve criar o grupo dinâmico e as políticas necessárias do Oracle Cloud Infrastructure Identity and Access Management para que o clone possa acessar a chave de criptografia e a chave de criptografia deve estar na mesma região que o clone. Consulte Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Serviço Vault na Mesma Tenancy do Banco de Dados para obter mais informações.

Usar Outra Chave com o Vault na Terceira Tenancy

Se você quiser usar outra chave de criptografia gerenciada pelo cliente, em que a chave de criptografia reside em um Vault do OCI em uma terceira tenancy que não seja a tenancy do banco de dados de origem ou a tenancy do banco de dados clonado, você deve criar o grupo dinâmico e as políticas necessárias do Oracle Cloud Infrastructure Identity and Access Management para que o clone possa acessar o OCI Vault na tenancy remota e o OCI Vault deve estar na mesma região do clone. Consulte Criar Grupo Dinâmico e Políticas para Chaves Gerenciadas pelo Cliente com o Serviço Vault em Tenancy Diferente do Banco de Dados para obter mais informações.

Usar chave gerenciada pela Oracle

Se você quiser usar chaves gerenciadas pela Oracle no clone remoto, enquanto o banco de dados de origem usa chaves de criptografia gerenciadas pelo cliente, essa opção também será suportada.

Quando um banco de dados clonado usa chaves de criptografia gerenciadas pelo cliente de uma tenancy remota:

  • Se o grupo dinâmico e as políticas forem definidos, a página de detalhes do Autonomous AI Database na Console do Oracle Cloud Infrastructure mostrará o nome da chave de criptografia e o OCID da chave.

  • Se o grupo dinâmico e as políticas estiverem ausentes (ou não forem válidas) ou o usuário do IAM na tenancy do clone não tiver privilégios suficientes para exibir os detalhes da chave remota, a página de detalhes do Autonomous AI Database mostrará Chave de criptografia como Chave gerenciada pelo cliente.

Observação

Não há suporte para a criação de um clone atualizável entre tenancies com chave gerenciada pelo cliente.