Anleitungen
Eine Sammlung von Aufgaben und Prozeduren zum Verwalten von Exadata Database Service on Dedicated Infrastructure.
- Datenbanksicherheit mit Oracle Data Safe verwalten
- Verbindung mit einer Exadata Cloud Infrastructure-Instanz herstellen
In diesem Thema wird erläutert, wie Sie mit SSH oder SQL Developer eine Verbindung mit einer Exadata Cloud Infrastructure-Instanz herstellen. - Exadata Cloud Infrastructure verwalten
Mit den bereitgestellten Tools können Sie die Infrastruktur verwalten. - Von Oracle verwaltete Infrastrukturwartung konfigurieren
Oracle führt die Updates für alle von Oracle verwalteten Infrastrukturkomponenten auf Exadata Cloud Infrastructure aus. - VM-Cluster verwalten
Hier erfahren Sie, wie Sie Ihre VM-Cluster auf Exadata Cloud Infrastructure verwalten. - Softwareimages verwalten
- Oracle Database Homes in Exadata Cloud Infrastructure-Systemen erstellen
Hier erfahren Sie, wie Sie Oracle Database Homes auf Exadata Cloud Infrastructure erstellen. - Oracle Database Homes in Exadata Cloud Infrastructure-Instanzen verwalten
Sie können Oracle Database Homes (in Oracle Cloud Infrastructure als Datenbank-Homes bezeichnet) mit der Oracle Cloud Infrastructure-Konsole, der API oder der CLI löschen oder Informationen dazu anzeigen. - Datenbanken auf Exadata Cloud Infrastructure verwalten
- Datenbankbackup und -Recovery in Oracle Exadata Database Service on Dedicated Infrastructure verwalten
Hier erfahren Sie, wie Sie mit den Backup- und Recovery-Funktionen arbeiten, die von Oracle Exadata Database Service on Dedicated Infrastructure bereitgestellt werden. - Exadata Cloud Infrastructure-Systeme patchen und aktualisieren
- Interimssoftwareupdates
In autorisierten Umgebungen erfahren Sie, wie Sie Interimssoftwareupdates herunterladen. - Oracle Data Guard mit Exadata Cloud Infrastructure nutzen
Hier erfahren, wie Data Guard-Gruppen in Ihrem VM-Cluster konfiguriert und verwaltet werden. - Oracle Database-Features für Exadata Cloud Infrastructure konfigurieren
In diesem Thema wird beschrieben, wie Sie Oracle Multitenant, Tablespace-Verschlüsselung und HugePages für die Verwendung mit Ihrer Exadata Cloud Infrastructure-Instanz konfigurieren. - Exadata Cloud Infrastructure-I/O-Ressourcenverwaltung (IORM) verwalten
- Schlüssel mit einem externen Keystore verwalten
Prüfen Sie die Anwendungsfälle und Implementierungsdetails eines externen Keystores. - Verschlüsselungsschlüssel auf externen Geräten verwalten
Hier erfahren Sie, wie Sie Datenbankverschlüsselungsschlüssel speichern und verwalten. - Zu Exadata Cloud Infrastructure migrieren
Allgemeine Hinweise zu Methoden und Tools zum Migrieren von Datenbanken zu Oracle Cloud Infrastructure-Datenbankservices, einschließlich Exadata Cloud Infrastructure, finden Sie unter "Datenbanken in die Cloud migrieren". - Identity and Access Management-(IAM-)Benutzer mit Oracle Exadata Database Service on Dedicated Infrastructure verbinden
Sie können Oracle Exadata Database Service on Dedicated Infrastructure so konfigurieren, dass die Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Authentifizierung und -Autorisierung verwendet wird, damit IAM-Benutzer mit IAM-Zugangsdaten auf eine Oracle-Datenbank zugreifen können. - Microsoft Entra ID-(MS-EI-)Benutzer für Oracle Databases auf Oracle Exadata Database Service on Dedicated Infrastructure authentifizieren und autorisieren
Eine Oracle Database kann so konfiguriert werden, dass Microsoft Azure-Benutzer von Microsoft Entra ID über Single Sign-On-Authentifizierung eine Verbindung herstellen können. - Azure Key Vault Integration for Exadata Database Service on Oracle Database@Azure
