Oracle Key Vault mit Autonomous AI Database auf dedizierter Exadata-Infrastruktur vorbereiten

Oracle Key Vault ist eine sicherheitserprobte Full-Stack-Software-Appliance, mit der Sie Schlüssel und Sicherheitsobjekte im Unternehmen zentral verwalten können. Oracle Key Vault ist ein vom Kunden bereitgestelltes und verwaltetes System, das nicht zu den von Oracle Cloud Infrastructure verwalteten Services gehört. Sie können Ihren On-Premise-Oracle Key Vault (OKV) in vom Kunden verwaltete Datenbank-Cloud-Services integrieren, um Ihre kritischen Daten On Premise zu sichern.

Verwandte Themen

Voraussetzungen

  1. Stellen Sie sicher, dass OKV eingerichtet ist und über das Oracle Public Cloud-Clientnetzwerk auf das Netzwerk zugegriffen werden kann. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  2. Die REST-Schnittstelle ist über die OKV-Benutzeroberfläche aktiviert.
  3. Erstellen Sie den Benutzer "OKV REST Administrator". Sie können jeden beliebigen qualifizierten Benutzernamen Ihrer Wahl verwenden, z.B. "okv_rest_user". Verwenden Sie für Autonomous AI Database auf Cloud@Customer und Oracle Database Exadata Cloud at Customer dieselben oder andere REST-Benutzer. Diese Datenbanken können in denselben oder anderen On-Premise-OKV-Clustern als Schlüssel verwaltet werden. Oracle Database Exadata Cloud at Customer benötigt einen REST-Benutzer mit der Berechtigung create endpoint. Autonome KI-Datenbank auf Cloud@Customer benötigt REST-Benutzer mit create endpoint- und create endpoint group-Berechtigungen.
  4. Zugangsdaten des OKV-Administrators und der IP-Adresse, die für die Verbindung mit OKV und das Konfigurieren des Keystore erforderlich sind. Weitere Informationen finden Sie unter Keystore erstellen.
  5. Öffnen Sie die Ports 443, 5695 und 5696 für Egress im Clientnetzwerk, um auf den OKV-Server zuzugreifen.
  6. Stellen Sie bei Oracle Public Cloud-Deployments sicher, dass OKV Netzwerkzugriff auf die autonome KI-Datenbank hat, indem Sie korrekte Netzwerkrouten mit VPN (Fast Connect oder VPN as a Service) oder VCN-Peering festlegen, wenn sich der Compute-Host in einem anderen VCN befindet.

Vault in OCI Vault-Service erstellen und Secret zum Speichern des OKV-REST-Administratorkennworts hinzufügen

Das Deployment der dedizierten Exadata-Infrastruktur kommuniziert jedes Mal, wenn eine Oracle Database bereitgestellt wird, über REST mit OKV, um die Oracle Database zu registrieren und ein Wallet auf OKV anzufordern. Die Exadata-Infrastruktur benötigt daher Zugriff auf die REST-Admin-Zugangsdaten, um sich beim OKV-Server zu registrieren. Diese Zugangsdaten werden sicher im Oracle Vault-Service in OCI als Secret gespeichert und werden nur bei Bedarf vom dedizierten Exadata-Infrastruktur-Deployment abgerufen. Bei Bedarf werden die Zugangsdaten in einer kennwortgeschützten Wallet-Datei gespeichert.