建立 Oracle Cloud 資源

學習先建立區間、VCN、子網路、使用者及使用者群組，再開始使用 Oracle Cloud Infrastructure GoldenGate。

建立區間

區間可讓您組織與控制對雲端資源的存取. 這是一個邏輯容器，可用來將相關雲端資源群組在一起，並讓特定使用者群組存取。

當您註冊 Oracle Cloud Infrastructure 時，Oracle 會建立您的租用戶，這是存放所有雲端資源的根區間。然後在租用戶內建立其他區間，並建立相應的原則，以控制對每個區間中資源的存取。

建立隔離專區：

1. 開啟 Oracle Cloud 主控台導覽功能表，然後選取識別與安全性。

2. 在身分識別下，選取區間。將會顯示您可以存取的區間清單。

3. 請前往要在其中建立新區間的區間。

   • 若要在租用戶 (根區間) 中建立區間，請選取建立區間。

   • 若要在租用戶 (根區間) 以外的區間中建立區間，請從區間階層中選取區間，直到到達要建立區間的區間詳細資訊頁面為止。在區間詳細資訊頁面上，選取建立區間。

4. 在「建立區間」對話方塊中，依下列方式完成欄位：

   1. 在名稱中，輸入區間的唯一名稱，長度不可超過 100 個字元 (包括字母、數字、句號、連字號和底線)。此名稱在租用戶的所有區間中必須是唯一的。請避免輸入機密資訊。

   2. 在描述中，輸入有助於區分區間與其他區間的描述。

   3. 若為父項區間，請確認這是您要建立區間的區間。若要選擇其他區間，請從下拉式清單中選取一個區間。

   4. (選用) 若為標記命名空間，您可以新增任意格式標記，協助您在 Oracle Cloud 主控台中搜尋資源。選取 + 個其他標記即可新增其他標記。

   5. 選取建立區間。

您的區間在建立後便會顯示在區間清單中。您現在可以建立原則並將資源新增至您的區間。

建立虛擬雲端網絡與子網路

虛擬雲端網路 (VCN) 是您在特定區域的 Oracle Cloud Infrastructure 資料中心中設定的網路。子網路是 VCN 的子分割。

OCI GoldenGate 需要 VCN 和至少一個具有 NAT 閘道的專用子網路。必須要有路由規則將流量重新導向至專用子網路 NAT 閘道的路由表。如果您想要啟用使用公用端點的連線，則也需要公用子網路，且 VCN 必須包含網際網路閘道。必須有路由規則將流量重新導向至網際網路閘道的公用子網路路由表。

建立 VCN 與子網路的步驟：

1. 開啟 Oracle Cloud 主控台導覽功能表，選取網路，然後選取虛擬雲端網路。

2. 在虛擬雲端網路頁面中，確認選取的區間，或選取其他區間。

3. 從動作功能表中，選取啟動 VCN 精靈。

4. 在「啟動 VCN 精靈」面板中，選取使用網際網路連線建立 VCN ，然後選取啟動 VCN 精靈。

5. 在「組態」頁面的基本資訊底下，輸入 VCN 名稱。

6. 若為區間，請選取要在其中建立此 VCN 的區間。

7. 選取下一步。

8. 在「複查並建立」頁面上，驗證組態詳細資訊，然後選取建立。

選取檢視 VCN 詳細資訊，確認已建立公用子網路和專用子網路。

建立使用者

建立使用者以新增至可存取 OCI GoldenGate 資源的群組。

在您建立使用者之前，請先瞭解：

• OCI GoldenGate 部署使用者管理取決於您的租用戶是否使用 OCI IAM 搭配識別網域。請參閱管理部署使用者。

• 使用者名稱對您租用戶內的所有使用者必須是唯一的

• 使用者名稱不可變更

• 使用者必須先置於群組中，才能擁有權限

若要建立使用者：

1. 開啟 Oracle Cloud 主控台導覽功能表，選取識別與安全性，然後在識別下，選取網域。

2. 在「網域」頁面中，確認區間選擇，或變更為其他區間。

3. 在「網域」清單中，選取預設以存取預設網域，或選取建立網域以建立新的網域。

4. 從清單中選取網域。

5. 在「網域詳細資訊」頁面上，選取使用者管理。

6. 在「使用者 (Users)」頁面上，選取建立使用者 (Create user) 。

7. 在「建立使用者」頁面上，依下列方式完成欄位：

   1. 輸入使用者的名字、姓氏和電子郵件地址，這也可以作為使用者名稱。

      注意：此名稱在租用戶的所有使用者中必須是唯一的。您之後不能變更這個值。使用者名稱不可包含空格，而且只能包含基本拉丁字母 (ASCII)、數字、連字號、句號、底線、+ 以及 @。