Mit Exadata Database Service on Oracle Database@Azure können Sie die TDE-(Transparent Data Encryption-)Schlüssel Ihrer Datenbank, auch Masterverschlüsselungsschlüssel (MEKs) genannt, entweder in einem dateibasierten Oracle Wallet oder im OCI Vault speichern. - Google Cloud Key Management Integration for Exadata Database Service on Oracle Database@Google Cloud
Exadata Database Service on Oracle Database@Google Cloud unterstützt jetzt die Integration mit dem Key Management Service (KMS) der Google Cloud Platform. - AWS Key Management Service Integration for Exadata Database Service on Oracle Database@AWS
Exadata Database Service on Oracle Database@AWS unterstützt die Integration mit AWS Key Management Service (KMS). Diese Verbesserung ermöglicht Benutzern die Verwaltung von TDE-Masterverschlüsselungsschlüsseln (Transparent Data Encryption, MEKs) mit vom AWS-Kunden verwalteten Schlüsseln. - Datenbank-Multicloud-Integration für Oracle Database Cloud Services
- Regionsübergreifende Data Guard-Aktivierung
Prüfen Sie die Voraussetzungen für die Aktivierung von regionsübergreifendem Data Guard, wenn Datenbanken Schlüsselverwaltungslösungen des Cloud-Serviceproviders (CSP) verwenden.
Regionsübergreifende Data Guard-Aktivierung
Prüfen Sie die Voraussetzungen für die Aktivierung von regionsübergreifendem Data Guard, wenn Datenbanken Schlüsselmanagementlösungen von Cloud-Serviceprovidern (CSP) verwenden.
Oracle unterstützt derzeit die folgenden Schlüsselverwaltungsservices des Cloud-Serviceproviders für die Verwaltung von TDE-(Transparent Data Encryption-)Masterverschlüsselungsschlüsseln beim Konfigurieren von regionsübergreifendem Data Guard:
- Microsoft Azure: Azure Key Vault (Standard und Premium) und Managed HSM
- Google Cloud: Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
- AWS: AWS Key Management Service (KMS) und CloudHSM
- Voraussetzungen
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie regionsübergreifendes Data Guard konfigurieren. - Replizieren Sie Schlüsselressourcen regionsübergreifend
Bevor Sie Verschlüsselungsressourcen regionsübergreifend replizieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind. - Replizierte Verschlüsselungsressourcen löschen
Löschen Sie replizierte Verschlüsselungsressourcen erst, nachdem Sie bestätigt haben, dass keine aktiven Verknüpfungen oder Abhängigkeiten vorhanden sind. - Richtlinien zum Löschen von Verschlüsselungsressourcen
Richtlinien zum Löschen replizierter und nicht replizierter Verschlüsselungsressourcen über mehrere Cloud-Serviceprovider hinweg, basierend auf deren Verknüpfung und Replikationsstatus. - Lebenszyklusstatus replizierter Verschlüsselungsressourcen
Eine replizierte Verschlüsselungsressource kann einen der folgenden Lebenszyklusstatus aufweisen. - Data Guard für Datenbanken mit Azure, Google Cloud und AWS Key Management Services aktivieren
Prüfen Sie die Schlüsselverwaltungskonfiguration in der Primärdatenbank, bevor Sie Data Guard aktivieren.
Übergeordnetes Thema: Anleitungen
Voraussetzungen
Stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind, bevor Sie regionsübergreifenden Data Guard konfigurieren.
Schlüsselverwaltungs- und Replikationsanforderungen
Die Verschlüsselungsschlüsselressource muss von der Quellregion in die Zielregion repliziert werden. Je nach verwendetem Schlüsselverwaltungsservice umfasst dies die Replikation von Vault, Schlüsselring oder Verschlüsselungsschlüssel.
