設定租用戶

您必須先執行這些準備作業來組織您的租用戶、建立各種資源的原則，然後採購並設定網路、安全性及基礎架構資源，才能使用 Oracle 的 Globally Distributed Database 服務來建立及管理分散式資料庫。

作業 1。訂閱阿什本地區

租用戶管理員可以訂閱 Ashburn (IAD) 區域和執行 Exascale 等級基礎架構上 Globally Distributed Exadata Database 所需的所有區域。

訂閱阿什本 (IAD) 區域。
- 您必須訂閱阿什本 (Ashburn) 區域才能使用此服務。
- 您的租用戶原建立區域不必是阿什本區域，但您必須訂閱阿什本區域，才能使用 Oracle 的全球分散式資料庫服務。
訂閱您將放置資料庫的任何其他區域。
- 訂閱您計畫放置資料庫以供實行的任何區域；這包括目錄的資料庫、分區以及目錄的選擇性 Oracle Data Guard 待命資料庫。
  
  注意： Exascale 等級基礎架構上的 Globally Distributed Exadata Database 僅支援在兩個區域中建立分區。此外，為了獲得最佳效能，使用 Raft 複製的分散式資料庫應在相同區域中具有分區。

如需更多資訊，請參閱管理區域。

作業 2。建立隔間

租用戶管理員可為 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 服務所需的所有資源，在您的租用戶中建立區間。

Oracle 建議使用下列結構，且這些區間會在整個設定任務中參考：

整個部署的「父項」區間。這是範例中的 gdd 。
各類資源的「子項」區間：
- gdd_certs_vaults_keys 適用於憑證授權機構、憑證、憑證組合、保存庫和金鑰
- Exascale 等級基礎架構資源上資料庫、VM 叢集、VCN、子網路、專用端點以及全球分散式 Exadata 資料庫的 gdd_databases 。
- 適用於應用程式伺服器之運算執行處理的 gdd_instances (邊緣節點 / 跳躍主機，用來作為連線至資料庫的堡壘主機)

產生的區間結構如下所示：

tenant /
     gdd /
          gdd_certs_vaults_keys
          gdd_databases
          gdd_instances

如需更多資訊，請參閱使用區間。

作業 3。建立使用者存取限制條件

制定存取控制計畫，然後建立適當的 IAM (Identity and Access Management) 資源來制定該計畫。因此，分散式資料庫內的存取控制會在不同層次實行，這些層次是由此處的群組和原則所定義。

下表中描述的使用者群組、動態群組及原則，應引導您為分散式資料庫實行建立自己的使用者存取控制計畫。

租用戶管理員可以建立下列建議的群組、動態群組以及原則，以將權限授予先前定義的角色。範例和文件連結假設您的租用戶使用識別網域。

瞭解角色區隔

您必須確保雲端使用者能夠存取使用及建立適當的雲端資源，以執行工作職責。最佳作法是定義角色以進行角色區隔。

下表所述的角色和職責應該會引導您瞭解如何為分散式 ExaDB-XS 實行定義使用者群組、動態群組和原則。此處提供的角色範例會用於整個環境設定、資源建立及管理指示。

角色	職務
租用戶管理者	訂閱地區建立隔間建立動態群組、使用者群組和原則
基礎架構管理員	建立 / 更新 / 刪除 virtual-network-family 建立 / 更新 / 刪除 Exadata 基礎架構建立 / 更新 / 刪除 Exadata VM 叢集標記 Exadata VM 叢集中建立 / 更新 / 刪除全域分散式資料庫專用端點
憑證管理員	建立 / 更新 / 刪除保存庫建立 / 更新 / 刪除金鑰
User	使用 UI 和 API 建立及管理 Globally Distributed Database

動態群組

建立下列動態群組以控制對 Exascale 等級基礎架構 Oracle Globally Distributed Exadata Database on Exascale Infrastructure 區間上 Oracle Globally Distributed Exadata Database 所建立資源的存取。

