Integration von Google Cloud Key Management für Exadata Database Service in Oracle Database@Google Cloud

Um Ihr ASM-VM-Cluster zu erstellen, müssen Sie Werte für das Feld angeben, das für das Konfigurieren der Infrastruktur erforderlich ist.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Klicken Sie unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
   Hinweis
   
   

   Mehrere VM-Cluster können nur in einer Multi-VM-fähigen Infrastruktur erstellt werden.

3. Klicken Sie auf Exadata-VM-Cluster erstellen.

   Die Seite Exadata-VM-Cluster erstellen wird angezeigt. Geben Sie die erforderlichen Informationen für die Konfiguration des VM-Clusters ein.

4. Compartment: Wählen Sie ein Compartment für die VM-Clusterressource aus.
5. Anzeigename: Geben Sie einen benutzerdefinierten Anzeigenamen für das VM-Cluster an. Der Name muss nicht eindeutig sein. Mit einer Oracle Cloud-ID (OCID) können Sie das VM-Cluster eindeutig identifizieren. Geben Sie dabei keine vertraulichen Informationen ein.
6. Exadata-Infrastruktur auswählen: Wählen Sie die Infrastrukturressource für das VM-Cluster aus. Sie müssen eine Infrastrukturressource mit ausreichend Ressourcen zum Erstellen eines neuen VM-Clusters auswählen. Klicken Sie auf Compartment ändern, und wählen Sie ein anderes Compartment als das Compartment aus, in dem Sie arbeiten, um Infrastrukturressourcen in anderen Compartments anzuzeigen.
   Hinweis
   
   

   Mehrere VM-Cluster können nur in einer Multi-VM-fähigen Infrastruktur erstellt werden.

7. VM-Clustertyp:
   Hinweis
   
   

   Sie können den VM-Clustertyp nach dem Deployment des VM-Clusters nicht ändern. Wenn Sie den VM-Clustertyp ändern möchten, müssen Sie ein neues VM-Cluster erstellen und die Datenbank in das neue Cluster migrieren.

   • Exadata Database: Standarddatenbank-VM ohne Einschränkungen, geeignet für alle Workloads.
   • Exadata Database-Developer: Entwicklerdatenbank-VM mit Einschränkungen, die nur für die Anwendungsentwicklung geeignet ist.
8. VM-Cluster konfigurieren: Geben Sie die DB-Server an, die für das neue VM-Cluster verwendet werden sollen (standardmäßig sind alle DB-Server ausgewählt). Klicken Sie auf DB-Server auswählen, um einen der verfügbaren DB-Server auszuwählen, und klicken Sie dann auf Speichern.

   VM-Clustertyp - Exadata-Datenbank: Wählen Sie mindestens einen Datenbankserver für die VM-Platzierung aus. Wenn Sie einen High Availability-Datenbankservice benötigen, der während der Wartung und ungeplanten Ausfällen verfügbar bleibt, wählen Sie mindestens zwei Datenbankserver aus. Die maximalen für die Zuweisung pro VM verfügbaren Ressourcen basieren auf der Anzahl der ausgewählten Datenbankserver.

   VM-Clustertyp - Exadata Database-Developer: Wählen Sie einen Datenbankserver für die VM-Platzierung aus. Es kann nur ein Datenbankserver ausgewählt werden.

   Gehen Sie im Fensterbereich Ressourcenzuweisung pro VM wie folgt vor:

   • Geben Sie die Anzahl der OCPU/ECPU an, die Sie jedem VM-Compute Nodes des VM-Clusters zuweisen möchten. Geben Sie für VM-Cluster, die auf der Exadata-Infrastruktur X11M erstellt wurden, ECPUs an. Geben Sie für VM-Cluster, die auf X10M und einer früheren Exadata-Infrastruktur erstellt wurden, OCPUs an. Der Mindestwert beträgt 2 OCPU pro VM für X10M und eine frühere Infrastruktur oder 8 ECPUs pro VM für VM-Cluster, die auf der Exadata-Infrastruktur X11M erstellt wurden. Im schreibgeschützten Feld Angeforderte OCPU-Anzahl für das Exadata-VM-Cluster wird die Gesamtanzahl der zuzuweisenden OCPU- oder ECPU-Cores angezeigt.
   • Geben Sie den Arbeitsspeicher pro VM an, der den einzelnen VMs zugewiesen werden soll. Das Minimum pro VM beträgt 30 GB.
   • Geben Sie den Lokalen Speicher pro VM an, um den einzelnen VMs lokalen Speicher zuzuweisen. Das Minimum pro VM beträgt 60 GB.

     Jedes Mal, wenn Sie ein neues VM-Cluster erstellen, wird der vom insgesamt verfügbaren Speicherplatz verbleibende Speicherplatz für das neue VM-Cluster genutzt.

     Zusätzlich zu /u02 können Sie die Größe zusätzlicher lokaler Dateisysteme angeben.

     Weitere Informationen und Anweisungen zur Angabe der Größe für jede einzelne VM finden Sie unter Einführung in das vertikale oder horizontale Skalieren.

