Verwalten von Zero Trust Packet Routing-Richtlinien
Erstellen und verwalten Sie Zero Trust Packet Routing-(ZPR-)Richtlinien.
Eine ZPR-Policy ist eine Regel, mit der die Kommunikation zwischen bestimmten Endpunkten gesteuert wird, die durch ihre Sicherheitsattribute identifiziert werden. Eine ZPR-Policy kann nur im Root Compartment eines Mandanten erstellt werden. Zum Erstellen einer ZPR-Richtlinie stehen Ihnen mehrere Optionen zur Verfügung:
- Mit dem einfachen Policy Builder können Sie aus vorab ausgefüllten Ressourcenlisten auswählen, die durch ihre Sicherheitsattribute identifiziert werden, um Sicherheitsabsichten zwischen zwei Endpunkten auszudrücken. Der Policy Builder generiert die Policy-Anweisung automatisch mit der korrekten Syntax.
- Mit dem Policy-Vorlagen-Builder können Sie aus einer Liste von Vorlagen basierend auf allgemeinen Anwendungsfallszenarios auswählen, die vorgefüllte ZPR-Policy-Anweisungen bereitstellen, die Sie dann anpassen können, um eine ZPR-Policy zu erstellen.
- Mit dem Manuellen Policy Builder können Sie eine Freiform-Policy eingeben.
Änderungen an den ZPR-Richtlinien in der Konsole können bis zu fünf Minuten dauern.
Policy-Vorlagengenerator
Die im Policy-Vorlagen-Builder enthaltenen Policy-Vorlagen enthalten die Beispielsyntax, die Sie für allgemeine Anwendungsfälle benötigen.
Die Policy im Policy-Vorlagen-Builder ist in die folgenden Abschnitte unterteilt:
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Lassen Sie zu, dass eine Compute-Instanz auf allen Ports und Protokollen eine Verbindung zu einer anderen Compute-Instanz im selben VCN herstellt. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten herstellen |
Kein. |
| Lassen Sie zu, dass eine Compute-Instanz über SSH eine Verbindung zu einer anderen Compute-Instanz im selben VCN herstellt. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of target-compute>-Endpunkten mit protocol='tcp/22' herstellen
|
Kein. |
| Ermöglichen Sie es einer Compute-Instanz, eine Verbindung zu einem Datenbankservice innerhalb desselben VCN herzustellen. | in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen
|
Kein. |
| Ermöglichen Sie es einer Compute-Instanz, eine Verbindung zu einer anderen Compute-Instanz über VCNs in derselben Region herzustellen. | <security attribute of source-compute>-Endpunkte in <security attribute of source VCN>-VCN dürfen eine Verbindung zu <security attribute of target-compute>-Endpunkten in <security attribute of target VCN>-VCN herstellen |
Verwenden Sie für verschiedene Regionen oder VCNs, die keine ZPR-Sicherheitsattribute verwenden, die folgende Policy: in |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Datenbankservice für SSH-Zugriff, Datenbankclientzugriff, Object Storage-Zugriff, Vault, Data Safe und anderen OCI-Servicezugriff, Real Application Clusters (RAC) und Data Guard aktivieren |
in in in |
Mit dieser Policy können Compute-Instanzen eine Verbindung zum Datenbankservice auf TCP-Port 1521 für den Clientzugriff herstellen. Mit dieser Policy kann sich der Datenbankservice bei OSN-Services anmelden. Diese Policy ermöglicht die Kommunikation zwischen Datenbankserviceendpunkten. |
| Data Guard - VCN- oder Regionsübergreifend |
Ermöglichen Sie |
Diese Policy ermöglicht die Compute-zu-Datenbank-Kommunikation mit dem Data Guard-Standby-VCN in derselben Region. |
| Data Guard - VCN- oder Regionsübergreifend |
im VCN |
Diese Policy ermöglicht die Compute-zu-Datenbank-Kommunikation mit dem Data Guard-Standby-VCN in einer anderen Region oder mit einem VCN, auf das keine Sicherheitsattribute angewendet werden. |
| Data Guard - VCN- oder Regionsübergreifend |
in |
Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen. |
| Data Guard - VCN- oder Regionsübergreifend |
|
Diese Policy ermöglicht die Kommunikation zwischen der Data Guard-Primär- und der Standbydatenbank in derselben Region sowie die Compute-to-Database-Kommunikation mit dem Standby-VCN in derselben Region. |
