Oracle Cloud Infrastructure - Dokumentation

Grundlegende Konfigurationsprobleme beheben

In diesem Thema werden Verfahren zur Behebung allgemeiner Konfigurationsprobleme aufgeführt, die sich auf die Sicherheit Ihrer Oracle Cloud Infrastructure-Ressourcen auswirken.

Block-Volume

Block-Volume von Instanz getrennt

Problem: Stellen Sie sicher, dass nur Oracle Cloud Infrastructure-Administratoren Block-Volumes von Instanzen trennen können.

Grundlagen: Wenn Sie ein Block-Volume trennen, wird das Volume von der zugehörigen Instanz getrennt, was sich auf die für die Instanz verfügbaren Daten auswirkt. Dies kann sich auf die Datenverfügbarkeit auswirken, von geschäftskritischen Daten bis hin zum erfolgreichen Abschluss geplanter Volume-Backups. Um Datenverluste aufgrund von versehentlichen Volume-Trennungen durch autorisierte Benutzer oder böswillige Volume-Trennungen zu minimieren, sollten Sie die Berechtigung VOLUME_ATTACHMENT_DELETE auf Administratoren beschränken.

So vermeiden Sie das Trennen von Block-Volumes:

Mit der folgenden Policy kann die Gruppe VolumeUsers Volumes und Volume-Anhänge verwalten, mit Ausnahme der Trennung von Volumes:

Allow group VolumeUsers to manage volumes in tenancy
Allow group VolumeUsers to manage volume-attachments in tenancy
    where request.permission!='VOLUME_ATTACHMENT_DELETE'

Diese Änderung verhindert, dass VolumeUsers Volumes von Instanzen trennen.

Weitere Informationen:

Compute

Instanz basierend auf nicht genehmigtem benutzerdefiniertem Image erstellt

Problem: Eine Instanz wurde aus einem benutzerdefinierten Image erstellt, das in Ihrer Umgebung nicht unterstützt wird.

Grundlagen: Wenn Benutzer Instanzen erstellen, können sie zwischen Plattformimages, Boot-Volumes aus beendeten Instanzen und benutzerdefinierten Images wählen. Benutzerdefinierte Images repräsentieren eine Vielzahl von Images, darunter möglicherweise auch Images, die für Ihre Umgebung nicht genehmigt sind. Wenn Sie Tags in Ihrem Oracle Cloud Infrastructure-Mandanten verwenden, um genehmigte Images zu identifizieren, prüfen Sie, ob das Image, auf dem die Instanz basiert, ein genehmigtes Image ist, und beenden Sie die Instanz gegebenenfalls.

So prüfen Sie die Tags für das Image, aus dem die Instanz erstellt wurde:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Compute aus. Wählen Sie unter Compute die Option Instanzen aus.
  2. Klicken Sie auf die gewünschte Instanz.
  3. Klicken Sie auf den Link Image, um das Quellimage anzuzeigen.
  4. Klicken Sie auf die Registerkarte Tags, um die auf dieses Image angewendeten Tags anzuzeigen.

Wenn das benutzerdefinierte Image nicht über ein genehmigtes Tag verfügt und die Instanz beendet werden muss, lesen Sie Instanzen beenden.

Weitere Informationen:

IAM

Mitglied der Administratorengruppe hat API-Schlüssel verwendet

Problem: Ein Benutzer, der Mitglied der Administratorengruppe ist, hat über einen API-Schlüssel auf Ressourcen zugegriffen.

Grundlagen:

  • API-Schlüssel sind Zugangsdaten, mit denen programmgesteuerter Zugriff auf Oracle Cloud Infrastructure erteilt wird.

  • Aus Sicherheits- und Governance-Gründen sollten Benutzer nur Zugriff auf Ressourcen haben, mit denen sie interagieren müssen.

  • Erstellen Sie für Personen, die Mitglieder der Administratorengruppe sind und die Zugriff auf Ressourcen über die API benötigen, einen weiteren Benutzer in IAM, dem Sie die API-Schlüssel zuordnen. Erteilen Sie dem Benutzer mit den API-Schlüsseln nur Berechtigungen für die Ressourcen, mit denen er programmgesteuert interagieren muss.

So erstellen Sie Benutzer, Gruppen und Policys mit eingeschränkten Berechtigungen:

Die folgenden Verfahren zeigen, wie Sie einen Beispielbenutzer mit eingeschränkten Berechtigungen einrichten. In diesem Beispiel muss der Benutzer Instanzen in einem bestimmten Compartment starten können.

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

Benutzer erstellen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.
  2. Klicken Sie auf Benutzer erstellen.

  3. Gehen Sie im Dialogfeld Benutzer erstellen wie folgt vor:

    • Name: Geben Sie einen eindeutigen Namen oder eine E-Mail-Adresse für den neuen Benutzer ein. Der Wert ist der Anmeldename des Benutzers für die Konsole und muss für alle Benutzer in Ihrem Mandanten eindeutig sein.
    • Beschreibung: Geben Sie eine Beschreibung ein (erforderlich).
  4. Klicken Sie auf Erstellen.
Gruppen erstellen

Erstellen Sie als Nächstes die Gruppe ("InstanceLaunchers"), für die Sie die Policy erstellen möchten.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Klicken Sie auf Gruppe erstellen.

  3. Geben Sie im Dialogfeld Gruppe erstellen Folgendes ein:

    • Name: Geben Sie einen eindeutigen Namen für die Gruppe ein, z.B. "InstanceLaunchers".

      Der Name darf keine Leerzeichen enthalten.

    • Beschreibung: Geben Sie eine Beschreibung ein (erforderlich).
  4. Klicken Sie auf Erstellen.
Policys erstellen

In diesem Beispiel erteilt die Policy Mitgliedern der Gruppe InstanceLaunchers die Berechtigung zum Starten von Instanzen in einem bestimmten Compartment (CompartmentA).

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus.
  2. Klicken Sie auf Policy erstellen.

  3. Geben Sie einen eindeutigen Namen für die Policy ein, z.B. "InstanceLaunchersPolicy".

    Der Name darf keine Leerzeichen enthalten.

  4. Geben Sie eine Beschreibung ein (erforderlich), z.B. "Erteilt Benutzern die Berechtigung, Instanzen in CompartmentA zu starten".
  5. Klicken Sie auf Manuellen Editor anzeigen, und geben Sie diese Anweisung ein: 
    Allow group InstanceLaunchers to manage instance-family in compartment CompartmentA

    Diese Anweisung erteilt Mitgliedern der Gruppe InstanceLaunchers die Berechtigung zum Starten und Verwalten von Instanzen im Compartment "CompartmentA".

  6. Klicken Sie auf Erstellen.
Benutzer der Gruppe hinzufügen
  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus.
  2. Suchen Sie den Benutzer in der Benutzerliste, und klicken Sie auf den Namen.

  3. Klicken Sie links auf der Seite mit den Benutzerdetails auf Gruppen. Die Liste der Gruppen, zu denen der Benutzer gehört, wird angezeigt.

  4. Klicken Sie auf Benutzer zu Gruppe hinzufügen.
  5. Wählen Sie in der Liste Gruppen den Eintrag "InstanceLaunchers" aus.
  6. Klicken Sie auf Hinzufügen .
API-Signaturschlüssel für den Benutzer hochladen

Das folgende Verfahren funktioniert für reguläre Benutzer oder Administratoren. Administratoren können einen API-Schlüssel für einen anderen Benutzer oder für sich selbst hochladen.

Wichtig

Der API-Schlüssel muss ein RSA-Schlüssel im PEM-Format sein (mindestens 2048 Bit). Das PEM-Format sieht folgendermaßen aus:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAoTFqF...
...
-----END PUBLIC KEY——

Weitere Informationen zum Generieren eines PEM-Public-Keys finden Sie unter Erforderliche Schlüssel und OCIDs.

  1. Zeigen Sie die Benutzerdetails an:
    • Wenn Sie einen API-Schlüssel für sich selbst hochladen: Wählen Sie im Navigationsmenü das Menü Profil Symbol für Profilmenü aus, und wählen Sie je nach der angezeigten Option Benutzereinstellungen oder Mein Profil aus.
    • Wenn Sie als Administrator einen API-Schlüssel für einen anderen Benutzer hochladen: Klicken Sie in der Konsole auf Identität, Benutzer. Suchen Sie den Benutzer in der Liste, und klicken Sie auf den Namen des Benutzers, um die Details anzuzeigen.
  2. Klicken Sie auf API-Schlüssel hinzufügen, und wählen Sie API-Schlüssel einfügen aus.

  3. Fügen Sie den Schlüsselwert in das Fenster ein, und klicken Sie auf Hinzufügen.

    Der Schlüssel wird hinzugefügt, und der zugehörige Fingerprint wird angezeigt (Beispiel-Fingerprint: d1:b2:32:53:d3:5f:cf:68:2d:6f:8b:5f:77:8f:07:13).

Weitere Informationen:

Policy erteilt allgemeine Berechtigungen

Problem: Eine Policy erteilt vollständige Verwaltungsberechtigungen für mindestens einen Service in einem Compartment oder im Mandanten.

Grundlagen:

  • Der Zugriff auf Ressourcen wird über Policys gesteuert. Eine Policy ist ein Dokument, in dem angegeben ist, welche Personen auf welche Oracle Cloud Infrastructure-Ressourcen in Ihrem Unternehmen zugreifen können und wie. Eine Policy gestattet einer Gruppe , auf bestimmte Weise mit bestimmten Arten von Ressourcen  in einem bestimmten Compartment  zu arbeiten.
  • Aus Sicherheits- und Governance-Gründen sollten Benutzer nur Zugriff auf die benötigten Ressourcen haben.
  • Überlegen Sie genau, welche Zugriffsebene ein Benutzer benötigt. Die Policy-Sprache stellt eine Standardgruppe von Verben bereit (manage, use, read, inspect), mit denen Sie die Berechtigungen von Benutzern auf allgemeine Aufgaben ganz einfach begrenzen können. Beispiel: Wenn ein Benutzer Ressourcen aktualisieren, aber nicht erstellen oder löschen muss, gewähren Sie ihm anstelle der Berechtigung manage nur die Berechtigung use.

