使用參考架構設定 Autonomous Database

此使用案例示範如何在專用 Exadata 基礎架構上設定 Autonomous Database 資源,以更妥善運用其功能。這是利用 Autonomous Database on Dedicated Exadata Infrastructure 參考架構的全面性建議組態。

Oracle Autonomous Database on Dedicated Exadata Infrastructure 是在 Oracle Cloud Infrastructure (OCI) 中執行的高度自動化、完全受管理的資料庫環境,具備已確認的硬體和軟體資源。這些隔離資源使組織能夠滿足嚴格的安全性、可用性和效能要求,同時降低成本和複雜性。

秘訣:

如果您正在尋找可快速設定 Autonomous Database POC 環境的指南,請參閱設定 Autonomous Database for Proof of Concept (POC)

先決知識

若要完整瞭解並欣賞此使用案例,您應對 Autonomous Database on Dedicated Exadata Infrastructure 有基本的瞭解,包括其部署選項、主要基礎架構元件、使用者角色和主要功能。如需詳細資訊,請參考關於 Autonomous Database on Dedicated Exadata Infrastructure

相關主題

使用案例

Acme 公司選擇將 Autonomous Database on Dedicated Exadata Infrastructure 用於其內部專案應用程式。Acme I.T. 部門將擔任機組管理員的角色,此管理員負責為公司建立及管理 Exadata Infrastructure (EI) 和自治式 Exadata VM 叢集 (AVMC) 資源。在每個專案團隊或業務線中,指定的使用者將擔任應用程式 DBA 角色,並負責為其資料庫使用者 (包括應用程式開發人員、測試人員和部署人員) 建立自治式容器資料庫 (ACD) 和 Autonomous Database

附註:

此範例說明建立與管理 ACD 資源的應用程式 DBA。不過,您的組織可能偏好運輸隊伍管理員自行承擔此作業。

Acme I.T. 將為各團隊分配資源,確保 AVMC 提供符合所需 SLA 的資源。此外,為了公平地控制資源配置,Acme I.T. 不希望任何專案團隊或營業單位擁有基礎專用基礎架構的管理存取權。此外,根據法規稽核,Acme 管理不希望 Acme I.T. 存取屬於不同專案團隊或業務線的資料,亦即它們儲存在其應用程式資料庫中的資料。

AcmeHR 是由 Acme 開發與使用的內部 HR 應用程式,在兩個不同的環境中運作:一個用於開發與測試 ( Dev),另一個用於生產 ( Prod)。Acme I.T. 致力於在這些環境之間維持嚴格的隔離,以防止 Dev 與 Prod 團隊之間發生任何未經授權的存取或互動。

需要資源

OCI IAM 元件


configure-adb-d-resource-isolation.png 的描述如下
configure-adb-d-resource-isolation.png 圖解描述

  • 提供資源隔離的三個區間,如下所述:
    • FleetComp - 適用於 Acme I.T. 建立的資源、網路以及 Dev 和 Prod 資料庫所使用的專用子網路。
    • 開發資料庫的 DevComp
    • 產品資料庫的 ProdComp
  • 可指定給使用者的三個群組,每個群組一個用於 Acme I.T.、Dev 使用者和 Prod 使用者。這些群組的名稱將是 FAGroupDevGroupProdGroup
  • 指定使用者對區間和租用戶層級資源的存取權所需的原則。

網路資源


configure-adbd-refarch-network.png 的描述如下
configure-adbd-refarch-network.png 圖解描述

安全清單圖示 代表安全清單。

  • Oracle Public Cloud 部署項目:

    • 一個 VCN 可為所有專用基礎架構資源提供網路連線。此 VCN 將使用 IPSec VPN 連線至 Acme Company VPN,並且提供可封鎖所有內送網際網路流量的網際網路閘道資源。它的名稱將是 AcmeHRVCN
    • 提供網路存取隔離的三個子網路,一個用於 DevProd 環境的 Autonomous Database 資源,另一個用於應用程式的用戶端與中間層資源。這些子網路將分別命名為 DevVMSubnetProdVMSubnet 以及 AppSubnet

    附註:

    為求簡化,我們使用單一 VCN 並利用子網路提供網路隔離。然而,您也可以建立多個 VCN,提供必要的網路存取隔離。In this example, we create all three subnets: DevVMSubnet, ProdVMSubnet, and AppSubnet under FleetComp for simplicity.視您的需求而定,您可以視需要將這些子網路放在不同的區間中。

  • Exadata Cloud@Customer 部署:

    • 設定網路規則,如 Preparing for Exadata Database Service on Cloud@Customer 中的 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 所列。
    • 此外,請開啟連接埠 1522,以允許在自治式資料保全設定中,主要資料庫與待命資料庫之間的 TCP 流量。

Autonomous Database 資源


configure-adb-d-resources.eps 的描述如下
configure-adb-d-resources.eps 圖解描述

上述根據配置的 Autonomous Database 資源。
  • 一個代管兩個 AVMC 的 Exadata 基礎架構。它的名稱是 AcmeInfrastructure
  • AcmeInfrastructure 內的兩個 AVMC ,適用於開發和生產環境。這些 AVMC 分別命名為 DevAVMCProdAVMC
  • DevAVMC:
    • 代管 Autonomous Container DatabaseAutonomous Database ,分別命名為 DevACDDevADB ,以開發和測試 AcmeHR 應用程式。
    • 一律修補至最新的 RU (版本更新)。
    • 保留 7 (7) 天的備份。
    • 對於每個版本更新 (RU) 或修補程式發行版本,DevADB 上部署的 AcmeHR 會使用最新的 RU 進行測試。
    • 如有任何嚴重問題,會要求單次修正程式。套用單次修正程式之後,會再次驗證 AcmeHR,以確保程式碼穩定且適合升級至生產環境。請參閱 Autonomous Database Service Maintenance 以深入瞭解單次修正程式。
  • ProdAVMC:
    • 代管為 AcmeHR 應用程式生產部署所佈建的 Autonomous Container DatabaseAutonomous Database 。它們分別命名為 ProdACDProdADB
    • 一律在 N-1 軟體版本上執行。
    • 保留長時間的備份。如有需要,也會啟用長期備份。
    • 已修正驗證軟體的替代季度,亦即 DevAVMC 中驗證的 RU 會部署在此資料庫中。

高階步驟

在 Acme I.T. 開始在專用 Exadata 基礎架構上設定 Autonomous Database 資源之前,它會要求提高服務限制,使用 OCI 主控台將 Exadata 基礎架構資源 - 資料庫伺服器和儲存伺服器新增至租用戶。如需詳細資訊,請參考要求提高服務限制

以下為實作此使用案例的高階步驟:

  1. Acme Company 雲端租用戶的安全管理員會為資源隔離建立下列區間、群組和區間原則:
    • FleetCompDevComp 以及 ProdComp 區間。
    • FAGroupDevGroup 以及 ProdGroup 群組。
    • FleetCompPolicyDevCompPolicy 以及 ProdCompPolicy 原則。
  2. 對於存取隔離:
    • 對於 Oracle Public Cloud 部署項目,Acme I.T. 或 Acme 的網路管理員會在 FleetComp 區間中建立下列網路資源:
      • VCN:AcmeHRVCN
      • 專用子網路:DevVMSubnetProdVMSubnet
      • 公用子網路:AppSubnet
    • 對於 Exadata Cloud@Customer 部署,Acme I.T. 或 Acme 的網路管理員可確保:
      • 設定網路規則,如 Preparing for Exadata Database Service on Cloud@Customer 中的 Network Requirements for Oracle Exadata Database Service on Cloud@Customer 所列。
      • 開啟連接埠 1522 以允許在自治式資料保全設定中,主要資料庫與待命資料庫之間的 TCP 流量。
  3. 建立網路資源之後,安全管理員會將指定之 Acme I.T. 成員的雲端使用者新增至 FAGroup ,因此將該使用者授權為機組管理員。
  4. 新授權的機組管理員可建立下列專用基礎架構資源:
    • FleetComp 區間中的 Exadata 基礎架構資源 AcmeInfrastructure
    • FleetComp 區間中的兩個自治式 Exadata VM 叢集 (AVMC),指定新建立的 Exadata 基礎架構:
      • DevAVMC.

        對於 Oracle Public Cloud 部署項目,請指定 AcmeHRVCNDevVMSubnet 作為其 VCN 和子網路。

      • ProdAVMC.