Anforderungen an VM-Clusterkonfiguration
Das VM-Cluster, auf dem die Standbydatenbank gehostet wird, muss die folgenden Anforderungen erfüllen:
- Ein Identitäts-Connector muss erstellt werden (bei Verwendung von Azure Key Vault anwendbar).
- Die Schlüsselverwaltung für den Cloudserviceprovider muss für das VM-Cluster mit einem der unterstützten Services aktiviert sein:
- Azure Key Vault (AKV)
- Vom Kunden verwaltete Google Cloud-Verschlüsselungsschlüssel (CMEK)
- AWS Key Management Service (AWS KMS)
Ausführliche Konfigurationsschritte finden Sie in den folgenden Abschnitten:
- Voraussetzungen für die Konfiguration von Azure Key Vault als Schlüsselverwaltungsservice für Ihre Datenbanken und Netzwerkanforderungen zum Erstellen eines Identity Connectors und von KMS-Ressourcen.
- Voraussetzungen für die Konfiguration von vom Kunden verwalteten Google Cloud-Verschlüsselungsschlüsseln (CMEK) als Schlüsselverwaltungsservice für Ihre Datenbanken.
- Voraussetzungen für die Konfiguration von AWS KMS als Schlüsselverwaltungsservice für Ihre Datenbanken.
Weitere Disaster Recovery-Richtlinien
Informationen zur Implementierung von regionsübergreifendem Disaster Recovery mit Active Data Guard mit Multicloud-Bereitstellungen finden Sie in den folgenden Lösungsleitfäden:
- Oracle Exadata Database Service auf Oracle Database@AWS
- Oracle Exadata Database Service auf Oracle Database@Azure
- Oracle Exadata Database Service auf Oracle Database@Google Cloud
Einschränkungen
Beachten Sie die folgenden Einschränkungen:
- Die Quell- und Zielcontainerdatenbanken (CDBs) müssen denselben TDE-Masterverschlüsselungsschlüssel verwenden.
- Aktualisierbare Klon-PDBs werden in der Standbydatenbank nicht unterstützt
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung
Schlüsselressourcen regionsübergreifend replizieren
Bevor Sie Verschlüsselungsressourcen regionsübergreifend replizieren, stellen Sie sicher, dass alle Voraussetzungen erfüllt sind.
- Öffnen Sie das Navigationsmenü.
- Klicken Sie auf Oracle AI Database, Datenbank-Multicloud-Integrationen und dann auf eine der folgenden Optionen:
- Microsoft Azure-Integration
- Google Cloud-Integration
- AWS-Integration
So replizieren Sie einen Azure Key Vault
- Klicken Sie auf Azure Key Vaults.
- Wählen Sie den gewünschten Vault aus der Liste aus.
- Wählen Sie im Menü Aktionen die Option Azure-Key Vault replizieren aus.
- Wählen Sie die Zielregion.
- Klicken Sie auf Replizieren.
Nachdem der Vorgang abgeschlossen ist, können Sie die Details des replizierten Key Vaults, einschließlich Region und Replikationsstatus, auf der Registerkarte Regionsübergreifende Replikationen anzeigen.
So replizieren Sie einen GCP-Schlüsselring
- Klicken Sie auf GCP-Schlüsselringe.
- Wählen Sie den gewünschten Schlüsselring aus der Liste aus.
- Wählen Sie im Menü Aktionen die Option GCP-Schlüsselring replizieren aus.
- Wählen Sie die Zielregion.
- Klicken Sie auf Replizieren.
Nachdem der Vorgang abgeschlossen ist, können Sie die Details des replizierten Schlüsselrings, einschließlich Region und Replikationsstatus, auf der Registerkarte Regionsübergreifende Replikationen anzeigen.
So replizieren Sie einen AWS-Schlüssel
- Klicken Sie auf AWS-Schlüssel.
- Wählen Sie den gewünschten Schlüssel aus der Liste aus.