     • Klicken Sie auf Zusätzliche Konfigurationsoptionen Für lokale Dateisysteme anzeigen.
     • Geben Sie die Größe der Dateisysteme /, /u01, /tmp, /var, /var/log, /var/log/audit und /home nach Bedarf an.
       Hinweis
       
       

       • Sie können diese Dateisysteme nur erweitern und die Größe nach dem Erweitern nicht verringern.
       • Aufgrund von Backuppartitionen und Spiegelung belegen die Dateisysteme / und /var doppelt so viel Speicherplatz, wie ihnen zugewiesen wurde. Dies wird in den schreibgeschützten Feldern Gesamter zugewiesener Speicher für / (GB) aufgrund von Spiegelung und Gesamter zugewiesener Speicher für /tmp (GB) aufgrund von Spiegelung angegeben.
     • Nachdem Sie das VM-Cluster erstellt haben, prüfen Sie auf der Seite Exadata-Infrastrukturdetails im Abschnitt Exadata-Ressourcen die Dateigröße, die dem lokalen Speicher (/u02) und dem lokalen Speicher (zusätzliche Dateisysteme) zugewiesen ist.
9. Exadata-Speicher:
   • Nutzbaren Exadata-Speicher angeben (TB): Geben Sie den Speicher als Vielfaches von 1 TB an. Minimum: 2 TB
   • Speicher für Exadata-Sparse Snapshots zuweisen: Wählen Sie diese Konfigurationsoption aus, wenn Sie Snapshot-Funktionen in Ihrem VM-Cluster verwenden möchten. Wenn Sie diese Option auswählen, wird die SPARSE-Datenträgergruppe erstellt, sodass Sie die Snapshot-Funktionalität des VM-Clusters für das Erstellen von SPARSE-Klonen von PDBs verwenden können. Wenn Sie diese Option nicht auswählen, wird die SPARSE-Datenträgergruppe nicht erstellt, und die Snapshot-Funktionalität ist in keinen in der Umgebung erstellten Datenbank-Deployments verfügbar.
     Hinweis
     
     

     Die Speicherkonfigurationsoption für Sparse Snapshots kann nach dem Erstellen des VM-Clusters nicht geändert werden.

   • Speicher für lokale Backups zuweisen: Wählen Sie diese Option aus, wenn Sie Datenbankbackups im lokalen Exadata-Speicher innerhalb der Exadata Cloud Infrastructure-Instanz erstellen möchten. Wenn Sie diese Option auswählen, wird der RECO-Datenträgergruppe mehr Speicherplatz zugewiesen, um die Backups im Exadata-Speicher zu speichern. Wenn Sie diese Option nicht auswählen, wird der DATA-Datenträgergruppe mehr Speicherplatz zugewiesen, sodass Sie mehr Daten in den Datenbanken speichern können.
     Hinweis
     
     

     Die Speicherkonfigurationsoption für lokale Backups kann nach dem Erstellen des VM-Clusters Nicht geändert werden.

10. Version:
    • Oracle Grid Infrastructure-Version: Wählen sie in der Liste das Oracle Grid Infrastructure-Release (19c und 26ai) aus, das Sie im VM-Cluster installieren möchten.

      Das Oracle Grid Infrastructure-Release bestimmt die Oracle Database-Releases, die im VM-Cluster unterstützt werden. Sie können kein Oracle Database-Release ausführen, das neuer ist als das Oracle Grid Infrastructure-Softwarerelease.

      Hinweis
      
      

      Mindestanforderungen für das Provisioning eines VM-Clusters mit Grid Infrastructure 26ai:

      • Exadata-Gast-VM mit Exadata-Systemsoftware 23.1.8
      • Exadata-Infrastruktur mit Exadata-Systemsoftware 23.1.x
    • Exadata-Gastversion:
      • Exadata-Infrastruktur mit Oracle Linux 7- und Exadata-Imageversion 22.1.10.0.0.230422:
        • Die Schaltfläche Image ändern ist nicht aktiviert.
        • Die Oracle Grid Infrastructure-Version ist standardmäßig 19.0.0.0.0.
        • Die Exadata-Gastversion entspricht der Version des Host-BS.
      • Exadata-Infrastruktur mit Oracle Linux 8- und Exadata-Imageversion 23.1.3.0.0.230613:
        • Die Exadata-Gastversion ist standardmäßig die neueste (23.1.3.0).
        • Die Oracle Grid Infrastructure-Version ist standardmäßig 19.0.0.0.0
        • Die Schaltfläche Image ändern ist aktiviert.
        • Klicken Sie auf Image ändern.

          Im daraufhin angezeigten Fensterbereich "Image ändern" wird die Liste der verfügbaren Hauptversionen des Exadata-Images (23.1.3.0 und 22.1.3.0) angezeigt.

          Das neueste Release für jede Hauptversion wird durch "(neueste)" angegeben.

        • Folie Alle verfügbaren Versionen anzeigen

          Sechs frühere Versionen, einschließlich der neuesten Versionen der Exadata-Images 23.1.3.0 und 22.1.3.0, werden angezeigt.

