创建 Oracle Cloud 资源

学生将学习先创建区间、VCN、子网、用户和用户组,然后再开始使用 Oracle Cloud Infrastructure GoldenGate

创建区间

您可以通过区间组织和控制对您的云资源的访问。它是一个逻辑容器,可用于将相关的云资源分组在一起,并允许特定用户组访问。

注册 Oracle Cloud Infrastructure 时,Oracle 将创建您的租户,该租户是存储所有云资源的根区间。然后,您可以在租户中创建其他区间以及相应的策略来控制对每个区间中资源的访问。

要创建区间,请执行以下操作:
  1. 打开 Oracle Cloud 控制台导航菜单,然后单击身份与安全
  2. 身份下,单击区间。此时将显示您有权访问的区间列表。
  3. 导航到要创建新区间的区间。
    • 要在租户(根区间)中创建区间,请单击创建区间
    • 要在租户(根区间)以外的区间中创建区间,请单击区间层次结构,直至到达要创建区间的区间的详细信息页面。在区间详细信息页面上,单击创建区间
  4. 在“创建区间”对话框中,按以下方式填写字段:
    1. 对于名称,为区间输入唯一名称,不得超过 100 个字符(包括字母、数字、句点、连字符和下划线)。该名称在租户的所有区间中必须唯一。请避免输入机密信息。
    2. 对于说明,输入有助于区分区间与其他区间的说明。
    3. 对于父区间,请验证您希望在其中创建区间的区间。要选择其他区间,请从下拉列表中选择一个区间。
    4. (可选)对于标记名称空间,可以添加自由格式标记来帮助您搜索 Oracle Cloud 控制台中的资源。单击 + 其他标记可添加更多标记。
    5. 单击创建区间
您的区间在创建后会显示在“区间”列表中。现在,您可以创建策略并向区间添加资源。

创建虚拟云网络和子网

虚拟云网络 (Virtual Cloud Network,VCN) 是您在特定区域的 Oracle Cloud Infrastructure 数据中心中设置的网络。子网是 VCN 的细分。

OCI GoldenGate 需要 VCN 和至少一个具有 NAT 网关的专用子网。必须提供路由规则将流量重定向到专用子网的 NAT 网关的路由表。如果要使用公共端点启用连接,则还需要公共子网,并且 VCN 必须包括互联网网关。对于公共子网,路由规则将流量重定向到 Internet 网关的路由表必须可用。
要创建 VCN 和子网,请执行以下操作:
  1. 打开 Oracle Cloud 控制台导航菜单,单击网络,然后选择虚拟云网络
  2. Virtual Cloud Networks(虚拟云网络)页面上,确认所选区间,或选择其他区间。
  3. 操作菜单中,选择启动 VCN 向导
  4. 在“启动 VCN 向导”面板中,选择创建具有 Internet 连接的 VCN ,然后单击启动 VCN 向导
  5. 在“配置”页上,在基本信息下,输入 VCN 名称
  6. 对于区间,选择要在其中创建此 VCN 的区间。
  7. 单击下一步
  8. 在“复查并创建”页上,验证配置详细信息,然后单击创建

单击查看 VCN 详细信息以验证是否已创建公共子网和专用子网。

创建用户

创建用户以添加到可以访问 OCI GoldenGate 资源的组。

在创建用户之前,请了解:

  • OCI GoldenGate 部署用户管理取决于您的租户是否将 OCI IAM 与身份域结合使用。请参阅管理部署用户
  • 用户名在您的租户内的所有用户中必须唯一
  • 用户名不可更改
  • 用户在被放置到组中之前没有权限
要创建用户:
  1. 打开 Oracle Cloud 控制台导航菜单,单击身份和安全,然后在身份下,单击
  2. 在“域”页上,确认区间选择,或者更改为其他区间。
  3. 在“域”列表中,单击默认以访问默认域,或者单击创建域以创建新域。
  4. 从列表中选择该域。
  5. 在“域详细信息”页上,单击用户管理
  6. 在“用户”页上,单击创建用户
  7. 在“创建用户”页面上,按如下方式填写字段:
    1. 输入用户的名字姓氏电子邮件地址,也可以将其用作用户名

      注意:

      该名称在租户中的所有用户中必须唯一。稍后不能更改此值。用户名不能包含空格,并且只能包含基本拉丁字母 (ASCII)、数字、连字符、句点、下划线、+ 和 @。
    2. 对于,选择要将用户分配到的组。
  8. 单击创建
然后,您可以将用户添加到组中,并创建允许组访问资源的策略。有关用户的更多信息,请参阅管理用户

创建组

组是需要对一组资源或区间进行相同类型访问的用户的集合。

在创建组之前,请理解:
  • 组名称在租户内必须是唯一的。
  • 创建组名称后无法更改。
  • 如果组没有权限,则您至少可以编写一个权限来授予组对租户或区间的权限。
要创建组,请执行以下操作:
  1. 打开 Oracle Cloud 控制台导航菜单,单击身份和安全,然后在身份下,单击
  2. 在“域”页上,确认区间选择,或者更改区间。
  3. 从列表中选择一个域。
  4. 在“域详细信息”页上,单击用户管理
  5. 在“组”下,单击创建组
  6. 在“创建”组页上:
    1. 对于名称,为组输入唯一名称。

      注意:

      创建组后,无法更改名称。组名称在租户内必须是唯一的。组名可以是 1 到 100 个字母数字字符的长度、大写或小写字母,并且可以包含句点、短划线、连字符,但不包含空格
    2. 对于说明,输入友好说明。
  7. 选择用户是否可以请求访问此组。
  8. 用户列表中,选择要分配给此组的用户。
  9. 单击创建
在编写向组授予区间或租户权限的策略之前,组没有任何权限。有关组的详细信息,请参阅管理组

创建策略

策略定义组成员可以执行哪些操作以及哪些区间。

使用 Oracle Cloud 控制台创建策略。在 Oracle Cloud 控制台导航菜单中,依次选择身份和安全身份,然后选择策略。策略使用以下语法编写:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

参数定义如下:

  • <identity-domain>:(可选)如果使用 OCI IAM 进行身份管理,则包括用户组的身份域。如果省略,则 OCI 使用默认域。
  • <group-name>:要为其授予权限的用户组的名称。
  • <verb>:为组提供对资源类型的特定级别的访问权限。当动词从 inspectreadusemanage 时,访问级别增加和授予的权限是累积的。

    单击此处的链接,可以了解有关 permissions 和 verbs 关系的更多信息。

  • <resource-type>:授予组处理权限的资源类型。有个人资源,例如 goldengate-deploymentsgoldengate-pipelinesgoldengate-connections,也有资源系列,例如 goldengate-family,其中包括前面提到的个人资源。

    有关更多信息,请参见 resource-types

  • <location>:将策略附加到区间或租户。您可以按名称或 OCID 指定单个区间或区间路径,也可以指定 tenancy 来覆盖整个租户。
  • <condition>:可选。此策略将适用的一个或多个条件。

单击此处的链接,可以了解有关策略语法的更多信息。

如何创建策略

要创建策略,请执行以下操作:
  1. 在 Oracle Cloud 导航菜单中,选择身份和安全,然后在“标识”下,单击策略
  2. 在“策略”页上,单击创建策略
  3. 在“创建策略”页上,输入策略名称和说明。
  4. 选择要在其中创建此策略的区间
  5. 策略构建器部分中,您可以:
    • 策略用例下拉和公用策略模板(例如允许用户管理 GoldenGate 资源的必需策略)中选择 GoldenGate 服务
    • 单击显示手动编辑器以按以下格式输入策略规则:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      条件是可选的。请参见 Details for Verbs + Resource-Type Combinations

    提示:

    有关详细信息,请参阅建议的最低策略
  6. 单击创建

有关策略的更多信息,请参见 How Policies workpolicy syntaxpolicy reference

建议的最低策略

提示:

要使用公用策略模板添加所有必需的策略,请执行以下操作:
  1. 对于策略用例,从下拉列表中选择 GoldenGate 服务
  2. 对于常用模板,从下拉列表中选择允许用户管理 GoldenGate 资源的必需策略

至少,您需要策略来:

  • 允许用户使用管理 GoldenGate 资源,以便他们可以处理部署和连接。例如:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • 允许用户管理网络资源,以便他们在创建 GoldenGate 资源时查看和选择区间和子网,以及创建和删除专用端点。例如:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    (可选)您可以结合使用细粒度策略来进一步保护网络资源。请参见 Policy Examples for Securing Network Resources

  • 创建动态组以根据定义的规则向资源授予权限,从而允许您的 GoldenGate 部署和/或管道访问租户中的资源。将 <dynamic-group-name> 替换为您选择的名称。您可以根据需要创建任意数量的动态组,例如,控制不同区间或租户中的部署权限。
    name: <dynamic-group-name>
    Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    提示:

    此列表后面的策略请参阅 <dynamic-group-name>。如果创建多个动态组,请确保在添加以下任何策略时引用正确的动态组名称。

  • 如果使用具有密码密钥的连接,则您分配给该连接的部署必须能够访问该连接的密码密钥。确保将策略添加到区间或租户:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • 允许用户读取身份和访问管理 (Identity and Access Management,IAM) 用户和组以在启用了 IAM 的租户中验证:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle Vault,用于访问客户管理的加密密钥和密码密钥。例如:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
    allow group <identity-domain>/<group-name> to use keys in <location>
    allow group <identity-domain>/<group-name> to use vaults in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

您可能还需要为以下服务添加策略,具体取决于您是否打算使用以下服务:

  • Oracle 数据库,适用于源和/或目标数据库。例如:
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle 对象存储,用于存储手动 OCI GoldenGate 备份。例如:
    allow group <identity-domain>/<group-name> to manage objects in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
    allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI 日志记录,用于访问日志组。例如:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
    allow group <identity-domain>/<group-name> to read log-content in <location>
  • 负载平衡器,如果启用对部署控制台的公共访问:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
    allow group <identity-domain>/<group-name> to manage public-ips in <location> 
     
    allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
    allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
    
  • 工作请求:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

以下语句授予组管理工作区的标记名称空间和标记的权限:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

要添加定义的标记,您必须具有使用标记名称空间的权限。要了解有关标记的更多信息,请参阅资源标记

有关更多信息和其他示例策略,请参见 OCI GoldenGate Policies