如需相關指示，請參閱建立動態群組。

動態群組名稱為	描述	規則
繁體中文 (台灣)	憑證授權機構資源	全部 resource.type='certificateauthority' resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_certs_vaults_keys'
gdd 叢集 -dg	Exadata 資料庫 VM 叢集資源	全部 resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_databases'
gdd- 實例 -dg	運算執行處理資源	全部 resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_instances'

動態群組名稱為

描述

規則

繁體中文 (台灣)

憑證授權機構資源

全部

resource.type='certificateauthority'

resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_certs_vaults_keys'

gdd 叢集 -dg

Exadata 資料庫 VM 叢集資源

全部

resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_databases'

gdd- 實例 -dg

運算執行處理資源

全部

resource.compartment.id = 'OCID of compartment tenant root / gdd / gdd_instances'

使用者群組

建立下列群組，讓使用者有權使用 Globally Distributed Database 區間中的資源。

如需相關指示，請參閱建立群組。

使用者群組的名稱	描述
gdd- 憑證管理員	建立及管理金鑰和保存庫的憑證管理員。
gdd- 基礎架構管理員	建立及管理雲端網路和基礎架構資源的基礎架構管理員
gdd 使用者	使用 API 和 UI 建立及管理 Globally Distributed Database 資源的使用者

原則

建立 IAM 原則，以授予群組對 Exascale InfrastructureOracle Globally Distributed Exadata Database on Exascale Infrastructure 租用戶上 Oracle Globally Distributed Exadata Database 區間中建立之資源的存取權。

請注意，Oracle Cloud 上有一個以上的 Globally Distributed Database 服務。這些原則是 Exascale 等級基礎架構服務上的 Globally Distributed Exadata Database 特有。

下列以先前建立的區間結構和群組為依據的範例原則，應引導您建立自己的 IAM 原則以進行導入。

識別網域 (例如「預設」) 應該是您在其中建立群組的識別網域。

如需相關指示，請參閱建立原則。

gdd - 憑證管理員 - 租用戶層級

描述：群組的用戶層級權限 gdd-certificate-admins
區間：tenant

敘述句：

Allow group 'Default' / 'gdd-certificate-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-certificate-admins' to INSPECT work-requests in tenancy

gdd-infrastructure-admins-tenant 層次

描述：群組的用戶層級權限 gdd-infrastructure-admins
區間：tenant

敘述句：

Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ limits in tenancy
Allow group 'Default' / 'gdd-infrastructure-admins' to READ tag-namespaces in tenancy

gdd- 使用者租用戶層級

描述：群組的用戶層級權限 gdd-users
區間：tenant

敘述句：

Allow group 'Default' / 'gdd-users' to INSPECT tenancies in tenancy
Allow group 'Default' / 'gdd-users' to INSPECT work-requests in tenancy
Allow group 'Default' / 'gdd-users' to READ limits in tenancy
Allow group 'Default' / 'gdd-users' to READ Distributed-database in tenancy
Allow group 'Default' / 'gdd-users' to READ tag-namespaces in tenancy

gdd- 憑證管理員

描述：群組 gdd-certificate-admins 的區間層級權限
區間：tenant/gdd

敘述句：

Allow group 'Default' / 'gdd-certificate-admins' to MANAGE keys in compartment gdd
Allow group 'Default' / 'gdd-certificate-admins' to MANAGE vaults in compartment gdd

gdd- 基礎架構管理員

描述：群組 gdd-infrastructure-admins 的區間層級權限
區間：tenant/gdd

敘述句：

Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE exadb-vm-clusters in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE Distributed-database in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to MANAGE virtual-network-family in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ exascale-db-storage-vaults in compartment gdd
Allow group 'Default' / 'gdd-infrastructure-admins' to READ distributed-database-workrequest in compartment gdd