        • Version auswählen.
        • Klicken Sie auf Änderungen speichern.
11. SSH-Schlüssel: Geben Sie den Public-Key‑Teil jedes Schlüsselpaares an, das Sie für SSH-Zugriff auf das VM-Cluster verwenden möchten:
    • SSH-Schlüsselpaar generieren: (Standardoption) Wählen Sie dieses Optionsfeld aus, um ein SSH-Schlüsselpaar zu generieren. Klicken Sie dann im folgenden Dialogfeld auf Private Key speichern, um den Schlüssel herunterzuladen. Klicken Sie optional auf Public Key speichern, um den Schlüssel herunterzuladen.
    • SSH-Schlüsseldateien hochladen: Aktivieren Sie dieses Optionsfeld, um PUB-Dateien zu durchsuchen oder per Drag-and-Drop zu verschieben.
    • SSH-Schlüssel einfügen: Aktivieren Sie dieses Optionsfeld, um einzelne Public Keys einzufügen. Klicken Sie zum Einfügen mehrerer Schlüssel auf + Weiterer SSH-Schlüssel, und geben Sie einen Schlüssel pro Eintrag an.
12. Netzwerkeinstellungen: Geben Sie Folgendes an.
    Hinweis
    
    

    IP-Adressen (100.64.0.0/10) werden für das X8M-Interconnect von Exadata Cloud Infrastructure verwendet

    .

    Sie können nicht zwischen IPv4 (Einzelstack) und IPv4/IPv6 (Doppelstack) wählen, wenn beide Konfigurationen vorhanden sind. Weitere Informationen finden Sie unter VCN- und Subnetzverwaltung.

    • Virtuelles Cloud-Netzwerk: Das VCN, in dem Sie das VM-Cluster erstellen möchten. Klicken Sie auf Compartment ändern, um ein VCN in einem anderen Compartment auszuwählen.
    • Clientsubnetz: Das Subnetz, dem das VM-Cluster zugeordnet werden soll. Klicken Sie auf Compartment ändern, um ein Subnetz in einem anderen Compartment auszuwählen.

      Verwenden Sie kein Subnetz, das sich mit 192.168.16.16/28 überschneidet, da dieses vom Private Interconnect von Oracle Clusterware in der Datenbankinstanz verwendet wird. Wenn Sie ein sich überschneidendes Subnetz angeben, führt dies zu einer Fehlfunktion des Private Interconnects.

    • Backupsubnetz: Das Subnetz, das für das Backupnetzwerk verwendet werden soll, das im Allgemeinen zum Übertragen von Backupinformationen von und an das Backupziel und für die Data Guard-Replikation verwendet wird. Klicken Sie auf Compartment ändern, um gegebenenfalls ein Subnetz in einem anderen Compartment auszuwählen.

      Verwenden Sie kein Subnetz, das sich mit 192.168.128.0/20 überschneidet. Diese Einschränkung gilt sowohl für das Client- als auch für das Backupsubnetz.

      Wenn Sie Datenbanken in Object Storage oder Autonomous Recovery-Service sichern möchten, lesen Sie die Voraussetzungen für das Netzwerk unter Exadata-Datenbankbackups verwalten.

      Hinweis
      
      

      Wenn Autonomous Recovery Service verwendet wird, wird dringend ein neues dediziertes Subnetz empfohlen. Prüfen Sie die Netzwerkanforderungen und Konfigurationen, die für das Backup Ihrer Oracle Cloud-Datenbanken in Recovery Service erforderlich sind. Siehe Netzwerkressourcen für Recovery Service konfigurieren.

    • Netzwerksicherheitsgruppen: Optional können Sie eine oder mehrere Netzwerksicherheitsgruppen (NSGs) sowohl für das Client- als auch für das Backupnetzwerk angeben. NSGs fungieren als virtuelle Firewall, sodass Sie ein Set von Ingress- und Egress-Sicherheitsregeln auf das Exadata Cloud Infrastructure-VM-Cluster anwenden können. Sie können maximal fünf NSGs angeben. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen und Netzwerksetup für Exadata Cloud Infrastructure-Instanzen.

      Wenn Sie ein Subnetz mit einer Sicherheitsliste auswählen, gelten für das VM-Cluster sowohl die Regeln in der Sicherheitsliste als auch die Sicherheitsregeln der NSGs.

      So verwenden Sie Netzwerksicherheitsgruppen:

      • Aktivieren Sie das Kontrollkästchen Netzwerksicherheitsgruppen zur Kontrolle des Traffics verwenden. Dieses Kästchen wird unter der Option für das Client- und das Backupsubnetz angezeigt. Sie können NSGs auf das Client- oder das Backupnetzwerk oder auf beide Netzwerke anwenden. Sie müssen ein virtuelles Cloud-Netzwerk ausgewählt haben, um einem Netzwerk NSGs zuweisen zu können.
      • Geben Sie die NSG an, die für das Netzwerk verwendet werden soll. Möglicherweise müssen Sie mehrere NSGs verwenden. Wenn Sie nicht sicher sind, wenden Sie sich an den Netzwerkadministrator.
      • Um zusätzliche NSGs für das Netzwerk zu verwenden, klicken Sie auf + Weitere Netzwerksicherheitsgruppe.
      Hinweis
      
      

      Um Ihren Cloud-VM-Clusterressourcen zusätzliche Sicherheit zu bieten, können Sie mit Oracle Cloud Infrastructure Zero Trust Packet Routing sicherstellen, dass nur Ressourcen, die mit Sicherheitsattributen gekennzeichnet sind, über Netzwerkberechtigungen für den Zugriff auf Ihre Ressourcen verfügen. Oracle stellt Datenbank-Policy-Templates bereit, mit denen Sie Policys für gängige Anwendungsfälle der Datenbanksicherheit erstellen können. Um sie jetzt zu konfigurieren, müssen Sie bereits Sicherheitsattribute mit Oracle Cloud Infrastructure Zero Trust Packet Routing erstellt haben. Klicken Sie am Ende dieser Prozedur auf Erweiterte Optionen anzeigen.

