Oracle Cloud Infrastructure-Dokumentation

Verschlüsselungsschlüssel auf externen Geräten verwalten

Hier erfahren Sie, wie Sie Datenbankverschlüsselungsschlüssel speichern und verwalten.

Es gibt zwei Optionen zum Speichern und Verwalten von Datenbankverschlüsselungsschlüsseln für Ihre Datenbanken in Oracle Exadata Database Service on Dedicated Infrastructure:

  1. In einer Wallet-Datei für die automatische Anmeldung, die in einem Oracle Advanced Cluster File System (Oracle ACFS) gespeichert ist, auf das das VM-Betriebssystem des Kunden zugreifen kann.
  2. Oracle Key Vault.

Übergeordnetes Thema: Anleitungen

Vom Kunden verwaltete Schlüssel in Oracle Exadata Database Service on Dedicated Infrastructure

Vom Kunden verwaltete Schlüssel für Oracle Exadata Database Service on Dedicated Infrastructure sind ein Feature, mit dem Sie den Oracle Database-TDE-Masterverschlüsselungsschlüssel für eine Oracle Database von der kennwortgeschützten Wallet-Datei migrieren können, die auf dem Oracle Exadata Database Service on Dedicated Infrastructure-Equipment gespeichert ist, auf einen von Ihnen kontrollierten OKV-Server.

Oracle Key Vault (OKV) bietet fehlertolerante, hochverfügbare und skalierbare Schlüssel- und Secrets-Verwaltung für Ihre verschlüsselten ExaDB-D-Datenbanken. Verwenden Sie vom Kunden verwaltete Schlüssel, wenn Sie Sicherheits-Governance, Compliance und homogene Datenverschlüsselung benötigen und den Lebenszyklus der Schlüssel, die Sie zum Schutz Ihrer Daten verwenden, zentral verwalten, speichern und überwachen möchten.

Sie können folgende Aktionen ausführen:

  • Von von Oracle verwaltete Schlüssel zu vom Kunden verwalteten Schlüsseln für Datenbanken wechseln, unabhängig davon, ob sie mit Data Guard aktiviert sind oder nicht.
  • Die Schlüssel rotieren, um die Sicherheitscompliance zu erhalten.
  • Das Rotieren des PDB-Schlüssels wird ebenfalls unterstützt. Die Vorgänge "CDB- und PDB-Schlüssel rotieren" sind nur zulässig, wenn die Datenbank vom Kunden verwaltet wird.

Anforderungen

Oracle Key Vault

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können.

Hinweis

Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört.

Überblick über Keystore

Integrieren Sie Ihren On-Premises-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services, um Ihre kritischen Daten auf ExaDB-D zu sichern.

Durch die Integration von Oracle Key Vault können Sie Ihre Verschlüsselungsschlüssel vollständig kontrollieren und sicher auf einem externen, zentralisierten Schlüsselverwaltungsgerät speichern.

OKV ist für Oracle-Wallets, Java Keystores und Oracle Advanced Security Transparent Data Encryption-(TDE-)Masterschlüssel optimiert. Oracle Key Vault unterstützt den OASIS KMIP-Standard. Die sichere Full-Stack-Software-Appliance verwendet Oracle Linux und Oracle Database für Sicherheit, Verfügbarkeit und Skalierbarkeit und kann auf kompatibler Hardware Ihrer Wahl bereitgestellt werden.

OKV stellt auch eine REST-Schnittstelle bereit, über die Clients Endpunkte automatisch registrieren und Wallets und Schlüssel einrichten können. Oracle Exadata Database Service on Dedicated Infrastructure speichert vorübergehend das Kennwort des OKV-REST-Benutzeradministrators, das für die Verbindung mit der OKV-Appliance erforderlich ist, in einer kennwortgeschützten Wallet-Datei, sodass die in der Kunden-VM ausgeführte Software eine Verbindung zum OKV-Server herstellen kann. Nach der Migration der TDE-Schlüssel zu OKV entfernt die Cloud-Automatisierungssoftware das Kennwort aus der Wallet-Datei. Stellen Sie sicher, dass Sie im Vault-Service von Oracle ein Secret erstellen. Es dient zum Speichern des Kennworts, das für autonome Datenbanken zur Verbindung mit OKV für die Schlüsselverwaltung erforderlich ist.

Weitere Informationen finden Sie unter Oracle Key Vault.

Erforderliche IAM-Policy zur Verwaltung von OKV auf Oracle Exadata Database Service on Dedicated Infrastructure

Prüfen Sie die IAM-Policy zur Verwaltung von OKV auf Oracle Exadata Database Service on Dedicated Infrastructure-Systemen.

Eine Policy ist ein IAM-Dokument, das angibt, wer welchen Zugriff auf Ihre Ressourcen hat. Der Begriff hat verschiedene Bedeutungen: Er bezeichnet eine einzelne in der Policy-Sprache geschriebene Anweisung, eine Sammlung von Anweisungen in einem benannten "Policy"-Dokument (dem eine Oracle Cloud-ID (OCID) zugewiesen ist) oder den gesamten Policy-Text, mit dem Ihre Organisation den Zugriff auf Ressourcen steuert.

Ein Compartment ist eine Sammlung aus zusammengehörigen Ressourcen, auf die nur bestimmte Gruppen zugreifen können, denen ein Administrator in Ihrer Organisation eine Berechtigung erteilt hat.

Damit Sie Oracle Cloud Infrastructure verwenden können, müssen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy erhalten, unabhängig davon, ob Sie die Konsole, die REST-API mit einem Software Development Kit (SDK), eine Befehlszeilenschnittstelle (CLI) oder ein anderes Tool verwenden. Wenn Sie beim Versuch, eine Aktion auszuführen, eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollten.

Für Administratoren: Mit der Policy in Verwalten von DB-Systemen durch Datenbankadministratoren zulassen kann die angegebene Gruppe alle Vorgänge mit Datenbanken und zugehörigen Datenbankressourcen durchführen.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zum Schreiben von Policys für Datenbanken finden Sie unter Details zum Database-Service.

Ressourcen taggen

Sie können Ihre Ressourcen mit Tags versehen, um sie entsprechend Ihren Geschäftsanforderungen zu organisieren.

Sie können Tags beim Erstellen einer Ressource zuweisen oder die Ressource später mit den gewünschten Tags aktualisieren. Allgemeine Informationen zum Zuweisen von Tags finden Sie unter Ressourcentags.

Ressourcen in ein anderes Compartment verschieben

Sie können OKV-Vault-, Secret- und Keystore-Ressourcen von einem Compartment in ein anderes verschieben.

Nachdem Sie eine OCI-Ressource in ein neues Compartment verschoben haben, werden sofort inaktive Policys angewendet, die sich auf den Zugriff auf die Ressource auswirken. Das Verschieben einer OKV-Vault-Ressource wirkt sich nicht auf den Zugriff auf OKV-Vault-Schlüssel oder OKV-Vault-Secrets aus, die der OKV-Vault enthält. Sie können einen OCI-Schlüssel oder ein OCI-Secret unabhängig vom zugehörigen OKV-Vault von einem Compartment in ein anderes verschieben. Weitere Informationen finden Sie unter Compartments verwalten.

Oracle Exadata Database Service on Dedicated Infrastructure für die Verwendung mit Oracle Key Vault einrichten

Prüfen Sie die Voraussetzungen, um Oracle Exadata Database Service on Dedicated Infrastructure für die Arbeit mit Oracle Key Vault einzurichten.

Voraussetzungen

  1. Stellen Sie sicher, dass OKV eingerichtet ist und über das Exadata-Clientnetzwerk auf das Netzwerk zugegriffen werden kann. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, damit die OKV-Clientsoftware und die Oracle-Datenbankinstanz auf den OKV-Server zugreifen können.
  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.
  3. Erstellen Sie den Benutzer "OKV REST Administrator".

    Sie können einen beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für ADB-C@C, ExaDB-C@C und ExaDB-D denselben oder verschiedene REST-Benutzer. Diese Datenbanken können in denselben oder in anderen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. ExaDB-C@C und ExaDB-D benötigen einen REST-Benutzer mit der Berechtigung "Endpunkt erstellen". ADB-C@C benötigt einen REST-Benutzer mit den Berechtigungen create endpoint und create endpoint group.

  4. Zugangsdaten des OKV-Administrators und die IP-Adresse für die Verbindung mit OKV liegen vor.

Weitere Informationen finden Sie unter "Netzwerkportanforderungen", "Oracle Key Vault-Benutzer verwalten" und "Administrative Rollen und Benutzerberechtigungen verwalten".

Verwandte Themen

Übergeordnetes Thema: Verschlüsselungsschlüssel auf externen Geräten verwalten

Schritt 1: Vault in OKV-Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Ihre Exadata Cloud Infrastructure kommuniziert jedes Mal über REST mit OKV, wenn eine Oracle Database bereitgestellt wird, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Daher benötigt die Exadata-Infrastruktur Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren.

Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert, und der Zugriff auf die Exadata Cloud Infrastructure-Infrastruktur erfolgt nur bei Bedarf. Bei Bedarf werden die Zugangsdaten in einer kennwortgeschützten Wallet-Datei gespeichert.