   2. 針對群組，選取要指派使用者的群組。

8. 選取建立。

然後，您可以將使用者新增至群組，並建立可讓群組存取您資源的原則。如需有關使用者的詳細資訊，請參閱管理使用者。

建立群組

群組是使用者集合，這些使用者需要對一組資源或區間進行相同類型的存取。

在您建立群組之前，請先瞭解：

• 此群組名稱在租用戶內必須是唯一的。

• 群組名稱建立後即無法變更。

• 除非您至少寫入一個授予租用戶或區間群組權限的權限，否則群組沒有權限。

建立群組：

1. 開啟 Oracle Cloud 主控台導覽功能表，選取識別與安全性，然後在識別下，選取網域。

2. 在「網域」頁面上，確認區間選擇，或變更區間。

3. 從清單中選取一個領域。

4. 在「網域詳細資訊」頁面上，選取使用者管理。

5. 在「群組」底下，選取建立群組。

6. 在「建立群組」頁面上：

   1. 在名稱中，輸入群組的唯一名稱。

      注意：建立群組之後，就無法變更名稱。此群組名稱在租用戶內必須是唯一的。群組名稱的長度可以是 1 到 100 個數字或英文字母字元、大寫或小寫英文字母，而且可以包含句號、破折號、連字號，但不能有空格

   2. 在描述中，輸入易記的描述。

7. 選取使用者是否可以要求此群組的存取權。

8. 從使用者清單中，選取要指派給此群組的使用者。

9. 選取建立。

在您撰寫將群組權限授予區間或租用戶的原則之前，群組沒有任何權限。如需有關群組的詳細資訊，請參閱管理群組。

建立原則

原則定義群組成員可執行的動作，以及區間。

使用 Oracle Cloud 主控台建立原則。在 Oracle Cloud 主控台導覽功能表中，選取識別與安全性，然後在識別下，選取原則。原則的撰寫語法如下：

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

參數定義如下：

• <identity-domain>：(選擇性) 如果使用 OCI IAM 進行識別管理，請包含使用者群組的識別網域。如果省略，OCI 會使用預設網域。

• <group-name>：您授予權限的使用者群組名稱。

• <verb>：將特定層次的資源類型存取權提供給群組。當動詞從 inspect 到 read 到 use 到 manage 時，存取層次會隨之增加，而授予的權限則會是累計的。

  進一步瞭解權限與動詞之間的關係。

• <resource-type>：您授予群組使用權限的資源類型。有個別資源 (例如 goldengate-deployments、goldengate-pipelines 和 goldengate-connections)，且有資源系列 (例如 goldengate-family)，包含先前提及的個別資源。

  如需詳細資訊，請參閱 resource-types 。

• <location>：將原則附加至區間或租用戶。您可以依名稱或 OCID 指定單一區間或區間路徑，或指定 tenancy 以涵蓋整個租用戶。

• <condition>：選擇性。將套用此原則的一或多個條件。

進一步瞭解原則語法。

如何建立原則

請依下列步驟建立原則：

1. 在 Oracle Cloud 導覽功能表中，選取識別與安全性，然後在「識別」底下，選取原則。

2. 在「原則」頁面上，選取建立原則。

3. 在「建立原則」頁面中，輸入原則的名稱和描述。

4. 選取要在其中建立此原則的區間。

5. 在 Policy Builder 區段中，您可以：

   • 從原則使用案例下拉式清單和一般原則樣板 (例如讓使用者管理 GoldenGate 資源所需的原則 )，選取 GoldenGate 服務。

   • 選取顯示手動編輯器，以下列格式輸入原則規則：

     allow <subject> to <verb> <resource-type> in <location> where <condition>

     條件是選擇性的。請參閱動詞詳細資訊 + 資源類型組合。

   提示：請參閱最低建議原則以瞭解詳細資訊。

6. 選取建立。

如需有關原則的詳細資訊，請參閱原則如何運作、原則語法以及原則參照。

建議的最小原則

提示：

若要使用通用原則樣板來新增所有必要的原則，請執行下列動作：

1. 若為原則使用案例，請從下拉式清單中選取 GoldenGate 服務。

2. 對於一般使用樣板，請從下拉式清單中選取讓使用者管理 GoldenGate 資源所需的原則。

您至少需要原則：

• 允許使用者使用或管理 GoldenGate 資源，讓他們能夠使用部署和連線。舉例而言：

  allow group <identity-domain>/<group-name> to manage goldengate-family in <location>

