使用參照架構設定自治式 AI 資料庫
這個使用案例示範如何在專用 Exadata 基礎架構上設定自治式 AI 資料庫資源,以更妥善地運用其功能。這是運用專用 Exadata 基礎架構上自治式 AI 資料庫的參照架構的全方位建議組態。
專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 是高度自動化且完全受管理的資料庫環境,在 Oracle Cloud Infrastructure (OCI) 中執行,並具備已確認的硬體和軟體資源。這些隔離的資源使組織能夠滿足嚴格的安全性、可用性和效能要求,同時降低成本和複雜性。
提示:如果您要尋找快速設定自治式 AI 資料庫 POC 環境的指引,請參閱設定概念驗證的自治式 AI 資料庫 (POC) 。
先決條件知識
為了充分瞭解並欣賞此使用案例,您應該對專用 Exadata 基礎架構上的自治式 AI 資料庫有基本的瞭解,包括其部署選項、主要基礎架構元件、使用者角色和主要功能。如需詳細資訊,請參閱關於專用 Exadata 基礎架構上的自治式 AI 資料庫。
使用案例
Acme Company 已選擇將專用 Exadata 基礎架構上的自治式 AI 資料庫用於其內部專案應用程式。Acme I.T. 部門將擔任機組管理員的角色,負責建立及管理公司的 Exadata 基礎架構 (EI) 和自治式 Exadata VM 叢集 (AVMC) 資源。在每個專案團隊或業務部門內,指定使用者將擔任應用程式 DBA 角色,負責為其資料庫使用者 (包括應用程式開發人員、測試人員和部署人員) 建立 Autonomous Container Database (ACD) 和 Autonomous AI 資料庫。
注意:此範例說明建立和管理 ACD 資源的應用程式 DBA。不過,您的組織可能偏好運輸隊伍管理員自行執行這項作業。
Acme I.T. 將資源分配給各個團隊,確保提供符合所需 SLA 的 AVMC。此外,為了公平地控制資源配置,Acme I.T. 不希望任何專案團隊或業務部門擁有基礎專用基礎架構的管理存取權。此外,在遵守監管審計的情況下,Acme 管理層不希望 Acme I.T. 能夠存取屬於不同專案團隊或業務部門的資料,亦即它們儲存在其應用程式資料庫中的資料。
AcmeHR 是 Acme 開發與使用的內部 HR 應用程式,在兩個不同的環境中運作:一個用於開發與測試 ( 開發 ),另一個用於生產 ( 生產 )。Acme I.T. 致力於在這些環境之間維持嚴格的隔離機制,以防止開發團隊與生產團隊之間發生任何未經授權的存取或互動。
需要資源
OCI IAM 元件
configure-adb-d-resource-isolation.png 圖解描述
-
提供資源隔離的三個區間,如下所述:
-
FleetComp 適用於 Acme I.T. 建立的資源、網路以及開發資料庫和產品資料庫使用的專用子網路。
-
開發資料庫的 DevComp 。
-
產品資料庫的 ProdComp 。
-
-
可指派給使用者的三個群組,一個群組代表 Acme I.T.、開發使用者和產品使用者。這些群組會命名為 FAGroup 、 DevGroup 及 ProdGroup 。
-
指定使用者存取區間和租用戶層級之資源的必要原則。
網路資源
configure-adbd-refarch-network.png 圖解描述
代表安全清單。
-
Oracle Public Cloud 部署項目:
-
一個 VCN 可提供與所有專用基礎架構資源的網路連線。此 VCN 將使用 IPSec VPN 連線至 Acme Company VPN,並擁有可封鎖所有內送網際網路流量的網際網路閘道資源。它會被命名為 AcmeHRVCN 。
-
提供網路存取隔離的三個子網路,每個子網路適用於 Dev 和 Prod 環境的 Autonomous AI Database 資源,另一個適用於應用程式的用戶端和中層資源。這些子網路會分別命名為 DevVMSubnet 、 ProdVMSubnet 及 AppSubnet 。
備註:為求簡化,我們採用單一 VCN 並利用子網路提供網路隔離。然而,您也可以建立多個 VCN 以提供所需的網路存取隔離。在此範例中,我們建立 FleetComp 下的所有三個子網路: DevVMSubnet 、 ProdVMSubnet 及 AppSubnet ,以簡化作業。視您的需求而定,您可以選擇將這些子網路放置在個別的區間中。