- Wählen Sie im Menü Aktionen die Option AWS-Schlüssel replizieren aus.
- Wählen Sie die Zielregion.
- Klicken Sie auf Replizieren.
Nachdem der Vorgang abgeschlossen ist, können Sie die Details des replizierten Schlüssels, einschließlich Region und Replikationsstatus, auf der Registerkarte Regionsübergreifende Replikationen anzeigen.
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung
Replizierte Verschlüsselungsressourcen löschen
Löschen Sie replizierte Verschlüsselungsressourcen erst, nachdem bestätigt wurde, dass keine aktiven Verknüpfungen oder Abhängigkeiten vorhanden sind.
- Öffnen Sie das Navigationsmenü.
- Klicken Sie auf Oracle AI Database, Datenbank-Multicloud-Integrationen und dann auf eine der folgenden Optionen:
- Microsoft Azure-Integration
- Google Cloud-Integration
- AWS-Integration
So löschen Sie einen Azure Key Vault
- Klicken Sie auf Azure Key Vaults.
- Compartment auswählen.
Die Liste der Vaults wird angezeigt.
- Wählen Sie den Vault aus, an dem Sie interessiert sind.
- Wählen Sie im Menü Aktionen die Option Löschen aus.
- Geben Sie im Bestätigungsdialogfeld DELETE ein, um die Aktion zu bestätigen.
- Klicken Sie auf Löschen.
So löschen Sie einen GCP-Schlüsselring
- Klicken Sie auf GCP-Schlüsselringe.
- Compartment auswählen.
Liste der GCP-Schlüsselringe wird angezeigt.
- Wählen Sie den gewünschten Schlüsselring aus.
- Wählen Sie im Menü Aktionen die Option Löschen aus.
- Geben Sie im Bestätigungsdialogfeld DELETE ein, um die Aktion zu bestätigen.
- Klicken Sie auf Löschen.
So löschen Sie einen AWS-Schlüssel
- Klicken Sie auf AWS-Schlüssel.
- Compartment auswählen.
Die Liste der AWS-Schlüssel wird angezeigt.
- Wählen Sie den gewünschten AWS-Schlüssel aus.
- Wählen Sie im Menü Aktionen die Option Löschen aus.
- Geben Sie im Bestätigungsdialogfeld DELETE ein, um die Aktion zu bestätigen.
- Klicken Sie auf Löschen.
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung
Richtlinien zum Löschen von Verschlüsselungsressourcen
Richtlinien zum Löschen replizierter und nicht replizierter Verschlüsselungsressourcen über mehrere Cloud-Serviceprovider hinweg basierend auf deren Verknüpfungs- und Replikationsstatus.
Nicht replizierte Verschlüsselungsressource
Azure Key Vault
Ein Azure Key Vault kann nicht gelöscht werden, wenn er aktive Identity Connector-Verknüpfungen aufweist.
So fahren Sie fort:
- Identifizieren Sie Identity Connector-Verknüpfungen, die Azure Key Vault
<OCID>in<REGION>referenzieren. - Entfernen Sie die Verknüpfung(en), oder weisen Sie abhängige Ressourcen einem anderen Key Vault neu zu.
- Wiederholen Sie den Löschvorgang.
Google Cloud KMS (vom Kunden verwalteter Verschlüsselungsschlüssel, CMEK)
Ein GCP-Schlüsselring kann nicht gelöscht werden, wenn er Schlüssel enthält, die aktiv mit Ressourcen verknüpft sind (z.B. Datenbanken, die mit CMEK erstellt wurden).
So fahren Sie fort:
- Identifizieren Sie Ressourcen, die derzeit Schlüssel aus dem Schlüsselring verwenden.
- Konfigurieren Sie diese Ressourcen neu, um einen anderen Verschlüsselungsschlüssel zu verwenden, oder löschen Sie die abhängigen Ressourcen.
- Wiederholen Sie den Löschvorgang, nachdem alle Zuordnungen entfernt wurden.
