建立 Oracle Cloud 資源

在開始使用 Oracle Cloud Infrastructure GoldenGate 之前,請先瞭解如何建立區間、VCN、子網路、使用者和使用者群組。

建立區間

區間可讓您組織與控制對雲端資源的存取.這是一個邏輯容器,可用來將相關的雲端資源群組在一起,並讓特定使用者群組存取。

當您註冊 Oracle Cloud Infrastructure 時,Oracle 會建立您的租用戶,這是保存所有雲端資源的根區間。接著,您可以在您的租用戶內建立額外的區間和對應的原則,以控制對每個區間中資源的存取。

建立區間:
  1. 開啟 Oracle Cloud 主控台導覽功能表,然後按一下識別與安全
  2. 識別底下,按一下區間。就會顯示您可以存取的區間清單。
  3. 瀏覽至要在其中建立新區間的區間。
    • 若要在租用戶 (根區間) 中建立區間,請按一下建立區間
    • 若要在租用戶 (根區間) 以外的區間中建立區間,請按一下區間階層,直到到達要建立區間之區間的詳細資訊頁面為止。在區間詳細資訊頁面中,按一下建立區間
  4. 在「建立區間」對話方塊中,完成下列欄位:
    1. 對於名稱,請輸入唯一的區間名稱,不可超過 100 個字元 (包括英文字母、數字、句號、連字號以及底線)。此名稱在租用戶的所有區間中必須是唯一的。請避免輸入機密資訊。
    2. 描述中,輸入有助於區間與其他區間的描述。
    3. 對於父項區間,請確認這是要在其中建立區間的區間。若要選擇其他區間,請從下拉式清單中選取一個區間。
    4. (選擇性) 對於標記命名空間,您可以新增任意格式標記,協助您在 Oracle Cloud 主控台中搜尋資源。按一下 + 其他標記以新增更多標記。
    5. 按一下建立區間
建立區間之後,您的區間便會顯示在區間清單中。您現在可以建立原則並將資源新增至區間。

建立虛擬雲端網路和子網路

虛擬雲端網路 (VCN) 是您在特定區域的 Oracle Cloud Infrastructure 資料中心中設定的網路。子網路是 VCN 的子分割。

OCI GoldenGate 需要 VCN 和至少一個具有 NAT 閘道的專用子網路。必須提供路由規則,將流量重新導向至專用子網路之 NAT 閘道的路由表。如果您想要使用公用端點啟用連線,則同時需要一個公用子網路,並且 VCN 必須包括網際網路閘道。必須提供路由規則,將流量重新導向至公用子網路之網際網路閘道的路由表。
建立 VCN 和子網路:
  1. 開啟 Oracle Cloud 主控台導覽功能表,按一下網路,然後選取虛擬雲端網路
  2. 在「虛擬雲端網路」頁上,確認選取的區間,或選取其他區間。
  3. 動作功能表中,選取啟動 VCN 精靈
  4. In the Start VCN Wizard panel, select Create VCN with Internet Connectivity, and then click Start VCN Wizard.
  5. 在「組態」頁面的基本資訊底下,輸入 VCN 名稱
  6. 若為區間,請選取要在其中建立此 VCN 的區間。
  7. 下一步
  8. 在「複查並建立」頁面上,驗證組態詳細資訊,然後按一下建立

按一下檢視 VCN 詳細資訊,確認已建立公用子網路和專用子網路。

建立使用者

建立使用者以新增至可存取您 OCI GoldenGate 資源的群組。

在您建立使用者之前,請先瞭解:

  • OCI GoldenGate 部署使用者管理取決於您的租用戶是否使用 OCI IAM 搭配識別網域。請參閱管理部署使用者
  • 使用者名稱在您租用戶內的所有使用者中必須是唯一的
  • 使用者名稱不可變更
  • 使用者在置於群組之前沒有權限
如何建立使用者:
  1. 開啟 Oracle Cloud 主控台導覽功能表,按一下識別與安全性,然後在識別下,按一下網域
  2. 在「網域」頁面中,確認區間選擇項目,或變更為其他區間。
  3. 在「網域」清單中,按一下預設以存取預設網域,或按一下建立網域以建立新的網域。
  4. 從清單中選取網域。
  5. 在「網域詳細資訊」頁面上,按一下使用者管理
  6. 在「使用者」頁面上,按一下建立使用者
  7. 在「建立使用者」頁面上,依下列方式完成欄位:
    1. 輸入使用者的名字姓氏電子郵件地址,也可作為使用者名稱