• 允許使用者管理網路資源，讓使用者能夠檢視及選取區間和子網路，以及在建立 GoldenGate 資源時建立及刪除專用端點。舉例而言：

  allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

  注意：

  • 使用專用端點建立部署或連線時，會在選取的子網路中配置一或多個 IP。您必須在子網路和部署或連線的區間中提供必要的網路存取權限，才能讓服務建立網路資源。

  • 同樣地，使用專用端點刪除部署或連線時，需要適當的網路存取權限，以允許服務刪除網路資源。

  您也可以選擇結合精細原則，進一步保護網路資源。請參閱保護網路資源的原則範例。

• 建立動態群組：可根據定義的規則將權限授予資源，讓您的 GoldenGate 部署和 (或) 管線能夠存取租用戶中的資源。以您選擇的名稱取代 <dynamic-group-name>。您可以視需要建立任意數量的動態群組，例如控制不同區間或租用戶部署中的權限。

  name: <dynamic-group-name>
  Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

  提示：此清單中遵循的原則是指 <dynamic-group-name>。如果您建立多個動態群組，請確定在新增任何後續的原則時，參照正確的動態群組名稱。

• 如果使用密碼加密密碼連線，您指定給連線的部署必須能夠存取連線的密碼加密密碼。請確定已將原則新增至您的區間或租用戶：

  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

• 在啟用 IAM 的租用戶中，讓使用者能夠讀取 Identity and Access Management (IAM) 使用者和群組以進行驗證：

  allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>

  allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>

• 存取 Oracle Vault 中由客戶管理的加密金鑰和密碼加密密碼。舉例而言：

  allow group <identity-domain>/<group-name> to manage secret-family in <location>
  allow group <identity-domain>/<group-name> to use keys in <location>
  allow group <identity-domain>/<group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

視您是否要使用下列服務而定，您可能也需要新增原則：

• 適用於來源和 (或) 目標資料庫的 Oracle AI 資料庫。舉例而言：

  allow group <identity-domain>/<group-name> to read database-family in <location>

  allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>

• Oracle Object Storage，用於儲存手動和排定的 OCI GoldenGate 備份。舉例而言：

  allow group <identity-domain>/<group-name> to manage objects in <location>
  allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location> where target.bucket.name = '<bucket-name>'
  allow group <identity-domain>/<group-name> to inspect buckets in <location>

• OCI 日誌記錄，以存取日誌群組。舉例而言：

  allow group <identity-domain>/<group-name> to read log-groups in <location>
  allow group <identity-domain>/<group-name> to read log-content in <location>

• 負載平衡器 (如果您啟用建置主控台的公用存取)：

  allow group <identity-domain>/<group-name> to manage load-balancers in <location>
  allow group <identity-domain>/<group-name> to manage public-ips in <location>
  
  allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
  allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}

• 工作要求：

  allow group <identity-domain>/<group-name> to inspect work-requests in <location>

• 零信任封包路由 (ZPR) 。只有在您已將安全屬性新增至 VCN 和 (或) 負載平衡器以控制連線和公用部署的存取時，才需要指定：新增下列原則以允許負載平衡器的公用網際網路流量，以及負載平衡器與專用端點之間的流量：

  • 如果已為 VCN 和負載平衡器新增安全屬性：

    in <vcn-sa-key>:<vcn-sa-value> VCN allow <lb-sa-key>:<lb-sa-value> endpoints to connect to <pe-sa-key>:<pe-sa-value> endpoints
    in <vcn-sa-key>:<vcn-sa-value> VCN allow all-endpoints to connect to <lb-sa-key>:<lb-sa-value> endpoints

  • 如果只為 VCN 新增安全屬性而不為負載平衡器，且負載平衡器位於 CIDR 為 10.0.1.0/24 的公用子網路中：

    in <vcn-sa-key>:<vcn-sa-value> VCN allow '10.0.1.0/24' to connect to <pe-sa-key>:<pe-sa-value> endpoints

    注意：對於其他資源 (例如專用連線和專用部署)，安全屬性會新增至建立的專用端點。依預設，不會使用專用部署建立負載平衡器，因此不適用上述的 ZPR 範例。在此情況下，ZPR 會保護專用端點，因此您可能需要 ZPR 原則。實際的原則取決於您的使用案例。

  深入瞭解 ZPR 原則語法。

下列敘述句提供管理工作區之標記命名空間和標記的群組權限：

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

若要新增定義的標記，您必須具有使用標記命名空間的權限。若要深入瞭解標記功能，請參閱資源標記。