      Beachten Sie, dass bei der Bereitstellung von Sicherheitsattributen für ein Cluster, sobald es angewendet wird, alle Ressourcen eine Zero Trust Packet Policy für den Zugriff auf das Cluster benötigen. Wenn ein Sicherheitsattribut auf einem Endpunkt vorhanden ist, muss es sowohl die Regeln der Netzwerksicherheitsgruppe (NSG) als auch der Oracle Cloud Infrastructure Zero Trust Packet Routing-Policy (OCI ZPR) erfüllen.

    • So verwenden Sie den privaten DNS-Service:
      Hinweis
      
      

      Ein privates DNS muss konfiguriert sein, bevor es ausgewählt werden kann. Siehe Privates DNS konfigurieren

      • Aktivieren Sie das Kontrollkästchen Privaten DNS-Service verwenden.
      • Private Ansicht auswählen. Klicken Sie auf Compartment ändern, um eine private Ansicht in einem anderen Compartment auszuwählen.
      • Private Zone auswählen. Klicken Sie auf Compartment ändern, um eine private Zone in einem anderen Compartment auszuwählen.
    • Hostnamenspräfix: Sie können den Hostnamen für das Exadata-VM-Cluster auswählen. Der Hostname muss mit einem Buchstaben beginnen und darf nur alphanumerische Zeichen und Bindestriche (-) enthalten. Ein Exadata-VM-Cluster darf maximal 12 Zeichen lang sein.

      Achtung:

      Der Hostname muss innerhalb des Subnetzes eindeutig sein. Wenn er nicht eindeutig ist, verläuft das Provisioning des VM-Clusters nicht erfolgreich.

    • Hostdomainname: Der Domainname für das VM-Cluster. Wenn das ausgewählte Subnetz den von Oracle bereitgestellten Internet- und VCN-Resolver für die DNS-Namensauflösung verwendet, wird in diesem Feld der Domainname für das Subnetz angezeigt. Dieser Name kann nicht geändert werden. Andernfalls können Sie den gewünschten Domainnamen angeben. Bindestriche (-) sind nicht zulässig.

      Wenn Sie Datenbankbackups in Object Storage oder Autonomous Recovery Service speichern möchten, empfiehlt Oracle, dass Sie einen VCN-Resolver zur Auflösung des DNS-Namens für das Clientsubnetz verwenden, da diese die Swift-Endpunkte für Backups automatisch auflöst.

    • Host- und Domain-URL: Dieses Feld ist schreibgeschützt und enthält den Host- und Domainnamen, um den vollqualifizierten Domainnamen (FQDN) für die Datenbank anzuzeigen. Die maximale Länge beträgt 63 Zeichen.
13. Lizenztyp auswählen: Der Lizenztyp, den Sie für das VM-Cluster verwenden möchten. Ihre Auswahl wirkt sich auf die Messung für die Abrechnung aus.
    • Lizenz inklusive bedeutet, dass in den Kosten für den Cloud-Service eine Lizenz für den Datenbankservice inbegriffen ist.
    • Bring Your Own License (BYOL) bedeutet, dass Sie ein Oracle Database-Kunde mit einem unbefristeten oder befristeten Lizenzvertrag sind und Ihre Lizenz mit Oracle Cloud Infrastructure verwenden möchten. In diesem Fall benötigen Sie keine separaten On-Premise-Lizenzen und Cloud-Lizenzen.
14. Diagnoseerfassung: Durch das Aktivieren von Diagnoseerfassung und -benachrichtigungen können Sie und Oracle Cloud Operations Probleme mit Gast-VMs schnell und effektiv identifizieren, untersuchen, verfolgen und lösen. Abonnieren Sie Ereignisse, um über Änderungen des Ressourcenstatus benachrichtigt zu werden.
    Hinweis
    
    

    Mit dem Opt-in erkennen Sie an, dass sich die obige Liste der Ereignisse (oder Metriken, Logdateien) in Zukunft ändern kann. Ein Opt-out ist bei diesem Feature jederzeit möglich

    .
    • Diagnoseereignisse aktivieren: Lassen Sie zu, dass Oracle kritische, Warnungs-, Fehler- und Informationsereignisse erfasst und für Sie veröffentlicht.
    • Zustandsmonitoring aktivieren: Lassen Sie zu, dass Oracle Zustandsmetriken/-ereignisse wie Oracle Database-Status (hoch-/heruntergefahren), Belegung des Datenträgerspeicherplatzes usw. erfasst und mit Oracle Cloud Operations teilt. Sie werden dabei auch über einige Ereignisse benachrichtigt.
    • Vorfallslog- und Traceerfassung aktivieren: Lassen Sie zu, dass Oracle Vorfallslogs und Traces erfasst, um die Faultdiagnose und Problemlösung zu ermöglichen.
    Hinweis
    
    

    Mit dem Opt-in erkennen Sie an, dass sich die obige Liste der Ereignisse (oder Metriken, Logdateien) in Zukunft ändern kann. Ein Opt-out ist bei diesem Feature jederzeit möglich.