|
in in |
Diese Policy ermöglicht die Kommunikation zwischen der Data Guard-Primär- und der Standbydatenbank, selbst wenn sie sich in verschiedenen Regionen oder VCNs befinden, oder zu einem VCN, auf das keine Sicherheitsattribute angewendet werden. | |
| Data Guard - VCN- oder Regionsübergreifend |
|
Diese Policy ermöglicht Data Guard-Standby-Primärkommunikation in derselben Region. |
|
in in |
Diese Policy ermöglicht die Data Guard-Standby-Primärkommunikation in verschiedenen Regionen oder in einem VCN, auf das keine Sicherheitsattribute angewendet werden. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). |
in in |
VM-Cluster Provisioning, Backup/Restore, KMS, Patching, DP-Ereignisse, Oracle RAC Wenden Sie das Sicherheitsattribut des Datenbankservice auf die Oracle Base Database Service-Ressourcen für die Data Guard-Primär- und -Standbydatenbank an. |
| RAC-Support |
in |
Kein. |
| Data Guard - VCN- oder Regionsübergreifend |
Ermöglichen Sie |
Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN in derselben Region herstellen. |
|
im VCN |
Mit dieser Policy können Compute-Clients eine Verbindung zum Data Guard-Standby-VCN in verschiedenen Regionen oder zu einem VCN herstellen, auf das keine Sicherheitsattribute angewendet werden. | |
| Data Guard - VCN- oder Regionsübergreifend |
in |
Mit dieser Policy kann die Data Guard-Standbydatenbank eine Verbindung zu OSN-Services herstellen. |
| Data Guard - VCN- oder Regionsübergreifend |
|
Mit dieser Policy kann Data Guard-Primärdatenbank eine Verbindung zur Data Guard-Standbydatenbank herstellen (Egress und Ingress) in jedem VCN in derselben Region. |
|
in in |
Mit dieser Policy kann Data Guard-Primärdatenbank eine Verbindung zur Data Guard-Standbydatenbank mit CIDR (Egress und Ingress) in jedem VCN in verschiedenen Regionen oder zu einem VCN herstellen, auf das keine Sicherheitsattribute angewendet werden. | |
| VCN-übergreifendes Data Guard oder Region |
|
Mit dieser Policy kann Data Guard-Standbydatenbank eine Verbindung zur Data Guard-Primärdatenbank in jedem VCN in derselben Region herstellen. |
|
in in |
Mit dieser Policy kann Data Guard-Standbydatenbank eine Verbindung zur Data Guard-Primärdatenbank in VCNs in verschiedenen Regionen oder zu einem VCN herstellen, für das keine Sicherheitsattribute angewendet wurden. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Compute kann eine Verbindung zur autonomen KI-Datenbank herstellen. | Ermöglichen Sie <security attribute of source-compute>-Endpunkte in <security attribute of source VCN> -VCN, eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' in <security attribute of target VCN>-VCN herzustellen |
Compute-zu-Datenbank-Kommunikation über VCNs in derselben Region zulassen. |
in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen
|
Ermöglichen Sie die Kommunikation zwischen Compute und Datenbank über VCNs in verschiedenen Regionen oder über ein VCN, auf das keine Sicherheitsattribute angewendet werden. |
| Anwendungsfall | Policy | Hinweise |
|---|---|---|
| Aktivieren Sie den Datenbankservice für alle Szenarios (einschließlich Backup und Data Guard). | Ermöglichen Sie <security attribute of source-compute>-Endpunkte in <security attribute of source VCN>-VCN, eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' in <security attribute of target VCN>-VCN herzustellen |
Compute-zu-Datenbank-Kommunikation über VCNs in derselben Region zulassen. |
in <security attribute of VCN>-VCN zulassen, dass <security attribute of source-compute>-Endpunkte eine Verbindung zu <security attribute of database service>-Endpunkten mit protocol='tcp/1521' herstellen
|
Ermöglichen Sie die Kommunikation zwischen Compute und Datenbank über VCNs in verschiedenen Regionen oder über ein VCN, auf das keine Sicherheitsattribute angewendet werden. |