        對於 Oracle Public Cloud 部署項目,請指定 AcmeHRVCNProdVMSubnet 作為其 VCN 和子網路。

  5. 然後,安全管理員將指定的雲端使用者新增至 DevGroupProdGroup ,藉此將他們授權為 DevProd 環境的應用程式 DBA。
  6. 新授權的應用程式 DBA 可在其個別的工作環境中建立下列資源,亦即 DevProd
    • 兩個自治式容器資料庫 (ACD):
      • DevComp 區間中的 DevACD ,指定 DevAVMC 作為其基礎資源
      • ProdComp 區間中的 ProdACD ,指定 Prod AVMC 作為其基礎資源。
    • Autonomous Database 在 DevComp 區間中命名為 DevADB
    • Autonomous Database 在 ProdComp 區間中命名為 ProdADB

步驟 1.建立區間

在此步驟中,Acme Company 雲端租用戶的安全管理員會建立 FleetCompDevComp 以及 ProdComp 區間。

若要執行此步驟,安全管理員必須依照 Oracle Cloud Infrastructure 文件中的管理區間指示,使用 Oracle Cloud 主控台建立區間。依照這些指示,安全管理員會將租用戶的根區間指定為這三個區間中每個區間的父項區間。

步驟 2.建立群組

在此步驟中,安全管理員會建立 FAGroupDevGroup 以及 ProdGroup 群組。

若要執行此步驟,安全管理員必須依照 Oracle Cloud Infrastructure 文件中的管理群組指示,使用 Oracle Cloud 主控台建立群組。

步驟 3。建立原則

在此步驟中,安全管理員可建立 FleetCompPolicyDevCompPolicyProdCompPolicy 原則。

若要執行此步驟,安全管理員必須依照 Oracle Cloud Infrastructure 文件中的管理原則指示,使用 Oracle Cloud 主控台建立原則。

附註:

除了建立必要的原則敘述句之外,在此範例中,安全管理員還會建立 "USE tag-namespaces" 原則敘述句,以允許群組成員將現有的標記指定給他們建立的資源。若要允許群組成員建立標記和使用現有的標記,安全管理員將改為建立 "MANAGE tag-namespaces" 原則敘述句。

針對 FleetCompPolicy 原則遵循下列指示時,安全管理員:

  1. 將側邊功能表中的區間設為之前按一下建立原則的 FleetComp。

  2. 視部署平台而定,新增下列任一原則敘述句:

    • Oracle Public Cloud 部署項目:
      • 允許 FAGroup 群組管理 FleetComp 區間中的 cloud-exadata 基礎架構
      • 允許 FAGroup 群組管理 FleetComp 區間中的 cloud-autonomous-vmclusters
      • 允許 FAGroup 群組使用 FleetComp 區間中的虛擬網路系列
      • 允許 FAGroup 群組使用 FleetComp 區間中的標記命名空間
      • 允許 DevGroup 群組讀取 FleetComp 區間中的 cloud-exadata 基礎架構
      • 允許 DevGroup 群組讀取 FleetComp 區間中的 cloud-autonomous-vmclusters
      • 允許 DevGroup 群組使用 FleetComp 區間中的虛擬網路系列
      • 允許 ProdGroup 群組讀取 FleetComp 區間中的 cloud-exadata 基礎架構
      • 允許 ProdGroup 群組讀取 FleetComp 區間中的 cloud-autonomous-vmclusters
      • 允許 ProdGroup 群組使用 FleetComp 區間中的虛擬網路系列
    • Exadata Cloud@Customer 部署:
      • 允許 FAGroup 群組管理 FleetComp 區間中的 exadata 基礎架構
      • 允許 FAGroup 群組管理 FleetComp 區間中的自治式叢集
      • 允許 FAGroup 群組使用 FleetComp 區間中的標記命名空間
      • 允許 DevGroup 群組讀取 FleetComp 區間中的 exadata 基礎架構
      • 允許 DevGroup 群組讀取 FleetComp 區間中的自治式叢集
      • 允許 ProdGroup 群組讀取 FleetComp 區間中的 exadata 基礎架構
      • 允許 ProdGroup 群組讀取 FleetComp 區間中的自治式叢集

針對 DevCompPolicy 原則遵循下列指示時,安全管理員:

  1. 將側邊功能表中的區間設為之前按一下建立原則的 DevComp。

  2. 新增這些原則敘述句:

    • 允許 DevGroup 群組管理 DevComp 區間中的自治式容器資料庫
    • 允許 DevGroup 群組管理 DevComp 區間中的自治式資料庫
    • 允許 DevGroup 群組管理 DevComp 區間中的自治式備份
    • 允許 DevGroup 群組管理 DevComp 區間中的 instance-family
    • 允許 DevGroup 群組使用 DevComp 區間中的標記命名空間
    • 允許 DevGroup 群組管理 DevComp 區間中的度量
    • 允許 DevGroup 群組 INSPECT DevComp 區間中的工作要求

針對 ProdCompPolicy 原則遵循下列指示時,安全管理員:

  1. 將側邊功能表中的區間設為之前按一下建立原則的 ProdComp。

  2. 新增這些原則敘述句:

    • 允許 ProdGroup 群組管理 ProdComp 區間中的自治式容器資料庫
    • 允許 ProdGroup 群組管理 ProdComp 區間中的自治式資料庫
    • 允許 ProdGroup 群組管理 ProdComp 區間中的自治式備份
    • 允許 ProdGroup 群組管理 ProdComp 區間中的 instance-family
    • 允許 ProdGroup 群組使用 ProdComp 區間中的標記命名空間
    • 允許 ProdGroup 群組管理 ProdComp 區間中的度量
    • 允許 ProdGroup 群組 INSPECT ProdComp 區間中的工作要求

步驟 4。建立 VCN 和子網路

適用於:適用 僅限 Oracle Public Cloud

在此步驟中,Acme I.T. 或 Acme 的網路管理員會建立 AcmeHRVCN VCN,並在 FleetComp 區間中建立 DevVMSubnetProdVMSubnetAppSubnet 子網路。

若要執行此步驟,Acme I.T. 會先與 Acme I.T. 部門的網路連線確認,以保留 CIDR IP 位址範圍,此範圍不會與公司的內部部署網路衝突。(否則,VCN 會與內部部署網路衝突,而無法設定 IPSec VPN。)保留的範圍是 CIDR 10.0.0.0/16。

然後,Acme I.T. 會改編 Oracle Cloud Infrastructure 文件Scenario B:Private Subnet with a VPN 的指示,以使用 Oracle Cloud 主控台建立 VCN、子網路及其他網路資源。

在此範例中,將對 AcmeHRVCN 中的三 (3) 個子網路使用下列 CIDR 區塊:
  • 兩個專用子網路:
    • DevVMSubnet 的 10.0.10.0/24
    • ProdVMSubnet 的 10.0.20.0/24
  • 一個公用子網路:
    • AppSubnet 的 10.0.100.0/24
調整這些指示時,Acme I.T. 會手動建立安全清單 (而不是使用預設安全清單) 來隔離和分隔安全規則,使網路管理變得更簡單。這些安全清單如下:
  • DevSeclist:DevVMSubnet 的基本安全清單。建立 DevVMSubnet 子網路時會使用它。
  • ProdSeclist:ProdVMSubnet 的基本安全清單。建立 ProdVMSubnet 子網路時會使用它。
  • AppSeclist:AppSubnet 的基本安全清單。建立 AppSubnet 子網路時會使用它。

如需有關 AVMC 傳入和傳出需求的詳細資訊,請參閱佈建自治式 Exadata VM 叢集的需求

DevSeclist 中的安全規則

以下是在 DevSeclist 中建立的傳入規則:

無狀態 來源 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 10.0.10.0/24 ICMP 全部 全部 全部 ICMP 流量 :全部
編號 10.0.10.0/24 TCP 全部 全部   連接埠的 TCP 流量:全部
編號 10.0.100.0/24 TCP 全部 1521   連接埠 1521 Oracle Net 的 TCP 流量
編號 10.0.100.0/24 TCP 全部 2484   連接埠 2484 Oracle Net 的 TCPS 流量
編號 10.0.100.0/24 TCP 全部 6200   ONS/FAN,連接埠:6200
編號 10.0.100.0/24 TCP 全部 443   連接埠的 HTTPS 流量:443

以下是 DevSeclist 中建立的傳出規則:

無狀態 目的地 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 10.0.10.0/24 ICMP 全部 全部 全部 DevVMSubnet 內的所有 ICMP 流量
編號 10.0.10.0/24 TCP 全部 全部   DevVMSubnet 內的所有 TCP 流量

ProdSeclist 中的安全規則

附註:

雖然 ProdSeclist 的安全性規則與 DevSeclist 相同,但網路管理員已建立個別的安全性清單,而不是為兩個專案團隊建立單一的安全性清單,以因應未來其中一個專案團隊所需的任何其他安全性規則。

以下是在 ProdSeclist 中建立的傳入規則:

無狀態 來源 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 10.0.20.0/24 ICMP 全部 全部 全部 ICMP 流量 :全部
編號 10.0.20.0/24 TCP 全部 全部   連接埠的 TCP 流量:全部
編號 10.0.100.0/24 TCP 全部 1521   連接埠 1521 Oracle Net 的 TCP 流量
編號 10.0.100.0/24 TCP 全部 2484   連接埠 2484 Oracle Net 的 TCPS 流量
編號 10.0.100.0/24 TCP 全部 6200   ONS/FAN,連接埠:6200
編號 10.0.100.0/24 TCP 全部 443   連接埠的 HTTPS 流量:443

以下是 ProdSeclist 中建立的傳出規則:

無狀態 目的地 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 10.0.20.0/24 ICMP 全部 全部 全部 ProdVMSubnet 內的所有 ICMP 流量
編號 10.0.20.0/24 TCP 全部 全部   ProdVMSubnet 內的所有 TCP 流量

AppSeclist 中的安全規則

以下是在 AppSeclist 中建立的傳入規則:

無狀態 來源 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 0.0.0.0/0 TCP 全部 22 全部 以下連接埠的 SSH 流量:22

附註:

建議您將安全規則中的 0.0.0.0/0 變更為您核准的 CIDR 範圍 /IP 位址清單。

以下是 AppSeclist 中建立的傳出規則:

無狀態 目的地 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
編號 10.0.10.0/24 TCP 全部 1521    
編號 10.0.10.0/24 TCP 全部 2484  
編號 10.0.10.0/24 TCP 全部 443    
編號 10.0.10.0/24 TCP 全部 6200    
編號 10.0.20.0/24 TCP 全部 1521    
編號 10.0.20.0/24 TCP 全部 2484    
編號 10.0.20.0/24 TCP 全部 443    
編號 10.0.20.0/24 TCP 全部 6200    

步驟 5。指定運輸隊伍管理員

在此步驟中,安全管理員將指定 Acme I.T. 成員的雲端使用者新增至 FAGroup

若要執行此步驟,安全管理員必須依照 Oracle Cloud Infrastructure 文件中的管理使用者指示,使用 Oracle Cloud 主控台將使用者新增至群組。

步驟 6。建立 Exadata 基礎架構資源

在此步驟中,機組管理員依照建立 Exadata 基礎架構資源中的指示,在 FleetComp 區間中建立名稱為 AcmeInfrastructure 的 Exadata 基礎架構資源。

步驟 7。建立自治式 Exadata VM 叢集資源

在此步驟中,機組管理員依照建立自治式 Exadata VM 叢集的指示,在 FleetComp 區間中以下列規格建立 DevAVMCProdAVMC ,將所有其他屬性保留在其預設設定值中。

設定 開發環境 生產環境
AVMC 名稱 DevAVMC ProdAVMC
基礎 Exadata 基礎架構 AcmeInfrastructure AcmeInfrastructure
虛擬雲端網路 (VCN)

適用於:適用 僅限 Oracle Public Cloud

 AcmeHRVCN AcmeHRVCN
子網路

適用於:適用 僅限 Oracle Public Cloud

 DevVMSubnet ProdVMSubnet

步驟 8。指定應用程式 DBA

在此步驟中,安全管理員將指定的雲端使用者新增至 DevGroup ,因此將他們授權為開發資源的應用程式 DBA,然後重複 ProdGroup 的程序。

若要為每位使用者執行此步驟,安全管理員必須遵循 Oracle Cloud Infrastructure 文件中的管理使用者指示,使用 Oracle Cloud 主控台將使用者新增至群組。

步驟 9。建立自治式容器資料庫資源

在此步驟中,個別的應用程式 DBA 會依照建立自治式容器資料庫中的指示,為開發生產環境建立自治式容器資料庫 (ACD)。這些 ACD 是以下列規格所建立,所有其他屬性皆以其預設設定保留。

設定 開發環境 生產環境
區間 DevComp ProdComp
ACD 名稱 DevACD ProdACD
基本 AVMC DevAVMC ProdAVMC
容器資料庫軟體版本 最新軟件版本 (N) 軟體版本的立即前置作業 (N-1)
維護版本 最新 RU (版本更新) 下一個 RU (版本更新)
備份保留期間 7 天 30 天

步驟 10。建立 Autonomous Database 資源

在此步驟中,個別應用程式 DBA 遵循建立 Autonomous Database 中的指示,為 DevProd 環境建立 Autonomous Database 。這些資料庫是以下列規格建立,並將所有其他屬性保留在其預設設定值中。

設定 開發環境 生產環境
區間 DevComp ProdComp
資料庫名稱 DevADB ProdADB
基本 ACD DevACD ProdACD
資料庫執行處理 可選擇建立 Autonomous Database適用於開發人員的 Autonomous Database 自治式資料庫

Autonomous Database on Dedicated Exadata Infrastructure 現在已設定為在生產環境中進行後續部署,以開發和測試 AcmeHR 應用程式。