    Alle drei Kontrollkästchen sind standardmäßig aktiviert. Sie können die Standardeinstellungen unverändert lassen oder die Kontrollfelder nach Bedarf deaktivieren. Sie können die Einstellungen für die Diagnoseerfassung auf der Seite VM-Clusterdetails unter Allgemeine Informationen >> Diagnoseerfassung anzeigen.

    • Aktiviert: Wenn Sie Diagnosen, Zustandsmetriken, Vorfallslogs und Tracedateien erfassen möchten (alle drei Optionen).
    • Deaktiviert: Wenn Sie keine Diagnosen, Zustandsmetriken, Vorfallslogs und Tracedateien erfassen möchten (keine der drei Optionen).
    • Teilweise aktiviert: Wenn Sie Diagnosen, Zustandsmetriken, Vorfallslogs oder Tracedateien erfassen möchten (eine oder zwei Optionen).
15. Klicken Sie auf Erweiterte Optionen anzeigen, um erweiterte Optionen für das VM-Cluster anzugeben:

    • Zeitzone: Diese Option befindet sich auf der Registerkarte Management. Die Standardzeitzone für das VM-Cluster ist UTC, aber Sie können eine andere Zeitzone angeben. Gültige Zeitzonenoptionen sind diejenigen, die von der Klasse Java.util.TimeZone und vom Oracle Linux-Betriebssystem unterstützt werden.

      Hinweis
      
      

      Wenn Sie eine andere Zeitzone als UTC oder die vom Browser erkannte Zeitzone festlegen möchten und die gewünschte Zeitzone nicht angezeigt wird, wählen Sie die Option Andere Zeitzone auswählen aus. Wählen Sie dann in der Liste Region oder Land die Option "Sonstiges" aus, und suchen Sie nach der gewünschten Zeitzone.

    • SCAN-Listener-Port: Diese Option befindet sich auf der Registerkarte Netzwerk. Sie können einen SCAN-Listener-Port (TCP/IP) im Bereich zwischen 1024 und 8999 zuweisen. Der Standardwert ist 1521.
      Hinweis
      
      Das manuelle Ändern des SCAN-Listener-Ports eines VM-Clusters nach dem Provisioning mit der Backend-Software wird nicht unterstützt. Diese Änderung kann dazu führen, dass das Data Guard-Provisioning nicht erfolgreich verläuft.
    • Zero Trust Packet Routing (ZPR): Diese Option befindet sich auf der Registerkarte Sicherheitsattribute. Wählen Sie einen Namespace aus, und geben Sie den Schlüssel und Wert für das Sicherheitsattribut an. Um diesen Schritt während der Konfiguration abzuschließen, müssen Sie bereits Sicherheitsattribute mit Oracle Cloud Infrastructure Zero Trust Packet Routing eingerichtet haben. Sie können Sicherheitsattribute auch nach der Konfiguration hinzufügen und später hinzufügen. Weitere Informationen zum Hinzufügen von Oracle Exadata Database Service on Dedicated Infrastructure-spezifischen Policys finden Sie unter Policy Template Builder.
    • Cloud-Automatisierungsupdate: Oracle wendet regelmäßig Updates an den Datenbanktools und der Agent-Software an, die für Cloud-Tools und -Automatisierung erforderlich sind. Sie können das bevorzugte Zeitfenster für die Anwendung dieser Updates auf Ihr VM-Cluster konfigurieren.

      Legen Sie die Startzeit für Cloud-Automatisierungsupdates fest.

      Hinweis
      
      

      Oracle sucht täglich zwischen dem konfigurierten Zeitfenster nach den neuesten VM Cloud Automation-Updates und wendet gegebenenfalls Updates an. Wenn die Automatisierung aufgrund eines zugrunde liegenden Prozesses mit langer Ausführungszeit nicht in der Lage ist, Updates innerhalb des konfigurierten Zeitfensters einzuspielen, prüft Oracle automatisch den folgenden Tag während des konfigurierten Zeitfensters, um Cloud-Automatisierungsupdates auf das VM-Cluster einzuspielen.

      Vorzeitigen Zugriff für Cloud-Tools-Update aktivieren: VM-Cluster, die für einen vorzeitigen Zugriff bestimmt sind, erhalten Updates 1-2 Wochen bevor sie für andere Systeme verfügbar sind. Aktivieren Sie dieses Kontrollkästchen, wenn Sie eine vorzeitige Annahme für dieses VM-Cluster wünschen.

      Fixierungszeitraum für Cloud-Automatisierungsupdates: Oracle wendet regelmäßig Updates an den Datenbanktools und der Agent-Software an, die für Cloud-Tools und -Automatisierung erforderlich sind. Aktivieren Sie einen Sperrzeitraum, um ein Zeitfenster zu definieren, in dem die Oracle-Automatisierung keine Cloud-Updates einspielt.

      Verschieben Sie den Schieberegler, um die Einfrierperiode festzulegen.