-
-
Exadata Cloud@Customer 部署:
-
設定網路規則,如 Preparing for Exadata Database Service on Cloud@Customer 中的 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 所列。
-
此外,開啟的連接埠 1522 可允許 Autonomous Data Guard 設定中主要資料庫與待命資料庫之間的 TCP 流量。
-
自治式 AI 資料庫資源
configure-adb-d-resources.png 圖解描述
根據上述組態的自治式 AI 資料庫資源。
-
一個 Exadata 基礎架構可代管兩個 AVMC。命名為 AcmeInfrastructure 。
-
開發和生產環境 AcmeInfrastructure 中的兩個 AVMC 。這些 AVMC 分別命名為 DevAVMC 和 ProdAVMC 。
-
DevAVMC :
-
代管 Autonomous Container Database 和 Autonomous AI Databases ,這些資料庫分別稱為 DevACD 和 DevADB ,以開發和測試 AcmeHR 應用程式。
-
一律修正至最新的 RU (版本更新)。
-
保留七 (7) 天的備份。
-
對於每個版本更新 (RU) 或修補程式版本,部署在 DevADB 上的 AcmeHR 都使用最新的 RU 進行測試。
-
如果發生任何嚴重問題,會要求一次性修補程式。套用單次修補程式後,AcmeHR 會再次驗證,以確保程式碼穩定且適合提升至生產環境。請參閱自治式 AI 資料庫服務維護,深入瞭解單次修正程式。
-
-
ProdAVMC :
-
代管佈建用於 AcmeHR 應用程式生產部署的 Autonomous Container Database 和 Autonomous AI Database 。它們會分別命名為 ProdACD 和 ProdADB 。
-
務必在 N-1 軟體版本上執行。
-
保留備份的持續時間較長。如有需要,也會啟用長期備份。
-
已將替代季別修正為經過驗證的軟體,亦即,已於 DevAVMC 中驗證的 RU 會部署在此資料庫中。
-
高階步驟
在 Acme I.T. 開始在專用 Exadata 基礎架構上設定自治式 AI 資料庫資源之前,它會要求使用 OCI 主控台提高服務限額,以將 Exadata 基礎架構資源 - 資料庫伺服器和儲存伺服器新增至租用戶。如需詳細資訊,請參考要求提高服務額度。
下列是實作此使用案例的高階步驟:
-
Acme Company 雲端租用戶的安全管理員為資源隔離建立下列區間、群組和區間原則:
-
FleetComp 、 DevComp 和 ProdComp 區間。
-
FAGroup 、 DevGroup 及 ProdGroup 群組。
-
FleetCompPolicy 、 DevCompPolicy 和 ProdCompPolicy 原則。
-
-
對於存取隔離:
-
對於 Oracle Public Cloud 部署,Acme I.T. 或 Acme 的網路管理員會在 FleetComp 區間中建立下列網路資源:
-
VCN: AcmeHRVCN
-
專用子網路: DevVMSubnet 和 ProdVMSubnet
-
公用子網路: AppSubnet
-
-
對於 Exadata Cloud@Customer 部署,Acme I.T. 或 Acme 的網路管理員可確保:
-
設定網路規則,如 Preparing for Exadata Database Service on Cloud@Customer 中的 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 所列。
-
開啟連接埠 1522,以允許自治式資料保全設定中主要資料庫與待命資料庫之間的 TCP 流量。
-
-
-
建立網路資源之後,安全管理員會將指定 Acme I.T. 成員的雲端使用者新增至 FAGroup ,藉此將該使用者授權為機組管理員。
-
新授權的機組管理員可建立下列專用基礎架構資源:
-
FleetComp 區間中的 Exadata 基礎架構資源 AcmeInfrastructure 。
-
FleetComp 區間中的兩個自治式 Exadata VM 叢集 (AVMC),指定新建立的 Exadata 基礎架構:
-
DevAVMC 。
對於 Oracle Public Cloud 部署,請指定 AcmeHRVCN 與 DevVMSubnet 作為其 VCN 與子網路。
-
ProdAVMC 。
對於 Oracle Public Cloud 部署,請指定 AcmeHRVCN 與 ProdVMSubnet 作為其 VCN 與子網路。
-
-
-
安全管理員接著會將指定的雲端使用者新增至 DevGroup 和 ProdGroup ,然後授權這些使用者作為開發和生產環境的應用程式 DBA。
-
新授權的應用程式 DBA 可在其個別的工作環境中建立下列資源,亦即開發和生產:
-
兩個自治式容器資料庫 (ACD):
-
DevComp 區間中的 DevACD ,指定 DevAVMC 作為其基礎資源
-
ProdComp 區間中的 ProdACD ,指定 Prod AVMC 作為其基礎資源。
-
-
DevComp 區間中名為 DevADB 的自治式 AI 資料庫。
-
ProdComp 區間中名為 ProdADB 的自治式 AI 資料庫。
-
步驟 1. 建立隔間
在此步驟中,Acme Company 雲端租用戶的安全管理員會建立 FleetComp 、 DevComp 及 ProdComp 區間。
若要執行此步驟,安全管理員需依照 Oracle Cloud Infrastructure 文件中管理區間的指示,使用 Oracle Cloud 主控台建立區間。依照這些指示,安全管理員會將租用戶的根區間指定為這三個區間的父項區間。
步驟 2. 建立團體
在此步驟中,安全性管理員會建立 FAGroup 、 DevGroup 及 ProdGroup 群組。
若要執行此步驟,安全性管理員需依照 Oracle Cloud Infrastructure 文件中管理群組的指示,使用 Oracle Cloud 主控台建立群組。
步驟 3。建立原則
在此步驟中,安全管理員會建立 FleetCompPolicy 、 DevCompPolicy 和 ProdCompPolicy 原則。
若要執行此步驟,安全性管理員需依照 Oracle Cloud Infrastructure 文件中管理原則的指示,使用 Oracle Cloud 主控台建立原則。
注意:除了建立必要的原則敘述句之外,在此範例中,安全管理員也會建立 "USE tag-namespaces" 原則敘述句,以允許群組成員將現有的標記指派給他們建立的資源。為了允許群組成員建立標記以及使用現有的標記,安全管理員將改為建立 "MANAGE tag-namespaces" 原則敘述句。
依照 FleetCompPolicy 原則的指示,安全管理員可以:
-
在按一下建立原則之前,將側邊功能表中的區間設為 FleetComp。
-
根據其部署平台新增下列任一「原則敘述句」:
-
Oracle Public Cloud 部署項目:
-
允許群組 FAGroup 管理 FleetComp 區間中的 cloud-exadata-infrastruct
-
允許群組 FAGroup 管理 FleetComp 區間中的 cloud-autonomous-vmclusters
-
允許群組 FAGroup 使用 FleetComp 區間中的虛擬網路系列
-
允許群組 FAGroup 使用 FleetComp 區間中的標記命名空間
-
允許 DevGroup 群組讀取 FleetComp 區間中的 cloud-exadata-infrastruct
-
允許 DevGroup 群組讀取 FleetComp 區間中的 cloud-autonomous-vmclusters
-
允許群組 DevGroup 至 FleetComp 區間中的 USE virtual-network-family
-
允許 ProdGroup 群組讀取 FleetComp 區間中的 cloud-exadata-infrastruct
-
允許 ProdGroup 群組讀取 FleetComp 區間中的 cloud-autonomous-vmclusters
-
允許 ProdGroup 群組使用 FleetComp 區間中的 USE virtual-network-family
-
-
Exadata Cloud@Customer 部署:
-
允許群組 FAGroup 管理 FleetComp 區間中的 exadata-infrastruct