  • Die Policy-Sprache ist so konzipiert, dass Sie einfache Anweisungen schreiben können, die nur Verben und Ressourcenarten umfassen, ohne die Berechtigungen in der Anweisung angeben zu müssen. Für eine genauere Zugriffskontrolle können Sie Bedingungen in Kombination mit Berechtigungen oder API-Vorgängen verwenden, um den Geltungsbereich des Zugriffs zu begrenzen, der von einem bestimmten Verb erteilt wird.

  • Wenn möglich, begrenzen Sie den Zugriff auf bestimmte Compartments, auf die ein Benutzer Zugriff benötigt, anstatt Zugriff auf den gesamten Mandanten zu gewähren.

Tipps zum Schreiben von Policys mit möglichst geringen Berechtigungen:

Policy anstelle des Mandanten auf ein Compartment begrenzen

Jede Policy besteht aus mindestens einer Policy-Anweisung, die gemäß folgender Basissyntax aufgebaut ist. Ordnen Sie Policys nach Möglichkeit Compartments anstelle von Mandanten zu. Aktualisieren Sie beispielsweise eine Policy wie folgt:

Allow group <group_name> to <verb><resource-type> in tenancy

So schließen Sie nur die erforderlichen Compartments ein:

Allow group <group_name> to <verb><resource-type> in compartment <compartment_name>

Wenn der Benutzer Zugriff auf mehrere Compartments benötigt, erstellen Sie eine Policy-Anweisung für jedes Compartment. Sie können den Zugriff auf einzelne Compartments gegebenenfalls einfach entfernen.

Berechtigungen Personen zuweisen, die diese zur Ausführung einer Funktion benötigen

Oracle definiert die möglichen Verben, die Sie in Ihren Policys verwenden können. Im Folgenden finden Sie eine Zusammenfassung der Verben, von den geringsten Zugriffsberechtigungen zu den umfangreichsten:

Verb Typ des abgedeckten Zugriffs Zielbenutzer
inspect Möglichkeit, Ressourcen aufzulisten, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten. Externe Auditoren
read Umfasst inspect und bietet die Möglichkeit, vom Benutzer angegebene Metadaten und die eigentliche Ressource abzurufen. Interne Auditoren
use Umfasst read und bietet die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten (die Aktionen variieren nach Ressourcenart). Im Allgemeinen umfasst dieses Verb nicht die Möglichkeit, diese Ressourcenart zu erstellen oder zu löschen. Normale Endbenutzer von Ressourcen
manage Umfasst alle Berechtigungen für die Ressource. Administratoren

Benutzer, die keine Ressourcen erstellen oder löschen müssen, benötigen im Allgemeinen keine Verwaltungsberechtigungen. Beispiel: 

Allow group <group_name> to manage <resource-type> in compartment <compartment_name>

Wenn der Benutzer die Ressourcenart jedoch weder erstellen noch löschen muss, sollten Sie die Policy wie folgt ändern: 

Allow group <group_name> to use <resource-type> in compartment <compartment_name>

Die Policy-Referenz enthält Details zu den spezifischen Ressourcenarten für jeden Service sowie die Kombination aus Verb und Ressourcenart, die Zugriff auf die API-Vorgänge gewährt.

Für genaue Zugriffskontrolle Zugriff mit Bedingungen und API-Vorgängen zuweisen

In einer Policy-Anweisung können Sie Bedingungen in Kombination mit Berechtigungen oder API-Vorgängen verwenden, um den Geltungsbereich des von einem bestimmten Verb erteilten Zugriffs zu reduzieren.

Beispiel: Die Gruppe XYZ soll Gruppen auflisten, abrufen, erstellen oder aktualisieren (die Beschreibung ändern), aber nicht löschen können. Um Gruppen aufzulisten, abzurufen, zu erstellen und zu aktualisieren, benötigen Sie eine Policy mit manage groups als Verb und Ressourcenart. Gemäß der Tabelle unter Details für Kombinationen aus Verb und Ressourcentyp werden folgende Berechtigungen abgedeckt:

  • GROUP_INSPECT
  • GROUP_UPDATE
  • GROUP_CREATE
  • GROUP_DELETE

Um den Zugriff nur auf die gewünschten Berechtigungen einzuschränken, können Sie eine Bedingung hinzufügen, die die Berechtigungen explizit angibt, die Sie zulassen möchten:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.permission='GROUP_INSPECT',
                        request.permission='GROUP_CREATE',
                        request.permission='GROUP_UPDATE'}

Alternativ können Sie eine Policy konfigurieren, die alle Berechtigungen zulässt außer GROUP_DELETE:

Allow group XYZ to manage groups in tenancy where request.permission != 'GROUP_DELETE'

Alternativ können Sie eine Bedingung basierend auf den spezifischen API-Vorgängen schreiben. Beachten Sie, dass gemäß der Tabelle unter Für jeden API-Vorgang erforderliche Berechtigungen sowohl ListGroups als auch GetGroup nur die Berechtigung GROUP_INSPECT erfordert. Dies ist die Policy:

Allow group XYZ to manage groups in tenancy
                        
                        where any {request.operation='ListGroups',  
                        request.operation='GetGroup',
                        request.operation='CreateGroup',
                        request.operation='UpdateGroup'}

Es kann von Vorteil sein, Berechtigungen anstelle von API-Vorgängen in Bedingungen zu verwenden. Wenn später ein neuer API-Vorgang hinzugefügt wird, für den eine der in der berechtigungsbasierten Policy oben aufgeführten Berechtigungen erforderlich ist, kontrolliert diese Policy bereits den Zugriff der XYZ-Gruppe auf diesen neuen API-Vorgang.

Beachten Sie jedoch, dass Sie den Zugriff eines Benutzers auf eine Berechtigung weiter eingrenzen können, indem Sie zudem eine Bedingung basierend auf dem API-Vorgang angeben. Beispiel: Sie können einem Benutzer Zugriff auf GROUP_INSPECT erteilen, jedoch nur für ListGroups. 

Allow group XYZ to manage groups in tenancy
                        
                        where all {request.permission='GROUP_INSPECT',  
                        request.operation='ListGroups'}

Weitere Informationen:

API-Signaturschlüssel älter als 90 Tage

Problem: Die API-Signaturschlüssel eines Benutzers sind älter als 90 Tage. Oracle empfiehlt, API-Schlüssel mindestens alle 90 Tage zu rotieren.

Grundlagen:

  • API-Schlüssel sind Zugangsdaten, mit denen programmgesteuerter Zugriff auf Oracle Cloud Infrastructure erteilt wird.

  • API-Schlüssel regelmäßig (mindestens alle 90 Tage) zu rotieren, ist eine Best Practice in der Sicherheitsentwicklung und eine Complianceanforderung.

  • Testen Sie die neuen Schlüssel unbedingt, bevor Sie die alten Schlüssel deaktivieren.

Zum Generieren und Hochladen neuer API-Schlüssel:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

Neue API-Schlüssel generieren
Sie können die folgenden OpenSSL-Befehle verwenden, um das Schlüsselpaar im erforderlichen PEM-Format zu generieren. Wenn Sie Windows verwenden, müssen Sie Git Bash für Windows installieren und die Befehle mit diesem Tool ausführen.

  1. Falls noch nicht geschehen, erstellen Sie ein Verzeichnis .oci, um die Zugangsdaten zu speichern:

    
mkdir ~/.oci

  2. Generieren Sie den Private Key mit einem der folgenden Befehle.

    • Empfohlen: Um den mit einer Passphrase verschlüsselten Schlüssel zu generieren, geben Sie Folgendes an, wenn Sie dazu aufgefordert werden:

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 2048

      Hinweis: Unter Windows müssen Sie möglicherweise -passout stdin einfügen, damit Sie zur Eingabe einer Passphrase aufgefordert werden. Die Eingabeaufforderung besteht lediglich aus dem blinkenden Cursor, ohne dass Text angezeigt wird.

      openssl genrsa -out ~/.oci/oci_api_key.pem -aes128 -passout stdin 2048

    • So generieren Sie den Schlüssel ohne Passphrase:

      openssl genrsa -out ~/.oci/oci_api_key.pem 2048

  3. Stellen Sie sicher, dass nur Sie die Private-Key-Datei lesen können:

    chmod go-rwx ~/.oci/oci_api_key.pem

  4. Generieren Sie den Public Key:

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem

    Hinweis: Wenn Sie unter Windows den Private Key mit einer Passphrase generiert haben, müssen Sie möglicherweise -passin stdin hinzufügen, damit Sie zur Eingabe der Passphrase aufgefordert werden. Die Eingabeaufforderung besteht lediglich aus dem blinkenden Cursor, ohne dass Text angezeigt wird.

    openssl rsa -pubout -in ~/.oci/oci_api_key.pem -out ~/.oci/oci_api_key_public.pem -passin stdin

  5. Kopieren Sie den Inhalt des Public Keys mit pbcopy, xclip oder einem ähnlichen Tool in die Zwischenablage (Sie müssen den Wert später in die Konsole einfügen). Beispiel:

    cat ~/.oci/oci_api_key_public.pem | pbcopy
Ihre API-Anforderungen werden mit Ihrem Private Key signiert, und Oracle verwendet den Public Key zur Prüfung der Authentizität der Anforderung. Sie müssen den Public Key in IAM hochladen (Anweisungen unten).
Fingerprint des Schlüssels abrufen

Sie können den Fingerprint des Schlüssels mit folgendem OpenSSL-Befehl abrufen.