Um das OKV-Administratorkennwort im OKV Vault-Service zu speichern, erstellen Sie einen Vault. Befolgen Sie dazu die Anweisungen unter Vaults verwalten. Erstellen Sie dann ein Secret in diesem Vault. Befolgen Sie dazu die Anweisungen unter Secrets verwalten.

Schritt 2: Dynamische Gruppe und Policy-Anweisung für den Zugriff auf das Secret in OCI Vault durch den Keystore erstellen

Um Keystore-Ressourcen die Berechtigung zum Zugriff auf das Secret in OCI Vault zu erteilen, erstellen Sie eine dynamische IAM-Gruppe, welche diese Ressourcen identifiziert. Erstellen Sie dann eine IAM-Policy, die dieser dynamischen Gruppe Zugriff auf das in den OCI-Vaults und -Secrets erstellte Secret erteilt.

Beim Definieren der dynamischen Gruppe identifizieren Sie die Keystore-Ressourcen, indem Sie die OCID des Compartments angeben, das den Keystore enthält.

  1. Kopieren Sie die OCID des Compartments, das die Keystore-Ressource enthält.

    Sie finden diese OCID auf der Seite "Compartment-Details" des Compartments.

  2. Erstellen Sie eine dynamische Gruppe nach den Anweisungen unter "So erstellen Sie eine dynamische Gruppe" in der Oracle Cloud Infrastructure-Dokumentation. Geben Sie beim Ausführen der Anweisungen eine Übereinstimmungsregel in diesem Format ein:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    Dabei ist <compartment-ocid> die OCID des Compartments, das die Keystore-Ressource enthält.

  3. Nachdem Sie die dynamische Gruppe erstellt haben, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das in der Compartment-Hierarchie dem Compartment, das Ihre Vaults und Secrets enthält, übergeordnet ist. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:
    allow dynamic-group <dynamic-group> to use secret-family in compartment <vaults-and-secrets-compartment>

    Dabei ist <dynamic-group> der Name der dynamischen Gruppe, die Sie erstellt haben, und <vaults-and-secrets-compartment> ist der Name des Compartments, in dem Sie Ihre Vaults und Geheimnisse erstellt haben.

Schritt 3: Dynamische Gruppe und Policy-Anweisung für den Zugriff auf den Keystore durch Exadata-Infrastrukturressourcen erstellen

Um Exadata Cloud Infrastructure-Ressourcen die Berechtigung zum Zugriff auf den Keystore zu erteilen, erstellen Sie eine dynamische IAM-Gruppe, die diese Ressourcen identifiziert. Erstellen Sie dann eine IAM-Policy, die dieser dynamischen Gruppe Zugriff auf den von Ihnen erstellten Keystore erteilt.

Wenn Sie die dynamische Gruppe definieren, identifizieren Sie die Exadata Cloud Infrastructure-Ressourcen, indem Sie die OCID des Compartments angeben, das Ihre Exadata-Infrastruktur enthält.

  1. Kopieren Sie die OCID des Compartments, das Ihre Exadata Cloud Infrastructure-Ressource enthält.

    Sie finden diese OCID auf der Seite "Compartment-Details" des Compartments.

  2. Erstellen Sie eine dynamische Gruppe nach den Anweisungen unter "So erstellen Sie eine dynamische Gruppe" in der Oracle Cloud Infrastructure-Dokumentation. Geben Sie beim Ausführen der Anweisungen eine Übereinstimmungsregel in diesem Format ein:
    ALL {resource.compartment.id ='<compartment-ocid>'}

    Dabei ist <compartment-ocid> die OCID des Compartments, in dem sich die Exadata-Infrastrukturressource befindet.

  3. Nachdem Sie die dynamische Gruppe erstellt haben, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das in der Compartment-Hierarchie dem Compartment, das Ihren Keystore enthält, übergeordnet ist. Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:
    Allow dynamic-group <dynamic-group> to use keystores in compartment <key-store-compartment>

    Dabei ist <dynamic-group> der Name der dynamischen Gruppe, die Sie erstellt haben, und <key-store-compartment> der Name des Compartments, in dem Sie den Keystore erstellt haben.

Schritt 4: Policy-Anweisung zur Verwendung des Secrets aus OCI Vault-Service durch Datenbankservice erstellen

Um dem Exadata-Datenbankservice die Berechtigung zur Verwendung des Secrets in OCI Vault für die Anmeldung bei der OKV-REST-Schnittstelle zu erteilen, navigieren Sie zu einer (oder erstellen Sie eine) IAM-Policy in einem Compartment, das sich in der Compartment-Hierarchie über dem Compartment befindet, das Ihre OCI- Vaults und -Secrets enthält.

Fügen Sie dann eine Policy-Anweisung in diesem Format hinzu:

allow service database to read secret-family in compartment <vaults-and-secrets-compartment>

Dabei ist <vaults-and-secrets-compartment> der Name des Compartments, in dem Sie Ihre OCI-Vault- und Secrets erstellt haben.

Nachdem der OKV- Vault und die IAM-Konfiguration eingerichtet wurden, können Sie den Oracle Key Vault-"Keystore" in OCI bereitstellen und mit Ihrem Exadata-VM-Cluster verknüpfen.

Schritt 5: Keystore erstellen

Führen Sie diese Schritte aus, um einen Keystore zur Verbindung mit einer On-Premise-Verschlüsselungsschlüssel-Appliance wie Oracle Key Vault (OKV) zu erstellen.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.

    Auf der Seite Keystore werden die Namen der Keystore, die Anzahl der mit jedem Keystore verknüpften Datenbanken und das Datum angezeigt, an dem jeder Keystore erstellt wurde.

  4. Klicken Sie auf Keystore erstellen.
  5. Geben Sie im daraufhin angezeigten Dialogfeld "Keystore erstellen" die folgenden allgemeinen Informationen ein:
    • Namen für Keystore angeben: Eine benutzerfreundliche Beschreibung oder andere Informationen, anhand derer Sie die Keystore-Ressource leicht identifizieren können. Geben Sie dabei keine vertraulichen Informationen ein.
    • Oracle Key Vault-Verbindungseinstellungen
      • Verbindungs-IP-Adressen: Geben Sie mindestens eine OKV-Clusterknoten-IP-Adresse ein. Mehrere kommagetrennte IP-Adressen (des gleichen OKV-Clusters) sind möglich, z.B. 193.10.20.1, 193.10.20.2.
      • Administratorbenutzername: Geben Sie den Benutzernamen okv_rest_user ein.
      • Administratorkennwort-Secret: Das Administratorkennwort wird mit dem Secret-Managementservice in OCI gespeichert. Wählen Sie den OCI-Vault in Ihrem Mandanten aus, der das als OCI-Secret gespeicherte okv_rest_user-Kennwort enthält.
    • Tags: Optional können Sie Tags anwenden. Wenn Sie über Berechtigungen zum Erstellen von Ressourcen verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag anzuwenden, benötigen Sie die Berechtigung zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollten, überspringen Sie diese Option, oder fragen Sie Ihren Administrator. Sie können die Tags auch später noch zuweisen. Geben Sie dabei keine vertraulichen Informationen ein.
  6. Klicken Sie auf Keystore erstellen.
  7. Stellen Sie sicher, dass Sie beim Provisioning der Datenbank dieselben okv_rest_user-Benutzerzugangsdaten verwenden.

    Weitere Informationen finden Sie unter Vaults verwalten, Schlüssel verwalten und Secrets verwalten.

Keystore verwalten

Erfahren Sie, wie Sie Ihren Keystore verwalten.

Übergeordnetes Thema: Verschlüsselungsschlüssel auf externen Geräten verwalten

Keystore-Details anzeigen

Führen Sie diese Schritte aus, um Keystore-Details anzuzeigen, die Oracle Key Vault-(OKV-)Verbindungsdetails und die Liste der verknüpften Datenbanken umfassen.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.

    Auf der Seite Keystore werden die Namen von Keystore, die Anzahl der mit jedem Keystore verknüpften Datenbanken und das Datum angezeigt, an dem jeder Keystore erstellt wurde.

  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf den Link im Feld Administratorkennwort-Secret, um die Secret-Details anzuzeigen.

    Im Abschnitt Verknüpfte Datenbanken wird die Liste der CDBs angezeigt, die mit diesem Keystore verknüpft sind.

Übergeordnetes Thema: Keystore verwalten

Keystore-Details bearbeiten

Sie können einen Keystore nur bearbeiten, wenn er mit keiner CDB verknüpft ist.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Bearbeiten.
  6. Klicken Sie auf der Seite Keystore bearbeiten auf Änderungen speichern.

Übergeordnetes Thema: Keystore verwalten

Keystore in ein anderes Compartment verschieben

So verschieben Sie einen Keystore auf einem Oracle Exadata Database Service on Dedicated Infrastructure-System von einem Compartment in ein anderes.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Ressource verschieben.
  6. Wählen Sie auf der Seite Ressource zu einem anderen Compartment verschieben das neue Compartment aus.
  7. Klicken Sie auf Ressource verschieben.

Übergeordnetes Thema: Keystore verwalten

Keystore löschen

Sie können einen Keystore nur löschen, wenn er mit keiner CDB verknüpft ist.

