設定租用戶

您必須先執行這些準備作業來組織您的租用戶、建立各種資源的原則，然後採購並設定網路、安全性及基礎架構資源，才能使用 Oracle 的 Globally Distributed Database 服務來建立及管理分散式資料庫。

• 任務 1。訂閱阿什本地區
  
• 任務 2。建立區間
  
• 任務 3。建立使用者存取限制條件
  
• 任務 4。設定網路資源
  
• 設定工作 5。設定安全性資源
  
• 任務 6。建立 Exadata 資源
  
• (選擇性) 建立 API 金鑰與使用者限制條件
  

作業 1。訂閱阿什本地區

租用戶管理員可以訂閱 Ashburn (IAD) 區域和執行 Globally Distributed Exadata Database on Exascale Infrastructure 導入所需的所有區域。

1. 訂閱阿什本 (IAD) 區域。
   • 您必須訂閱阿什本 (Ashburn) 區域才能使用此服務。

   • 您的租用戶原建立區域不必是阿什本區域，但您必須訂閱阿什本區域，才能使用 Oracle 的全球分散式資料庫服務。

2. 訂閱您將放置資料庫的任何其他區域。
   • 訂閱您計畫放置資料庫以供實行的任何區域；這包括目錄的資料庫、分區以及目錄的選擇性 Oracle Data Guard 待命資料庫。

     附註：

     Exascale 等級基礎架構上的全球分散式 Exadata 資料庫只支援在兩個區域建立分區。此外，為了獲得最佳效能，使用 Raft 複製的分散式資料庫應在相同區域中具有分區。

如需更多資訊，請參閱管理區域。

作業 2。建立隔間

身為租用戶管理員，請為 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 服務所需的所有資源，在您的租用戶中建立區間。

Oracle 建議使用下列結構，且這些區間會在整個設定任務中參考：

• 整個部署的「父項」區間。這是範例中的 gdd 。
• 各類資源的「子項」區間：
  • gdd_certs_vaults_keys ，適用於憑證授權機構、憑證、憑證組合、保存庫和金鑰
  • gdd_databases 適用於資料庫、VM 叢集、VCN、子網路、專用端點，以及 Exascale 等級基礎架構上的全球分散式 Exadata 資料庫資源。
  • gdd_instances ，適用於應用程式伺服器的運算執行處理 (邊緣節點 / 跳躍主機，可作為連線至資料庫的堡壘主機)

產生的區間結構如下所示：

tenant /
     gdd /       
          gdd_certs_vaults_keys 
          gdd_databases  
          gdd_instances

如需更多資訊，請參閱使用區間。

作業 3。建立使用者存取限制條件

制定存取控制計畫，然後建立適當的 IAM (Identity and Access Management) 資源來制定該計畫。因此，分散式資料庫內的存取控制會在不同層次實行，這些層次是由此處的群組和原則所定義。

下表中描述的使用者群組、動態群組及原則，應引導您為分散式資料庫實行建立自己的使用者存取控制計畫。

租用戶管理員可以建立下列建議的群組、動態群組以及原則，以將權限授予先前定義的角色。範例和文件連結假設您的租用戶使用識別網域。

• 瞭解角色區隔
  
• 動態群組
  
• 使用者群組
  
• 原則
  

瞭解角色區隔

您必須確保雲端使用者能夠存取使用及建立適當的雲端資源，以執行工作職責。最佳作法是定義角色以進行角色區隔。

下表所述的角色和職責應該會引導您瞭解如何定義分散式 ExaDB-XS 實行的使用者群組、動態群組和原則。此處提供的角色範例會用於整個環境設定、資源建立及管理指示。

角色	職務
租用戶管理者	訂閱地區 建立隔間 建立動態群組、使用者群組和原則
基礎架構管理員	建立 / 更新 / 刪除 virtual-network-family 建立 / 更新 / 刪除 Exadata 基礎架構 建立 / 更新 / 刪除 Exadata VM 叢集 標記 Exadata VM 叢集中 建立 / 更新 / 刪除全域分散式資料庫專用端點
憑證管理員	建立 / 更新 / 刪除保存庫 建立 / 更新 / 刪除金鑰
User	使用 UI 和 API 建立及管理 Globally Distributed Database

動態群組

建立下列動態群組以控制對 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 區間中建立之資源的存取。

如需相關指示，請參閱建立動態群組。

動態群組名稱為	描述	規則
繁體中文 (台灣)	憑證授權機構資源	全部 resource.type='certificateauthority' resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_certs_vaults_keys'
gdd 叢集 -dg	Exadata 資料庫 VM 叢集資源	全部 resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_databases'
gdd- 實例 -dg	運算執行處理資源	全部 resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_instances'

使用者群組

建立下列群組，讓使用者有權使用 Globally Distributed Database 區間中的資源。

如需相關指示，請參閱建立群組。

使用者群組的名稱	描述
gdd- 憑證管理員	建立及管理金鑰和保存庫的憑證管理員。
gdd- 基礎架構管理員	建立及管理雲端網路和基礎架構資源的基礎架構管理員
gdd 使用者	使用 API 和 UI 建立及管理 Globally Distributed Database 資源的使用者

原則

建立 IAM 原則，以授予群組對 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 租用戶區間中建立之資源的存取權。

請注意，Oracle Cloud 上有一個以上的 Globally Distributed Database 服務。這些原則是 Exascale 等級基礎架構上的全域分散式 Exadata 資料庫服務所特有的原則。

下列以先前建立的區間結構和群組為依據的範例原則，應引導您建立自己的 IAM 原則以進行導入。

識別網域 (例如「預設」) 應該是您在其中建立群組的識別網域。

如需相關指示，請參閱建立原則。

gdd - 憑證管理員 - 租用戶層級

• 描述：群組 gdd-certificate-admins 的用戶層級權限
• 區間：租用戶
• 敘述句：

  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant 層次

• 描述：群組 gdd-infrastructure-admins 的用戶層級權限
• 區間：租用戶
• 敘述句：

  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd- 使用者租用戶層級

• 描述：群組 gdd-users 的用戶層級權限

• 區間：租用戶
• 敘述句：

  Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
  Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
  Allow group 'Default' / 'gdd-users' to READ limits in tenancy
  Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
  Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd- 憑證管理員

• 描述：群組 gdd-certificate-admins 的區間層次權限
• 區間：tenant/gdd
• 敘述句：

  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
  Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd- 基礎架構管理員

• 描述：群組 gdd-infrastructure-admins 的區間層級權限
• 區間：tenant/gdd
• 敘述句：

  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
  Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

gdd 使用者

• 描述：群組 gdd-users 的區間層級權限
• 區間：tenant/gdd
• 敘述句：

  Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
  Allow service database to manage recovery-service-family in compartment gdd 
  Allow service rcs to manage recovery-service-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
  Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
  Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
  Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
  Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

• 描述：動態群組 gdd-cas-dg 的區間層次權限
• 區間：tenant/gdd
• 敘述句：

  Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
  Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg 叢集

• 描述：動態群組 gdd-clusters-dg 的區間層級權限
• 區間：tenant/gdd
• 敘述句：

  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
  Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-kms

• 描述：金鑰管理服務的區間層級權限
• 區間：tenant/gdd
• 敘述句：

  Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

作業 4。設定網路資源

身為基礎架構管理員，請建立網路資源並啟用分散式資料庫所需的連線。

這些指示中會命名資源範例，以簡化追蹤與關係。例如，名稱「gdd_iad」是指在阿什本 (IAD) 區域中建立的 VCN。

• 通用網路資源
  
• 以拓樸為基礎的其他網路資源
  

一般網路資源

所有 Exascale 等級基礎架構上的全球分散式 Exadata 資料庫 ( 分散式 ExaDB-XS) 實行都需要在 Ashburn (IAD) 區域中提供 VCN、子網路及專用端點。