Für Linux und Mac OS X:

openssl rsa -pubout -outform DER -in ~/.oci/oci_api_key.pem | openssl md5 -c
Windows:
Hinweis

Wenn Sie Windows verwenden, müssen Sie Git Bash für Windows installieren und den Befehl mit diesem Tool ausführen.
openssl rsa -pubout -outform DER -in \.oci\oci_api_key.pem | openssl md5 -c

Wenn Sie den Public Key in die Konsole hochladen, wird der Fingerprint außerdem automatisch dort angezeigt. Er sieht etwa wie folgt aus: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef

API-Signaturschlüssel für den Benutzer hochladen
Sie können den PEM-Public-Key in die Konsole unter https://cloud.oracle.com hochladen. Wenn Sie keinen Anmeldenamen und kein Kennwort für die Konsole haben, kontaktieren Sie einen Administrator.
  1. Öffnen Sie die Konsole, und melden Sie sich an.

  2. Zeigen Sie die Details für den Benutzer an, der die API mit dem Schlüsselpaar aufruft:

    • Wenn Sie als dieser Benutzer bei der Konsole angemeldet sind: Wählen Sie im Navigationsmenü das Menü Profil Symbol für Profilmenü aus, und wählen Sie je nach der angezeigten Option Benutzereinstellungen oder Mein Profil aus.
    • Wenn Sie diesen Schritt als Administrator für einen anderen Benutzer ausführen: Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus. Suchen Sie den Benutzer in der Liste, und wählen Sie ihn aus, um die Details anzuzeigen.
  3. Wählen Sie API-Schlüssel auswählen aus.
  4. Wählen Sie API-Schlüssel hinzufügen aus.
  5. Wählen Sie Public Key einfügen aus
  6. Fügen Sie den Inhalt des PEM-Public-Keys in das Dialogfeld ein, und wählen Sie Hinzufügen aus.
Der Fingerprint des Schlüssels wird angezeigt (Beispiel: 12:34:56:78:90:ab:cd:ef:12:34:56:78:90:ab:cd:ef). Nachdem Sie den ersten Public Key hochgeladen haben, können Sie weitere Schlüssel auch mit dem API-Vorgang UploadApiKey hochladen. Pro Benutzer können bis zu drei API-Schlüsselpaare vorhanden sein. In einer API-Anforderung geben Sie den Fingerprint des Schlüssels an, um den Schlüssel anzugeben, mit dem Sie die Anforderung signieren möchten.
Neuen Schlüssel testen

Testen Sie den Schlüssel in einem Beispiel-API-Aufruf für Oracle Cloud Infrastructure.

Alten Schlüssel löschen
Das folgende Verfahren funktioniert für reguläre Benutzer oder Administratoren. Administratoren können einen API-Schlüssel entweder für einen anderen Benutzer oder für sich selbst löschen.
  1. Zeigen Sie die Benutzerdetails an:
    • Wenn Sie einen API-Schlüssel für sich selbst löschen: Wählen Sie im Navigationsmenü das Menü Profil Symbol für Profilmenü aus, und wählen Sie je nach der angezeigten Option Benutzereinstellungen oder Mein Profil aus.
    • Wenn Sie als Administrator einen API-Schlüssel für einen anderen Benutzer löschen: Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Benutzer aus. Suchen Sie den Benutzer in der Liste, und wählen Sie ihn aus, um die Details anzuzeigen.
  2. Wählen Sie API-Schlüssel aus.
  3. Wählen Sie das Aktionsmenü Menü "Aktionen" für den API-Schlüssel, den Sie löschen möchten, und wählen Sie Löschen aus.
  4. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.
Der API-Schlüssel ist für das Senden von API-Anforderungen nun nicht mehr gültig.

Weitere Informationen:

Mandantenadministratorberechtigung wurde einer IAM-Gruppe erteilt

Problem: Einer anderen Gruppe als der Administratorengruppe wurden Administratorberechtigungen erteilt.

Grundlagen:

  • Wenn einer Gruppe die Mandantenadministratorberechtigung (manage all-resources in tenancy) erteilt wird, haben die Mitglieder vollen Zugriff auf alle Ressourcen im Mandanten.
  • Diese umfangreiche Berechtigung muss kontrolliert und ausschließlich auf Benutzer beschränkt werden, die sie zur Ausführung ihrer Funktion benötigen.
  • Lassen Sie sich von Ihrem Oracle Cloud Infrastructure-Administrator bestätigen, dass diese Berechtigungserteilung sanktioniert wurde und dass die Mitgliedschaft der Gruppe nach Erteilung der Administratorberechtigung gültig bleibt.
  • Anstatt eine alternative Gruppe mit Administratorberechtigungen zu erstellen, sollten Sie Benutzer, die Administratorberechtigungen benötigen, stattdessen zur Standardadministratorengruppe hinzufügen.

So beheben Sie dieses Problem:

Fügen Sie Benutzer, die Administratorberechtigungen benötigen, zur Administratorengruppe hinzu:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Domains aus.
  2. Wählen Sie in der Liste Gruppen die Option Administratoren aus.
  3. Wählen Sie Benutzer zu Gruppe hinzufügen aus.
  4. Wählen Sie im Dialogfeld Benutzer zu Gruppe hinzufügen den Benutzer in der Liste Benutzer aus.
  5. Klicken Sie auf Hinzufügen.

Entfernen Sie die Policy oder Policy-Anweisung, die der (Nicht-Administratoren-)Gruppe Administratorberechtigungen erteilt.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Identität die Option Policys aus. Eine Liste der Policys im angezeigten Compartment wird angezeigt.

    Wenn die gesuchte Policy nicht angezeigt wird, stellen Sie sicher, dass Sie das richtige Compartment anzeigen. Um Policys anzuzeigen, die an ein anderes Compartment angehängt sind, wählen Sie unter Listengeltungsbereich dieses Compartment in der Liste aus.

  2. Klicken Sie auf die Policy, die aktualisiert werden soll.

    Die Details und Anweisungen der Policy werden angezeigt.

  3. Suchen Sie die Anweisung, die der Gruppe Administratorberechtigungen erteilt. Diese Policy sieht folgendermaßen aus:

    Allow group <group_name> to manage all-resources in tenancy

    Klicken Sie auf das Aktionsmenü Menü "Aktionen" und dann auf Löschen.

  4. Wenn die Policy keine anderen Anweisungen enthält, können Sie die Policy löschen, indem Sie neben dem Policy-Namen auf Löschen klicken.

Weitere Informationen:

Networking: VCN, Load Balancer und DNS

Keine Ingress-Regeln in Sicherheitslisten

Problem: Die Sicherheitslisten eines VCN enthalten keine Ingress-Regeln. Dies bedeutet, dass die Instanzen im VCN keinen eingehenden Traffic empfangen können.

Grundlagen:

  • Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren.
  • Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt.
  • Sie können mehrere Sicherheitslisten mit einem Subnetz verknüpfen. Ein Paket wird zugelassen, wenn es mit einer Regel in einer der Sicherheitslisten übereinstimmt, die vom Subnetz verwendet werden.
  • Wenn keine Ingress-(Inbound-)Regeln in den Sicherheitslisten des Subnetzes vorhanden sind, ist kein Traffic für die Instanzen in diesem Subnetz zulässig.
  • Zur eingehenden Sicherheit muss in den Regeln der Ingress-Sicherheitsliste eine bestimmte bekannte Quelle angegeben werden, keine Open Source (0.0.0.0/0).
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen Sicherheitslisten zu reduzieren.

So fügen Sie eine Ingress-Regel zu einer vorhandenen Sicherheitsliste hinzu:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Bestätigen Sie, dass Sie das Compartment anzeigen, das das gewünschte Cloud-Netzwerk enthält.
  3. Klicken Sie auf das gewünschte Cloud-Netzwerk.
  4. Klicken Sie auf Sicherheitslisten.
  5. Klicken Sie auf die gewünschte Sicherheitsliste.
  6. Klicken Sie auf Eingangsregeln.

  7. Fügen Sie mindestens eine Ingress-Regel hinzu:

    1. Klicken Sie auf Ingress-Regeln hinzufügen.
    2. Wählen Sie aus, ob es sich um eine zustandsbehaftete oder zustandslose Regel handelt (siehe Zustandsbehaftete und zustandslose Regeln). Standardmäßig sind Regeln zustandsbehaftet, sofern Sie nichts anderes festgelegt haben.
    3. Geben Sie das Quell-CIDR ein. Typische CIDRs, die Sie in einer Regel angeben können, sind der CIDR-Block für Ihr On-Premise-Netzwerk oder ein bestimmtes Subnetz. Wenn Sie eine Sicherheitslistenregel so einrichten, dass Traffic mit einem Servicegateway  zugelassen wird, lesen Sie stattdessen Aufgabe 3: (Optional) Sicherheitsregeln aktualisieren.
    4. Wählen Sie das Protokoll aus (z.B. TCP, UDP, ICMP, "Alle Protokolle" usw.).
    5. Geben Sie weitere Details je nach Protokoll ein:
      • Wenn Sie TCP oder UDP auswählen, geben Sie einen Quellportbereich und einen Zielportbereich ein. Sie können "Alle" eingeben, um alle Ports abzudecken. Wenn Sie einen bestimmten Port zulassen möchten, geben Sie die Portnummer (z.B. 22 für SSH oder 3389 für RDP) oder einen Portbereich ein (z.B. 20-22).
      • Wenn Sie ICMP auswählen, können Sie "Alle" eingeben, um alle Typen und Codes abzudecken. Wenn Sie einen bestimmten ICMP-Typ zulassen möchten, geben Sie den Typ und optional einen Code (durch Komma getrennt) ein (z.B. 3,4). Wenn der Typ mehrere Codes hat, die Sie zulassen möchten, erstellen Sie eine separate Regel für jeden Code.
  8. Klicken Sie anschließend auf Ingress-Regeln hinzufügen.