      附註:

      此名稱在租用戶的所有使用者中必須是唯一的。您可於稍後變更此值。使用者名稱不可包含空格,而且只能包含基本拉丁字母 (ASCII)、數字、連字號、句號、底線、+ 以及 @。
    2. 針對群組,選取要指派使用者的群組。
  8. 按一下建立
接著,您可以將使用者新增至群組,並建立原則,讓群組能夠存取您的資源。如需有關使用者的詳細資訊,請參閱管理使用者

建立群組

群組是需要一組資源或區間相同類型存取權的使用者集合。

在您建立群組之前,請先瞭解:
  • 此群組名稱在租用戶內必須是唯一的。
  • 群組名稱建立後即無法變更。
  • 群組沒有權限,因此您至少必須寫入一個授予租用戶或區間群組權限的權限。
建立群組:
  1. 開啟 Oracle Cloud 主控台導覽功能表,按一下識別與安全性,然後在識別下,按一下網域
  2. 在「網域」頁面中,確認區間選擇項目,或變更區間。
  3. 從清單中選取網域。
  4. 在「網域詳細資訊」頁面上,按一下使用者管理
  5. 在「群組」下,按一下建立群組
  6. 在「建立群組」頁面上:
    1. 對於名稱,輸入群組的唯一名稱。

      附註:

      建立群組之後,您就無法變更名稱。此群組名稱在租用戶內必須是唯一的。群組名稱的長度可以是 1 到 100 個文數字字元、大寫或小寫字母,而且可以包含句號、破折號、連字號,但不能有空格
    2. 描述中,輸入易記的描述。
  7. 選取使用者是否可以要求此群組的存取權
  8. 使用者清單中,選取要指定給此群組的使用者。
  9. 按一下建立
在您撰寫授予區間或租用戶群組權限的原則之前,群組沒有任何權限。如需群組的詳細資訊,請參閱管理群組

建立原則

原則定義群組成員可以執行的動作,以及區間。

使用 Oracle Cloud 主控台來建立原則。在 Oracle Cloud 主控台導覽功能表中,選取身分識別與安全性,然後在身分識別下,選取原則。原則的撰寫語法如下:

allow group <identity-domain>/<group-name> to <verb> <resource-type> in <location> where <condition>

參數定義如下:

  • <identity-domain>:(選擇性) 如果使用 OCI IAM 進行識別管理,請包含使用者群組的識別網域。如果省略,OCI 會使用預設網域。
  • <group-name>:您授予權限的使用者群組名稱。
  • <verb>:為群組提供特定層次的資源類型存取權。動詞從 inspect 變成 readusemanage 時,存取層次會增加,而授與的權限則是累計的。

    進一步瞭解 . 權限與動詞之間的關係。

  • <resource-type>:您授予群組使用權限的資源類型。還有個別資源 (例如 goldengate-deploymentsgoldengate-pipelinesgoldengate-connections),而且有資源系列 (例如 goldengate-family),其中包含先前提及的個別資源。

    有關詳細資訊,請參閱 resource-types

  • <location>:將原則附加至區間或租用戶。您可以依名稱或 OCID 指定單一區間或區間路徑,或指定 tenancy 以涵蓋整個租用戶。
  • <condition>:選擇性。將套用此原則的一或多個條件。

進一步瞭解原則語法

如何建立原則

請依下列步驟建立原則:
  1. 在 Oracle Cloud 導覽功能表中,選取識別與安全性,然後在「識別」底下,按一下原則
  2. 在「原則」頁面上,按一下建立原則
  3. 在「建立政策」頁面上,輸入政策的名稱和說明。
  4. 選取要在其中建立此原則的區間
  5. 在「 Policy Builder 」區段中,您可以:
    • 原則使用案例下拉式清單和一般原則樣板 (例如讓使用者管理 GoldenGate 資源所需的原則 ) 選取 GoldenGate 服務
    • 按一下顯示手動編輯器,即可使用下列格式輸入原則規則:
      allow <subject> to <verb> <resource-type> in <location> where <condition>

      條件是選擇性的。請參閱動詞詳細資訊 + 資源類型組合

    秘訣:

    請參閱最低建議原則以瞭解詳細資訊。
  6. 按一下建立

如需有關原則的詳細資訊,請參閱原則如何運作原則語法以及原則參照

建議的最低原則

秘訣:

若要使用通用原則樣板來新增所有必要的原則,請執行下列動作:
  1. 對於原則使用案例,請從下拉式清單中選取 GoldenGate 服務
  2. 若為一般使用樣板,請從下拉式清單中選取讓使用者管理 GoldenGate 資源所需的原則

您至少需要原則:

  • 允許使用者使用管理 GoldenGate 資源,讓他們能夠使用部署和連線。舉例而言:
    allow group <identity-domain>/<group-name> to manage goldengate-family in <location>
  • 允許使用者管理網路資源,讓使用者能夠檢視及選取區間和子網路,以及在建立 GoldenGate 資源時建立及刪除專用端點。舉例而言:
    allow group <identity-domain>/<group-name> to manage virtual-network-family in <location>

    您也可以選擇使用精細原則組合進一步保護網路資源。請參閱 Securing Network Resources 的原則範例

  • 建立動態群組:可根據定義的規則將權限授予資源,讓您的 GoldenGate 部署和 (或) 管線能夠存取租用戶中的資源。以您選擇的名稱取代 <dynamic-group-name>。您可以視需要建立任意數目的動態群組,例如控制不同區間或租用戶部署中的權限。
    name: <dynamic-group-name>
    Matching rule: ALL {resource.type = 'goldengatedeployment', resource.compartment.id = '<location>'}

    秘訣:

    此清單中所遵循的原則指的是 <dynamic-group-name>。如果您建立多個動態群組,請確定在新增任何後續的原則時,參照正確的動態群組名稱。

  • 如果使用密碼加密密碼連線,您指定給連線的部署必須能夠存取連線的密碼加密密碼。請確定已將原則新增至您的區間或租用戶:
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>
  • 允許使用者讀取身分識別與存取管理 (IAM) 使用者和群組,以便對啟用 IAM 的租用戶進行驗證:
    allow service goldengate to {idcs_user_viewer, domain_resources_viewer} in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to {idcs_user_viewer, domain_resources_viewer} in <location>
  • Oracle 保存庫,可存取客戶管理的加密金鑰和密碼加密密碼。舉例而言:
    allow group <identity-domain>/<group-name> to manage secret-family in <location>
    allow group <identity-domain>/<group-name> to use keys in <location>
    allow group <identity-domain>/<group-name> to use vaults in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use keys in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to use vaults in <location> 
    allow dynamic-group <identity-domain>/<dynamic-group-name> to read secret-bundles in <location>

視您是否想要使用下列服務而定,您可能也需要為下列項目新增原則:

  • 來源和 (或) 目標資料庫的 Oracle 資料庫。舉例而言:
    allow group <identity-domain>/<group-name> to read database-family in <location>
    allow group <identity-domain>/<group-name> to read autonomous-database-family in <location>
  • Oracle Object Storage,用於儲存手動 OCI GoldenGate 備份。舉例而言:
    allow group <identity-domain>/<group-name> to manage objects in <location>
    allow dynamic-group <identity-domain>/<dynamic-group-name> to manage objects in <location>
    allow group <identity-domain>/<group-name> to inspect buckets in <location>
  • OCI 日誌記錄,以存取日誌群組。舉例而言:
    allow group <identity-domain>/<group-name> to read log-groups in <location>
    allow group <identity-domain>/<group-name> to read log-content in <location>
  • 負載平衡器 - 如果您啟用對部署主控台的公用存取權:
    allow group <identity-domain>/<group-name> to manage load-balancers in <location>
    allow group <identity-domain>/<group-name> to manage public-ips in <location> 
     
    allow group <identity-domain>/<group-name> to manage network-security-groups in <location>
    allow group <identity-domain>/<group-name> to manage vcns in <location> where ANY {request.operation = 'CreateNetworkSecurityGroup', request.operation = 'DeleteNetworkSecurityGroup'}
    
  • 工作要求:
    allow group <identity-domain>/<group-name> to inspect work-requests in <location>

下列敘述句提供管理工作區之標記命名空間和標記的群組權限:

allow group <identity-domain>/<group-name> to manage tag-namespaces in <location>

若要新增定義的標記,您必須具有使用標記命名空間的權限。若要進一步瞭解標記功能,請參閱資源標記

如需更多資訊和其他範例政策,請參閱 OCI GoldenGate 政策