以基礎架構管理員身分建立資源，如下表所述。

資源	指示
虛擬雲端網絡 (VCN) + 子網路	在阿什本 (IAD) 中建立 VCN gdd_iad 和子網路 gdd_subnet。 需有此 VCN 和子網路，才能啟用分散式 ExaDB-XS 服務與拓樸中資料庫之間的連線。 使用下列值： 區間 = gdd / gdd_databases 區域 = 阿什本 (IAD) 子網路名稱 = gdd_subnet 子網路類型 = 區域 子網路必須是區域網路，跨所有可用性網域 請參閱 VCN 和子網路，瞭解建立它們的步驟。
專用端點	在阿什本 (IAD) 區域中建立專用端點，以啟用分散式 ExaDB-XS 服務與拓樸中資料庫之間的連線。 開啟導覽功能表，按一下 Oracle Database ，然後按一下 Exascale 等級基礎架構上的全域分散式 Exadata 資料庫。 按一下導覽窗格中的專用端點。 按一下建立專用端點。 請輸入下列資訊。 名稱：例如 gdd_pe 區間： gdd/gdd_databases 這應該是包含您在上方建立之阿什本區域子網路的區間。 子網路：gdd_subnet 如果您未見到所列的子網路，請確認子網路是以區域子網路的方式建立。 虛擬雲端網路： gdd_iad 新增標記 (選擇性)：您可以按一下「顯示標記選項」來選取此資源的標記。 請參閱建立及管理專用端點，瞭解此資源的詳細資訊。

根據拓樸的其他網路資源

視您的 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 拓樸而定，建立其他網路資源，如下所述。

請注意，拓樸的資料庫包括目錄的目錄、分區和選擇性的 Oracle Data Guard 待命資料庫。

所有網路資源都應該建立在 gdd/gdd_databases 區間中。

使用案例	網路資源	對等互連與連線
所有資料庫都放置在阿什本 (IAD) 區域中	在您的雲端 Exadata 資料庫 VM 叢集的阿什本 (IAD) 區域中建立子網路和服務閘道。 在阿什本 (IAD) 區域中，於 VCN gdd_iad 中建立子網路 osd-databases-subnet-iad。 在阿什本 (IAD) 區域中，建立服務閘道 gdd_sgw_iad	必要對等互連 無。 必要的連線 子網路 gdd_subnet 的無限制連線
所有資料庫都放置在單一區域 R1，而不是阿什本 (IAD) *	在區域中為您的雲端 Exadata 資料庫 VM 叢集建立子網路和服務閘道。 在 R1 區域中，建立含有 osd-database-subnet-R1 子網路的 VCN gdd_R1 在 R1 區域中，建立服務閘道 gdd_sgw_R1	必要對等互連 gdd_iad ↔ gdd_R1 必要的連線 gdd_iad.gdd_subnet 與 gdd_R1.osd-database-subnet-R1 之間沒有限制
資料庫位於多個區域 R1、R2、...、RN	在每個區域中為您的雲端 Exadata 資料庫 VM 叢集建立子網路和服務閘道。 子網路： 在 R1 區域中，建立含有 osd-database-subnet-R1 子網路的 VCN gdd_R1 在 R2 區域中，建立含有 osd-database-subnet-R2 子網路的 VCN gdd_R2 ... 在區域 Rn 中，建立子網路為 osd-database-subnet-Rn 的 VCN gdd_Rn 服務閘道： 在 R1 區域中，建立服務閘道 gdd_sgw_R1 在 R2 區域中，建立服務閘道 gdd_sgw_R2 ... 在區域 Rn 中建立服務閘道 gdd_sgw_Rn	必要對等互連 gdd_iad ↔ gdd_R1 gdd_iad ↔ gdd_R2 gdd_iad ↔ gdd_Rn gdd_R1 ↔ gdd_R2 gdd_R1 ↔ gdd_Rn gdd_R2 ↔ gdd_Rn 必要的連線 gdd_iad.gdd_subnet 與其間無限制和雙向 gdd_R1.osd 資料庫子網路 -R1 gdd_R2.osd 資料庫子網路 -R2 gdd_Rn.osd- 資料庫子網路 -Rn gdd_R1.osd-database-subnet-R1 之間不受限制且雙向 gdd_R2.osd 資料庫子網路 -R2 gdd_Rn.osd- 資料庫子網路 -Rn gdd_R2.osd-database-subnet-R2 之間不受限制且雙向 gdd_Rn.osd- 資料庫子網路 -Rn

*Oracle Globally Distributed Exadata Database on Exascale Infrastructure 服務控制層只存在於阿什本 (IAD) 區域中。您在阿什本 (IAD) 區域上一個步驟建立的專用端點，可用來與個別區域中的分散式資料庫資源進行通訊。