Diese Änderung ermöglicht den Ingress-Zugriff vom in der Regel aufgeführten Quell-CIDR-Block. Fügen Sie weitere Regeln hinzu, wenn Sie Ingress-Traffic von anderen bekannten Quellen zulassen möchten.

Weitere Informationen:

Sicherheitsliste lässt Traffic von beliebigen IP-Adressen zu (offene Quelle)

Problem: Eine Sicherheitsliste enthält mindestens eine Regel mit einer offenen Quelle (0.0.0.0/0). Dies bedeutet, dass der Traffic von jeder beliebigen Quelle stammen kann und nicht kontrolliert wird.

Grundlagen:

  • Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren.
  • Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt.
  • Sie können mehrere Sicherheitslisten mit einem Subnetz verknüpfen. Ein Paket wird zugelassen, wenn es mit einer Regel in einer der Sicherheitslisten übereinstimmt, die vom Subnetz verwendet werden.
  • Wenn keine Ingress-(Inbound-)Regeln in den Sicherheitslisten des Subnetzes vorhanden sind, ist kein Traffic für die Instanzen in diesem Subnetz zulässig.
  • Zur eingehenden Sicherheit muss in den Regeln der Ingress-Sicherheitsliste eine bestimmte bekannte Quelle angegeben werden, keine Open Source (0.0.0.0/0).
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen Sicherheitslisten zu reduzieren.

So ändern Sie die Quelle einer Sicherheitslistenregel:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Bestätigen Sie, dass Sie das Compartment anzeigen, das das gewünschte Cloud-Netzwerk enthält.
  3. Klicken Sie auf das gewünschte Cloud-Netzwerk.
  4. Klicken Sie auf Sicherheitslisten.
  5. Klicken Sie auf die gewünschte Sicherheitsliste.
  6. Klicken Sie auf Eingangsregeln.
  7. Suchen Sie die Regel, die 0.0.0.0/0 als Quell-CIDR auflistet.
  8. Bearbeiten Sie die Regel, und ändern Sie 0.0.0.0/0 in den CIDR-Block einer bekannten Quelle.

Mit dieser Änderung wird der Ingress-Traffic so eingeschränkt, dass Pakete nur von einem bestimmten CIDR-Block zugelassen werden. Fügen Sie weitere Regeln hinzu, wenn Sie Ingress-Traffic von anderen bekannten Quellen zulassen möchten.

Weitere Informationen:

Sicherheitsliste lässt Traffic zu sensiblen Ports zu

Problem: Eine Sicherheitsliste enthält mindestens eine Regel, die den Zugriff auf einen sensiblen Port zulässt.

Grundlagen:

  • Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, um den Netzwerkzugriff auf Ihre Instanzen zu kontrollieren.
  • Eine Sicherheitsliste wird auf Subnetzebene konfiguriert und auf Instanzebene durchgesetzt.
  • Sie können mehrere Sicherheitslisten mit einem Subnetz verknüpfen. Ein Paket wird zugelassen, wenn es mit einer Regel in einer der Sicherheitslisten übereinstimmt, die vom Subnetz verwendet werden.
  • Wenn keine Ingress-(Inbound-)Regeln in den Sicherheitslisten des Subnetzes vorhanden sind, ist kein Traffic für die Instanzen in diesem Subnetz zulässig.
  • Zur eingehenden Sicherheit muss in den Regeln der Ingress-Sicherheitsliste eine bestimmte bekannte Quelle angegeben werden, keine Open Source (0.0.0.0/0).
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen Sicherheitslisten zu reduzieren.

Empfehlung: Aktualisieren Sie die Sicherheitsliste des Subnetzes, um Zugriff auf Instanzen über SSH (TCP-Port 22) oder RDP (TCP-Port 3389) auf temporärer Basis nach Bedarf und nur über autorisierte CIDR-Blöcke (nicht 0.0.0.0/0) zu ermöglichen. Aktualisieren Sie zum Ausführen von Health Checks für die Instanz die Sicherheitsliste, um ICMP-Pings zuzulassen.

So ändern Sie eine vorhandene Sicherheitsliste:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Bestätigen Sie, dass Sie das Compartment anzeigen, das das gewünschte Cloud-Netzwerk enthält.
  3. Klicken Sie auf das gewünschte Cloud-Netzwerk.
  4. Klicken Sie auf Sicherheitslisten.
  5. Klicken Sie auf die gewünschte Sicherheitsliste.
  6. Klicken Sie auf Eingangsregeln.
  7. Nehmen Sie mindestens eine der folgenden Änderungen vor:
    • Löschen Sie eine vorhandene Regel.
    • Ändern Sie eine bestehende Regel in der Liste. Beispiel: Ändern Sie die Quelle von 0.0.0.0/0 in den CIDR-Block einer bekannten Quelle.
    • Fügen Sie eine neue Regel hinzu.

Weitere Informationen:

Internetgateway an VCN angehängt

Problem: Ein VCN verfügt über ein Internetgateway. Das Gateway muss zum Anhängen an das VCN autorisiert sein und darf nicht versehentlich Ressourcen für das Internet zugänglich machen.

Grundlagen:

  • Gateways stellen externe Konnektivität zu Hosts in einem VCN bereit. Beispiel: Ein Internetgateway ermöglicht direkte Internetkonnektivität für Instanzen in einem öffentlichen Subnetz mit einer öffentlichen IP-Adresse. Ein dynamisches Routinggateway (DRG) ermöglicht die Konnektivität mit dem On-Premise-Netzwerk über ein Site-to-Site-VPN oder eine FastConnect.
  • Um Traffic über das Internetgateway von einem bestimmten Subnetz in das VCN zu ermöglichen, muss eine Regel in der Routentabelle des Subnetzes vorhanden sein, in der das Internetgateway als Routenziel aufgeführt wird. Um das Internetgateway aus dem VCN zu löschen, müssen Sie zunächst alle Routingregeln löschen, die das Internetgateway als Ziel angeben.
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen VCNs zu reduzieren.

So entfernen Sie ein Internetgateway aus einem VCN:

Voraussetzung: Stellen Sie sicher, dass keine Routingregeln vorhanden sind, die das Internetgateway als Ziel angeben.

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Bestätigen Sie, dass Sie das Compartment anzeigen, das das gewünschte Cloud-Netzwerk enthält.
  3. Klicken Sie auf das gewünschte Cloud-Netzwerk.
  4. Klicken Sie auf Internetgateways.
  5. Klicken Sie auf das Menü Aktionen Menü "Aktionen" für das Internetgateway und dann auf Beenden.
  6. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Diese Änderung deaktiviert die direkte Internetkonnektivität für das VCN.

Weitere Informationen:

Instanz hat eine öffentliche IP-Adresse

Problem: Eine Instanz hat eine öffentliche IP-Adresse. Dies bedeutet, dass die Instanz öffentlich adressierbar sein kann, wenn andere erforderliche Komponenten vorhanden und richtig im VCN konfiguriert sind.

Grundlagen:

  • Überlegen Sie gründlich, ob Sie Internetzugriff auf Instanzen zulassen möchten. Beispiel: Lassen Sie nicht versehentlich Internetzugriff auf sensible DB-Systeme zu.

  • Damit eine Instanz öffentlich adressierbar ist, müssen folgende Voraussetzungen erfüllt sein.

    • Die Instanz muss eine öffentliche IP-Adresse haben und in einem öffentlichen Subnetz im VCN vorhanden sein (Instanzen in privaten Subnetzen können keine öffentlichen IP-Adressen haben).
    • Die Sicherheitsliste des Subnetzes muss so konfiguriert sein, dass Traffic für alle IP-Adressen (0.0.0.0/0) und alle Ports zulässig ist.
    • Das VCN muss über ein Internetgateway verfügen und so konfiguriert sein, dass ausgehender Traffic vom Subnetz zum Internetgateway weitergeleitet wird.
  • Eine Instanz kann mehr als eine öffentliche IP-Adresse haben. Eine bestimmte öffentliche IP-Adresse wird einer privaten IP-Adresse auf einer bestimmten VNIC auf der Instanz zugewiesen. Eine Instanz kann mehr als eine VNIC haben, und jede VNIC kann mehrere private IP-Adressen haben.

So entfernen Sie eine öffentliche IP-Adresse aus einer Instanz:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Compute aus. Wählen Sie unter Compute die Option Instanzen aus.
  2. Bestätigen Sie, dass Sie das Compartment anzeigen, das die gewünschte Instanz enthält.
  3. Klicken Sie auf die Instanz, um die Details anzuzeigen.

  4. Klicken Sie auf Angehängte VNICs.

    Die primäre VNIC und alle sekundären VNICs, die an die Instanz angehängt sind, werden angezeigt.

  5. Klicken Sie auf die gewünschte VNIC.

  6. Klicken Sie auf IPv4 Addresses.

    Die primäre private IP-Adresse der VNIC und eventuelle sekundäre private IP-Adressen werden angezeigt.

  7. Klicken Sie für die erforderliche private IP auf das Menü Aktionen Menü "Aktionen" und dann auf Bearbeiten.
  8. Aktivieren Sie im Abschnitt Öffentliche IP-Adresse für die Option Typ von öffentlicher IP das Optionsfeld für Keine öffentliche IP.
  9. Klicken Sie auf Aktualisieren.

Die Zuweisung der öffentlichen IP-Adresse zur Instanz wird aufgehoben.

Weitere Informationen:

Load Balancer hat keine Ingress-Regeln oder Listener

Problem: Die Subnetzsicherheitslisten eines Load Balancers enthalten keine Ingress-Regeln, oder ein Load Balancer hat keinen Listener. In diesem Fall kann der Load Balancer keinen eingehenden Traffic empfangen.