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte), und klicken Sie dann auf Details anzeigen.
  5. Klicken Sie auf der Seite Keystore-Details auf Löschen.
  6. Klicken Sie im Dialogfeld Keystore löschen auf Löschen.

Übergeordnetes Thema: Keystore verwalten

Details der mit einem Keystore verknüpften Containerdatenbank anzeigen

So zeigen Sie Details zur Containerdatenbank an, die mit einem Keystore verknüpft ist:

  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Klicken Sie auf Keystores.
  4. Klicken Sie auf der daraufhin angezeigten Seite "Keystore" auf den Namen des Keystores, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte) und dann auf Details anzeigen.
  5. Klicken Sie auf den Namen der verknüpften Datenbank, oder klicken Sie auf das Symbol "Aktionen" (drei Punkte) und dann auf Details anzeigen.

Übergeordnetes Thema: Keystore verwalten

Keystore mit der API verwalten

Hier erfahren Sie, wie Sie den Keystore mit der API verwalten.

Informationen zur Verwendung der API und zu Signieranforderungen finden Sie unter REST-APIs und Sicherheitszugangsdaten. Informationen zu SDKs finden Sie unter Software Development Kits und Befehlszeilenschnittstelle (CLI).

Vorgänge REST-API-Endpunkt
OKV-Keystore erstellen CreateKeyStore
OKV-Keystore anzeigen GetKeyStore
OKV-Keystore aktualisieren UpdateKeyStore
OKV-Keystore löschen DeleteKeyStore
Keystore Compartment ändern ChangeKeyStoreCompartment
Zwischen vom Kunden und von Oracle verwalteter Verschlüsselung wählen CreateDatabase
Keystore (OKV oder von Oracle verwaltet) und OKV-Wallet-Namen abrufen GetDatabase
Keystore-Typ ändern changeKeyStoreType
OKV- und von Oracle verwalteten Schlüssel rotieren RotateVaultKey

Transparent Data Encryption-(TDE-)Schlüssel verwalten

Führen Sie die folgenden Schritte aus, um die Konfiguration der Schlüsselverwaltung zu ändern.

Nach dem Provisioning einer Datenbank auf einem ExaDB-D-System können Sie die Schlüsselverwaltung ändern und Vorgänge wie das Rotieren der TDE-Schlüssel ausführen.

Hinweis

  • Sie können die Schlüsselverwaltung von Oracle Wallet in andere verfügbare Optionen ändern.
  • Wenn Sie die Schlüsselverwaltung in OKV ändern, führt die Datenbank zu einem Abbruchvorgang beim Herunterfahren und anschließend zu einem Neustart. Planen Sie die Migration in einem geplanten Wartungsfenster.
  • Sie müssen TDE-Schlüssel nur über OCI-Schnittstellen (Konsole, API) rotieren.
  • Sie können einen Verschlüsselungsschlüssel nicht rotieren:
    • wenn eine Datenbank in einem bestimmten Oracle Home wiederhergestellt wird.
    • wenn ein Datenbank-Patching oder Datenbank-Home-Patching ausgeführt wird.
  1. Öffnen Sie das Navigationsmenü. Klicken Sie unter Oracle Database auf Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Wählen Sie das Compartment aus.
  3. Navigieren Sie zu dem VM-Cluster mit der Datenbank, für die Sie die Verschlüsselung ändern oder einen Schlüssel rotieren möchten.
    1. Klicken Sie auf Exadata-VM-Cluster, um Exadata Database Service on Dedicated Infrastructure anzuzeigen.
    2. Suchen Sie in der Liste mit VM-Clustern das VM-Cluster, auf das Sie zugreifen möchten. Klicken Sie auf den markierten Namen, um die Detailseite für das Cluster anzuzeigen.
  4. Klicken Sie im Abschnitt Datenbanken auf den Namen der Datenbank, für die Sie die Verschlüsselung ändern oder einen Schlüssel rotieren möchten, um die Detailseite anzuzeigen.
  5. Gehen Sie auf der Seite mit den Datenbankdetails zum Abschnitt "Verschlüsselung".
    • So ändern Sie die Schlüsselverwaltung:

      Wenn Sie Oracle Wallet als Schlüsselverwaltung konfiguriert haben, zeigt das System die Option Ändern an, um die Schlüsselverwaltung in OCI Vault und Oracle Key Vault zu ändern.

      1. Klicken Sie auf Ändern.
      2. Wählen Sie auf der daraufhin angezeigten Seite "Änderungsschlüsselverwaltung" die Option Schlüsselverwaltung aus.
        • OCI-Vault:
          1. Wählen Sie das verwendete Vault Compartment aus, und wählen Sie dann den Vault aus, der im Compartment verfügbar ist.
          2. Wählen Sie das verwendete Schlüssel-Compartment aus, und wählen Sie dann den Schlüssel aus der Dropdown-Liste aus.
          3. Optional können Sie die Schlüsselversion auswählen und die OCID der Schlüsselversion eingeben.

            Standardmäßig wird die neueste Schlüsselversion verwendet.

          4. Klicken Sie auf Änderungen speichern.
        • Oracle Key Vault:

          Sie müssen einen gültigen Verschlüsselungsschlüssel im Oracle Key Vault-Service haben und die Informationen in den folgenden Schritten angeben. Weitere Informationen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.

          1. Wählen Sie einen Bereich aus.
          2. Compartment auswählen.

            Sie können das Compartment ändern, indem Sie auf den Link Compartment ändern klicken.

          3. Klicken Sie auf Änderungen speichern.
    • So rotieren Sie einen Verschlüsselungsschlüssel:

      Wenn Sie OCI Vault oder Oracle Key Vault als Schlüsselverwaltung konfiguriert haben, zeigt das System die Option Drehen an, um den Verschlüsselungsschlüssel zu rotieren.

      1. Klicken Sie auf Rotieren, um ein Bestätigungsdialogfeld anzuzeigen.
      2. Klicken Sie auf Drehen.
Hinweis

  • Die Migration von TDE-Schlüsseln in Oracle Key Vault (OKV) erfordert eine Ausfallzeit von 10 Minuten. Während der Migration wird der Datenbankstatus aktualisiert, und Verbindungen können aufgrund mehrerer Datenbankneustarts nicht erfolgreich sein, um OKV zu aktivieren. Anwendungen können den Vorgang fortsetzen, nachdem die Migration abgeschlossen ist und wenn die Datenbank in ihren ursprünglichen ACTIVE-Status zurückkehrt.
  • Das OKV-Keystore-Kennwort wird auf das TDE-Wallet-Kennwort gesetzt.

Achtung:

Wenn Sie den Schlüssel aus dem OKV löschen, wird die Datenbank nicht mehr verfügbar.

Auf der Seite mit den Datenbankdetails für diese Datenbank werden im Abschnitt Verschlüsselung der Name und die Verschlüsselungsschlüssel-OCID angezeigt.

So klonen Sie eine integrierbare Datenbank (PDB) manuell aus einer Remotecontainerdatenbank (CDB), wenn Daten mit Masterverschlüsselungsschlüssel (MEK) in Oracle Key Vault (OKV) verschlüsselt werden

Mit dem dbaascli-Tool können Sie PDBs klonen, wenn die Quell-CDB und die Ziel-CDB identisch sind (lokaler Klon) oder wenn sie unterschiedlich sind (Remoteklon). Sie können jedoch keine Remote-PDB klonen, wenn die Daten mit einem MEK in OKV verschlüsselt sind.

Hinweis

Um die Daten während eines Remoteklons zu entschlüsseln/verschlüsseln, muss die Containerdatenbank Zugriff auf MEK haben. Der MEK muss der Ziel-CDB zur Verfügung gestellt werden, wenn er auf dem OKV-Server gespeichert ist.

Quell-CDB und Ziel-CDB sind mit MEK im selben OKV-Server verschlüsselt

  1. Ruft die OKV-Objekt-ID der Quell-PDB ab.
    1. Rufen Sie den neuesten Verschlüsselungsschlüssel der Quell-PDB mit SQL*Plus ab.
      [root@testserver oracle]# su oracle 
[oracle@testserver oracle]$ source ~/<source_db_name>.env    
[oracle@testserver oracle]$ sqlplus / as sysdba
 
SQL*Plus: Release 19.0.0.0.0 - Production on Mon Jun 12 23:13:12 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> set heading off;
SQL> alter session set container=<SOURCE_PDB>;
 
Session altered.
 
SQL> select key_id,keystore_type,activation_time from v$encryption_keys order by activation_time;
 
0648E5D8D5559B4F0EBFB8AA5EE730401A
SOFTWARE KEYSTORE
25-MAR-23 12.01.41.075932 AM +00:00
 
06AFF5B6E27A954F6EBFFC77296B27C9EC
SOFTWARE KEYSTORE
25-MAR-23 11.42.51.336955 AM +00:00
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver oracle]$
    2. Holen Sie sich die OKV-Objekt-ID (uuuid) des neuesten MEK aus dem obigen Schritt.

      Geben Sie das OKV-Endpunktkennwort ein, wenn Sie dazu aufgefordert werden, und drücken Sie die Eingabetaste auf Ihrer Tastatur. 

      [root@testserver oracle]# su oracle 
[oracle@testserver oracle]$ source ~/<source_db_name>.env 
[oracle@testserver oracle]$ $OKV_HOME/bin/okvutil list | grep 06AFF5B6E27A954F6EBFFC77296B27C9EC
E5344379-8B16-4FE9-BF35-F8ECB057571A    Symmetric Key    TDE Master Encryption Key: MKID 06AFF5B6E27A954F6EBFFC77296B27C9EC
[oracle@testserver oracle]$
  2. Installieren Sie das OKV-REST-Wallet in der Quelldatenbank.
    1. Erstellen Sie das Verzeichnis okv_rest_cli, wenn es nicht vorhanden ist.
      [root@testserver newdb1]# su oracle
[oracle@testserver oracle]$ mkdir /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli
    2. Laden Sie okvrestclipackage.zip herunter, und extrahieren Sie es.

      Wählen Sie ALL aus, wenn Sie zur Ersetzung aufgefordert werden. 

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli
[oracle@scaqar06dv0101 okv_rest_cli]$ curl -O -k https://<source_okv_server_ip1>:5695/okvrestclipackage.zip
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3784k  100 3784k    0     0  19.0M      0 --:--:-- --:--:-- --:--:-- 19.1M
[oracle@testserver okv_rest_cli]$ unzip -q okvrestclipackage.zip
[oracle@testserver okv_rest_cli]$
    3. Ändern Sie die Dateien okvrestcli.ini und okvrestcli_logging.properties wie folgt.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini
[Default]
server=<source_okv_server_ip1>
user=<source_okv_rest_user>
client_wallet=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
log_property=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
okv_client_config=/u02/app/oracle/admin/<source_db_name>/okv_home/conf/okvclient.ora
 
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties  
handlers=java.util.logging.FileHandler
java.util.logging.FileHandler.pattern=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/logs/okvrest.log
java.util.logging.FileHandler.limit=200000
java.util.logging.FileHandler.count=1
java.util.logging.FileHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
java.util.logging.ConsoleHandler.level=FINER
java.util.logging.ConsoleHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
[oracle@testserver okv_rest_cli]$
    4. Erstellen Sie das Verzeichnis client_wallet.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ mkdir /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
[oracle@testserver okv_rest_cli]$
    5. Erstellen Sie ein OKV-REST-Wallet mit der OKV-REST-Befehlszeilenschnittstelle.

      Geben Sie das OKV-REST-Quellkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv admin client-wallet add --client-wallet /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet --wallet-user <source_okv_rest_user>
Password:
{
  "result" : "Success"
}
[oracle@testserver okv_rest_cli]$ ls -ltr /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
total 8
-rw------- 1 oracle oinstall    0 Jun 16 01:29 ewallet.p12.lck
-rw------- 1 oracle oinstall    0 Jun 16 01:29 cwallet.sso.lck
-rw------- 1 oracle oinstall  976 Jun 16 01:29 ewallet.p12
-rw------- 1 oracle oinstall 1021 Jun 16 01:29 cwallet.sso
[oracle@testserver okv_rest_cli]$
  3. Erstellen Sie ein neues OKV-Wallet, um nur den PDB-MEK zu speichern, der in Schritt 1 abgerufen wurde.
    1. Rufen Sie den OKV-Wallet-Namen aus der Quell-PDB im Format EXA_DB_NAME_DBID_PDB_NAME_WL ab.

      Beispiel: Der Wallet-Name lautet EXA_NEWDB1_37508325141_PDB_NAME_WL. 

      [root@testserver newdb1]# su oracle
[oracle@testserver newdb1]$ source ~/<source_db_name>.env
[oracle@testserver newdb1]$ sqlplus / as sysdba 
 
SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jun 20 21:26:54 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.

Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> select name,db_unique_name,dbid from v$database; 
 
NAME      DB_UNIQUE_NAME               DBID
--------- ------------------------------ ----------
NEWDB1      newdb1_uniq             3750832514
 
SQL> select value from v$parameter where name='instance_name';
 
VALUE
--------------------------------------------------------------------------------
newdb11
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver newdb1]$
    2. Erstellen Sie ein neues Wallet mit der OKV-REST-Befehlszeilenschnittstelle.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet create --wallet <SOURCE_PDB_OKV_WALLET> --description "Wallet to clone <source_pdb_name> pdb from <source_db_name>" --unique FALSE
{
  "result" : "Success",
  "value" : {
    "status" : "PENDING",
    "locatorID" : "BA5FBFE1-DB41-4425-8EE4-D58541A1E41A"
  }
}
[root@testserver oracle]#
    3. Überprüfen Sie den Status, bis er aktiv ist.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet check-status --wallet <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success",
  "value" : {
    "status" : "PENDING"
  }
}
[root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet check-status --wallet <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success",
  "value" : {
    "status" : "ACTIVE",
    "wallet" : "<SOURCE_PDB_OKV_WALLET>"
  }
}
[root@testserver oracle]#
  4. Fügen Sie die Berechtigungen Lesen und ändern und Wallet verwalten von den OKV-Endpunkten der Quelldatenbank zum in Schritt 3 erstellten OKV-Wallet hinzu.
    1. Rufen Sie die Endpunktnamen aus der Quelldatenbank ab. Eine pro VM.

      Normalerweise hat die Struktur das Format EXA_DB_UNIQUE_NAME_DBID_SID_EP.

      Beispiel: Der Endpunktname von Knoten 1 lautet EXA_NEWDB1_UNIQ_3750832514_NEWDB11_EP. 

      [root@testserver newdb1]# su oracle
[oracle@testserver newdb1]$ source ~/<source_db_name>.env
[oracle@testserver newdb1]$ sqlplus / as sysdba 
 
SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jun 20 21:26:54 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.
 
Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> select name,db_unique_name,dbid from v$database; 
 
NAME      DB_UNIQUE_NAME               DBID
--------- ------------------------------ ----------
NEWDB1      newdb1_uniq             3750832514
 
SQL> select value from v$parameter where name='instance_name';
 
VALUE
--------------------------------------------------------------------------------
newdb11
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver newdb1]$
    2. Fügen Sie die Berechtigungen Lesen und ändern und Wallet verwalten mit der OKV-REST-Befehlszeilenschnittstelle hinzu.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <SOURCE_OKV_EP1> --access RM_MW
{
  "result" : "Success"
}
[root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <SOURCE_OKV_EP2> --access RM_MW
{
  "result" : "Success"
}
[root@testserver oracle]#
  5. Speichern Sie MEK aus der in Schritt 1 abgerufenen Quell-PDB in dem in Schritt 3 erstellten OKV-Wallet.
    1. Fügen Sie MEK (uuid aus Schritt 1.b) über die OKV REST-Befehlszeilenschnittstelle hinzu.

      Geben Sie das Quell-OKV-Endpunktkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv managed-object wallet add-member --uuid E5344379-8B16-4FE9-BF35-F8ECB057571A --wallet <SOURCE_PDB_OKV_WALLET>
Password: 
{
  "result" : "Success"
}
[root@testserver oracle]#
  6. Installieren Sie das OKV-REST-Wallet in der Zieldatenbank.
    1. Erstellen Sie das Verzeichnis okv_rest_cli, wenn es nicht vorhanden ist.
      [root@testserver newdb1]# su oracle
[oracle@testserver oracle]$ mkdir /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli
    2. Laden Sie okvrestclipackage.zip herunter, und extrahieren Sie es.

      Wählen Sie ALL aus, wenn Sie zur Ersetzung aufgefordert werden. 

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli
[oracle@scaqar06dv0101 okv_rest_cli]$ curl -O -k https://<target_okv_server_ip1>:5695/okvrestclipackage.zip
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3784k  100 3784k    0     0  19.0M      0 --:--:-- --:--:-- --:--:-- 19.1M
[oracle@testserver okv_rest_cli]$ unzip -q okvrestclipackage.zip
[oracle@testserver okv_rest_cli]$
    3. Ändern Sie die Dateien okvrestcli.ini und okvrestcli_logging.properties wie folgt.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini
[Default]
server=<target_okv_server_ip1>
user=<target_okv_rest_user>
client_wallet=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet
log_property=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
okv_client_config=/u02/app/oracle/admin/<target_db_name>/okv_home/conf/okvclient.ora
 
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
handlers=java.util.logging.FileHandler
java.util.logging.FileHandler.pattern=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/logs/okvrest.log
java.util.logging.FileHandler.limit=200000
java.util.logging.FileHandler.count=1
java.util.logging.FileHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
java.util.logging.ConsoleHandler.level=FINER
java.util.logging.ConsoleHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
[oracle@testserver okv_rest_cli]$
    4. Erstellen Sie das Verzeichnis client_wallet.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ mkdir /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet
[oracle@testserver okv_rest_cli]$
    5. Erstellen Sie ein OKV-REST-Wallet mit der OKV-REST-Befehlszeilenschnittstelle.

      Geben Sie das Ziel-OKV-REST-Kennwort ein, wenn Sie dazu aufgefordert werden.

      [oracle@testserver okv_rest_cli]$ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/bin/okv admin client-wallet add --client-wallet /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet --wallet-user <target_okv_rest_user>
Password:
{
  "result" : "Success"
}
[oracle@testserver okv_rest_cli]$ ls -ltr /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet
total 8
-rw------- 1 oracle oinstall    0 Jun 16 01:29 ewallet.p12.lck
-rw------- 1 oracle oinstall    0 Jun 16 01:29 cwallet.sso.lck
-rw------- 1 oracle oinstall  976 Jun 16 01:29 ewallet.p12
-rw------- 1 oracle oinstall 1021 Jun 16 01:29 cwallet.sso
[oracle@testserver okv_rest_cli]$
  7. Fügen Sie die Berechtigungen Schreibgeschützt und Wallet verwalten von den OKV-Endpunkten der Zieldatenbank zum OKV-Wallet der Quell-PDB hinzu, das in Schritt 3 erstellt wurde.
    1. Rufen Sie die Endpunktnamen aus der Zieldatenbank ab. Eine pro VM.

      Normalerweise hat die Struktur das Format EXA_DB_UNIQUE_NAME_DBID_SID_EP.

      Beispiel: Der Endpunktname von Knoten 1 lautet EXA_NEWDB1_UNIQ_3750832514_NEWDB11_EP. 

      [root@testserver newdb1]# su oracle
[oracle@testserver newdb1]$ source ~/<target_db_name>.env
[oracle@testserver newdb1]$ sqlplus / as sysdba 
 
SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jun 20 21:26:54 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.
 
Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> select name,db_unique_name,dbid from v$database; 
 
NAME      DB_UNIQUE_NAME               DBID
--------- ------------------------------ ----------
NEWDB1      newdb1_uniq             3750832514
 
SQL> select value from v$parameter where name='instance_name';
 
VALUE
--------------------------------------------------------------------------------
newdb11
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver newdb1]$
    2. Fügen Sie über die OKV-REST-Befehlszeilenschnittstelle Schreibgeschützt- und Wallet verwalten-Berechtigungen hinzu.
      [root@testserver oracle]#  export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <TARGET_OKV_EP1> --access RO_MW
{
  "result" : "Success"
}
[root@testserver oracle]#  export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <TARGET_OKV_EP2> --access RO_MW
{
  "result" : "Success"
}
[root@testserver oracle]#
  8. Klonen Sie die PDB.
    1. Führen Sie dbaascli aus, um die PDB zu klonen.

      Geben Sie das Kennwort des Quell-DB-SYS-Benutzers ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# dbaascli pdb remoteClone --pdbName <source_pdb_name> --dbName <target_db_name> --sourceDBConnectionString <source_db_connection_string> --targetPDBName <target_pdb_name>
DBAAS CLI version 23.2.1.0.0
Executing command pdb remoteClone --pdbName <source_pdb_name> --dbName <target_pdb_name> --sourceDBConnectionString scaqar06dvclu01-scan1.us.oracle.com:1521/<source_db_unique_name>.us.oracle.com --targetPDBName <target_pdb_name>
Job id: 197f30e9-209e-4ec5-9700-a13f7915f8b9
Session log: /var/opt/oracle/log/alyokv1/pdb/remoteClone/dbaastools_2023-06-12_10-32-17-PM_188384.log
Enter REMOTE_DB_SYS_PASSWORD:
 
Enter REMOTE_DB_SYS_PASSWORD (reconfirmation):
 
Loading PILOT...
Session ID of the current execution is: 6848
Log file location: /var/opt/oracle/log/alyokv1/pdb/remoteClone/pilot_2023-06-12_10-32-35-PM_204184
-----------------
Running Plugin_initialization job
Enter REMOTE_DB_SYS_PASSWORD
***************
Completed Plugin_initialization job
-----------------
Running Validate_input_params job
Completed Validate_input_params job
-----------------
Running Perform_dbca_prechecks job
Completed Perform_dbca_prechecks job
-----------------
Running PDB_creation job
Completed PDB_creation job
-----------------
Running Load_pdb_details job
Completed Load_pdb_details job
-----------------
Running Configure_pdb_service job
Completed Configure_pdb_service job
-----------------
Running Configure_tnsnames_ora job
Completed Configure_tnsnames_ora job
-----------------
Running Set_pdb_admin_user_profile job
Completed Set_pdb_admin_user_profile job
-----------------
Running Lock_pdb_admin_user job
Completed Lock_pdb_admin_user job
-----------------
Running Register_ocids job
Skipping. Job is detected as not applicable.
-----------------
Running Prepare_blob_for_standby_in_primary job
Skipping. Job is detected as not applicable.
-----------------
Running Generate_dbsystem_details job
Completed Generate_dbsystem_details job
dbaascli execution completed
[root@testserver oracle]#
  9. Löschen Sie das in Schritt 3 erstellte OKV-Wallet der Quell-PDB mit der OKV-REST-Befehlszeilenschnittstelle.
    [root@testserver oracle]#  export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet delete --wallet  <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success"
}
[root@testserver oracle]#
  10. Löschen Sie das in Schritt 2 erstellte OKV-REST-Wallet.
    1. Löschen Sie die Wallet-Dateien im Verzeichnis dbaas_acfs.
      [root@testserver oracle]# rm -f /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet/*
[root@testserver oracle]#
  11. Löschen Sie das in Schritt 6 erstellte OKV-REST-Wallet.
    1. Löschen Sie die Wallet-Dateien im Verzeichnis dbaas_acfs.
      [root@testserver oracle]# rm -f /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet/*
[root@testserver oracle]#

Quell-CDB und Ziel-CDB sind mit MEK in einem anderen OKV-Server verschlüsselt

  1. Ruft die OKV-Objekt-ID der Quell-PDB ab.
    1. Rufen Sie den neuesten Verschlüsselungsschlüssel der Quell-PDB mit SQL*Plus ab.
      [root@testserver oracle]# su oracle 
[oracle@testserver oracle]$ source ~/<source_db_name>.env    
[oracle@testserver oracle]$ sqlplus / as sysdba
 
SQL*Plus: Release 19.0.0.0.0 - Production on Mon Jun 12 23:13:12 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.
 
Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> set heading off;
SQL> alter session set container=<SOURCE_PDB>;
 
Session altered.
 
SQL> select key_id,keystore_type,activation_time from v$encryption_keys order by activation_time;
 
0648E5D8D5559B4F0EBFB8AA5EE730401A
SOFTWARE KEYSTORE
25-MAR-23 12.01.41.075932 AM +00:00
 
06AFF5B6E27A954F6EBFFC77296B27C9EC
SOFTWARE KEYSTORE
25-MAR-23 11.42.51.336955 AM +00:00
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver oracle]$
    2. Holen Sie sich die OKV-Objekt-ID (uuuid) des neuesten MEK aus dem obigen Schritt.

      Geben Sie das OKV-Endpunktkennwort ein, wenn Sie dazu aufgefordert werden, und drücken Sie die Eingabetaste auf Ihrer Tastatur. 

      [root@testserver oracle]# su oracle 
[oracle@testserver oracle]$ source ~/<source_db_name>.env 
[oracle@testserver oracle]$ $OKV_HOME/bin/okvutil list | grep 06AFF5B6E27A954F6EBFFC77296B27C9EC
E5344379-8B16-4FE9-BF35-F8ECB057571A    Symmetric Key    TDE Master Encryption Key: MKID 06AFF5B6E27A954F6EBFFC77296B27C9EC
[oracle@testserver oracle]$
  2. Installieren Sie das OKV-REST-Wallet in der Quelldatenbank.
    1. Erstellen Sie das Verzeichnis okv_rest_cli, wenn es nicht vorhanden ist.
      [root@testserver newdb1]# su oracle
[oracle@testserver oracle]$ mkdir /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli
    2. Laden Sie okvrestclipackage.zip herunter, und extrahieren Sie es.

      Wählen Sie ALL aus, wenn Sie zur Ersetzung aufgefordert werden. 

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli
[oracle@scaqar06dv0101 okv_rest_cli]$ curl -O -k https://<source_okv_server_ip1>:5695/okvrestclipackage.zip
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3784k  100 3784k    0     0  19.0M      0 --:--:-- --:--:-- --:--:-- 19.1M
[oracle@testserver okv_rest_cli]$ unzip -q okvrestclipackage.zip
[oracle@testserver okv_rest_cli]$
    3. Ändern Sie die Dateien okvrestcli.ini und okvrestcli_logging.properties wie folgt.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini
[Default]
server=<source_okv_server_ip1>
user=<source_okv_rest_user>
client_wallet=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
log_property=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
okv_client_config=/u02/app/oracle/admin/<source_db_name>/okv_home/conf/okvclient.ora
 

[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties  
handlers=java.util.logging.FileHandler
java.util.logging.FileHandler.pattern=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/logs/okvrest.log
java.util.logging.FileHandler.limit=200000
java.util.logging.FileHandler.count=1
java.util.logging.FileHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
java.util.logging.ConsoleHandler.level=FINER
java.util.logging.ConsoleHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
[oracle@testserver okv_rest_cli]$
    4. Erstellen Sie das Verzeichnis client_wallet.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ mkdir /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
[oracle@testserver okv_rest_cli]$
    5. Erstellen Sie ein OKV-REST-Wallet mit der OKV-REST-Befehlszeilenschnittstelle.

      Geben Sie das OKV-REST-Quellkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv admin client-wallet add --client-wallet /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet --wallet-user <source_okv_rest_user>
Password:
{
  "result" : "Success"
}
[oracle@testserver okv_rest_cli]$ ls -ltr /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet
total 8
-rw------- 1 oracle oinstall    0 Jun 16 01:29 ewallet.p12.lck
-rw------- 1 oracle oinstall    0 Jun 16 01:29 cwallet.sso.lck
-rw------- 1 oracle oinstall  976 Jun 16 01:29 ewallet.p12
-rw------- 1 oracle oinstall 1021 Jun 16 01:29 cwallet.sso
[oracle@testserver okv_rest_cli]$
  3. Erstellen Sie ein neues OKV-Wallet, um nur den PDB-MEK zu speichern, der in Schritt 1 abgerufen wurde.
    1. Rufen Sie den OKV-Wallet-Namen aus der Quell-PDB im Format EXA_DB_NAME_DBID_PDB_NAME_WL ab.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet create --wallet <SOURCE_PDB_OKV_WALLET> --description "Wallet to clone <source_pdb_name> pdb from <source_db_name>" --unique FALSE
{
  "result" : "Success",
  "value" : {
    "status" : "PENDING",
    "locatorID" : "BA5FBFE1-DB41-4425-8EE4-D58541A1E41A"
  }
}
[root@testserver oracle]#
    2. Überprüfen Sie den Status, bis er aktiv ist.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet check-status --wallet <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success",
  "value" : {
    "status" : "PENDING"
  }
}
[root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet check-status --wallet <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success",
  "value" : {
    "status" : "ACTIVE",
    "wallet" : "<SOURCE_PDB_OKV_WALLET>"
  }
}
[root@testserver oracle]#
  4. Fügen Sie die Berechtigungen Lesen und ändern und Wallet verwalten von den OKV-Endpunkten der Quelldatenbank zum in Schritt 3 erstellten OKV-Wallet hinzu.
    1. Rufen Sie die Endpunktnamen aus der Quelldatenbank ab. Eine pro VM.

      Normalerweise hat die Struktur das Format EXA_DB_UNIQUE_NAME_DBID_SID_EP.

      Beispiel: Der Endpunktname von Knoten 1 lautet EXA_NEWDB1_UNIQ_3750832514_NEWDB11_EP. 

      [root@testserver newdb1]# su oracle
[oracle@testserver newdb1]$ source ~/<source_db_name>.env
[oracle@testserver newdb1]$ sqlplus / as sysdba 
 
SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jun 20 21:26:54 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.
 
Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> select name,db_unique_name,dbid from v$database; 
 
NAME      DB_UNIQUE_NAME               DBID
--------- ------------------------------ ----------
NEWDB1      newdb1_uniq             3750832514
 
SQL> select value from v$parameter where name='instance_name';
 
VALUE
--------------------------------------------------------------------------------
newdb11
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver newdb1]$
    2. Fügen Sie die Berechtigungen Lesen und ändern und Wallet verwalten mit der OKV-REST-Befehlszeilenschnittstelle hinzu.
      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <SOURCE_OKV_EP1> --access RM_MW
{
  "result" : "Success"
}
[root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet add-access --wallet <SOURCE_PDB_OKV_WALLET> --endpoint <SOURCE_OKV_EP2> --access RM_MW
{
  "result" : "Success"
}
[root@testserver oracle]#
  5. Speichern Sie MEK aus der in Schritt 1 abgerufenen Quell-PDB in dem in Schritt 3 erstellten OKV-Wallet.
    1. Fügen Sie MEK (uuid aus Schritt 1.b) über die OKV REST-Befehlszeilenschnittstelle hinzu.

      Geben Sie das Quell-OKV-Endpunktkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv managed-object wallet add-member --uuid E5344379-8B16-4FE9-BF35-F8ECB057571A --wallet <SOURCE_PDB_OKV_WALLET>
Password: 
{
  "result" : "Success"
}
[root@testserver oracle]#
  6. Laden Sie das in Schritt 3 erstellte OKV-Wallet vom OKV-Server in das lokale Dateisystem herunter.
    1. Erstellen Sie ein neues Verzeichnis mit Berechtigungen für den Benutzer oracle.

      In diesem Verzeichnis wird das Wallet gespeichert, das nur den MEK der Quell-PDB enthält.

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ mkdir /home/oracle/<source_pdb_wallet_dir>
[oracle@testserver oracle]$
    2. Laden Sie das in Schritt 3 erstellte OKV-Wallet mit okvutil in das in Schritt 6.a erstellte Verzeichnis herunter.

      Es wird zweimal nach einem Kennwort zur Verschlüsselung des lokalen Wallets gefragt. Verwenden Sie dasselbe Kennwort wie das Quellendpunktkennwort. Geben Sie außerdem das Quellendpunktkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ source ~/nfsa.env
[oracle@testserver oracle]$ $OKV_HOME/bin/okvutil download -l /home/oracle/<source_pdb_wallet_dir> -t wallet -g <SOURCE_PDB_OKV_WALLET>
Enter new wallet password (<enter> for auto-login): 
Confirm new wallet password: 
Enter Oracle Key Vault endpoint password: 
Download succeeded
[oracle@testserver oracle]$
    3. ZIP-Datei des Wallet-Verzeichnisses.
      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /home/oracle
[oracle@testserver oracle]$ zip -r <source_pdb_wallet_dir>.zip <source_pdb_wallet_dir>  
  adding: <source_pdb_wallet_dir>/ (stored 0%)
  adding: <source_pdb_wallet_dir>/ewallet.p12 (stored 0%)
[oracle@testserver oracle]$
  7. Löschen Sie das in Schritt 3 erstellte OKV-Wallet der Quell-PDB.
    [root@testserver oracle]#  export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/bin/okv manage-access wallet delete --wallet  <SOURCE_PDB_OKV_WALLET>
{
  "result" : "Success"
}
[root@testserver oracle]#
  8. Löschen Sie das in Schritt 1 erstellte OKV-REST-Wallet.
    1. Löschen Sie die Wallet-Dateien im Verzeichnis dbaas_acfs.
      [root@testserver oracle]# rm -f /var/opt/oracle/dbaas_acfs/<source_db_name>/okv_rest_cli/client_wallet/*
[root@testserver oracle]#
  9. Kopieren Sie das in Schritt 6 in das Focal-Dateisystem heruntergeladene Quell-PDB-Wallet in die Ziel-Cluster-VM.
  10. Löschen Sie das Quell-PDB-Wallet aus dem in Schritt 6 erstellten lokalen Quelldateisystem.
    1. Löschen Sie das Wallet-Verzeichnis.
      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ rm -rf /home/oracle/<source_pdb_wallet_dir>
[oracle@testserver oracle]$
    2. Löschen Sie die Wallet-ZIP-Datei.
      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ rm -f /home/oracle/<source_pdb_wallet_dir>.zip
[oracle@testserver oracle]$
  11. Installieren Sie das OKV-REST-Wallet in der Zieldatenbank.
    1. Erstellen Sie das Verzeichnis okv_rest_cli, wenn es nicht vorhanden ist.
      [root@testserver newdb1]# su oracle
[oracle@testserver oracle]$ mkdir /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli
    2. Laden Sie okvrestclipackage.zip herunter, und extrahieren Sie es.

      Wählen Sie ALL aus, wenn Sie zur Ersetzung aufgefordert werden. 

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli
[oracle@testserver okv_rest_cli]$ curl -O -k https://<target_okv_server_ip>:5695/okvrestclipackage.zip
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3784k  100 3784k    0     0  19.0M      0 --:--:-- --:--:-- --:--:-- 19.1M
[oracle@testserver okv_rest_cli]$ unzip -q okvrestclipackage.zip
[oracle@testserver okv_rest_cli]$
    3. Ändern Sie die Dateien okvrestcli.ini und okvrestcli_logging.properties wie folgt.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini
[Default]
server=<target_okv_server_ip1>
user=<target_okv_rest_user>
client_wallet=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet
log_property=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
okv_client_config=/u02/app/oracle/admin/<target_db_name>/okv_home/conf/okvclient.ora
 
[oracle@testserver okv_rest_cli]$ vi /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties
[oracle@testserver okv_rest_cli]$ cat /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli_logging.properties  
handlers=java.util.logging.FileHandler
java.util.logging.FileHandler.pattern=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/logs/okvrest.log
java.util.logging.FileHandler.limit=200000
java.util.logging.FileHandler.count=1
java.util.logging.FileHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
java.util.logging.ConsoleHandler.level=FINER
java.util.logging.ConsoleHandler.formatter=com.oracle.okv.rest.log.OkvFormatter
[oracle@testserver okv_rest_cli]$
    4. Erstellen Sie das Verzeichnis client_wallet.
      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ mkdir /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet
[oracle@testserver okv_rest_cli]$
    5. Erstellen Sie ein OKV-REST-Wallet mit der OKV-REST-Befehlszeilenschnittstelle.

      Geben Sie das Ziel-OKV-REST-Kennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# su oracle
[oracle@testserver okv_rest_cli]$ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/bin/okv admin client-wallet add --client-wallet /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet --wallet-user <target_okv_rest_user>
/var/opt/oracle/dbaas_acfs/newdb1/okv_rest_cli/logs/okvrest.log.lck
Password:
{
  "result" : "Success"
}
[oracle@testserver okv_rest_cli]$ ls -ltr /var/opt/oracle/dbaas_acfs/newdb1/okv_rest_cli/client_wallet
total 8
-rw------- 1 oracle oinstall    0 Jun 16 01:29 ewallet.p12.lck
-rw------- 1 oracle oinstall    0 Jun 16 01:29 cwallet.sso.lck
-rw------- 1 oracle oinstall  976 Jun 16 01:29 ewallet.p12
-rw------- 1 oracle oinstall 1021 Jun 16 01:29 cwallet.sso
[oracle@testserver okv_rest_cli]$
  12. Laden Sie das in Schritt 6 erstellte Quell-PDB-Wallet hoch, das in Schritt 9 in die Ziel-Cluster-VM kopiert wurde.
    1. Dekomprimieren Sie das Quell-PDB-Wallet.
      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ cd /home/oracle/
[oracle@testserver ~]$ unzip <source_pdb_wallet_dir>.zip 
Archive:  nfsa_1672104454_NFSPDB_wallet.zip
   creating: <source_pdb_wallet_dir>/
 extracting: <source_pdb_wallet_dir>/ewallet.p12  
[oracle@testserver ~]$
    2. Rufen Sie den OKV-Wallet-Namen aus der Zieldatenbank im Format EXA_DB_NAME_DBID_WL ab.

      Beispiel: Der Wallet-Name lautet EXA_NEWDB1_37508325141_WL. 

      [root@testserver newdb1]# su oracle
[oracle@testserver newdb1]$ source ~/<target_db_name>.env
[oracle@testserver newdb1]$ sqlplus / as sysdba 
 
SQL*Plus: Release 19.0.0.0.0 - Production on Tue Jun 20 21:26:54 2023
Version 19.19.0.0.0
 
Copyright (c) 1982, 2022, Oracle.  All rights reserved.
 
Connected to:
Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
 
SQL> select name,db_unique_name,dbid from v$database; 
 
NAME      DB_UNIQUE_NAME               DBID
--------- ------------------------------ ----------
NEWDB1      newdb1_uniq             3750832514
 
SQL> select value from v$parameter where name='instance_name';
 
VALUE
--------------------------------------------------------------------------------
newdb11
 
SQL> exit
Disconnected from Oracle Database 19c EE Extreme Perf Release 19.0.0.0.0 - Production
Version 19.19.0.0.0
[oracle@testserver newdb1]$
    3. Laden Sie das Quell-PDB-Wallet mit okvutil in das Ziel-OKV-Wallet hoch.

      Geben Sie das Wallet-Kennwort der Quell-PDB ein, wenn Sie dazu aufgefordert werden. Verwenden Sie dasselbe Kennwort wie das Quellendpunktkennwort.

      Geben Sie außerdem das Ziel-Endpunktkennwort ein, wenn Sie dazu aufgefordert werden.

      [root@testserver oracle]# su oracle
[oracle@testserver oracle]$ source ~/<target_db_name>.env
[oracle@testserver oracle]$ $OKV_HOME/bin/okvutil upload -t WALLET -l /home/oracle/<source_pdb_wallet_dir> -g <TARGET_OKV_WALLET>
Enter source wallet password: 
Enter Oracle Key Vault endpoint password: 
WARNING: Object ORACLE.SECURITY.ID.ENCRYPTION. already exists; use -o to overwrite
Upload succeeded
[oracle@testserver oracle]$
  13. Klonen Sie die PDB.
    1. Führen Sie dbaascli aus, um die PDB zu klonen.
      [root@testserver oracle]# dbaascli pdb remoteClone --pdbName <source_pdb_name> --dbName <target_db_name> --sourceDBConnectionString <source_db_connection_string> --targetPDBName <target_pdb_name> 
DBAAS CLI version 23.2.1.0.0
Executing command pdb remoteClone --pdbName <source_pdb_name> --dbName <target_db_name> --sourceDBConnectionString scaqar06dvclu01-scan1.us.oracle.com:1521/<source_db_unique_name>.us.oracle.com --targetPDBName <target_pdb_name>
Job id: 7d4f638a-1f3a-4219-a05a-0215588dcae8
Session log: /var/opt/oracle/log/alyokv1/pdb/remoteClone/dbaastools_2023-06-13_01-29-09-AM_179996.log
Enter REMOTE_DB_SYS_PASSWORD:
 
Enter REMOTE_DB_SYS_PASSWORD (reconfirmation):
 
Loading PILOT...
Session ID of the current execution is: 6857
Log file location: /var/opt/oracle/log/alyokv1/pdb/remoteClone/pilot_2023-06-13_01-29-21-AM_196991
-----------------
Running Plugin_initialization job
Enter REMOTE_DB_SYS_PASSWORD
*************
Completed Plugin_initialization job
-----------------
Running Validate_input_params job
Completed Validate_input_params job
-----------------
Running Perform_dbca_prechecks job
Completed Perform_dbca_prechecks job
-----------------
Running PDB_creation job
Completed PDB_creation job
-----------------
Running Load_pdb_details job
Completed Load_pdb_details job
-----------------
Running Configure_pdb_service job
Completed Configure_pdb_service job
-----------------
Running Configure_tnsnames_ora job
Completed Configure_tnsnames_ora job
-----------------
Running Set_pdb_admin_user_profile job
Completed Set_pdb_admin_user_profile job
-----------------
Running Lock_pdb_admin_user job
Completed Lock_pdb_admin_user job
-----------------
Running Register_ocids job
Skipping. Job is detected as not applicable.
-----------------
Running Prepare_blob_for_standby_in_primary job
Skipping. Job is detected as not applicable.
-----------------
Running Generate_dbsystem_details job
Completed Generate_dbsystem_details job
dbaascli execution completed
[root@testserver oracle]#
  14. Löschen Sie das in Schritt 1 erstellte OKV-REST-Wallet.
    1. Löschen Sie die Wallet-Dateien im Verzeichnis dbaas_acfs.
      [root@testserver oracle]# rm -f /var/opt/oracle/dbaas_acfs/<target_db_name>/okv_rest_cli/client_wallet/*
[root@testserver oracle]#

So führen Sie ein Upgrade des Oracle Key Vault-(OKV-)Home in Oracle Exadata Database Service on Dedicated Infrastructure aus

Nachdem der Verschlüsselungstyp von Oracle Managed Keys zu vom Kunden verwalteten Schlüsseln (Oracle Key Vault) migriert wurde, bleibt das OKV-Home in DomUs mit derselben Version erhalten, die für die Migration verwendet wird.

Wenn der OKV-Server upgegradet wird, funktioniert die Funktionalität aufgrund der Abwärtskompatibilität weiterhin. Möglicherweise möchte der Kunde jedoch die neuen Funktionen für die Clienttools erhalten. Führen Sie in diesem Fall ein Upgrade des OKV-Home und der PKCS#11-Bibliothek durch.

  1. Überprüfen Sie, ob die aktuelle OKV-Home-Version kleiner als die OKV-Serverversion ist.
    1. Rufen Sie die OKV-Home-Version ab, indem Sie okvutil ausführen. In diesem Fall ist der Wert 21.6.0.0.0.
      # su oracle
$ /u02/app/oracle/admin/<dbname>/okv_home/okv/bin/okvutil
okvutil version 21.6.0.0.0
Usage: okvutil <command> [-v <verbosity>] [<command args>]
  <command> := list | upload | download | sign | sign-verify | changepwd | diagnostics
Options:
  -v, --verbose <verbosity>
    Print extra information to standard out.
    Possible verbosity values are 0, 1 and 2 (more detailed information with higher verbosity level).
For help on a particular command, use [okvutil <command> -h].
You have new mail in /var/spool/mail/root
    2. Rufen Sie die OKV Server-Version ab, indem Sie sich über den Browser bei der OKV Server-Konsole anmelden. In diesem Fall ist die Version 21.7.0.0.0.
  2. Installieren Sie das OKV-REST-Wallet in der Quelldatenbank. Dieser Schritt muss nur auf einem Knoten ausgeführt werden.
    1. Falls nicht vorhanden, erstellen Sie das Verzeichnis okv_rest_cli.
      # su oracle
$ mkdir /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli
    2. Laden Sie okvrestclipackage.zip herunter, und extrahieren Sie es. Wenn Sie zur Ersetzung aufgefordert werden, wählen Sie ALL aus.
      $ cd /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli
$ curl -O -k https://100.75.59.249:5695/okvrestclipackage.zip
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 3865k  100 3865k    0     0  5102k      0 --:--:-- --:--:-- --:--:-- 5106k
$ unzip -q okvrestclipackage.zip
    3. Ändern Sie okvrestcli.ini mit den nächsten Informationen.
      $ vi /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/conf/okvrestcli.ini
 
$ cat !$
cat /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/conf/okvrestcli.ini
#Provide absolute path for log_property, okv_client_config properties
[Default]
#log_property=./conf/okvrestcli_logging.properties
#server=[OKV IP Address]
#okv_client_config=./conf/okvclient.ora
#user=[OKV username]
#password=[user password]
  
#[Profile1]
#server=
#okv_client_config=
#user=
  
#[Profile2]
#server=
#okv_client_config=
#user=
  
server=<okv_server_ip>
user=<okv_rest_user>
client_wallet=/var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/client_wallet
    4. Erstellen Sie das Verzeichnis client_wallet.
      $ mkdir /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/client_wallet
    5. Erstellen Sie ein OKV-REST-Wallet mit der OKV-REST-CLI. Es wird zur Eingabe des Quell-OKV-REST-Kennworts aufgefordert.
      $ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/bin/okv admin client-wallet add --client-wallet /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/client_wallet --wallet-user <okv_rest_user>
Password:
{
  "result" : "Success"
}
  3. Bereiten Sie die OKV-Home-Verzeichnisse in DomU 1 vor.
    1. Benennen Sie das OKV-Home-Verzeichnis in die aktuelle OKV-Home-Version um.
      $ mv /u02/app/oracle/admin/<dbname>/okv_home/okv /u02/app/oracle/admin/<dbname>/okv_home/okv<current_okv_home_version>
    2. Erstellen Sie ein neues OKV-Home-Verzeichnis als OKV-Serverversion.
      $ mkdir /u02/app/oracle/admin/<dbname>/okv_home/okv<okv_server_version>
    3. Erstellen Sie einen symbolischen Link des regulären OKV-Home-Namens mit dem in Schritt 3.b erstellten Verzeichnis.
      $ ln -s /u02/app/oracle/admin/<dbname>/okv_home/okv<okv_server_version> /u02/app/oracle/admin/<dbname>/okv_home/okv
  4. Aktualisieren Sie das OKV-Home in DomU 1.
    1. Rufen Sie den OKV-Endpunktnamen über okvutil ab. Es wird nach OKV-Endpunktkennwort (TDE-Kennwort) gefragt. Der Eintrag wird als "Vorlage" bezeichnet.

      Beachten Sie, dass der Hostname mit dem aktuellen DomU-Hostnamen identisch sein muss. (In der Regel erhält dieser Name den Namen EXA_<DBNAME>_<resourceID>_<CURRENT_DOMU_HOST_NAME>_EP. <resourceID>, indem die DB über das dbaascli-System getDatabases aufgelistet wird.) 

      $ /u02/app/oracle/admin/<dbname>/okv_home/okv/bin/okvutil list
Enter Oracle Key Vault endpoint password:
Unique ID                               Type            Identifier
DC690343-5694-4FC8-BFE4-6C7F1A550F67    Opaque Object   TDE Wallet Metadata
9E317DDB-0542-553B-A47D-FCC31AB6DD7C    Symmetric Key   TDE Master Encryption Key: MKID AaTAGyAWyk/fv7pnl8qx4s0AAAAAAAAAAA
D9D840AF-A60E-5850-AA86-8C9F216F5501    Symmetric Key   TDE Master Encryption Key: MKID AUP0Tq+un08Mv1+onNhT4RUAAAAAAAAAAA
364EFC2F-1909-4F34-BF1B-90D3D03DA7EB    Private Key Private Key
A9D0134F-C895-4F33-BF85-351B754E9FF9    Opaque Object   TDE Wallet Metadata
E1AC8D2F-90E9-4F88-BFEE-2883FCBB7271    Opaque Object   TDE Wallet Metadata
25B7DE14-3849-4F67-BFBE-1934BFE3559B    Opaque Object   TDE Wallet Metadata
4ED713ED-FE2B-4F35-BF7D-BCBEA8327A0B    Symmetric Key   TDE Master Encryption Key: MKID 06EA813441C26B4F53BFD58E55C4BE90F4
6162E200-EF0A-4F89-BF25-A8596B3AD7B0    Opaque Object   Certificate Request
85A55486-28E5-4FFB-BF1C-B93C4C0BAD74    Secret Data Oracle Secret Data: ID HSM_PASSWORD
67E74D97-56F6-407A-A035-009D953F907A    Template    Default template for EXA_DB1902_7274B2A2-6F71-4516-B2BB-6D67CC3824FC_SCAQAE08DV0308_EP
E621EA72-5DD1-4F4F-BFD4-451E5B7DB8A9    Symmetric Key   TDE Master Encryption Key: MKID 0625BA455B03CD4F57BFA5D2290FD379A1
    2. Registrieren Sie den Endpunkt erneut in DomU 1.
      $ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/bin/okv admin endpoint re-enroll --endpoint <endpoint_name>
{
  "result" : "Success"
}
    3. Provisioning-Endpunkt in DomU 1. Es wird zur Eingabe des OKV-Endpunktkennworts (TDE-Kennwort) aufgefordert.
      $ export JAVA_HOME=/usr/java/latest; export OKV_RESTCLI_CONFIG=/var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/conf/okvrestcli.ini; /var/opt/oracle/dbaas_acfs/<dbname>/okv_rest_cli/bin/okv admin endpoint provision --endpoint <endpoint_name> --location /u02/app/oracle/admin/<dbname>/okv_home/okv --auto-login FALSE
Enter Oracle Key Vault endpoint password:
{
  "result" : "Success"
}
  5. Überprüfen Sie, ob das OKV-Home-Upgrade erfolgreich ausgeführt wurde.
    1. Validieren Sie den OKV-Endpunkt, in dem die Einträge in OKV Wallet aufgelistet sind. Es wird zur Eingabe des OKV-Endpunktkennworts (TDE-Kennwort) aufgefordert.
      $ /u02/app/oracle/admin/db1902/okv_home/okv/bin/okvutil list
Enter Oracle Key Vault endpoint password:
Unique ID                               Type            Identifier
DC690343-5694-4FC8-BFE4-6C7F1A550F67    Opaque Object   TDE Wallet Metadata
9E317DDB-0542-553B-A47D-FCC31AB6DD7C    Symmetric Key   TDE Master Encryption Key: MKID AaTAGyAWyk/fv7pnl8qx4s0AAAAAAAAAAA
D9D840AF-A60E-5850-AA86-8C9F216F5501    Symmetric Key   TDE Master Encryption Key: MKID AUP0Tq+un08Mv1+onNhT4RUAAAAAAAAAAA
364EFC2F-1909-4F34-BF1B-90D3D03DA7EB    Private Key Private Key
A9D0134F-C895-4F33-BF85-351B754E9FF9    Opaque Object   TDE Wallet Metadata
E1AC8D2F-90E9-4F88-BFEE-2883FCBB7271    Opaque Object   TDE Wallet Metadata
25B7DE14-3849-4F67-BFBE-1934BFE3559B    Opaque Object   TDE Wallet Metadata
4ED713ED-FE2B-4F35-BF7D-BCBEA8327A0B    Symmetric Key   TDE Master Encryption Key: MKID 06EA813441C26B4F53BFD58E55C4BE90F4
6162E200-EF0A-4F89-BF25-A8596B3AD7B0    Opaque Object   Certificate Request
85A55486-28E5-4FFB-BF1C-B93C4C0BAD74    Secret Data Oracle Secret Data: ID HSM_PASSWORD
67E74D97-56F6-407A-A035-009D953F907A    Template    Default template for EXA_DB1902_7274B2A2-6F71-4516-B2BB-6D67CC3824FC_SCAQAE08DV0308_EP
E621EA72-5DD1-4F4F-BFD4-451E5B7DB8A9    Symmetric Key   TDE Master Encryption Key: MKID 0625BA455B03CD4F57BFA5D2290FD379A1
You have new mail in /var/spool/mail/root
    2. Rufen Sie die OKV-Home-Version ab, indem Sie okvutil ausführen. Die Version muss mit der Version des OKV-Servers identisch sein. In diesem Fall muss der Wert 21.7.0.0.0 sein.
      # su oracle
 
$ /u02/app/oracle/admin/<dbname>/okv_home/okv/bin/okvutil
okvutil version 21.7.0.0.0
Usage: okvutil <command> [-v <verbosity>] [<command args>]
  <command> := list | upload | download | sign | sign-verify | changepwd | diagnostics
Options:
  -v, --verbose <verbosity>
    Print extra information to standard out.
    Possible verbosity values are 0, 1 and 2 (more detailed information with higher verbosity level).
For help on a particular command, use [okvutil <command> -h].
You have new mail in /var/spool/mail/root
  6. Wiederholen Sie die Schritte 3 bis 5 im restlichen DomUs.
  7. Wiederholen Sie die Schritte 1 bis 6 für jede andere DB, die ihr OKV-Home upgraden muss.
  8. Stoppen Sie die DomU 1-Instanzen aller Datenbanken mit OKV-basiertem TDE. Dies kann über die Konsole, den Befehl srvctl oder SQL* Plus erfolgen.
  9. Führen Sie root.sh im ausgewählten OKV-Home aus. Es sollte in der Regel diejenige mit der neueren OKV-Version sein. Er fordert zum Ersetzen der PKCS11-Bibliothek auf. "Ja" muss ausgewählt werden.
    # /u02/app/oracle/admin/<dbname>/okv_home/okv/bin/root.sh
  10. Starten Sie die DomU 1-Instanzen aller Datenbanken mit OKV-basiertem TDE. Dies kann über die Konsole, den Befehl srvctl oder SQL* Plus erfolgen.
  11. Wiederholen Sie die Schritte 8 bis 10 im restlichen DomUs.