您可以在下列位置取得建立資源的指示：

• VCN 和子網路
• 建立服務閘道
• 透過 DRG 對等不同區域中的 VCN

作業 5。設定安全資源

所有安全資源都建立在 gdd/gdd_certs_vaults_keys 區間中。

警示：

建立參照金鑰的分散式資料庫之後，若不同時重新啟動參照已移動保存庫或金鑰的容器資料庫，便無法將保存庫或金鑰搬移至新的區間。

• 建立 Vault
  
• 建立 TDE 金鑰
  

建立保存保存庫

在 gdd/gdd_certs_vaults_keys 區間中為分區資料庫所在的區域中的通透資料加密 (TDE) 主要加密金鑰建立保存庫。

例如，在 R1 區域中，建立保存庫 gdd_vault_R1

如需建立 Vault 的詳細資訊，請參閱建立 Vault 。

建立 TDE 金鑰

建立主要加密金鑰以存取資料庫。

例如，使用下列屬性在保存庫 gdd_vault_R1 中建立主要加密金鑰 gdd_TDE_key-oraspace。

• 保護模式 = 軟體

• 關鍵型態：演算法 = AES

• 長度 = 256

如需有關建立主要加密金鑰的詳細資訊，請參閱 Create a Master Encryption Key 。

作業 6。建立 Exadata 資源

身為基礎架構管理員，請依照下列步驟設定 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 拓樸。

• 匯入 Oracle-ApplicationName 標記命名空間
  
• 在 Exascale 等級基礎架構上建立 Exadata VM 叢集
  

匯入 Oracle-ApplicationName 標記命名空間

將 Oracle-ApplicationName 標記命名空間匯入您租用戶的根區間中。

1. 從雲端主控台導覽功能表中，依序選取治理與管理和標記命名空間 (在「租用戶管理」類別底下)。

2. 在「標記命名空間」面板中，檢查 Oracle-ApplicationName 命名空間是否存在於您租用戶的根區間中。

   確定已在清單範圍底下選取您租用戶的根區間。

3. 如果清單中沒有看到 Oracle-ApplicationName，請執行下列作業：

   1. 按一下匯入標準標記 (位於清單上方)。

   2. 選取 Oracle-ApplicationName 命名空間旁邊的核取方塊，然後按一下匯入。

在 Exascale 等級基礎架構上建立 Exadata VM 叢集

使用 Exascale 等級基礎架構服務上的 Exadata Database Service 為目錄資料庫建立 VM 叢集、選擇性的 Data Guard 待命目錄資料庫，以及每個分區資料庫，您計畫在分散式 ExaDB-XS 拓樸中部署。

建立 VM 叢集時，請使用下列需求和建議：

• 建議您使用每個資料庫一個 VM 叢集 (分區、目錄、目錄待命)。

  一個分區資料庫和目錄資料庫可以共置於指定的 VM 叢集上。不過，針對目錄和分區使用通用 VM 叢集可能會導致處理瓶頸。

• 建立單一節點叢集。只支援單一節點叢集。

• 區間： 在您租用戶的 gdd/gdd_clusters 區間中建立 VM 叢集。

• 每一 VM 啟用的 ECPU：針對分區的 VM 叢集啟用 8 個 ECPU。

• 資料庫儲存：只要您為拓樸中的每個資料庫設定至少 500GB 的儲存容量，即可讓所有 VM 叢集 (目錄和分區) 使用相同的保存庫。

  例如，如果您有 3 個分區和 1 個目錄，則所需的儲存總計最小值為 500GB x 4 = 2000GB。在此情況下，您可以建立至少具有 2000GB 儲存容量的單一 Vault。

• 時區：將拓樸中的所有 VM 叢集都設為相同的時區。此設定位於「進階」選項下。

• 標記：新增定義的標記 Oracle-ApplicationName.Other_Oracle_Application: Sharding。此設定位於「進階」選項下。

  您必須先匯入標記的命名空間 (如匯入 Oracle-ApplicationName 標記命名空間中所述)，才能新增標記。

  附註：

  標記 VM 叢集以在分散式資料庫中使用之後，將會繼續對該 SKU 計費，直到 VM 叢集刪除為止。

如需建立叢集的步驟，請參閱管理 VM 叢集。

(選擇性) 建立 API 金鑰和使用者限制條件

如果您打算直接使用 Globally Distributed Database REST API、OCI Software Development Kits 和 Command Line Interface，請建立 OCI API 金鑰組。

依照必要的金鑰和 OCID 中的指示進行。

若要設定 API 的使用者控制項，請參閱全域分散式資料庫 API 的權限。