为概念验证 (Proof of Concept，POC) 配置自治 AI 数据库

此用例演示如何在专用 Exadata 基础结构上快速配置自治 AI 数据库资源，以开发概念验证 (POC) 应用程序。

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 是一个高度自动化、完全托管的数据库环境，在 Oracle Cloud Infrastructure (OCI) 中运行，具有承诺的硬件和软件资源。这些隔离资源可帮助企业满足严格的安全性、可用性和性能要求，同时降低成本和复杂性。

如果您希望快速创建自治 AI 数据库 POC 环境，请继续阅读。

提示：有关设置单独的开发和生产自治 AI 数据库环境的全面建议配置，请参见 Configure Autonomous AI Database with Reference Architecture 。

先决条件知识

要充分了解和理解此用例，您应该对基于专用 Exadata 基础结构的自治 AI 数据库有基本了解，包括其部署选项、关键基础结构组件、用户角色和主要功能。有关更多详细信息，请参阅关于专用 Exadata 基础结构上的自治 AI 数据库。

用例

Acme 公司正在考虑在其内部项目应用中使用 Dedicated Exadata Infrastructure 上的 Autonomous AI Database。在最终确定之前，Acme I.T. 决定使用基于专用 Exadata 基础结构的自治 AI 数据库开发名为 PocApp 的概念验证 (POC) 应用程序，以帮助他们评估服务功能。

Acme I.T. 部门将承担组管理员的角色，负责为公司创建和管理 Exadata 基础结构 (EI) 和自治 Exadata VM 集群 (AVMC) 资源。它还承担应用程序 DBA 角色，为数据库用户创建自治容器数据库 (Autonomous Container Database，ACD) 和自治 AI 数据库。

注：此示例说明组管理员如何创建和管理自治容器数据库和自治 AI 数据库资源。但是，您的组织可能更希望应用程序 DBA 执行此任务。

所需资源

OCI IAM 组件

插图 adbd-poc-iamcomps.png 的说明

• 一个名为 AcmeComp 的区间用于放置资源。

• 一个名为 AcmeGroup 的组，可以向其分配用户。

  注：添加到此组的任何用户都可以作为组管理员、应用程序 DBA 或开发人员执行操作。

• 一个名为 AcmeCompPolicy 的策略用于指定用户对区间和租户级别资源的访问权限。

网络资源

插图 configure-adbd-poc-network.png 的说明

表示安全列表。

• Oracle Public Cloud 部署：

  • 一个 VCN，用于提供与所有专用基础设施资源的网络连接。此 VCN 将使用 IPSec VPN 连接到 Acme Company VPN，并且具有可阻止所有传入互联网流量的互联网网关资源。它将命名为 AcmeVCN 。

  • 两个子网用于提供网络访问隔离，一个用于自治 AI 数据库资源，另一个用于应用程序的客户端和中间层资源。这些子网将分别命名为 AcmeSubnet 和 AppSubnet 。

  注：为了简单起见，我们使用单个 VCN 并利用子网提供网络隔离。但是，您还可以创建多个 VCN 来提供所需的网络访问隔离。在此示例中，为了简单起见，我们在 AcmeComp 下创建了 AcmeSubnet 和 AppSubnet 。根据您的要求，您可以选择将这些子网放置在单独的区间中。

• Exadata Cloud@Customer 部署：

  • 设置 Preparing for Exadata Database Service on Cloud@Customer 中 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 中列出的网络规则。

  • 此外，开放端口 1522 允许 Autonomous Data Guard 设置中的主数据库与备用数据库之间的 TCP 流量。

自治 AI 数据库资源

插图 adbd-config-poc.png 的说明

根据上述配置提供的自治 AI 数据库资源。

• 一个名为 AcmeInfrastructure 的 Exadata 基础结构。

• AcmeInfrastructure 中有一个自治 Exadata VM 集群 (AVMC)。此 AVMC 命名为 PocAVMC 。

• PocAVMC 托管自治容器数据库 (Autonomous Container Database，ACD) 和自治 AI 数据库，分别名为 PocACD 和 PocADB ，用于开发 PocApp 应用。

高级别步骤

在 Acme I.T. 开始在专用 Exadata 基础结构上配置自治 AI 数据库资源之前，它请求使用 OCI 控制台提高服务限制，以将 Exadata 基础结构资源 - 数据库服务器和存储服务器添加到租户。有关更多详细信息，请参阅请求提高服务限额。

下面列出了实施此用例的概括性步骤：

1. Acme Company 云租户的 Acme I.T. 或安全管理员将创建用于资源隔离的 AcmeComp 区间、 AcmeGroup 组和 AcmePolicy 区间策略。

2. 对于访问隔离：

   • 对于 Oracle Public Cloud 部署，Acme I.T. 或 Acme 的网络管理员会在 AcmeComp 区间中创建以下网络资源：

     • VCN: AcmeVCN

     • 专用子网： AcmeSubnet

     • 公共子网： AppSubnet

   • 对于 Exadata Cloud@Customer 部署，Acme I.T. 或 Acme 的网络管理员可确保：

     • 设置 Preparing for Exadata Database Service on Cloud@Customer 中 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 中列出的网络规则。

     • 打开端口 1522，以在 Autonomous Data Guard 设置中允许主数据库与备用数据库之间的 TCP 流量。

3. 创建网络资源后，安全管理员将指定 Acme I.T. 成员的云用户添加到 AcmeGroup ，从而将该用户授权为组管理员。

4. 新授权组管理员在 AcmeComp 区间中按以下列出的顺序创建以下专用基础结构资源：

   • 名为 AcmeInfrastructure 的 Exadata 基础结构资源。

   • 名为 PocAVMC 的自治 Exadata VM 集群 (AVMC)，指定新创建的 Exadata 基础结构。

     注：对于 Oracle Public Cloud 部署，请使用 AcmeVCN 和 AcmeSubnet 作为其 VCN 和子网。

   • 在 AcmeComp 区间中名为 PocACD 的自治容器数据库 (Autonomous Container Database，ACD)，将 PocAVMC 指定为其底层资源。

   • 在 AcmeComp 区间中名为 PocADB 的自治 AI 数据库，将 PocACD 指定为其底层资源。

步骤 1：创建 OCI IAM 组件

在此步骤中，Acme Company 云租户的安全管理员创建了以下用于资源隔离的 OCI IAM 组件：

• AcmeComp 区间。

  要执行此步骤，安全管理员必须遵循 Oracle Cloud Infrastructure 文档中的管理区间中的说明，才能使用 Oracle Cloud 控制台创建区间。遵循这些说明时，安全管理员将租户的根区间指定为 AcmeCompartment 区间的父区间。

• AcmeGroup 组。

  要执行此步骤，安全管理员应按照 Oracle Cloud Infrastructure 文档中的管理组中的说明，使用 Oracle Cloud 控制台创建组。

• AcmeCompPolicy 策略

  要执行此步骤，安全管理员按照 Oracle Cloud Infrastructure 文档中管理策略中的说明，使用 Oracle Cloud 控制台创建策略。

  注：除了创建所需的策略语句外，在此示例中，安全管理员还创建了 "USE tag-namespaces" 策略语句，以允许组成员将现有标记分配给他们创建的资源。为了允许组成员创建标记以及使用现有标记，安全管理员将改为创建“MANAGE tag-namespaces”策略语句。

  按照以下说明创建 AcmeCompPolicy 时，安全管理员：

  1. Sets the Compartment in the side menu to AcmeComp before clicking Create Policy.

  2. 根据部署平台添加以下任一策略语句：

     • Oracle Public Cloud 部署：

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的云 - 元数据 - 基础结构

       • 允许组 AcmeGroup 在区间 AcmeComp 中管理云自治 vmclusters

       • 允许组 AcmeGroup 使用区间 AcmeComp 中的 virtual-network-family

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治容器数据库

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治数据库

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治备份

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的实例系列

       • 允许组 AcmeGroup 在区间 AcmeComp 中管理度量

       • 允许组 AcmeGroup 在区间 AcmeComp 中 INSPECT 工作请求

       • 允许组 AcmeGroup 使用区间 AcmeComp 中的标记名称空间

     • Exadata Cloud@Customer 部署：

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的 exadata 基础结构

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治 vmclusters

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治容器数据库

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治数据库

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的自治备份

       • 允许组 AcmeGroup 管理区间 AcmeComp 中的实例系列

       • 允许组 AcmeGroup 在区间 AcmeComp 中管理度量

       • 允许组 AcmeGroup 在区间 AcmeComp 中 INSPECT 工作请求

       • 允许组 AcmeGroup 使用区间 AcmeComp 中的标记名称空间

步骤 2：创建 VCN 和子网

适用于： 仅限 Oracle Public Cloud

In this step, Acme I.T. or the network administrator of Acme creates the AcmeVCN VCN and the AcmeSubnet and AppSubnet subnets in the AcmeComp compartment.

为了执行此步骤，Acme I.T. 首先向 Acme I.T. 部门的网络提供 CIDR IP 地址范围，该范围不会与公司的内部部署网络冲突。（否则，VCN 将与内部部署网络冲突，并且无法设置 IPSec VPN。）保留范围是 CIDR 10.0.0.0/16。

然后，Acme I.T. 根据 Oracle Cloud Infrastructure 文档中的方案 B：带 VPN 的专用子网中的说明，使用 Oracle Cloud 控制台创建 VCN、子网和其他网络资源。

在此示例中，以下 CIDR 块将用于 AcmeVCN 中的两 (2) 个子网：

• 10.0.10.0/24 表示 AcmeSubnet （专用子网）

• AppSubnet （公共子网）的 10.0.100.0/24

在调整这些指令时，Acme I.T. 会手动创建安全列表（而不是使用默认安全列表），以隔离和分离安全规则，从而简化网络管理。这些安全列表包括：

• AcmeSeclist ： AcmeSubnet 的基本安全列表。它在创建 AcmeSubnet 子网时使用。

• AppSeclist ： AppSubnet 的基本安全列表。它在创建 AppSubnet 子网时使用。

有关 AVMC 入站和出站要求的更多详细信息，请参见 Requirements to Provision an Autonomous Exadata VM Cluster 。

AcmeSeclist 中的安全规则

下面是在 AcmeSeclist 中创建的入站规则：

无状态	源	IP 协议	源端口范围	目的地端口范围	类型和代码	允许
无	10.0.10.0/24	ICMP	全部	全部	全部	ICMP 流量：全部
无	10.0.10.0/24	TCP	全部	全部		以下端口的 TCP 流量：全部
无	10.0.100.0/24	TCP	全部	1521		端口的 TCP 流量：1521 Oracle Net
无	10.0.100.0/24	TCP	全部	2484		端口的 TCPS 流量：2484 Oracle Net
无	10.0.100.0/24	TCP	全部	6200		用于端口的 ONS/FAN:6200
无	10.0.100.0/24	TCP	全部	443		端口的 HTTPS 流量：443

下面是在 AcmeSeclist 中创建的出站规则：

无状态	目的地	IP 协议	源端口范围	目的地端口范围	类型和代码	允许
无	10.0.10.0/24	ICMP	全部	全部	全部	DevVMSubnet 中的所有 ICMP 流量
无	10.0.10.0/24	TCP	全部	全部		DevVMSubnet 中的所有 TCP 流量

AppSeclist 中的安全规则

下面是在 AppSeclist 中创建的入站规则：

无状态	源	IP 协议	源端口范围	目的地端口范围	类型和代码	允许
无	0.0.0.0/0	TCP	全部	22	全部	以下端口的 SSH 流量：22

注：建议将安全规则中的 0.0.0.0/0 更改为批准的 CIDR 范围/IP 地址列表。

下面是在 AppSeclist 中创建的出站规则：

无状态	目的地	IP 协议	源端口范围	目的地端口范围	类型和代码	允许
无	10.0.10.0/24	TCP	全部	1521
无	10.0.10.0/24	TCP	全部	2484
无	10.0.10.0/24	TCP	全部	443
无	10.0.10.0/24	TCP	全部	6200

步骤 3。分配组管理员

在此步骤中，安全管理员将指定 Acme I.T. 成员的云用户添加到 AcmeGroup 。

要执行此步骤，安全管理员按照 Oracle Cloud Infrastructure 文档中管理用户中的说明，使用 Oracle Cloud 控制台将用户添加到组。

步骤 4。创建自治 AI 数据库资源

在此步骤中，组管理员将按以下顺序在 AcmeComp 区间中创建以下专用基础结构资源：

1. Exadata 基础结构

   在此步骤中，组管理员按照创建 Exadata 基础结构资源中的说明创建名为 AcmeInfrastructure 的 Exadata 基础结构资源。

2. 自治 Exadata VM 集群

   在此步骤中，组管理员按照创建自治 Exadata VM 集群中的说明创建具有以下规范的 PocAVMC ，并将所有其他属性保留为其默认设置。

   设置	值
   AVMC 名称	PocAVMC
   基本 Exadata 基础结构	Acme 基础设施
   虚拟云网络 (VCN) 仅适用于 Oracle Public Cloud	公司简介
   子网 适用于： 仅限 Oracle Public Cloud	Acme 子网

3. 自治容器数据库

   在此步骤中，组管理员按照创建自治容器数据库中的说明创建具有以下规范的 PocACD ，并将所有其他属性保留在默认设置中。

   设置	值
   ACD 名称	PocACD
   基本 AVMC	PocAVMC
   容器数据库软件包版本	最新软件版本 (N)

4. 自治 AI 数据库

   在此步骤中，组管理员按照创建自治 AI 数据库中的说明创建 PocADB 。这些数据库是使用以下规范创建的，将所有其他属性保留在默认设置中。

   设置	值
   数据库名称	PocADB
   基本 ACD	PocACD
   数据库实例	可以选择创建自治 AI 数据库或面向开发人员的自治 AI 数据库

基于专用 Exadata 基础结构的自治 AI 数据库现已配置为快速开发概念验证应用。

相关内容

专用 Exadata 基础结构上的自治 AI 数据库的组件