AWS Key Management Service (AWS KMS)
Ein AWS KMS-Schlüssel kann nicht gelöscht werden, wenn er aktive Verknüpfungen aufweist (z.B. mit AWS KMS verschlüsselte Datenbanken).
AWS KMS-Schlüssel werden nicht sofort gelöscht; sie müssen zum Löschen geplant werden und unterliegen einer obligatorischen Wartezeit.
So fahren Sie fort:
- Identifizieren Sie Ressourcen, die derzeit mit dem KMS-Schlüssel verschlüsselt sind.
- Konfigurieren oder löschen Sie die abhängigen Ressourcen neu.
- Planen Sie den Schlüssel zum Löschen, sobald alle Abhängigkeiten entfernt wurden.
Wichtige Erkenntnisse
- Prüfen Sie vor dem Löschen immer auf aktive Zuordnungen.
- Replizierte Ressourcen erfordern zusätzliche Pflege, da Zuordnungen in Primär- und Standbyregionen vorhanden sein können.
- Nicht replizierte Ressourcen folgen Cloud-Provider-spezifischen Regeln und können erst gelöscht werden, wenn Abhängigkeiten gelöscht werden.
Replizierte Verschlüsselungsressource
Sie können eine replizierte Verschlüsselungsressource aus der primären oder einer Standbyregion löschen.
- Löschen aus der primären Region:
Die Ressource wird aus der primären Region gelöscht und automatisch aus allen zugehörigen Standby-Regionen (repliziert) entfernt.
- Löschen aus einer Standby-Region:
Die Ressource wird nur aus der ausgewählten Standbyregion gelöscht. Die Ressource bleibt in der primären Region und allen anderen Standby-Regionen unverändert.
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung
Lebenszyklusstatus replizierter Verschlüsselungsressourcen
Eine replizierte Verschlüsselungsressource kann einen der folgenden Lebenszyklusstatus aufweisen.
- WIRKUNG: Die replizierte Verschlüsselungsressource wird erstellt.
- ACTIVE: Die replizierte Verschlüsselungsressource wurde erfolgreich erstellt und ist betriebsbereit.
- UPDATING: Die replizierte Verschlüsselungsressource wird geändert.
- DELETING: Die replizierte Verschlüsselungsressource wird gerade gelöscht.
- DELETED: Die replizierte Verschlüsselungsressource wurde gelöscht und ist nicht mehr verfügbar.
- FAILED: Der replizierte Verschlüsselungsressourcenvorgang war nicht erfolgreich. Weitere Informationen finden Sie in den zugehörigen Logs oder Fehlermeldungen.
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung
Aktivieren von Data Guard für Datenbanken, die Azure, Google Cloud und AWS Key Management Services verwenden
Bevor Sie Data Guard aktivieren, prüfen Sie die Schlüsselverwaltungskonfiguration in der Primärdatenbank.
- Navigieren Sie zur Seite "Datenbankdetails" der Primärdatenbank, auf der Sie Data Guard aktivieren möchten.
- Prüfen Sie im Abschnitt Verschlüsselung die Werte unter Key Management.
Bestätigen Sie die Werte basierend auf dem konfigurierten Schlüsselverwaltungsservice:
- Bei Verwendung von Azure Key Vault
- Schlüsselverwaltung: Azure Key Vault
- Vault: Vault-Name
- Schlüssel: Schlüsselwert
- Bei Verwendung von Google Cloud CMEK
- Schlüsselverwaltung: Vom Kunden verwalteter GCP-Verschlüsselungsschlüssel (CMEK)
- Schlüsselring: Schlüsselringwert
- Schlüssel: Schlüsselwert
- Bei Verwendung von AWS KMS
- Schlüsselmanagement: AWS Customer-Managed Key (CMK)
- Schlüssel: Schlüsselwert
Die generische Data Guard-Aktivierungsprozedur finden Sie unter So aktivieren Sie Data Guard auf einem Exadata Cloud Infrastructure-System.
Übergeordnetes Thema: Regionsübergreifende Data Guard-Aktivierung