gdd 使用者

描述：群組 gdd-users 的區間層級權限
區間：tenant/gdd

敘述句：

Allow group 'Default' / 'gdd-users' to MANAGE database-family in compartment gdd
Allow service database to manage recovery-service-family in compartment gdd
Allow service rcs to manage recovery-service-family in compartment gdd
Allow group 'Default' / 'gdd-users' to manage objects in compartment gdd
Allow group 'Default' / 'gdd-users' to read buckets in compartment gdd
Allow group 'Default' / 'gdd-users' to USE exadb-vm-clusters in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE instance-family in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE distributed-database in compartment gdd
Allow group 'Default' / 'gdd-users' to MANAGE tags in compartment gdd
Allow group 'Default' / 'gdd-users' to READ dns-records in compartment gdd
Allow group 'Default' / 'gdd-users' to READ dns-zone in compartment gdd
Allow group 'Default' / 'gdd-users' to READ keys in compartment gdd
Allow group 'Default' / 'gdd-users' to READ distributed-database-workrequest in compartment gdd
Allow group 'Default' / 'gdd-users' to READ vaults in compartment gdd
Allow group 'Default' / 'gdd-users' to READ vcns in compartment gdd
Allow group 'Default' / 'gdd-users' to USE network-security-groups in compartment gdd
Allow group 'Default' / 'gdd-users' to USE private-ips in compartment gdd
Allow group 'Default' / 'gdd-users' to USE subnets in compartment gdd
Allow group 'Default' / 'gdd-users' to USE vnics in compartment gdd
Allow group 'Default' / 'gdd-users' to USE volumes in compartment gdd

gdd-dg-cas

描述：動態群組 gdd-cas-dg 的區間層次權限
區間：tenant/gdd

敘述句：

Allow dynamic-group 'Default' / 'gdd-cas-dg' to MANAGE objects in compartment gdd
Allow dynamic-group 'Default' / 'gdd-cas-dg' to USE keys in compartment gdd

gdd-dg 叢集

描述：動態群組 gdd-clusters-dg 的區間層次權限
區間：tenant/gdd

敘述句：

Allow dynamic-group 'Default' / 'gdd-clusters-dg' to MANAGE keys in compartment gdd_certs_vaults_keys
Allow dynamic-group 'Default' / 'gdd-clusters-dg' to READ vaults in compartment gdd_certs_vaults_keys

gdd-kms

描述：金鑰管理服務的區間層級權限
區間：tenant/gdd

敘述句：

Allow service keymanagementservice to MANAGE vaults in compartment gdd_certs_vaults_keys

作業 4。設定網路資源

身為基礎架構管理員，請建立網路資源並啟用分散式資料庫所需的連線。

這些指示中會命名資源範例，以簡化追蹤與關係。例如，gdd_iad 名稱是指在阿什本 (IAD) 區域中建立的 VCN。

一般網路資源

Exascale 等級基礎架構 (分散式 ExaDB-XS) 上的所有 Globally Distributed Exadata Database 實行都需要在 Ashburn (IAD) 區域中提供 VCN、子網路及專用端點。

以基礎架構管理員的身分，依此處所述建立資源。

虛擬雲端網絡 (VCN) + 子網路

在阿什本 (IAD) 中，建立 VCN gdd_iad 和子網路 gdd_subnet。

必須要有此 VCN 和子網路，才能在分散式 ExaDB-XS 服務與拓樸中的資料庫之間進行連線。

使用下列值：

區間 = gdd/gdd_databases
區域 = 阿什本 (IAD)
子網路名稱 = gdd_subnet
子網路類型 = 區域

子網路必須是區域網路，跨所有可用性網域

請參閱 VCN 和子網路，瞭解建立它們的步驟。

專用端點

在阿什本 (IAD) 區域中建立專用端點，以啟用分散式 ExaDB-XS 服務與拓樸中資料庫之間的連線。

開啟導覽功能表，選取 Oracle AI Database ，然後選取 Exascale 等級基礎架構上的全域分散式 Exadata 資料庫。
選取導覽窗格中的專用端點。
選取建立專用端點。
請輸入下列資訊。
- 名稱：例如 gdd_pe
- 區間：gdd/gdd_databases
  