      Hinweis
      
      

      • Die Sperrfrist kann ab dem Startdatum maximal 45 Tage betragen.
      • Die Oracle-Automatisierung übernimmt Updates mit kritischen Sicherheitsfixes (CVSS >= 9) auch während eines konfigurierten Sperrzeitraums automatisch.
    • Tags: Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollten, überspringen Sie diese Option, oder fragen Sie Ihren Administrator. Sie können die Tags auch später noch anwenden.
16. Klicken Sie auf Erstellen.

Mit dieser Prozedur können Sie die Details eines Identitäts-Connectors anzeigen, der an ein VM-Cluster angehängt ist.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Klicken Sie unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
3. Klicken Sie auf den Namen des gewünschten VM-Clusters.
4. Bestätigen Sie auf der daraufhin angezeigten Seite VM-Clusterdetails im Abschnitt Multicloud-Informationen, dass im Feld "Identitäts-Connector" der Identitäts-Connector angezeigt wird, der an dieses VM-Cluster angehängt ist.
5. Klicken Sie auf den Namen des Identitäts-Connectors, um seine Details anzuzeigen.

   Sie werden zum Database Multicloud Integrations-Portal umgeleitet.

Führen Sie die folgenden Schritte aus, um einen Schlüsselring zu erstellen.

1. Öffnen Sie die Google Cloud-Konsole, und navigieren Sie zur Seite Key Management.
2. Klicken Sie auf Schlüsselring erstellen.
3. Geben Sie die folgenden Details ein:
   • Name: Geben Sie einen aussagekräftigen Namen für den Schlüsselring ein.
   • Speicherort: Wählen Sie einen Speicherort für den Schlüsselring aus.

     Wichtig:

     • Schlüsselringe mit demselben Namen können an verschiedenen Orten vorhanden sein. Daher müssen Sie immer den Speicherort angeben.
     • Wählen Sie einen Speicherort in der Nähe der Ressourcen aus, die Sie schützen möchten.
     • Stellen Sie bei vom Kunden verwalteten Verschlüsselungsschlüsseln sicher, dass sich der Schlüsselring am selben Speicherort wie die Ressourcen befindet, die ihn verwenden.

     Wählen Sie einen Standort für Ihren Schlüsselring:

     Wenn Sie einen Schlüsselring in Google Cloud Key Management Service (KMS) erstellen, ist die Auswahl des richtigen Standorts entscheidend. Ihre Wahl beeinflusst, wo Ihre kryptografischen Schlüssel gespeichert werden und wie sie repliziert werden. Weitere Informationen finden Sie unter Cloud KMS-Standorte.

     • Region:
       • Daten werden in einer bestimmten geografischen Region gespeichert.
       • Die Schlüssel bleiben innerhalb der Grenzen dieser einzelnen Region.
       • Ideal für:
         • Anwendungen mit geringer Latenz
         • Einhaltung der Anforderungen an die Datenresidenz
         • Regionsspezifische Workloads
     • Multi-Regional:
       • Daten werden über mehrere Regionen in einem größeren geografischen Gebiet repliziert.
       • Google verwaltet die Verteilung und Replikation automatisch.
       • Sie können keine einzelnen Data Center oder Regionen auswählen.
       • Ideal für:
         • High Availability
         • Robuste, fehlertolerante Anwendungen
         • Dienstleistungen für ein breites regionales Gebiet
     • Global:
       • Eine besondere Art von Multi-Region.
       • Schlüssel werden weltweit in Google-Rechenzentren verteilt.
       • Standortauswahl und -steuerung sind nicht verfügbar.
       • Ideal für:
         • Anwendungen mit globalen Benutzern
         • Anwendungsfälle, die maximale Redundanz und Reichweite erfordern
4. Klicken Sie auf Erstellen.

Nachdem der Schlüsselring erstellt wurde, können Sie damit beginnen, Verschlüsselungsschlüssel darin zu erstellen und zu verwalten.

Führen Sie die folgenden Schritte aus, um einen symmetrischen Raw-Verschlüsselungsschlüssel im angegebenen Schlüsselring und Speicherort zu erstellen.

1. Öffnen Sie die Google Cloud-Konsole, und navigieren Sie zur Seite Key Management.
2. Klicken Sie auf den Namen des Schlüsselrings, in dem der Schlüssel erstellt werden soll.
3. Klicken Sie auf Schlüssel erstellen.
4. Geben Sie die folgenden Details ein:
   • Schlüsselname: Geben Sie einen aussagekräftigen Namen für den Schlüssel ein.
   • Schutzstufe: Wählen Sie Software oder HSM (Hardwaresicherheitsmodul).

     Die Schutzebene eines Schlüssels kann nicht geändert werden, nachdem der Schlüssel erstellt wurde. Weitere Informationen finden Sie unter Schutzstufen.

   • Schlüsselmaterial: Wählen Sie Schlüssel generieren oder Importschlüssel aus.

     Generieren Sie Schlüsselmaterial in Cloud KMS, oder importieren Sie Schlüsselmaterial, das außerhalb von Google Cloud verwaltet wird. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).

   • Zweck und Algorithmus:

     Weitere Informationen finden Sie unter Wichtige Zwecke und Algorithmen.