Grundlagen:

  • Load Balancer stellen eine automatisierte Trafficverteilung von einem Einstiegspunkt zu mehreren Servern bereit, die über Ihr virtuelles Cloud-Netzwerk (VCN) erreichbar sind. Jeder Load Balancer ist in einem Subnetz vorhanden, das von Sicherheitslistenregeln gesteuert wird. Ein Load Balancer empfängt eingehenden Datentraffic von einem oder mehreren Listenern.
  • Sicherheitslisten bieten zustandsbehaftete und zustandslose Firewallfunktionen, mit denen der Netzwerkzugriff auf Ihren Load Balancer und die Backend-Server gesteuert werden kann.
    • Wenn keine Ingress-(Inbound-)Regeln in den Sicherheitslisten des Subnetzes vorhanden sind, ist kein Traffic für die Instanzen in diesem Subnetz zulässig.
    • Für tiefgreifende Sicherheit muss in den Regeln der Ingress-Sicherheitsliste eine bestimmte bekannte Quelle konfiguriert sein, keine offene Quelle (0.0.0.0/0).
  • Ein Listener ist eine logische Entity, die eingehenden Traffic auf der IP-Adresse des Load Balancers erkennt.
    • Um TCP-, HTTP- und HTTPS-Traffic zu verarbeiten, müssen Sie mindestens einen Listener pro Traffictyp konfigurieren.
    • Sie können Pfadroutenregeln auf einen Listener anwenden, um Traffic an das korrekte Backend-Set weiterzuleiten, ohne mehrere Listener oder Load Balancer zu verwenden. Eine Pfadroute ist eine Zeichenfolge, die der Listener mit einer eingehenden URI abgleicht, um das entsprechende Ziel-Backend-Set zu bestimmen.
  • Stellen Sie sicher, dass Ihre Oracle Cloud Infrastructure-Load Balancer eingehende Regeln oder Listener verwenden, um den Zugriff nur von bekannten Ressourcen aus zuzulassen.
  • Ausnahmen können in CASB konfiguriert werden, um Alerts von ausgenommenen Load Balancern zu reduzieren.
So lassen Sie zu, dass ein Listener Traffic akzeptiert:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

Damit ein Listener Traffic akzeptiert, müssen Sie die Sicherheitslistenregeln des VCN aktualisieren:

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Networking aus. Wählen Sie dann Virtuelle Cloud-Netzwerke aus.
  2. Wählen Sie unter Listengeltungsbereich ein Compartment aus, für das Sie die Berechtigung zur Arbeit haben. Die Liste der VCNs im aktuellen Compartment wird angezeigt.
  3. Wählen Sie den Namen des VCN aus, das den Load Balancer enthält, und wählen Sie Netzwerksicherheitsgruppen oder Sicherheitslisten aus. Eine Liste der Sicherheitsgruppen oder -listen im Cloud-Netzwerk wird angezeigt.
  4. Wählen Sie den Namen der NSG oder Sicherheitsliste aus, die für Ihren Load Balancer gilt.
  5. Sie können die vorhandenen Regeln hinzufügen oder bearbeiten, um Zugriff von den entsprechenden Ressourcen zu erhalten. Die Sicherheitsregeln einer NSG werden auf der Seite Details der Netzwerksicherheitsgruppe angezeigt. Dort können Sie Regeln hinzufügen, bearbeiten oder entfernen. Die Seite Details der Sicherheitsliste ermöglicht Zugriff auf separate Tabellen, in denen Sie Ingressregeln oder Egressregeln hinzufügen oder bearbeiten können. Details zur Regelkonfiguration finden Sie unter Sicherheitsregeln.

So erstellen Sie einen Listener:

Im Allgemeinen erstellen Sie einen Listener im Rahmen des Workflows zur Erstellung des Load Balancers. So erstellen Sie einen Listener für einen vorhandenen Load Balancer:

  1. Wählen Sie unter Load Balancer die Option Load Balancer aus.

    Die Listenseite Load Balancer wird geöffnet. Alle vorhandenen Load-Balancer-Ressourcen im ausgewählten Compartment werden in einer Listentabelle angezeigt.

  2. Um die Ressourcen in einem anderen Compartment anzuzeigen, wechseln Sie mit dem Compartment-Filter zu Compartments.

    Sie müssen berechtigt sein, in einem Compartment zu arbeiten, um die darin enthaltenen Ressourcen anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment zu verwenden ist, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Compartments.

  3. Wählen Sie einen Status in der Liste aus, damit nur Load Balancer mit diesem Status angezeigt werden.
  4. Wählen Sie den Load Balancer aus, für den Sie einen Listener erstellen möchten. Die Seite Details des Load Balancers wird angezeigt.
  5. Wählen Sie unter Ressourcen die Option Listener aus. Die Liste Listener wird angezeigt. Alle Listener werden in tabellarischer Form aufgeführt.
  6. Wählen Sie Listener erstellen aus. Das Dialogfeld Listener erstellen wird angezeigt.
  7. Geben Sie folgende Werte an:
    • Name: Geben Sie einen benutzerfreundlichen Namen für den Listener ein. Der Name muss eindeutig sein und kann nicht geändert werden.
    • Hostname: (Optional) Wählen Sie bis zu 16 virtuelle Hostnamen für diesen Listener aus.
      Hinweis

      Um einen virtuellen Hostnamen auf einen Listener anzuwenden, muss der Name Teil der Konfiguration des Load Balancers sein. Wenn dem Load Balancer keine Hostnamen zugeordnet sind, können Sie auf der Seite Hostnamen einen Hostnamens erstellen. Weitere Informationen finden Sie unter Virtuelle Hostnamen für Load Balancer.
    • Protokoll: Geben Sie das zu verwendende Protokoll an: HTTP, HTTP/2, TCP oder HTTPS.
    • Port: Geben Sie den Port an, der auf eingehenden Traffic überwacht werden soll.
    • SSL verwenden: (Erforderlich für HTTP/2 und HTTPS, optional für HTTP und TCP) Aktivieren. Die folgenden Einstellungen sind erforderlich, um ein SSL-Zertifikats-Bundle mit dem Listener zu verknüpfen und das SSL-Handling zu aktivieren. Weitere Informationen zur Verwendung von SSL-Zertifikaten mit Load Balancern finden Sie unter SSL-Zertifikate für Load Balancer.

      Der Load Balancer erkennt Änderungen automatisch und verwendet in der SSL-Konfiguration die aktuelle Version der Certificates-Serviceentitys (Zertifikate, Certificate Authoritys und CA-Bundles). Weitere Informationen zu automatisierten Zertifikatrotationen finden Sie unter Zertifikate.

      • Zertifikatressource: Wählen Sie den Zertifikatressourcentyp aus der Liste aus:

        Die Importmethode für das Zertifikat hängt vom ausgewählten Zertifikatsressourcentyp ab.

        Von Zertifikatsservices verwaltetes Zertifikat: Wählen Sie das Zertifikat im angegebenen Compartment aus der Liste Zertifikat aus. Wählen Sie Compartment ändern aus, wenn Sie das Zertifikat aus einem anderen Compartment auswählen möchten.

        • Bei dieser Auswahl sind erweiterte Optionen verfügbar. Wählen Sie Erweiterte Optionen anzeigen aus, und wählen Sie die Registerkarte Erweiterte SSL aus. Diese Option wird später in diesem Thema beschrieben.
        • Von Load Balancer verwaltetes Zertifikat: Wählen Sie eine der folgenden Optionen aus, um das Zertifikat zu importieren:

          SSL-Zertifikatsdatei auswählen: Ziehen Sie die Zertifikatsdatei im PEM-Format in das Feld SSL-Zertifikat. Sie können auch die Option SSL-Zertifikat einfügen auswählen, um ein Zertifikat direkt in dieses Feld einzufügen. Wenn Sie ein selbstsigniertes Zertifikat für Backend-SSL weiterleiten, müssen Sie dasselbe Zertifikat auch im entsprechenden Feld für das CA-Zertifikat weiterleiten.

          Private Key angeben: (Für SSL-Beendigung erforderlich, optional für alle anderen) Aktivieren Sie das Kontrollkästchen, um einen Private Key für das Zertifikat anzugeben.

          Private-Key-Datei auswählen: Ziehen Sie den Private Key im PEM-Format in das Feld Private Key. Sie können auch die Option Private Key einfügen auswählen, um einen Private Key direkt in dieses Feld einzufügen.

          Private Key Passphrase eingeben: (Optional) Geben Sie die Private Key Passphrase ein.

        • Sitzungswiederaufnahme aktivieren: Wählen Sie diese Option aus, um die vorherige Verschlüsselungssession fortzusetzen, anstatt vor jeder Anforderung eine neue SSL-Verbindung abzuschließen. Die Aktivierung der Sessionwiederaufnahme verbessert die Performance, bietet jedoch eine geringere Sicherheitsebene. Deaktivieren Sie die Funktion, um vor jeder Anforderung eine neue SSL-Verbindung zu erzwingen. Durch das Deaktivieren der Wiederaufnahme einer Sitzung wird die Sicherheit verbessert, die Leistung wird jedoch reduziert.
      • Peerzertifikat verifizieren: (Optional) Wählen Sie diese Option aus, um die Peerzertifikatverifizierung zu aktivieren. Weitere Informationen finden Sie unter SSL-Zertifikate für Load Balancer.

        Die gegenseitige TLS (mTLS) wird für die Kommunikation zwischen einem Load Balancer und den Backend-Servern nicht unterstützt. Sie können mTLS für die Kommunikation zwischen Load Balancern und Benutzern verwenden.