  這應該是包含您在上方建立之阿什本區域子網路的區間。
- 子網路：gdd_subnet
  
  如果未列出子網路，請確認子網路是否建立為區域子網路。
- 虛擬雲端網絡：gdd_iad
新增標記 (選擇性)：您可以選取顯示標記選項來選取此資源的標記。

請參閱建立及管理專用端點，瞭解此資源的詳細資訊。

根據拓樸的其他網路資源

視您在 Exascale InfrastructureOracle Globally Distributed Exadata Database on Exascale Infrastructure 上的 Oracle Globally Distributed Exadata Database 拓樸而定，建立其他網路資源，如下所述。

請注意，拓樸的資料庫包括目錄的目錄、分區和選擇性的 Oracle Data Guard 待命資料庫。

所有網路資源都應在 gdd/gdd_databases 區間中建立。

所有資料庫都放置在阿什本 (IAD) 區域中

在您的雲端 Exadata 資料庫 VM 叢集的阿什本 (IAD) 區域中建立子網路和服務閘道。

在阿什本 (IAD) 區域中，於 VCN gdd_iad 中建立子網路 osd-databases-subnet-iad。
在阿什本 (IAD) 區域中，建立服務閘道 gdd_sgw_iad

必要的對等互連：無

必要的連線：子網路 gdd_subnet 的連線不受限

所有資料庫都放置在非阿什本 (IAD) 的單一區域 R1 中

在區域中為您的雲端 Exadata 資料庫 VM 叢集建立子網路和服務閘道。

在區域 R1 中，建立子網路為 osd-database-subnet-R1 的 VCN gdd_R1
在區域 R1 中建立服務閘道 gdd_sgw_R1

所需對等：gdd_iad ↔ gdd_R1

必要的連線：gdd_iad.gdd_subnet 與 gdd_R1.osd-database-subnet-R1 之間不受限

資料庫放置在多個區域 R1、R2、...、RN

在每個區域中為您的雲端 Exadata 資料庫 VM 叢集建立子網路和服務閘道。

子網路：

在區域 R1 中，建立子網路為 osd-database-subnet-R1 的 VCN gdd_R1
在區域 R2 中，建立子網路為 osd-database-subnet-R2 的 VCN gdd_R2
…
在區域 Rn 中，建立子網路為 osd-database-subnet-Rn 的 VCN gdd_Rn

服務閘道：

在區域 R1 中建立服務閘道 gdd_sgw_R1
在區域 R2 中建立服務閘道 gdd_sgw_R2
…
在區域 Rn 中建立服務閘道 gdd_sgw_Rn

必要的對等互連：

gdd_iad ↔ gdd_R1
gdd_iad ↔ gdd_R2
gdd_iad ↔ gdd_Rn
gdd_R1 ↔ gdd_R2
gdd_R1 ↔ gdd_Rn
gdd_R2 ↔ gdd_Rn

必要連線：gdd_iad.gdd_subnet 與下列項目之間不受限且雙向：

gdd_R1.osd-database-subnet-R1
gdd_R2.osd-database-subnet-R2
gdd_Rn.osd-database-subnet-Rn

gdd_R1.osd-database-subnet-R1 與下列項目之間無限制和雙向：

gdd_R2.osd-database-subnet-R2
gdd_Rn.osd-database-subnet-Rn

gdd_R2.osd-database-subnet-R2 與 gdd_Rn.osd-database-subnet-Rn 之間無限制且雙向

注意：Oracle Globally Distributed Exadata Database on Exascale Infrastructure 服務控制層只存在於 Ashburn (IAD) 區域中。您在阿什本 (IAD) 區域上一個步驟中建立的專用端點，可用來與其個別區域中的分散式資料庫資源進行通訊。