     • Setzen Sie Purpose auf Raw-Verschlüsselung/Entschlüsselung.
     • Wählen Sie unter Algorithmus die Option AES-256-CBC aus.
5. Klicken Sie auf Erstellen.

Nach dem Erstellen können Sie diesen Schlüssel für kryptografische Vorgänge verwenden, für die eine AES-CBC-Verschlüsselung und -Entschlüsselung erforderlich ist.

Mit dieser Prozedur können Sie zulassen, dass ein Schlüssel in Oracle Cloud Infrastructure (OCI) erkannt werden kann.

1. Wählen Sie in Google Cloud KMS den Schlüssel aus, den Sie ermitteln möchten.
2. Navigieren Sie zur Registerkarte Berechtigungen, und klicken Sie auf Principal hinzufügen.
3. Geben Sie im Feld Neue Principals den Serviceaccount ein, der Ihrem Workload Resource Service Agent zugeordnet ist.
   Hinweis
   
   

   Sie finden diesen Serviceaccount auf der Seite Identity Connector-Details im Abschnitt GCP-Informationen. Suchen Sie nach dem Workload Resource Service Agent, und notieren Sie sich dessen ID. Dies ist der erforderliche Serviceaccount.

4. Fügen Sie unter Rollen zuweisen eine Rolle Ihrer Wahl hinzu.
   Hinweis
   
   

   Erstellen Sie eine benutzerdefinierte Rolle mit den folgenden Mindestberechtigungen, und weisen Sie sie dem Schlüsselring Ihrer Wahl zu.

   Mit diesen gemeinsamen Berechtigungen kann OCI:

   • Entdecken Sie KMS-Ressourcen wie Schlüsselanhänger und Schlüssel.
   • Greifen Sie auf Metadaten zu Schlüsseln und deren Versionen zu.
   • Verwenden Sie die Schlüssel für kryptografische Vorgänge (Verschlüsselung/Entschlüsselung).
   • Schlüsselversionen erstellen

   Erforderliche Mindestberechtigungen:

   • cloudkms.cryptoKeyVersions.get

     Ermöglicht den Abruf von Metadaten für eine bestimmte Schlüsselversion.

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     Ermöglicht die Verwaltung von rohem AES-CBC-Schlüsselmaterial (Import, Rotation usw.).

   • cloudkms.cryptoKeyVersions.create

     Ermöglicht die Erstellung neuer Schlüsselversionen innerhalb eines Schlüssels.

   • cloudkms.cryptoKeyVersions.list

     Listet alle Versionen eines Schlüssels auf.

   • cloudkms.cryptoKeyVersions.useToDecrypt

     Erteilt die Berechtigung, eine Schlüsselversion zum Entschlüsseln von Daten zu verwenden.

   • cloudkms.cryptoKeyVersions.useToEncrypt

     Erteilt die Berechtigung, eine Schlüsselversion zum Verschlüsseln von Daten zu verwenden.

   • cloudkms.cryptoKeys.get

     Ermöglicht den Abruf von Metadaten für einen Schlüssel.

   • cloudkms.cryptoKeys.list

     Listet alle Schlüssel in einem Schlüsselring auf.

   • cloudkms.keyRings.get

     Ermöglicht das Abrufen von Metadaten für einen Schlüsselring.

   • cloudkms.locations.get

     Ruft Informationen zu unterstützten Schlüsselstandorten ab.

5. Klicken Sie auf Speichern, um die Änderungen anzuwenden.
6. Klicken Sie auf Aktualisieren, um zu bestätigen, dass die aktualisierten Berechtigungen wirksam wurden.

Um vom Kunden verwaltete Google Cloud-Verschlüsselungsschlüssel (CMEK) für Ihr VM-Cluster zu aktivieren, müssen Sie zuerst den GCP-Schlüsselring in OCI registrieren.

1. Navigieren Sie im Portal Database Multicloud Integrations zu: Google Cloud Integration > GCP-Schlüsselringe.
2. Klicken Sie auf GCP-Schlüsselring,
3. Klicken Sie auf GCP-Key Rings registrieren
4. Geben Sie auf der daraufhin angezeigten Seite GCP-Key Rings registrieren die folgenden Details an:
   • Compartment: Wählen Sie das Compartment aus, in dem sich das VM-Cluster befindet.
   • Identitäts-Connector: Wählen Sie den Identity Connector aus, der an das VM-Cluster angehängt ist.
   • Schlüsselring: Geben Sie den Namen des zu registrierenden GCP-Schlüsselrings ein.

     Um alle verfügbaren Schlüsselringe über einen einzelnen Identitäts-Connector zu ermitteln, müssen Sie diesem Identitäts-Connector die folgenden Berechtigungen erteilen. Diese Berechtigungen sollten auf der entsprechenden Projekt- oder Ordnerebene zugewiesen werden, um sicherzustellen, dass der Connector über den vorgesehenen Geltungsbereich auf alle Schlüsselringe zugreifen kann.

     • cloudkms.keyRings.list

       Ermöglicht die Auflistung aller Schlüsselringe in einem Projekt.

     • cloudkms.locations.get

       Ermöglicht das Abrufen von Metadaten für einen bestimmten Schlüsselring.