      • Verifizierungstiefe: (Optional) Geben Sie die maximale Tiefe für die Zertifikatskettenverifizierung an. Weitere Informationen finden Sie unter SSL-Zertifikate für Load Balancer.
    • Backend-Set: Geben Sie das standardmäßige Backend-Set an, an das der Listener Traffic weiterleitet.
    • Inaktivitätstimeout in Sekunden: (Optional) Geben Sie die maximale Inaktivitätszeit in Sekunden an. Diese Einstellung gilt für die zulässige Zeit zwischen zwei aufeinanderfolgenden Empfangsvorgängen oder zwei aufeinanderfolgenden Sendevorgängen für Netzwerkeingaben/-ausgaben während der HTTP-Anforderungs-/Antwortphase. Der Höchstwert beträgt 7.200 Sekunden. Weitere Informationen finden Sie unter Load Balancer - Timeouteinstellungen für Verbindungen.
    • (Optional) Wählen Sie die Registerkarte Proxyprotokoll aus, um das Proxyprotokoll auf dem Load Balancer zu aktivieren und zu konfigurieren. Weitere Informationen zu dieser Funktion finden Sie unter Proxy Protocol.
      1. Wählen Sie Proxyprotokoll aktivieren aus, um diese Funktion zu aktivieren.
      2. Wählen Sie die gewünschte Proxyprotokollversion aus:
        • Version 1: Unterstützt ein menschenlesbares Headerformat (Text) und ist in der Regel eine einzelne Zeile eines Logeintrags. Verwenden Sie diese Option für das Debugging während der frühen Einführungsphase, wenn nur wenige Implementierungen vorhanden sind.
        • Version 2: Kombiniert die Unterstützung für den menschenlesbaren Header aus Version 1 mit einer binären Codierung des Headers, um die Effizienz beim Produzieren und Parsen zu erhöhen. Verwenden Sie diese Option für IPv6-Adressen, die im ASCII-Formular nur schwer generiert und geparst werden können. Version 2 unterstützt auch benutzerdefinierte Erweiterungen besser. Standardmäßig ist PP2 Type Authority als einzige verfügbare Version 2-Option ausgewählt.
    • Sie können entweder eine Routing-Policys oder ein Pfadroutenset auswählen.
      • Routing-Policy: (Optional) Geben Sie den Namen der Routing-Policy an, die für den Traffic dieses Listeners gilt.
      • Pfadroutenset: (Optional) Geben Sie den Namen des Sets pfadbasierter Routingregeln an, das für den Traffic dieses Listeners gilt.

        Um ein Path-Routenset auf einen Listener anzuwenden, muss das Pfad-Routenset Teil der Konfiguration des Load Balancers sein.

        Um ein Pfadroutenset aus einem vorhandenen Listener zu entfernen, wählen Sie unter Pfadroutenset die Option Kein Wert aus. Das Pfadroutenset bleibt für die Verwendung durch andere Listener auf diesem Load Balancer verfügbar.

    • Regelsets: (Optional) Wählen Sie ein Regelset aus, das für den Listener-Traffic gilt. Um ein Regelset auf einen Listener anzuwenden, muss das Set Teil der Load-Balancer-Konfiguration sein. Um ein Regelset aus der Liste zu entfernen, aktivieren Sie das entsprechende rote Kontrollkästchen. Das Regelset steht weiterhin für die Verwendung durch weitere Listener auf diesem Load Balancer zur Verfügung.
    • Erweiterte Optionen anzeigen: Wählen Sie diese Option aus, um die folgenden Optionen anzuzeigen:
      • Erweitertes SSL: (Nur vorhanden, wenn die Zertifikatsressource "Von Zertifikatsservice verwaltetes Zertifikat" ausgewählt ist.) Wählen Sie eine dieser Optionen aus, wenn Sie bei der Auswahl der Zertifikatsressource für den Listener die Option "Von Zertifikatsservice verwaltetes Zertifikat" ausgewählt haben.

        CA-Bundle: Wählen Sie das Certificate Authority Bundle im angegebenen Compartment aus der Liste aus. Wählen Sie Compartment ändern aus, wenn Sie das Certificate Authority Bundle aus einem anderen Compartment auswählen möchten.

        Certificate Authority: Wählen Sie die Certificate Authority im angegebenen Compartment aus der Liste aus. Wählen Sie Compartment ändern aus, wenn Sie das Certificate Authority Bundle aus einem anderen Compartment auswählen möchten.

      • TLS-Version: Geben Sie die Versionen (TLS) von Transport Layer Security an: 1.0, 1.1, 1.2 (empfohlen) und 1.3.

        Sie können Versionen in einer beliebigen Kombination auswählen. Wählen Sie die gewünschten Versionen aus der Liste aus. Wenn Sie die TLS-Versionen nicht angeben, ist die Standard-TLS nur Version 1.2.

        Cipher Suite auswählen: Wählen Sie ein Set von Cipher Suites aus der Liste aus (Standard). Jede Auswahlmöglichkeit in der Liste enthält mindestens ein Cipher, das mit jeder der ausgewählten TLS-Version verknüpft ist.

        Erstellen Sie ein SSL-Zertifikat mit dem Signaturalgorithmus, der auf den Cipher basiert, die für Ihre Sicherheits-Policy aktiviert sind.

      • Cipher-Suite-Details anzeigen: Wählen Sie diese Option aus, um die einzelnen Cipher Suites anzuzeigen, die in der ausgewählten Cipher Suite enthalten sind.
      • Voreinstellung für Serverreihenfolge: Wählen Sie Aktivieren aus, um den Serverciphern Vorrang vor dem Client zu geben.
  8. Wählen Sie Listener erstellen aus.

Wenn Sie einen Listener erstellen, müssen Sie auch die Sicherheitslistenregeln Ihres VCN so aktualisieren, dass Traffic zu diesem Listener zugelassen wird.

Weitere Informationen:

Load Balancer hat keine Backend-Sets

Problem: Ein Load Balancer hat kein Backend-Set. In diesem Fall verfügt der Load Balancer nicht über einen Ort, an dem eingehende Daten verteilt werden, und nicht über die Möglichkeit, den Zustand des Backend-Servers zu überwachen.

Grundlagen:

  • Ein Backend-Set ist eine logische Entity, die durch eine Load Balancing Policy, eine Health Check Policy und eine Liste mit Backend-Servern definiert ist.
  • Das Backend-Set bestimmt die Policy zur Trafficverteilung des Load Balancers. Beispiel:
    • IP-Hash
    • Least Connections
    • Gewichtetes Round-Robin
  • Sie geben die Testparameter an, um den Zustand der Backend-Server zu bestätigen, wenn Sie ein Backend-Set erstellen.
  • Wenn ein Load Balancer ohne Backend-Set vorhanden ist, können Sie die Backend-Server angeben, die Traffic vom Load Balancer empfangen, nachdem Sie ein Backend-Set erstellt haben.
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen Load Balancern zu reduzieren.

So erstellen Sie ein Backend-Set:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

Im Allgemeinen erstellen Sie ein Backend-Set im Rahmen des Workflows zur Erstellung des Load Balancers. So erstellen Sie ein Backend-Set für einen vorhandenen Load Balancer:

  1. Wählen Sie unter Load Balancer die Option Load Balancer aus.

    Die Listenseite Load Balancer wird geöffnet. Alle vorhandenen Load-Balancer-Ressourcen im ausgewählten Compartment werden in einer Listentabelle angezeigt.

  2. Um die Ressourcen in einem anderen Compartment anzuzeigen, wechseln Sie mit dem Compartment-Filter zu Compartments.

    Sie müssen berechtigt sein, in einem Compartment zu arbeiten, um die darin enthaltenen Ressourcen anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment zu verwenden ist, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Compartments.

  3. Wählen Sie einen Status in der Liste aus, damit nur Load Balancer mit diesem Status angezeigt werden.
  4. Wählen Sie den Load Balancer aus, dem Sie ein Backend-Set hinzufügen möchten. Die Seite Details des Load Balancers wird angezeigt.
  5. Wählen Sie unter Ressourcen die Option Backend-Sets aus. Die Liste Backend-Sets wird angezeigt. Alle Backend-Sets werden in tabellarischer Form aufgeführt.
  6. Wählen Sie Backend-Set erstellen aus. Das Dialogfeld Backend-Set erstellen wird angezeigt.

  7. Geben Sie folgende Werte an:

    • Name: Geben Sie einen Anzeigenamen für das Backend-Set ein. Er muss im Load Balancer eindeutig sein und kann nicht geändert werden. Gültige Backend-Set-Namen umfassen nur alphanumerische Zeichen, Bindestriche und Unterstriche. Backend-Setnamen dürfen keine Leerzeichen enthalten.
    • Verteilungs-Policy für Traffic: Wählen Sie die Load Balancer Policy für das Backend-Set aus. Folgende Optionen sind verfügbar:
      • IP-Hash
      • Least Connections
      • Gewichtetes Round-Robin

      Ein Backend-Server, der als Backup markiert ist, kann nicht zu einem Backend-Set hinzugefügt werden, das die Policy "IP-Hash" verwendet. Weitere Informationen zu diesen Policys finden Sie unter Load Balancer Policys.

    • SSL verwenden: Wählen Sie diese Option aus, um eine SSL-Zertifikatsressource mit dem Backend-Set zu verknüpfen.

      Der Load Balancer erkennt Änderungen automatisch und verwendet in der SSL-Konfiguration die aktuelle Version der Certificates-Serviceentitys (Zertifikate, Certificate Authoritys und CA-Bundles). Weitere Informationen zu automatisierten Zertifikatrotationen finden Sie unter Zertifikate.

      Wenn dem Load Balancer keine Zertifikatsressourcen zugeordnet sind, ist diese Option deaktiviert.

      Zertifikatressource: Wählen Sie den Zertifikatressourcentyp aus der Liste aus:

      Die Importmethode für das Zertifikat hängt vom ausgewählten Zertifikatsressourcentyp ab. Informationen zur Verwendung von SSL-Zertifikaten durch Load Balancer finden Sie unter SSL-Zertifikate für Load Balancer.