-
允許群組 FAGroup 管理 FleetComp 區間中的自治式 VM 叢集
-
允許群組 FAGroup 使用 FleetComp 區間中的標記命名空間
-
允許 DevGroup 群組讀取 FleetComp 區間中的 exadata-infrastruct
-
允許 DevGroup 群組讀取 FleetComp 區間中的自治式 VM 叢集
-
允許 ProdGroup 群組讀取 FleetComp 區間中的 exadata-infrastruct
-
允許 ProdGroup 群組讀取 FleetComp 區間中的自治式 VM 叢集
-
-
依照 DevCompPolicy 原則的指示,安全管理員應該:
-
在按一下建立原則之前,將側邊功能表中的區間設為 DevComp。
-
新增下列原則敘述句:
-
允許 DevGroup 群組管理 DevComp 區間中的自治式容器資料庫
-
允許 DevGroup 群組管理 DevComp 區間中的自治式資料庫
-
允許 DevGroup 群組管理 DevComp 區間中的自治式備份
-
允許 DevGroup 群組管理 DevComp 區間中的 instance-family
-
允許 DevGroup 群組使用 DevComp 區間中的標記命名空間
-
允許 DevGroup 群組管理 DevComp 區間中的度量
-
允許 DevGroup 群組檢查 DevComp 區間中的工作要求
-
依照 ProdCompPolicy 原則的指示,安全管理員可以:
-
在建立原則按一下建立原則之前,將側邊功能表中的區間設為 ProdComp。
-
新增下列原則敘述句:
-
允許 ProdGroup 群組管理 ProdComp 區間中的自治式容器資料庫
-
允許 ProdGroup 群組管理 ProdComp 區間中的自治式資料庫
-
允許 ProdGroup 群組管理 ProdComp 區間中的自治式備份
-
允許 ProdGroup 群組管理 ProdComp 區間中的 instance-family
-
允許 ProdGroup 群組用於 ProdComp 區間中的 USE 標記命名空間
-
允許 ProdGroup 群組管理 ProdComp 區間中的度量
-
允許 ProdGroup 群組檢查 ProdComp 區間中的工作要求
-
步驟 4。建立 VCN 和子網路
套用至:
僅限 Oracle Public Cloud
在此步驟中,Acme I.T. 或 Acme 的網路管理員建立 FleetComp 區間中的 AcmeHRVCN VCN 與 DevVMSubnet 、 ProdVMSubnet 及 AppSubnet 子網路。
若要執行此步驟,Acme I.T. 會先與 Acme I.T. 部門的網路確認,以保留不會與公司內部部署網路衝突的 CIDR IP 位址範圍。(否則,VCN 會與內部部署網路發生衝突,而無法設定 IPSec VPN。) 保留的範圍是 CIDR 10.0.0.0/16。
接著,Acme I.T. 會調適 Oracle Cloud Infrastructure 文件中 Scenario B:Private Subnet with a VPN 的指示,使用 Oracle Cloud 主控台建立 VCN、子網路和其他網路資源。
在此範例中, AcmeHRVCN 中的三 (3) 個子網路將使用下列 CIDR 區塊:
-
兩個私有子網路:
-
DevVMSubnet 的 10.0.10.0/24
-
ProdVMSubnet 的 10.0.20.0/24
-
-
一個公用子網路:
- 10.0.100.0/24 表示 AppSubnet
調適這些指示時,Acme I.T. 會手動建立安全清單 (而非使用預設安全清單) 來隔離和區隔安全規則,進而讓網路管理變得更簡單。這些安全清單如下:
-
DevSeclist: DevVMSubnet 的基本安全清單。建立 DevVMSubnet 子網路時會使用它。
-
ProdSeclist: ProdVMSubnet 的基本安全清單。建立 ProdVMSubnet 子網路時會使用它。
-
AppSeclist: AppSubnet 的基本安全清單。建立 AppSubnet 子網路時會使用它。
如需 AVMC 傳入和傳出需求的詳細資訊,請參閱佈建自治式 Exadata VM 叢集的需求。