5. Klicken Sie auf Discover, um zu prüfen, ob der Schlüsselring in GCP vorhanden ist.

   Falls erfolgreich, werden die Details des Schlüsselrings angezeigt.

   Hinweis
   
   

   Es können nur Schlüsselringe registriert werden, nicht einzelne Schlüssel. Alle unterstützten Schlüssel, die mit einem registrierten Schlüsselring verknüpft sind, sind verfügbar, sofern die erforderlichen Berechtigungen vorhanden sind.

6. Klicken Sie auf Registrieren.

Führen Sie die folgenden Schritte aus, um GCP CMEK für Ihr Exadata-VM-Cluster zu aktivieren.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Klicken Sie unter Oracle Exadata Database Service on Dedicated Infrastructure auf Exadata-VM-Cluster.
3. Wählen Sie den Namen des VM-Clusters aus, das Sie konfigurieren möchten.
4. Scrollen Sie auf der Seite VM-Clusterdetails zum Abschnitt Multicloud-Informationen, und klicken Sie neben GCP CMEK auf Aktivieren.
5. Um GCP CMEK zu deaktivieren, klicken Sie auf Deaktivieren.

In diesem Thema werden nur die Schritte zum Erstellen einer Datenbank und zum Verwenden des vom Kunden verwalteten GCP-Verschlüsselungsschlüssels (CMEK) als Schlüsselverwaltungslösung beschrieben.

Informationen zum Erstellen einer generischen Datenbank finden Sie unter So erstellen Sie eine Datenbank in einem vorhandenen VM-Cluster.

Gehen Sie wie folgt vor, um Verschlüsselungsschlüssel zwischen verschiedenen Verschlüsselungsmethoden zu ändern.

1. Navigieren Sie in der OCI-Konsole zur Seite mit den Datenbankdetails.
2. Prüfen Sie im Abschnitt Verschlüsselung, ob Schlüsselmanagement auf Oracle Wallet gesetzt ist, und klicken Sie dann auf den Link Ändern.
3. Geben Sie die folgenden Informationen auf der Seite Schlüsselverwaltung ändern ein.
   1. Wählen Sie in der Dropdown-Liste Schlüsselmanagement als vom Kunden verwalteten GCP-Verschlüsselungsschlüssel aus.
   2. Wählen Sie das verwendete Compartment aus, und wählen Sie dann den in diesem Compartment verfügbaren Schlüsselring aus.
   3. Wählen Sie als Nächstes das verwendete Schlüssel-Compartment aus, und wählen Sie dann den gewünschten Schlüssel aus der Dropdown-Liste aus.
   4. Klicken Sie auf Änderungen speichern.

Führen Sie die folgenden Schritte aus, um den vom Kunden verwalteten GCP-Verschlüsselungsschlüssel einer Containerdatenbank (CDB) zu rotieren.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Wählen Sie das gewünschte Compartment aus.

   Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters, das die Datenbank enthält, mit der Sie Verschlüsselungsschlüssel rotieren möchten.
4. Klicken Sie auf Datenbanken.
5. Klicken Sie auf den Namen der Datenbank, mit der Sie Verschlüsselungsschlüssel rotieren möchten.

   Auf der Seite "Datenbankdetails" werden Informationen zur ausgewählten Datenbank angezeigt.

6. Prüfen Sie im Abschnitt Verschlüsselung, ob Key Management auf Von Kunden verwalteter GCP-Verschlüsselungsschlüssel gesetzt ist, und klicken Sie dann auf den Link Rotieren.
7. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.

Führen Sie die folgenden Schritte aus, um den vom Kunden verwalteten GCP-Verschlüsselungsschlüssel einer integrierbaren Datenbank (PDB) zu rotieren.

1. Öffnen Sie das Navigationsmenü. Klicken Sie auf Oracle Database und dann auf Oracle Exadata Database Service on Dedicated Infrastructure.
2. Wählen Sie das gewünschte Compartment aus.

   Für das ausgewählte Compartment wird eine Liste der VM-Cluster angezeigt.

3. Klicken Sie in der Liste der VM-Cluster auf den Namen des VM-Clusters mit der zu startenden PDB, und klicken Sie dann auf deren Namen, um die Detailseite anzuzeigen.
4. Suchen sie unter Datenbanken die Datenbank mit der PDB, mit der Sie Verschlüsselungsschlüssel rotieren möchten.
5. Klicken Sie auf den Namen der Datenbank, um die Seite "Datenbankdetails" anzuzeigen.
6. Klicken Sie im Abschnitt Ressourcen der Seite auf Integrierbare Datenbanken.

   Eine Liste vorhandener PDBs in dieser Datenbank wird angezeigt.

7. Klicken Sie auf den Namen der PDB, die Sie Verschlüsselungsschlüssel rotieren möchten.

   Die Detailseite der integrierbaren Datenbank wird angezeigt.

8. Im Abschnitt Verschlüsselung wird angezeigt, dass die Schlüsselverwaltung als vom Kunden verwalteter GCP-Verschlüsselungsschlüssel festgelegt ist.
9. Klicken Sie auf den Link Drehen.
10. Klicken Sie im daraufhin angezeigten Dialogfeld Schlüssel rotieren auf Drehen, um die Aktion zu bestätigen.