您可以在下列位置取得建立資源的指示：

作業 5。設定安全資源

所有安全資源都建立在 gdd/gdd_certs_vaults_keys 區間中。

注意： 建立參照金鑰的分散式資料庫之後，若不同時重新啟動參照已移動保存庫或金鑰的容器資料庫，便無法將保存庫或金鑰搬移至新的區間。

建立保存保存庫

在分區資料庫所在區域的通透資料加密 (TDE) 主要加密金鑰的 gdd/gdd_certs_vaults_keys 區間中建立一個保存庫。

例如，在 R1 區域中，建立 Vault gdd_vault_R1。

如需建立 Vault 的詳細資訊，請參閱建立 Vault 。

建立 TDE 金鑰

建立主要加密金鑰以存取資料庫。

例如，使用下列屬性在保存庫 gdd_vault_R1 中建立主要加密金鑰 gdd_TDE_key-oraspace。

保護模式 = 軟體
關鍵型態：演算法 = AES
長度 = 256

如需有關建立主要加密金鑰的詳細資訊，請參閱 Create a Master Encryption Key 。

作業 6。建立 Exadata 資源

As the infrastructure administrator, configure the Oracle Globally Distributed Exadata Database on Exascale Infrastructure topology in the following steps.

匯入 Oracle-ApplicationName 標記命名空間

匯入您租用戶根區間中的 Oracle-ApplicationName 標記命名空間。

從雲端主控台導覽功能表中，依序選取治理與管理和標記命名空間 (在「租用戶管理」類別底下)。
在「標記命名空間」面板中，檢查您租用戶的根區間中是否有 Oracle-ApplicationName 命名空間。

確定已在清單範圍底下選取您租用戶的根區間。
如果清單中沒有看到 Oracle-ApplicationName，請執行下列作業：
1. 選取匯入標準標記 (位於清單上方)。
2. 選取 Oracle-ApplicationName 命名空間旁邊的核取方塊，然後選取匯入。

在 Exascale 等級基礎架構上建立 Exadata VM 叢集

使用 Exascale 等級基礎架構服務上的 Exadata Database Service 為目錄資料庫建立 VM 叢集、選擇性的 Data Guard 待命目錄資料庫，以及計畫在分散式 ExaDB-XS 拓樸中部署的每個分區資料庫。

建立 VM 叢集時，請使用下列需求和建議：

建議您使用每個資料庫一個 VM 叢集 (分區、目錄、目錄待命)。

一個分區資料庫和目錄資料庫可以共置於指定的 VM 叢集上。不過，針對目錄和分區使用通用 VM 叢集可能會導致處理瓶頸。
建立單一節點叢集。只支援單一節點叢集。
區間：在您租用戶的 gdd/gdd_clusters 區間中建立 VM 叢集。
每一 VM 啟用的 ECPU：針對分區的 VM 叢集啟用 8 個 ECPU。
資料庫儲存：只要您為拓樸中的每個資料庫設定至少 500GB 的儲存容量，即可讓所有 VM 叢集 (目錄和分區) 使用相同的保存庫。

例如，如果您有 3 個分區和 1 個目錄，則所需的儲存總計最小值為 500GB x 4 = 2000GB。在此情況下，您可以建立至少具有 2000GB 儲存容量的單一 Vault。
時區：將拓樸中的所有 VM 叢集都設為相同的時區。此設定位於「進階」選項下。
標記：新增定義的標記 Oracle-ApplicationName.Other_Oracle_Application: Sharding。此設定位於「進階」選項下。

您必須先匯入標記的命名空間 (如匯入 Oracle-ApplicationName 標記命名空間中所述)，才能新增標記。

注意：將 VM 叢集標記為用於分散式資料庫之後，該 SKU 將會繼續計費，直到 VM 叢集刪除為止。

如需建立叢集的步驟，請參閱管理 VM 叢集。

(選擇性) 建立 API 金鑰和使用者限制條件

如果您打算直接使用 Globally Distributed Database REST API、OCI Software Development Kits 和 Command Line Interface，請建立 OCI API 金鑰組。

依照必要的金鑰和 OCID 中的指示進行。

若要設定 API 的使用者控制項，請參閱全域分散式資料庫 API 的權限。