DevSeclist 中的安全規則
以下是 DevSeclist 中建立的傳入規則:
| 無狀態 | 來源 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 10.0.10.0/24 | ICMP | 全部 | 全部 | 全部 | ICMP 流量 - 全部 |
| 編號 | 10.0.10.0/24 | TCP | 全部 | 全部 | 連接埠的 TCP 流量:全部 | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 1521 | 連接埠的 TCP 流量:1521 Oracle Net | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 2484 | 連接埠的 TCPS 流量:2484 Oracle Net | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 6200 | 連接埠:6200 的 ONS/FAN | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 443 | 連接埠的 HTTPS 流量:443 |
以下是 DevSeclist 中建立的傳出規則:
| 無狀態 | 目的地 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 10.0.10.0/24 | ICMP | 全部 | 全部 | 全部 | DevVMSubnet 內的所有 ICMP 流量 |
| 編號 | 10.0.10.0/24 | TCP | 全部 | 全部 | DevVMSubnet 內的所有 TCP 流量 |
ProdSeclist 中的安全規則
備註:儘管 ProdSeclist 的安全性規則與 DevSeclist 相同,但網路管理員已建立個別的安全性清單,而不是為兩個專案團隊建立單一安全性清單,以因應未來其中一個專案團隊所需的任何其他安全性規則。
以下是 ProdSeclist 中建立的傳入規則:
| 無狀態 | 來源 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 10.0.20.0/24 | ICMP | 全部 | 全部 | 全部 | ICMP 流量 - 全部 |
| 編號 | 10.0.20.0/24 | TCP | 全部 | 全部 | 連接埠的 TCP 流量:全部 | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 1521 | 連接埠的 TCP 流量:1521 Oracle Net | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 2484 | 連接埠的 TCPS 流量:2484 Oracle Net | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 6200 | 連接埠:6200 的 ONS/FAN | |
| 編號 | 10.0.100.0/24 | TCP | 全部 | 443 | 連接埠的 HTTPS 流量:443 |
以下是 ProdSeclist 中建立的傳出規則:
| 無狀態 | 目的地 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 10.0.20.0/24 | ICMP | 全部 | 全部 | 全部 | ProdVMSubnet 內的所有 ICMP 流量 |
| 編號 | 10.0.20.0/24 | TCP | 全部 | 全部 | ProdVMSubnet 內的所有 TCP 流量 |
AppSeclist 中的安全規則
以下是 AppSeclist 中建立的傳入規則:
| 無狀態 | 來源 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 0.0.0.0/0 | TCP | 全部 | 22 | 全部 | 以下連接埠的 SSH 流量:22 |
注意:建議您將安全規則中的 0.0.0.0/0 變更為您核准的 CIDR 範圍 /IP 位址清單。
以下是 AppSeclist 中建立的傳出規則:
| 無狀態 | 目的地 | IP 協定 | 來源連接埠範圍 | 目的地連接埠範圍 | 類型和代碼 | Allows - 允許 |
|---|---|---|---|---|---|---|
| 編號 | 10.0.10.0/24 | TCP | 全部 | 1521 | ||
| 編號 | 10.0.10.0/24 | TCP | 全部 | 2484 | ||
| 編號 | 10.0.10.0/24 | TCP | 全部 | 443 | ||
| 編號 | 10.0.10.0/24 | TCP | 全部 | 6200 | ||
| 編號 | 10.0.20.0/24 | TCP | 全部 | 1521 | ||
| 編號 | 10.0.20.0/24 | TCP | 全部 | 2484 | ||
| 編號 | 10.0.20.0/24 | TCP | 全部 | 443 | ||
| 編號 | 10.0.20.0/24 | TCP | 全部 | 6200 |
步驟 5。指定運輸隊伍管理員
在此步驟中,安全性管理員會將指定 Acme I.T. 成員的雲端使用者新增至 FAGroup 。
若要執行此步驟,安全性管理員需遵循 Oracle Cloud Infrastructure 文件中管理使用者的指示,使用 Oracle Cloud 主控台將使用者新增至群組。
步驟 6。建立 Exadata 基礎架構資源
在此步驟中,機組管理員需依照建立 Exadata 基礎架構資源中的指示,在 FleetComp 區間中建立名稱為 AcmeInfrastructure 的 Exadata 基礎架構資源。
步驟 7。建立自治式 Exadata VM 叢集資源
在此步驟中,機組管理員需依照建立自治式 Exadata VM 叢集中的指示,使用下列規格在 FleetComp 區間中建立 DevAVMC 和 ProdAVMC ,讓所有其他屬性維持預設值。
| 設定 | 開發環境 | 生產環境 |
|---|---|---|
| AVMC 名稱 | 下載 AVMC | ProdAVMC |
| 基礎 Exadata 基礎架構 | Acme 基礎架構 | Acme 基礎架構 |
| 虛擬雲端網路 (VCN) 僅適用於: Oracle Public Cloud |
公司簡介 | 公司簡介 |
| 子網路 僅適用於: Oracle Public Cloud |
DevVMSubnet | 產品 VMSubnet |
步驟 8。指派應用程式 DBA
在此步驟中,安全性管理員會將指定的雲端使用者新增至 DevGroup ,接著將這些使用者授權為開發資源的應用程式 DBA,然後重複 ProdGroup 的程序。
若要執行此步驟,安全性管理員需依照 Oracle Cloud Infrastructure 文件中管理使用者的指示,使用 Oracle Cloud 主控台將使用者新增至群組。
步驟 9。建立自治式容器資料資源
在此步驟中,個別的應用程式 DBA 會遵循建立自治式容器資料庫中的指示,為開發和生產環境建立自治式容器資料庫 (ACD)。這些 ACD 是以下列設定建立的,所有其他屬性則保留為其預設設定。
| 設定 | 開發環境 | 生產環境 |
|---|---|---|
| 區間 | 開發元件 | 產品元件 |
| ACD 名稱 | DevACD | 產品 ACD |
| 基礎 AVMC | 下載 AVMC | ProdAVMC |
| 容器資料庫軟件版本 | 最新軟體版本 (N) | 軟體版本的立即前置作業 (N-1) |
| 維護版本 | 最新的 RU (版本更新) | 下一個 RU (版本更新) |
| 備份保留期間 | 7 天 | 30 天 |
步驟 10。建立自治式 AI 資料庫資源
在此步驟中,個別的應用程式 DBA 會遵循建立自治式 AI 資料庫中的指示,為開發和生產環境建立自治式 AI 資料庫。這些資料庫是以下列設定建立,讓所有其他屬性保持預設設定。
| 設定 | 開發環境 | 生產環境 |
|---|---|---|
| 區間 | 開發元件 | 產品元件 |
| 資料庫名稱 | 開發 ADB | 產品 ADB |
| 標的 ACD | DevACD | 產品 ACD |
| 資料庫執行處理 | 可選擇建立自治式 AI 資料庫或適用於開發人員的自治式 AI 資料庫 | 自治式 AI 資料庫 |
專用 Exadata 基礎架構上的自治式 AI 資料庫現在設定為在生產環境中進行後續部署,以開發和測試 AcmeHR 應用程式。