      Allgemeine Informationen zur Verwendung von SSL mit der Web Application Firewall Policy finden Sie unter Zertifikate.

      • Von Zertifikatsservice verwaltetes Zertifikat

        Wählen Sie die Option CA-Bundle oder Certificate Authority aus, und wählen Sie dann Ihre Auswahl aus der zugehörigen Liste aus. Wählen Sie Compartment ändern aus, wenn Sie das CA-Bundle oder die Certificate Authority aus einem anderen Compartment auswählen möchten.

        Bei dieser Auswahl sind erweiterte Optionen verfügbar. Wählen Sie Erweiterte Optionen anzeigen aus, und wählen Sie die Registerkarte Erweiterte SSL aus. Diese Option wird später in diesem Thema beschrieben.

      • Von Load Balancer verwaltetes Zertifikat: Wählen Sie eine der folgenden Optionen aus, um das Zertifikat zu importieren:

        SSL-Zertifikatsdatei auswählen: Ziehen Sie die Zertifikatsdatei im PEM-Format in das Feld SSL-Zertifikat. Sie können auch die Option SSL-Zertifikat einfügen auswählen, um ein Zertifikat direkt in dieses Feld einzufügen.

        Wenn Sie ein selbstsigniertes Zertifikat für Backend-SSL weiterleiten, müssen Sie dasselbe Zertifikat auch im entsprechenden Feld für das CA-Zertifikat weiterleiten.

        Private Key angeben: (Für SSL-Beendigung erforderlich.) Wählen Sie diese Option, um einen Private Key für das Zertifikat anzugeben.

        Private-Key-Datei auswählen: Ziehen Sie den Private Key im PEM-Format in das Feld Private Key.

        Private Key Passphrase eingeben: Geben Sie die Private Key Passphrase ein. Alternativ können Sie die Option Private Key einfügen auswählen, um einen Private Key direkt in dieses Feld einzufügen.

        Peerzertifikat verifizieren: Wählen Sie diese Option aus, um die Peerzertifikatverifizierung zu aktivieren. Weitere Informationen finden Sie unter SSL-Zertifikate für Load Balancer.

        Überprüfungstiefe: Optional. Geben Sie die maximale Tiefe für die Zertifikatskettenverifizierung an. Weitere Informationen finden Sie unter SSL-Zertifikate für Load Balancer.

    • Sessionpersistenz: Geben Sie an, wie der Load Balancer Sessionpersistenz verwaltet. Wichtige Informationen zur Konfiguration dieser Einstellungen finden Sie unter Load Balancer - Sessionpersistenz.
      • Sessionpersistenz deaktivieren: Wählen Sie diese Option aus, um cookiebasierte Sessionpersistenz zu deaktivieren.
      • Anwendungscookiepersistenz aktivieren: Wählen Sie diese Option aus, um persistente Sessions von einem einzelnen logischen Client zu aktivieren, wenn die Antwort von einem Backend-Anwendungsserver einen Set-cookie-Header mit dem angegebenen Cookienamen enthält.
        • Cookiename: Der Name des Cookies, mit dem die Sessionpersistenz aktiviert wird. Geben Sie für beliebige Cookienamen * an.
        • Fallback deaktivieren: Aktivieren Sie dieses Kontrollkästchen, um Fallback zu deaktivieren, wenn der ursprüngliche Server nicht verfügbar ist.
      • Load-Balancer-Cookiepersistenz aktivieren: Wählen Sie diese Option aus, um persistente Sessions basierend auf einem Cookie zu aktivieren, das vom Load Balancer eingefügt wurde.
        • Cookiename: Geben Sie den Namen des Cookies an, mit dem die Sessionpersistenz aktiviert wird. Wenn dieses Feld leer ist, lautet der Standardcookiename X-Oracle-BMC-LBS-Route.

          Stellen Sie sicher, dass sich alle Cookienamen, die auf den Backend-Anwendungsservern verwendet werden, von dem Cookienamen unterscheiden, der im Load Balancer verwendet wird.

        • Fallback deaktivieren: Aktivieren Sie dieses Kontrollkästchen, um Fallback zu deaktivieren, wenn der ursprüngliche Server nicht verfügbar ist.
        • Domainname:: Geben Sie die Domain an, in der das Cookie gültig ist.

          Für dieses Attribut gibt es keinen Standardwert. Wenn Sie keinen Wert angeben, fügt der Load Balancer das Domainattribut nicht in den Set-cookie-Header ein.

        • Pfad: Geben Sie den Pfad an, in dem das Cookie gültig ist. Der Standardwert lautet /.
        • Ablaufzeit in Sekunden: Geben Sie an, wie lange das Cookie gültig ist. Wenn dieses Feld leer ist, läuft das Cookie am Ende der Clientsession ab.
        • Attribute

          Sicher: Geben Sie an, ob der Set-cookie-Header das Attribut Secure enthalten muss. Wenn diese Option aktiviert ist, sendet der Client das Cookie nur mit einem sicheren Protokoll.

          Wenn Sie diese Einstellung aktivieren, können Sie das entsprechende Backend-Set nicht mit einem HTTP-Listener verknüpfen.

          Nur HTTP: Geben Sie an, ob der Set-cookie-Header das Attribut HttpOnly enthalten soll. Wenn diese Option aktiviert ist, ist das Cookie auf HTTP-Anforderungen beschränkt. Der Client überspringt das Cookie, wenn er Zugriff auf Cookies über Nicht-HTTP-APIs wie JavaScript-Kanäle bereitstellt.

    • Health Check: Geben Sie die Testparameter an, um den Zustand der Backend-Server zu bestätigen.
      • Protokoll: Geben Sie das zu verwendende Protokoll an, entweder HTTP oder TCP. Konfigurieren Sie Ihr Health-Check-Protokoll so, dass es Ihrer Anwendung oder Ihrem Service entspricht. Weitere Informationen finden Sie unter Health Checks für Load Balancer.
      • Port: (Optional) Geben Sie den Backend-Serverport an, für den der Health Check ausgeführt werden soll. Sie können den Wert "0" eingeben, damit der Health Check den Trafficport des Backend-Servers verwendet.
      • Health Checks im Klartext erzwingen: (Nur HTTP) (Optional) Aktivieren Sie diese Option, um den Health Check ohne SSL an den Backend-Server zu senden. Diese Option ist nur verfügbar, wenn das Protokoll des Backend-Servers auf HTTP gesetzt ist. Dies hat keine Auswirkung, wenn für den Backend-Server SSL nicht aktiviert ist. Wenn SSL deaktiviert ist, sind Health Checks immer Klartext.
      • Intervall in Millisekunden: (Optional) Geben Sie an, wie oft der Health Check in Millisekunden ausgeführt werden soll. Der Standardwert ist 10000 (10 Sekunden).
      • Timeout in Millisekunden: (Optional) Geben Sie die maximale Wartezeit in Millisekunden für eine Antwort auf einen Health Check an. Ein Health Check ist nur erfolgreich, wenn eine Antwort innerhalb dieses Timeoutzeitraums zurückgegeben wird. Der Standardwert ist 3000 (3 Sekunden).
      • Anzahl Versuche: (Optional) Geben Sie die Anzahl der Versuche an, bevor ein Backend-Server als "fehlerhaft" betrachtet wird. Dieser Wert gilt auch, wenn der "fehlerfreie" Status eines Servers wiederhergestellt wird. Der Standardwert ist "3".
      • Statuscode: (Nur HTTP) (Optional) Geben Sie den Statuscode an, der von einem fehlerfreien Backend-Server zurückgegeben werden muss.
      • URL-Pfad (URI): (Nur HTTP) Geben Sie einen URL-Endpunkt an, für den der Health Check ausgeführt werden soll.
      • Regex für Antwortbody: (Nur HTTP) (Optional) Geben Sie einen regulären Ausdruck zum Parsing des Antwortbody vom Backend-Server an.
    • Erweiterte Optionen anzeigen: Wählen Sie diesen Link aus, um weitere Optionen aufzurufen. Wählen Sie die Registerkarte für die entsprechende Funktionalität aus:
      • Registerkarte Erweitertes SSL: (Nur vorhanden, wenn die Zertifikatsressource "Von Zertifikatsservice verwaltetes Zertifikat" ausgewählt ist.) Wählen Sie eine dieser Optionen aus, wenn Sie bei der Auswahl der Zertifikatsressource für den Listener die Option "Von Zertifikatsservice verwaltetes Zertifikat" ausgewählt haben. Informationen zur Verwendung von SSL-Zertifikaten durch Load Balancer finden Sie unter SSL-Zertifikate für Load Balancer.

        CA-Bundle: Wählen Sie das Certificate Authority Bundle im angegebenen Compartment aus der Liste aus. Wählen Sie Compartment ändern aus, wenn Sie das Certificate Authority Bundle aus einem anderen Compartment auswählen möchten.

        Certificate Authority: Wählen Sie die Certificate Authority im angegebenen Compartment aus der Liste aus. Wählen Sie Compartment ändern aus, wenn Sie das Certificate Authority Bundle aus einem anderen Compartment auswählen möchten.

      • TLS-Version: Optional. Geben Sie die Transport Layer Security-(TLS-)Versionen an: 1.0, 1.1, 1.2 (empfohlen) und 1.3

        Sie können Versionen in einer beliebigen Kombination auswählen. Wählen Sie die gewünschten Versionen aus der Liste aus. Wenn Sie die TLS-Versionen nicht angeben, ist die Standard-TLS nur Version 1.2.

        Cipher Suite auswählen: Wählen Sie ein Set von Cipher Suites aus der Liste aus. Jede Auswahlmöglichkeit in der Liste enthält mindestens ein Cipher, das mit jeder der ausgewählten TLS-Version verknüpft ist.

