创建 Oracle Cloud 资源

先了解如何创建区间、VCN、子网、用户和用户组，然后再开始使用 Oracle Cloud Infrastructure GoldenGate。

创建区间

您可以通过区间组织和控制对您的云资源的访问。它是一个逻辑容器，可用于将相关的云资源组合在一起并允许特定用户组访问。

当您注册 Oracle Cloud Infrastructure 时，Oracle 会创建您的租户，即存放所有云资源的根区间。然后，您可以在租户中创建其他区间以及相应的策略来控制对每个区间中资源的访问。

要创建区间：

1. 打开 Oracle Cloud 控制台导航菜单，然后选择身份和安全。

2. 在身份下，选择区间。此时将显示您有权访问的区间列表。

3. 导航到要在其中创建新区间的区间。

   • 要在租户（根区间）中创建区间，请选择创建区间。

   • 要在租户以外的区间（根区间）中创建区间，请从区间层次结构中进行选择，直到您到达要创建区间的区间的详细信息页面。在区间详细信息页面上，选择创建区间。

4. 在“创建区间”对话框中，按如下方式填写字段：

   1. 对于名称，为区间输入唯一的名称，不超过 100 个字符（包括字母、数字、句点、连字符和下划线）。该名称在租户的所有区间中必须唯一。请避免输入机密信息。

   2. 对于说明，输入有助于区分区间的说明。

   3. 对于父区间，请验证这是您要创建区间的区间。要选择其他区间，请从下拉列表中选择一个区间。

   4. （可选）对于 Tag Namespace（标记名称空间），您可以添加自由形式标记，以帮助您搜索 Oracle Cloud 控制台中的资源。选择 + 另一个标记以添加更多标记。

   5. 选择创建区间。

创建区间后，区间会显示在“区间”列表中。现在，您可以创建策略并将资源添加到区间。

创建虚拟云网络和子网

虚拟云网络 (VCN) 是您在特定区域中的 Oracle Cloud Infrastructure 数据中心中设置的网络。子网是 VCN 的细分。

OCI GoldenGate 需要 VCN 和至少一个具有 NAT 网关的专用子网。必须有一个路由表，该表具有将流量重定向到专用子网的 NAT 网关的路由规则。如果您希望使用公共端点启用连接，则还需要公共子网，VCN 必须包含互联网网关。必须有一个路由表，该表具有将流量重定向到公共子网的 Internet 网关的路由规则。

要创建 VCN 和子网络，请执行以下操作：

1. 打开 Oracle Cloud 控制台导航菜单，选择 Networking（网络），然后选择 Virtual cloud networks（虚拟云网络）。

2. 在 Virtual Cloud Networks（虚拟云网络）页面上，确认所选区间，或选择其他区间。

3. 从操作菜单中，选择启动 VCN 向导。

4. 在 "Start VCN Wizard" 面板中，选择 Create VCN with Internet Connectivity ，然后选择 Start VCN Wizard 。

5. 在“配置”页的基本信息下，输入 VCN 名称。

6. 对于区间，选择要在其中创建此 VCN 的区间。

7. 选择 Next 。

8. 在“复查并创建”页上，验证配置详细信息，然后选择创建。

选择查看 VCN 详细信息以验证是否已创建公共子网和专用子网。

创建用户

创建用户以添加到可以访问 OCI GoldenGate 资源的组。

在创建用户之前，请了解：

• OCI GoldenGate 部署用户管理取决于您的租户是否将 OCI IAM 与身份域结合使用。请参阅管理部署用户。

• 用户名在租户中的所有用户中必须唯一

• 用户名不可更改

• 用户在组中之前没有权限

要创建用户：

1. 打开 Oracle Cloud 控制台导航菜单，选择身份和安全，然后在身份下，选择域。

2. 在“域”页上，确认区间选择，或更改为其他区间。

3. 在 "Domains" 列表中，选择 Default 以访问默认域，或者选择 Create Domain 以创建新域。

4. 从列表中选择该域。

5. 在“域详细信息”页上，选择用户管理。

6. 在“用户”页上，选择创建用户。

7. 在“创建用户”页面上，按如下方式填写字段：

   1. 输入用户的名字、姓氏和电子邮件地址，这些地址也可以用作用户名。

      注：该名称在租户中的所有用户中必须唯一。稍后无法更改此值。用户名不能包含空格，并且只能包含基本拉丁字母 (ASCII)、数字、连字符、句点、下划线、+ 和 @。

   2. 对于组，选择要将用户分配到的组。

8. 选择创建。

然后，您可以将用户添加到组，并创建策略来授予组对资源的访问权限。有关用户的更多信息，请参阅管理用户。

创建组

组是需要对一组资源或区间具有相同类型访问权限的用户的集合。

创建组之前，请先了解：

• 组名在租户内必须是唯一的。

• 创建组名后无法更改。

• 除非您至少编写了一个权限来向组授予对租户或区间的权限，否则组没有权限。

要创建组，请执行以下操作：

1. 打开 Oracle Cloud 控制台导航菜单，选择身份和安全，然后在身份下，选择域。

2. 在“域”页上，确认区间选择，或者更改区间。

3. 从列表中选择一个域。

4. 在 "Domain details" 页面上，选择 User management 。

5. 在“组”下，选择创建组。

6. 在“创建”组页上：

   1. 在名称中，为组输入唯一的名称。

      注：创建组后，无法更改名称。组名在租户内必须是唯一的。组名称可以包含 1 到 100 个字母数字字符（大写或小写），可以包含句点、短划线、连字符但不包含空格

   2. 在说明中，输入友好说明。

7. 选择用户是否可以请求访问此组。

8. 从用户列表中，选择要分配给此组的用户。

9. 选择创建。

在您编写向组授予区间或租户权限的策略之前，组没有任何权限。有关组的更多信息，请参阅管理组。

创建策略

策略定义组的成员可以执行哪些操作，以及在哪些区间中执行哪些操作。

使用 Oracle Cloud 控制台创建策略。在 Oracle Cloud 控制台导航菜单中，依次选择身份和安全和身份，然后选择策略。策略使用以下语法编写：

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

参数定义如下：

• <identity-domain>：（可选）如果使用 OCI IAM 进行身份管理，则包括用户组的身份域。如果省略，OCI 将使用默认域。

• <group-name>：要为其授予权限的用户组的名称。

• <verb>：为组提供对资源类型的特定访问权限级别。当动词从 inspect 到 read 到 use 到 manage 时，访问级别会增加，授予的权限是累积的。

  单击此处的链接，可以了解有关权限和动词之间的关系的更多信息。

• <resource-type>：您授予组使用权限的资源类型。存在单个资源（例如 goldengate-deployments、goldengate-pipelines 和 goldengate-connections），并且存在资源系列（例如 goldengate-family），其中包括前面提到的单个资源。

  有关更多信息，请参见 resource-types 。

• <location>：将策略附加到区间或租户。您可以按名称或 OCID 指定单个区间或区间路径，也可以指定 tenancy 来覆盖整个租户。

• <condition>：可选。将应用此策略的一个或多个条件。

了解有关策略语法的更多信息。

如何创建策略

要创建策略，请执行以下操作：

1. 在 Oracle Cloud 导航菜单中，选择身份和安全，然后在“标识”下，选择策略。

2. 在“策略”页上，选择创建策略。

3. 在“创建策略”页上，输入策略名称和说明。

4. 选择要在其中的创建此策略的区间。

5. 在策略构建器部分中，您可以：

   • 从策略用例下拉和通用策略模板（例如允许用户管理 GoldenGate 资源的必需策略）中选择 GoldenGate 服务。

   • 选择显示手动编辑器以按以下格式输入策略规则：

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     条件是可选的。请参见 Details for Verbs + Resource-Type Combinations 。

   提示：有关详情，请参阅建议的最低策略。

6. 选择创建。

有关策略的更多信息，请参见策略如何工作、策略语法和策略参考。

建议的最低策略

提示：

要使用公用策略模板添加所有必需的策略，请执行以下操作：

1. 对于策略用例，从下拉列表中选择 GoldenGate 服务。

2. 对于常用模板，从下拉列表中选择允许用户管理 GoldenGate 资源的必需策略。

至少，您需要制定以下策略：

• 允许用户使用或管理 GoldenGate 资源，以便他们能够处理部署和连接。例如：

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• 允许用户管理网络资源，以便他们可以查看和选择区间和子网，以及在创建 GoldenGate 资源时创建和删除专用端点。例如：

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  注:

  • 使用专用端点创建部署或连接时，将在所选子网中分配一个或多个 IP。您必须同时在子网和部署或连接的区间中提供所需的网络访问权限，才能允许服务创建网络资源。

  • 同样，使用专用端点删除部署或连接以允许服务删除网络资源时，需要相应的网络访问权限。

  （可选）您可以结合使用细粒度策略进一步保护网络资源。请参见 Policy Examples for Securing Network Resources 。

• 创建动态组以根据定义的规则向资源授予权限，从而允许 GoldenGate 部署和/或管道访问租户中的资源。将 <dynamic-group-name> 替换为您选择的名称。您可以根据需要创建任意数量的动态组，例如，控制不同区间或租户中的部署权限。

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  提示：此列表中后面的策略请参阅 <dynamic-group-name>。如果创建多个动态组，请确保在添加以下任何策略时引用正确的动态组名称。

• 如果使用具有密码密钥的连接，则您分配给该连接的部署必须能够访问该连接的密码密钥。确保将策略添加到区间或租户：

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• 允许用户在启用了 IAM 的租户中读取 Identity and Access Management (IAM) 用户和组进行验证：

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• 在 Oracle Vault 中访问客户管理的加密密钥和密码密钥。例如：

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

根据您是否打算使用以下服务，您可能还需要为以下项添加策略：

• Oracle AI 数据库，适用于源和/或目标数据库。例如：

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle 对象存储，用于存储手动和调度的 OCI GoldenGate 备份。例如：

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI 日志记录，用于访问日志组。例如：

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• 负载平衡器，如果您启用对部署控制台的公共访问：

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• 工作请求：

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• Zero Trust Packet Routing，ZPR（零信任数据包路由）。仅当您向 VCN 和/或负载平衡器添加了安全属性来控制连接和公共部署的访问时，才需要添加以下策略来允许公共互联网流量到负载平衡器，以及负载平衡器与专用端点之间的流量流：

  • 如果同时为 VCN 和负载平衡器添加了安全属性：

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • 如果仅为 VCN 而不是负载平衡器添加了安全属性，并且负载平衡器位于具有 CIDR 10.0.1.0/24 的公共子网中：

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    注：对于其他资源（例如专用连接和专用部署），安全属性将添加到创建的专用端点。默认情况下，不会使用专用部署创建负载平衡器，因此上述 ZPR 示例不适用。您可能需要 ZPR 策略，因为在这种情况下 ZPR 会保护专用端点。确切的策略取决于您的用例。

  单击此处的链接，可以了解有关 ZPR 策略语法的更多信息。

以下语句向组授予管理工作区的标记名称空间和标记的权限：

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

要添加定义的标记，您必须具有使用标记名称空间的权限。要了解有关标记的更多信息，请参阅资源标记。