  8. Wählen Sie Erstellen.

Nachdem das Backend-Set bereitgestellt wurde, müssen Sie Backend-Server für das Set angeben. Weitere Informationen finden Sie unter Backend-Server für Load Balancer.

Weitere Informationen:

Load-Balancer-SSL-Zertifikat läuft in X Tagen ab

Problem: Das SSL-Zertifikat eines Load Balancers läuft bald ab. Wenn das Zertifikat abläuft, kann der Datentraffic unterbrochen und die Sicherheit beeinträchtigt werden.

Grundlagen:

  • Um kontinuierliche Sicherheit und Benutzerfreundlichkeit zu gewährleisten, müssen SSL-Zertifikate regelmäßig rotiert werden.
  • Sie können eine Ausnahme in Oracle CASB Cloud Service konfigurieren, um Alerts von ausgenommenen Load Balancern zu reduzieren.

So rotieren Sie das Zertifikats-Bundle eines Load Balancers:

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Aktualisieren Sie Ihren Client oder Backend-Server, um mit einem neuen Zertifikats-Bundle zu arbeiten.
    Hinweis

    Die Schritte zur Aktualisierung des Clients oder Backend-Servers unterscheiden sich je nach System.
  2. Neues SSL-Zertifikats-Bundle in den Load Balancer hochladen:
    1. Wählen Sie unter Load Balancer die Option Load Balancer aus. Die Seite Load Balancer wird angezeigt.
    2. Wählen Sie den Namen des Compartments aus, das den zu ändernden Load Balancer enthält, und wählen Sie dann den Namen des Load Balancers aus.
    3. Wählen Sie den Load Balancer aus, den Sie konfigurieren möchten. Die Seite Details des Load Balancers wird angezeigt.
    4. Wählen Sie unter Ressourcen die Option Zertifikate aus. Die Liste Zertifikate wird angezeigt. Alle Zertifikate werden tabellarisch aufgelistet.
    5. Geben Sie folgende Werte an:
      • Zertifikatsname: Geben Sie einen benutzerfreundlichen Namen für das Zertifikat-Bundle ein. Er muss im Load Balancer eindeutig sein und kann in der Konsole nicht geändert werden. (Er kann über die API geändert werden.)
      • SSL-Zertifikatsdatei auswählen: Ziehen Sie die Zertifikatsdatei im PEM-Format in das Feld SSL-Zertifikat.

        Sie können auch die Option SSL-Zertifikat einfügen auswählen, um ein Zertifikat direkt in dieses Feld einzufügen.

        Wichtig

        Wenn Sie ein selbstsigniertes Zertifikat für Backend-SSL übermitteln, müssen Sie dasselbe Zertifikat im entsprechenden Feld für das CA-Zertifikat übermitteln.
      • CA-Zertifikat angeben: (Wird für Konfigurationen zur Backend-SSL-Beendigung empfohlen.) Wählen Sie diese Option aus, um ein CA-Zertifikat anzugeben.
        • CA-Zertifikatdatei auswählen: Ziehen Sie die CA-Zertifikatdatei im PEM-Format in das Feld CA-Zertifikat.

          Sie können auch die Option CA-Zertifikat einfügen auswählen, um ein Zertifikat direkt in dieses Feld einzufügen.

      • Private Key angeben: (Für SSL-Beendigung erforderlich.) Wählen Sie diese Option, um einen Private Key für das Zertifikat anzugeben.
        • Private-Key-Datei auswählen: Ziehen Sie den Private Key im PEM-Format in das Feld Private Key.

          Sie können auch die Option Private Key einfügen auswählen, um einen Private Key direkt in dieses Feld einzufügen.

        • Private Key Passphrase eingeben: (Optional) Geben Sie die Private Key Passphrase ein.
    6. Wählen Sie Zertifikat hinzufügen aus. Bearbeiten Sie als Nächstes alle anwendbaren Listener oder Backend-Sets (nach Bedarf), sodass sie das neue Zertifikat-Bundle verwenden:

  3. Listener bearbeiten:

    1. Wählen Sie unter Load Balancer die Option Load Balancer aus.
    2. Wählen Sie das Compartment aus, das den gewünschten Load Balancer enthält, und wählen Sie dann den Namen des Load Balancers aus.
    3. Wählen Sie unter Ressourcen die Option Listener aus. Die Liste Listener wird angezeigt. Alle Listener werden in tabellarischer Form aufgeführt.
    4. Wählen Sie das Aktionsmenü Menü "Aktionen" neben dem Listener, den Sie bearbeiten möchten, und dann Listener bearbeiten aus.
    5. Wählen Sie aus der Liste Zertifikatname das neue Zertifikats-Bundle aus.
    6. Klicken Sie auf Weiterleiten.
  4. Backend-Set bearbeiten:
    Wichtig

    Beim Aktualisieren des Backend-Sets wird dem Traffic vorübergehend unterbrochen. Aktive Verbindungen können dabei verlorengehen.
    1. Wählen Sie unter Load Balancer die Option Load Balancer aus.

      Die Listenseite Load Balancer wird geöffnet. Alle vorhandenen Load-Balancer-Ressourcen im ausgewählten Compartment werden in einer Listentabelle angezeigt.

    2. Um die Ressourcen in einem anderen Compartment anzuzeigen, wechseln Sie mit dem Compartment-Filter zu Compartments.

      Sie müssen berechtigt sein, in einem Compartment zu arbeiten, um die darin enthaltenen Ressourcen anzuzeigen. Wenn Sie nicht sicher sind, welches Compartment zu verwenden ist, wenden Sie sich an einen Administrator. Weitere Informationen finden Sie unter Compartments.

    3. Wählen Sie einen Status in der Liste aus, damit nur Load Balancer mit diesem Status angezeigt werden.
    4. Wählen Sie den Load Balancer aus, das Sie bearbeiten möchten. Die Seite Details des Load Balancers wird angezeigt.
    5. Wählen Sie unter Ressourcen die Option Backend-Sets aus. Die Liste Backend-Sets wird angezeigt. Alle Backend-Sets werden in tabellarischer Form aufgeführt.
    6. Wählen Sie den Namen des Backend-Sets aus, das Sie bearbeiten möchten. Die Seite Details des Backend-Sets wird angezeigt.
    7. Wählen Sie Backend-Set bearbeiten aus. Das Dialogfeld Backend-Set bearbeiten wird angezeigt.
    8. Wählen Sie SSL verwenden aus.
    9. Wählen Sie aus der Liste Zertifikatname das neue Zertifikats-Bundle aus.
    10. Wählen Sie Änderungen speichern aus.

  5. (Optional) Ablaufendes SSL-Zertifikats-Bundle entfernen.

    Hinweis

    Sie können kein SSL-Zertifikats-Bundle löschen, das mit einem Listener oder Backend-Set verknüpft ist. Entfernen Sie das Bundle aus jeglichen anderen Listenern oder Backend-Sets, bevor Sie das Bundle löschen.
    1. Wählen Sie unter Load Balancer die Option Load Balancer aus.
    2. Wählen Sie den Namen des Compartments aus, das den zu ändernden Load Balancer enthält, und wählen Sie dann den Namen des Load Balancers aus.
    3. Wählen Sie den Load Balancer aus, den Sie konfigurieren möchten.
    4. Wählen Sie im Menü Ressourcen die Option Zertifikate.
    5. Wählen Sie für das zu löschende Zertifikat das Menü "Aktionen" Menü "Aktionen" aus, und wählen Sie Löschen aus.
    6. Bestätigen Sie den Vorgang, wenn Sie dazu aufgefordert werden.

Weitere Informationen:

Object Storage

Öffentliche Buckets erkannt

Problem: Öffentliche Buckets wurden in Ihrem Mandanten erkannt. Bestätigen Sie, dass die Erstellung jedes öffentlichen Buckets beabsichtigt und autorisiert ist. Wenn der Bucket nicht für den öffentlichen Zugriff genehmigt ist, führen Sie das Verfahren zum Ändern der Sichtbarkeit eines Buckets durch, und schalten Sie den Bucket privat.

Grundlagen:

  • Prüfen Sie die Geschäftsanforderungen für den öffentlichen Zugriff auf einen Bucket sorgfältig. Wenn Sie den anonymen Zugriff auf einen Bucket aktivieren, können Benutzer Objektmetadaten abrufen, Bucket-Objekte herunterladen und optional den Bucket-Inhalt auflisten.
  • Das Ändern des Zugriffstyps erfolgt bidirektional. Sie können den Zugriff auf einen Bucket von öffentlich in privat oder von privat in öffentlich ändern.
  • Das Ändern des Zugriffstyps wirkt sich nicht auf vorhandene vorab authentifizierte Anforderungen aus. Vorhandene vorab authentifizierte Anforderungen funktionieren weiterhin.

So ändern Sie die Sichtbarkeit eines Buckets (privat oder öffentlich):

Das folgende Verfahren gilt für die Oracle Cloud Infrastructure-Konsole.

  1. Wählen Sie auf der Listenseite Buckets den Objektspeicher-Bucket aus, mit dem Sie arbeiten möchten. Wenn Sie Hilfe bei der Suche nach der Listenseite oder dem Objektspeicher-Bucket benötigen, finden Sie weitere Informationen unter Objektspeicher-Buckets auflisten.

  2. Suchen Sie auf der Detailseite des Buckets nach Sichtbarkeit, und wählen Sie Bearbeiten aus.

  3. Wählen Sie Öffentlich oder Privat aus.

    Wenn Sie Öffentlich auswählen, um den öffentlichen Zugriff zu aktivieren, legen Sie fest, ob Benutzer den Bucket-Inhalt auflisten dürfen. Um die Sichtbarkeit von Bucket-Objektlisten festzulegen, wählen Sie Zulassen, dass Benutzer Objekte aus diesem Bucket auflisten.

  4. Wählen Sie Änderungen speichern aus.

Weitere Informationen: