Integración de Google Cloud Key Management para Exadata Database Service en Oracle Database@Google Cloud
Exadata Database Service en Oracle Database@Google Cloud ahora admite la integración con Key Management Service (KMS) de Google Cloud Platform.
Esta mejora permite a los usuarios gestionar claves de cifrado maestras (MEK) de cifrado de datos transparente (TDE) mediante claves de cifrado gestionadas por el cliente (CMEK) GCP.
Antes, las claves de cifrado maestras (MEK) de cifrado de datos transparente (TDE) solo se podían almacenar en una instancia basada en archivos de Oracle Wallet, Oracle Cloud Infrastructure (OCI) Vault u Oracle Key Vault (OKV). Con esta actualización, los usuarios ahora pueden almacenar y gestionar MEK directamente en GCP KMS, lo que proporciona un mejor control del ciclo de vida de las claves y una alineación con las políticas de seguridad específicas de la organización.
Esta integración permite a las aplicaciones, los servicios de Google Cloud y las bases de datos beneficiarse de una solución de gestión de claves centralizada que ofrece una seguridad mejorada y una gestión simplificada del ciclo de vida de las claves.
- Requisitos
Antes de configurar las claves de cifrado gestionadas por el cliente (CMEK) de GCP como servicio de gestión de claves para las bases de datos, asegúrese de que se cumplan los siguientes requisitos previos. - Uso de la consola para gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud
Aprenda a gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud. - Uso de la API para gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud
Tema principal: Guías de procedimientos
Requisitos
Antes de configurar las claves de cifrado gestionadas por el cliente (CMEK) de GCP como servicio de gestión de claves para las bases de datos, asegúrese de que se cumplan los siguientes requisitos previos.
- Aprovisione un cluster de VM de Exadata mediante la consola de Google Cloud. Consulte Aprovisionamiento de un cluster de VM de Exadata para Google Cloud para obtener instrucciones paso a paso.
- Revise la conexión de Identity Connector para asegurarse de que está configurada y activa correctamente. Para obtener más información, consulte Verificación del conector de identidad por defecto asociado al cluster de VM.
- Requisitos para configurar claves de cifrado gestionadas por el cliente (CMEK) de GCP en el nivel de cluster de VM de Exadata.
Para activar las claves de cifrado gestionadas por el cliente (CMEK) de Google Cloud Platform (GCP) para las bases de datos desplegadas con Exadata Database Service en Oracle Database@Google Cloud, debe configurar CMEK como opción de gestión de claves en el nivel de cluster de VM. Una vez que CMEK está activado, todas las operaciones de cifrado y descifrado de la base de datos utilizarán la clave gestionada por GCP especificada.
Antes de activar CMEK, asegúrese de que:- Las claves de cifrado y los anillos de claves GCP necesarios ya se han creado en GCP.
- Estas claves se reflejan como recursos de anclaje en Oracle Cloud Infrastructure (OCI), lo que garantiza la sincronización entre GCP y OCI.
- Los recursos de anclaje se utilizan para el aprovisionamiento de la base de datos y para gestionar el ciclo de vida de la clave de cifrado, incluida la rotación de claves, la revocación y la auditoría.
- Requisitos de política de IAM para acceder a los recursos clave de GCP.
La base de datos utiliza la entidad de recurso de cluster para recuperar de forma segura los recursos de clave GCP. Para activar esta funcionalidad, debe definir las políticas de IAM adecuadas en su arrendamiento de OCI.
Acceso de solo lectura a las claves GCP de Oracle:Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> where all { request.principal.type = 'cloudvmcluster',}
Esta política otorga acceso de solo lectura a los recursos de clave GCP para la entidad de recurso de cluster de VM.
Uso de la consola para gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud
Descubra cómo gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud.
- Creación de un cluster de VM en la nube de ASM
Para crear el cluster de VM de ASM, esté preparado para proporcionar el valor de los campos necesarios para configurar la infraestructura. - Verificación del conector de identidad por defecto asociado al cluster de VM
Para ver los detalles de un conector de identidad asociado a un cluster de VM, utilice este procedimiento. - Creación de un anillo de claves en la consola de Google Cloud
Para crear un anillo de claves, utilice este procedimiento. - Creación de una clave en la consola de Google Cloud
Para crear una clave de cifrado simétrica sin formato en la ubicación y el anillo de claves especificados, utilice este procedimiento. - Otorgue permisos en Google Cloud KMS para la detección de claves por parte de Oracle Cloud Infrastructure (OCI)
Para permitir que una clave se pueda detectar en Oracle Cloud Infrastructure (OCI), utilice este procedimiento. - Registre el anillo de claves GCP en Oracle Cloud Infrastructure (OCI)
Para activar las claves de cifrado gestionadas por el cliente (CMEK) de Google Cloud para su cluster de VM, primero debe registrar el anillo de claves GCP en OCI. - Activación o desactivación de Google Cloud Key Management
Para activar GCP CMEK para el cluster de VM de Exadata, utilice este procedimiento. - Creación de una base de datos y uso de la clave de cifrado gestionada por el cliente (CMEK) de GCP como solución de gestión de claves
En este tema, se describen solo los pasos para crear una base de datos y utilizar la clave de cifrado gestionada por el cliente (CMEK) de GCP como solución de gestión de claves. - Cambio de la gestión de claves de Oracle Wallet a la clave de cifrado gestionada por el cliente (CMEK) de GCP
Para cambiar las claves de cifrado entre diferentes métodos de cifrado, utilice este procedimiento. - Rotación de la clave de cifrado gestionada por el cliente de GCP de una base de datos de contenedores (CDB)
Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos de contenedores (CDB), utilice este procedimiento. - Rotación de la clave de cifrado gestionada por el cliente de GCP de una base de datos conectable (PDB)
Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos conectable (PDB), utilice este procedimiento.
Para crear un cluster de VM en la nube de ASM
Para crear el cluster de VM de ASM, esté preparado para proporcionar valores de los campos necesarios para configurar la infraestructura.
Para crear un cluster de VM en la nube en una instancia de Exadata Cloud Infrastructure, primero debe haber creado un recurso de infraestructura de Exadata en la nube.
La infraestructura con varias VM soportará el desarrollo de varios clusters de VM. Las infraestructuras creadas antes de la publicación de la función Crear y gestionar varias máquinas virtuales por sistema de Exadata (MultiVM) y subjuego de nodos de cluster de máquina virtual solo soportan la creación de un único cluster de VM en la nube.
Al aprovisionar un cluster de VM de Exadata en Exadata Database Service en Oracle Database@Google Cloud, se crea automáticamente un conector de identidad y se asocia al cluster de VM.
- Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure
- En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
Nota
Solo se pueden crearse varios clusteres de VM en una infraestructura con varias VM.
- Haga clic en Crear cluster de VM de Exadata.
Se mostrará la página Crear cluster de VM de Exadata. Proporcione la información necesaria para configurar el cluster de VM.
- compartimento: seleccione un compartimento para el recurso de cluster de VM.
- Nombre mostrado: introduzca un nombre mostrado fácil de recordar para el cluster de VM. El nombre no tiene que ser único. Un identificador de Oracle Cloud (OCID) identificará del cluster de VM de forma única. Evite introducir información confidencial.
- Seleccionar infraestructura de Exadata: seleccione el recurso de infraestructura que contendrá el cluster de VM. Debe seleccionar un recurso de infraestructura que tenga suficientes recursos para crear un nuevo cluster de VM. Haga clic en Cambiar compartimento y seleccione un compartimento diferente de aquel en el que está trabajando para ver los recursos de infraestructura de otros compartimentos.
Nota
Solo se pueden generar varios clusters para VM en una infraestructura con varias VM.
- Tipo de cluster de VM:Nota
No puede cambiar el tipo de cluster de VM después de desplegar el cluster de VM. Si desea cambiar el tipo de cluster de VM, debe crear un nuevo cluster de VM y migrar la base de datos al nuevo cluster.
- Base de datos Exadata: VM de base de datos estándar sin restricciones, adecuada para todas las cargas de trabajo.
- Exadata Database-Developer: máquina virtual de base de datos para desarrollador con restricciones adecuadas únicamente para el despliegue de aplicaciones.
- Configurar el cluster de VM: especifique los servidores de base de datos que se utilizarán para el nuevo cluster de VM (por defecto, se seleccionan todos los servidores de base de datos). Haga clic en Seleccionar servidores de base de datos para seleccionar entre los servidores de base de datos disponibles y, a continuación, haga clic en Guardar.
Tipo de cluster de VM - Base de datos de Exadata: seleccione un mínimo de un servidor de base de datos para la ubicación de VM. Si necesita un servicio de base de datos de alta disponibilidad que permanezca disponible durante el mantenimiento y las interrupciones no planificadas, seleccione al menos dos servidores de base de datos. El número máximo de recursos disponibles para la asignación por VM se basa en el número de servidores de base de datos seleccionados.
Tipo de cluster de VM - Exadata Database-Developer: seleccione un servidor de base de datos para la ubicación de VM. Solo se puede seleccionar un servidor de base de datos.
En el panel Asignación de recursos por VM:
- Especifique el número de OCPU/ECPU que desea asignar a cada nodo de recursos informáticos que desea asignar a la máquina virtual del cluster del VM. Para los clusters de VM creados en la infraestructura de Exadata X11M, especifique las ECPU. Para los clusters de VM creados en X10M y la infraestructura de Exadata anterior, especifique las OCPU. El mínimo es de 2 OCPU por VM para la infraestructura X10M y anterior, o de 8 ECPU por VM para los clusters de VM creados en la infraestructura de Exadata X11M. El campo de solo lectura Recuento de OCPU solicitado para cluster de máquina virtual de Exadata muestra el número total de núcleos de OCPU o ECPU que va a asignar.
- Especifique la memoria por VM que desea asignar a cada VM. El mínimo por VM es de 30 GB.
- Especifique el almacenamiento local por VM para asignar almacenamiento local a cada VM. El mínimo por VM es de 60 GB.
Cada vez que crea un nuevo cluster de VM, el espacio que queda del espacio total disponible se utiliza para el nuevo cluster de VM.
Además de
/u02
, puede especificar el tamaño de los sistemas de archivos locales adicionales.Para obtener más información e instrucciones para especificar el tamaño de cada VM individual, consulte Introducción a las operaciones de escala o reducción vertical.
- Haga clic en Mostrar opciones para configurar sistemas de archivos locales adicionales.
- Especifique el tamaño de los sistemas de archivos
/
,/u01
,/tmp
,/var
,/var/log
,/var/log/audit
y/home
según sea necesario.Nota
- Solo puede expandir estos sistemas de archivos y no puede reducir el tamaño una vez expandido.
- Debido a las particiones y la creación de reflejos de copia de seguridad, los sistemas de archivos
/
y/var
consumirán el doble de espacio que se les asignó, lo que se indica en los campos Total de almacenamiento asignado para / (GB) debido a la creación de reflejos y Total de almacenamiento asignado para /tmp (GB) debido a la creación de reflejos.
- Después de crear el cluster de VM, compruebe la sección Recursos de Exadata de la página Detalles de infraestructura de Exadata para comprobar el tamaño de archivo asignado al almacenamiento local (
/u02
) y al almacenamiento local (sistemas de archivos adicionales).
- Almacenamiento de Exadata:
- Especifique el almacenamiento Exadata utilizable (TB). Especifique el almacenamiento en múltiplos de 1 TB. Mínimo: 2 TB
- Asignar almacenamiento para instantáneas dispersas de Exadata: seleccione esta opción de configuración si desea utilizar la funcionalidad de instantánea en su cluster de VM. Si selecciona esta opción, se creará el grupo de discos SPARSE, que permite utilizar la funcionalidad de instantáneas del cluster de VM para la clonación ligera de la PDB. Si no selecciona esta opción, el grupo de discos SPARSE no se creará y la funcionalidad de instantáneas no estará disponible en ningún despliegue de base de datos que se cree en el entorno.
Nota
La opción de configuración de almacenamiento para instantáneas dispersas no se puede cambiar después de crear la instancia de VM.
- Asignar almacenamiento para las copias de seguridad locales seleccione esta opción si desea realizar copias de seguridad de base de datos en el almacenamiento local de Exadata dentro de su instancia de Exadata Cloud Infrastructure. Si selecciona esta opción, se asignará más espacio al grupo de discos RECO, que se utiliza para almacenar las copias de seguridad en el almacenamiento de Exadata. Si no selecciona esta opción, se asignará más espacio al grupo de discos DATA, lo cual le permite almacenar más información en las bases de datos.
Nota
La opción de configuración de almacenamiento para copias de seguridad locales no se puede cambiar después de crear la instancia de cluster.
- Versión:
- Versión de Oracle Grid Infrastructure: en la lista, seleccione la Versión de Oracle Grid Infrastructure (19c y 26ai) que desea instalar en el cluster de VM.
La versión de Oracle Grid Infrastructure determina las versiones de Oracle Database soportadas en el cluster de VM. No podrá ejecutar una versión de Oracle Database que sea posterior a la versión del software de Oracle Grid Infrastructure.
Nota
Requisitos mínimos para aprovisionar un cluster de VM con Grid Infrastructure 26ai:
- VM de invitado de Exadata que ejecuta el software del sistema de Exadata 23.1.8
- Infraestructura de Exadata que ejecuta el software del sistema de Exadata 23.1.x
- Versión de invitado de Exadata:
- Infraestructura de Exadata con la versión de imagen de Oracle Linux 7 y Exadata 22.1.10.0.0.230422:
- El botón Cambiar imagen no está activado.
- La versión de Oracle Grid Infrastructure toma por defecto la versión 19.0.0.0.0.
- La versión de invitado de Exadata será la misma que la del sistema operativo del host.
- Infraestructura de Exadata con imagen de Oracle Linux 8 y Exadata versión 23.1.3.0.0.230613:
- La versión de invitado de Exadata se define por defecto en la última versión (23.1.3.0).
- La versión de Oracle Grid Infrastructure toma por defecto la versión 19.0.0.0.0
- El botón Cambiar imagen está activado.
- Haga clic en Cambiar imagen.
El panel de imagen Cambiar resultante muestra la lista de versiones principales disponibles de la imagen de Exadata (23.1.3.0 y 22.1.3.0).
La última versión de cada versión principal se indica mediante "(más recientes)".
- Diapositiva Mostrar todas las versiones disponibles.
Se muestran seis versiones anteriores, incluidas las últimas versiones de las imágenes de Exadata 23.1.3.0 y 22.1.3.0.
- Seleccione una versión.
- Haga clic en Guardar cambios.
- Infraestructura de Exadata con la versión de imagen de Oracle Linux 7 y Exadata 22.1.10.0.0.230422:
- Versión de Oracle Grid Infrastructure: en la lista, seleccione la Versión de Oracle Grid Infrastructure (19c y 26ai) que desea instalar en el cluster de VM.
- Claves SSH: agregue la parte a la clave pública de cada par de clave que desea utilizar para el acceso SSH al cluster de VM:
- Generar par de claves SSH (opción por defecto) Seleccione este botón de radio para generar un par de claves SSH. A continuación, en el cuadro de diálogo siguiente, haga clic enGuardar clave privada para descargar la clave y, opcionalmente, haga clic enGuardar clave pública para descargar la clave.
- Cargar archivos de clave SSH: seleccione este botón de radio para examinar o arrastrar y soltar archivos .pub.
- Pegar claves SSH seleccione este botón de radio para pegar claves públicas individuales. Para pegar varias claves, haga clic en + Otra clave SSH y proporcione una única clave para cada entrada.
- Configuración de la red: especifique lo siguiente:
Nota
Las direcciones IP (100.64.0.0/10) se utilizan para la interconexión de X8M de Exadata Cloud Infrastructure
.No tiene la opción de elegir entre IPv4 (pila única) y IPv4/IPv6 (pila doble) si existen ambas configuraciones. Para obtener más información, consulte Gestión de subredes y VCN.
- Red virtual en la nube: VCN en la que desea crear el cluster de VM. Haga clic en Cambiar compartimento para seleccionar una VCN en otro compartimento.
- Subred de cliente: subred a la que se debe asociar el cluster de VM. Haga clic en Cambiar compartimento para seleccionar una subred de un compartimento diferente.
No utilice una subred que se solape con 192.168.16.16/28, ya que la usa la interconexión privada de Oracle Clusterware en la instancia de base de datos. Especificar una subred solapada provoca que la interconexión privada no funcione correctamente.
- Subred de copia de seguridad: subred que se va a utilizar para la red de copia de seguridad, que se suele usar para transportar la información de copia de seguridad hacia y desde Destino de copia de seguridad, y para la replicación de Data Guard. Haga clic en Cambiar compartimento para seleccionar una subred en un compartimento diferente, si es aplicable.
No utilice una subred que se solape con 192.168.128.0/20. Esta restricción se aplica tanto a la subred del cliente como a la subred de copia de seguridad.
Si tiene previsto realizar una copia de seguridad en las bases de datos del servicio Object Storage o Autonomous Recovery, consulte los requisitos previos de red en Managing Exadata Database Backups.
Nota
En caso de que se utilice Autonomous Recovery Service, se recomienda utilizar una nueva subred dedicada. Revise los requisitos y las configuraciones de red necesarios para realizar una copia de seguridad de las bases de datos de Oracle Cloud en Recovery Service. Consulte Configuring Network Resources for Recovery Service.
- Grupos de seguridad a través de red: opcionalmente, puede especificar uno o más grupos para las redes de cliente y copia de seguridad. Los NSG funcionan como firewall virtuales, lo cual le permite aplicar un juego de reglas de seguridad de entrada y salida al cluster de VM de Exadata Cloud Infrastructure. Se puede especificar un máximo de cinco NSG. Para obtener más información, consulte Grupos de seguridad de red y Configuración de red para instancias de Exadata Cloud Infrastructure.
Si selecciona una subred con una lista de seguridad, las reglas de seguridad para el cluster de VM serán la unión de las reglas de la lista de seguridad y los NSG.
Uso de grupos de seguridad de red:
- Marque la casilla de control Utilizar grupos de seguridad de red para controlar el tráfico. Este cuadro aparece bajo el selector de la subred de cliente y de la subred de copia de seguridad. Puede aplicar los NSG al cliente o a la red de copia de seguridad, o a ambas redes. Tenga en cuenta que debe haber seleccionado una red virtual en la nube para asignar los NSG a una red.
- Especifique el NSG que se utilizará con la red. Puede que necesite usar más de un NSG. Si no está seguro, póngase en contacto con el administrador de la red.
- Para usar los NSG adicionales con la red, haga clic en + Otro grupo de seguridad de red.
Nota
Para proporcionar a sus recursos de cluster de VM en la nube seguridad adicional, puede utilizar Oracle Cloud Infrastructure Zero Trust Packet Routing para asegurarse de que solo los recursos identificados con atributos de seguridad tengan permisos de red para acceder a sus recursos. Oracle proporciona plantillas de políticas de base de datos que puede utilizar para ayudarle a crear políticas para casos de uso de seguridad de base de datos comunes. Para configurarlo ahora, ya debe haber creado atributos de seguridad con Oracle Cloud Infrastructure Zero Trust Packet Routing. Haga clic en Mostrar opciones avanzadas al final de este procedimiento.
Tenga en cuenta que cuando proporciona atributos de seguridad para un cluster, tan pronto como se aplica, todos los recursos necesitan una política de paquete de confianza cero para acceder al cluster. Si hay un atributo de seguridad en un punto final, debe cumplir las reglas del grupo de seguridad de red (NSG) y la política de Oracle Cloud Infrastructure Zero Trust Packet Routing (OCI ZPR).
- Para utilizar el servicio DNS privadoNota
Debe configurarse un DNS privado para que se pueda seleccionar. Consulte Configuración de DNS privado
- Active la casilla de control Utilizar servicio DNS privado.
- Seleccione una vista privada. Haga clic en Cambiar compartimento para seleccionar una vista privada en otro compartimento.
- Seleccione una zona privada. Haga clic en Cambiar compartimento para seleccionar una zona privada en otro compartimento.
- Prefijo de nombre de host: nombre de host que elija para el cluster de VM de Exadata. El nombre de host debe empezar por un carácter alfabético y solo puede contener caracteres alfanuméricos y guiones (-). El número máximo de caracteres permitidos para un cluster de VM de Exadata es de 12.
Atención:
El nombre de host debe ser único dentro de la subred. Si no es único, el cluster de VM no podrá aprovisionarse.
- Nombre de dominio de host: nombre de dominio del cluster de VM. Si la subred seleccionada utiliza el solucionador de Internet y VCN proporcionado por Oracle para la resolución del nombre DNS, este campo mostrará el nombre de dominio de la subred y no se podrá cambiar. De lo contrario, puede proporcionar la opción de nombre de dominio. Los guiones no están permitidos (-).
Si desea almacenar copias de seguridad de base de datos en el servicio de almacenamiento de objetos o recuperación autónoma, Oracle recomienda utilizar un solucionador de nombres VCN para la resolución de nombres DNS para la subred de cliente, ya que resuelve automáticamente los puntos finales de Swift utilizados para las copias de seguridad.
- URL de host y dominio: este campo de solo lectura combina los nombres de host y dominio para mostrar el nombre de dominio completo (FQDN) de la base de datos. La longitud máxima es de 63 caracteres.
- Seleccionar un tipo de licencia: tipo de licencia que desea utilizar para el cluster de VM. Su elección afecta a la medición de la facturación.
- Licencia incluida significa que el costo del servicio en la nube incluye una licencia para el servicio Database.
- Traiga su propia licencia (BYOL) significa que es cliente de Oracle Database con un acuerdo de licencia ilimitada o un acuerdo de licencia no ilimitada y que desea utilizar su licencia con Oracle Cloud Infrastructure. De esta forma, se elimina la necesidad de separar las licencias locales y las licencias de la nube.
- Recopilación de diagnósticos: la activación de la recopilación de diagnósticos les permitirá a usted y a Oracle Cloud Operations identificar, investigar, realizar un seguimiento y resolver las incidencias de VM de invitado de forma rápida y eficaz. Suscríbase a Eventos para recibir notificaciones sobre cambios de estado de recurso.
Nota
Acepta que la lista de eventos (o métricas, archivos log) anterior puede cambiar en el futuro. Puede anular su inclusión en esta función en cualquier momento
.- Activar eventos de diagnóstico: permite a Oracle recopilar y publicar eventos críticos, de advertencia, de error e informativos para usted.
- Activar supervisión de estado: permite a Oracle recopilar métricas de estado/eventos, como los de actividad o caída de Oracle Database, el uso del espacio en disco, etc., y compartirlos con Oracle Cloud Operations. También recibirá notificaciones de algunos eventos.
- Activar logs de incidentes y la recopilación de rastreos: permita a Oracle recopilar logs de incidentes y rastreos para permitir el diagnóstico de fallos y la resolución de incidencias.
Nota
Acepta que la lista de eventos (o métricas, archivos log) anterior puede cambiar en el futuro. Puede anular la suscripción a esta función en cualquier momento.
Las tres casillas de control están seleccionadas por defecto. Puede dejar los valores por defecto como están o desactivar las casilla de verificación según sea necesario. Puede ver los valores de recopilación de diagnóstico en la página Detalles de cluster de VM en Información general >> Recopilación de diagnósticos.- Activado: cuando selecciona que se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (las tres opciones).
- Desactivado: cuando selecciona que no se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (las tres opciones).
- Parcialmente activado: cuando selecciona que se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (una o dos opciones).
- Haga clic en Mostrar opciones avanzadas para especificar las opciones avanzadas del cluster de VM:
-
Zona horaria: esta opción se encuentra en el separador Gestión. La zona horaria por defecto para el clúster de VM es UTC, pero puede especificar una zona horaria diferente. Las opciones de zona horaria son las soportadas tanto en la clase
Java.util.TimeZone
como en el sistema operativo Oracle Linux.Nota
Si desea definir una zona horaria que no sea UTC o la zona horaria detectada por el explorador, y no encuentra la zona horaria deseada, intente seleccionar la opción Seleccionar otra zona horaria y, a continuación, seleccione "Varios" en la lista Región o país y busque las selecciones adicionales de Zona horaria.
- Puerto de listener de SCAN: esta opción se encuentra en el separador Red. Puede asignar un puerto de listener de SCAN (TCP/IP) en el rango entre 1024 y 8999. El valor por defecto es 1521.
Nota
El cambio manual del puerto del listener de SCAN de un cluster de VM después del aprovisionamiento utilizando el software de backend no está soportado. Este cambio puede provocar que falle el aprovisionamiento de Data Guard. - Enrutamiento de paquetes de confianza cero (ZPR): esta opción se encuentra en el separador Atributos de seguridad. Seleccione un espacio de nombres y proporcione la clave y el valor para el atributo de seguridad. Para completar este paso durante la configuración, ya debe haber configurado los atributos de seguridad con Oracle Cloud Infrastructure Zero Trust Packet Routing. También puede agregar atributos de seguridad después de la configuración y agregarlos más tarde. Para obtener más información sobre la adición de políticas específicas de Oracle Exadata Database Service on Dedicated Infrastructure, consulte Creador de plantillas de políticas.
- Actualización de automatización en la nube: Oracle aplica periódicamente actualizaciones a las herramientas de base de datos y el software de agente necesarios para la automatización y las herramientas en la nube. Puede configurar la ventana de tiempo que prefiera para que estas actualizaciones se apliquen al cluster de VM.
Defina la hora de inicio para las actualizaciones de automatización en la nube.
Nota
Oracle comprobará las últimas actualizaciones de VM Cloud Automation todos los días entre la ventana de tiempo configurada y aplicará actualizaciones cuando corresponda. Si la automatización no puede empezar a aplicar actualizaciones en la ventana de tiempo configurada debido a algún proceso subyacente de larga ejecución, Oracle comprobará automáticamente al día siguiente durante la ventana de tiempo configurada para empezar a aplicar actualizaciones de automatización en la nube al cluster de VM.
Permitir el acceso anticipado para la actualización de herramientas en la nube: los clusters de VM designados para el acceso anticipado reciben actualizaciones de 1 a 2 semanas antes de que estén disponibles para otros sistemas. Active esta casilla de control si desea una adopción anticipada para este cluster de VM.
Período de congelación de actualización de automatización en la nube: Oracle aplica periódicamente actualizaciones a las herramientas de base de datos y el software de agente necesarios para la automatización y las herramientas en la nube. Permite un período de congelación para definir un período de tiempo durante el cual la automatización de Oracle no aplicará actualizaciones en la nube.
Mueva el control deslizante para establecer el período de congelación.
Nota
- El período de congelación puede extenderse por un máximo de 45 días a partir de la fecha de inicio.
- La automatización de Oracle aplicará actualizaciones con correcciones de seguridad críticas (CVSS >= 9) incluso durante un período configurado de congelación.
- Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
-
- Haga clic en Crear.
¿QUÉ SIGUE?
- Puede ver la página Detalles de cluster del VM haciendo clic sobre el nombre del cluster del VM en la lista de clusters. En la página Detalles de cluster de VM, para crear su primera base de datos en el cluster, haga clic enCrear base de datos
- Los campos Dirección IP de SCAN (IPv4) y Dirección IP de SCAN (IPv6) de la sección Red de la página Detalles de cluster de VM muestran los detalles de la dirección IP de pila doble.
- El campo Actualización de automatización en la nube de la sección Versión de la página Detalles de cluster de VM muestra el período de congelación que ha definido.
Temas relacionados
- Grupos de seguridad de red
- Configuración de red para instancias de Exadata Cloud Infrastructure
- Listas de seguridad
- Configuración de DNS privado
- Etiquetas de recurso
- Crear una base de datos en un cluster de VM existente
- Oracle Cloud Infrastructure Zero Trust Packet Routing
- Introducción a eventos
- Visión general de los eventos de Database Service
- Visión general de la recopilación de diagnóstico automático
Verificación del conector de identidad por defecto asociado al cluster de VM
Para ver los detalles de un conector de identidad conectado a un cluster de VM, utilice este procedimiento.
- Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
- En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
- Haga clic en el nombre del clúster de VM que desee.
- En la página Detalles de cluster de VM resultante, en la sección Información de multinube, confirme que el campo Conector de identidad muestra el conector de identidad asociado a este cluster de VM.
- Haga clic en el nombre del conector de identidad para ver sus detalles.
Se le redirigirá al portal Database Multicloud Integrations.
Crear un anillo de claves en la consola de Google Cloud
Para crear un llavero, utilice este procedimiento.
- Abra la consola de Google Cloud y vaya a la página Gestión de claves.
- Haga clic en Crear anillo de claves.
- Proporcione los siguientes detalles:
- Nombre: introduzca un nombre descriptivo para el anillo de claves.
- Ubicación: seleccione una ubicación para el llavero.
Importante:
- Los anillos de claves con el mismo nombre pueden existir en diferentes ubicaciones, por lo que siempre debe especificar la ubicación.
- Elija una ubicación cercana a los recursos que desea proteger.
- Para las claves de cifrado gestionadas por el cliente, asegúrese de que el anillo de claves esté en la misma ubicación que los recursos que lo utilizarán.
Elegir una ubicación para su Key Ring:
Al crear un llavero en Google Cloud Key Management Service (KMS), seleccionar la ubicación correcta es crucial. Su elección afecta a dónde se almacenan sus claves criptográficas y cómo se replican. Para obtener más información, consulte Ubicaciones de Cloud KMS.
- Región:
- Los datos se almacenan en una región geográfica específica.
- Las claves permanecen dentro de los límites de esta única región.
- Ideal para:
- Aplicaciones de baja latencia
- Cumplimiento de los requisitos de residencia de datos
- Cargas de trabajo específicas de la región
- Varias regiones
- Los datos se replican en varias regiones dentro de un área geográfica más grande.
- Google gestiona la distribución y la replicación automáticamente.
- No puede seleccionar centros de datos o regiones individuales.
- Ideal para:
- Alta disponibilidad
- Aplicaciones resistentes y tolerantes a fallos
- Servicios que sirven a una amplia zona regional
- Global:
- Tipo especial de varias regiones.
- Las claves se distribuyen en los centros de datos de Google en todo el mundo.
- La selección y el control de ubicación no están disponibles.
- Ideal para:
- Aplicaciones con usuarios globales
- Casos de uso que necesitan la máxima redundancia y alcance
- Haga clic en Crear.
Una vez que se crea el anillo de claves, puede comenzar a crear y gestionar claves de cifrado dentro de él.
Crear una clave en la consola de Google Cloud
Para crear una clave de cifrado simétrica sin procesar en la ubicación y el anillo de claves especificados, utilice este procedimiento.
- Abra la consola de Google Cloud y vaya a la página Gestión de claves.
- Haga clic en el nombre del anillo de claves en el que desea crear la clave.
- Haga clic en Crear clave.
- Proporcione los siguientes detalles:
- Nombre de clave: introduzca un nombre descriptivo para la clave.
- Nivel de protección: seleccione Software o HSM (módulo de seguridad de hardware).
El nivel de protección de una clave no se puede cambiar después de crearla. Para obtener más información, consulte Niveles de protección.
- Material clave: seleccione Generar clave o Importar clave.
Genere material clave en Cloud KMS o importe material clave que se mantenga fuera de Google Cloud. Para obtener más información, consulte Customer-managed encryption keys (CMEK).
- Objetivo y algoritmo:
Para obtener más información, consulte Fines clave y algoritmos.
- Establezca Objetivo en Cifrado/descifrado raw.
- En Algoritmo, seleccione AES-256-CBC.
- Haga clic en Crear.
Después de la creación, puede utilizar esta clave para operaciones criptográficas que requieren cifrado y descifrado AES-CBC.
Otorgar permisos en Google Cloud KMS para la detección de claves por parte de Oracle Cloud Infrastructure (OCI)
Para permitir que se pueda detectar una clave en Oracle Cloud Infrastructure (OCI), utilice este procedimiento.
- En Google Cloud KMS, seleccione la clave que desea que se pueda detectar.
- Vaya al separador Permisos y haga clic en Agregar principal.
- En el campo Nuevos principales, introduzca la cuenta de servicio asociada al agente de servicio de recursos de carga de trabajo.
Nota
Puede encontrar esta cuenta de servicio en la página Detalles de conector de identidad, en la sección Información de GCP. Busque el agente de servicio de recursos de carga de trabajo y anote su ID: esta es la cuenta de servicio necesaria.
- En Asignar roles, agregue el rol que desee.
Nota
Cree un rol personalizado con los siguientes permisos mínimos y asígnelo al anillo de claves que elija.
Estos permisos juntos permiten a OCI:
- Descubra recursos de KMS como llaveros y llaves.
- Acceder a metadatos sobre claves y sus versiones.
- Utilice las claves para operaciones criptográficas (cifrado/descifrado).
- Crear versiones de clave.
Permisos mínimos necesarios:
cloudkms.cryptoKeyVersions.get
Permite la recuperación de metadatos para una versión de clave específica.
cloudkms.cryptoKeyVersions.manageRawAesCbcKeys
Permite la gestión del material de claves AES-CBC bruto (importación, rotación, etc.).
cloudkms.cryptoKeyVersions.create
Permite la creación de nuevas versiones de clave dentro de una clave.
cloudkms.cryptoKeyVersions.list
Muestra todas las versiones de una clave determinada.
cloudkms.cryptoKeyVersions.useToDecrypt
Otorga permiso para utilizar una versión de clave para descifrar datos.
cloudkms.cryptoKeyVersions.useToEncrypt
Otorga permiso para utilizar una versión de clave para cifrar datos.
cloudkms.cryptoKeys.get
Permite la recuperación de metadatos para una clave.
cloudkms.cryptoKeys.list
Muestra todas las claves dentro de un llavero.
cloudkms.keyRings.get
Permite la recuperación de metadatos para un anillo de claves.
cloudkms.locations.get
Recupera información sobre las ubicaciones de claves admitidas.
- Haga clic en Guardar para aplicar los cambios.
- Haga clic en Refrescar para confirmar que se han aplicado los permisos actualizados.
Registrar el conjunto de claves de GCP en Oracle Cloud Infrastructure (OCI)
Para activar las claves de cifrado gestionadas por el cliente (CMEK) de Google Cloud para el cluster de VM, primero debe registrar el conjunto de claves GCP en OCI.
Antes de continuar, asegúrese de que se hayan otorgado los permisos descritos en Otorgar permisos en Google Cloud KMS para la detección de claves por parte de Oracle Cloud Infrastructure (OCI).
- En el portal Integraciones multinube de bases de datos, vaya a: Google Cloud Integration > Anillos de claves GCP.
- Haga clic en Conjunto de claves GCP.
- Haga clic en Registrar llaveros GCP.
- En la página Registrar llaves GCP resultante, proporcione los siguientes detalles:
- Compartimento: seleccione el compartimento en el que reside el cluster de VM.
- Conector de identidad: seleccione el conector de identidad asociado al cluster de VM.
- Key Ring: introduzca el nombre del key ring de GCP que se va a registrar.
Para detectar todos los anillos de claves disponibles a través de un único conector de identidad, debe otorgar los siguientes permisos a ese conector de identidad. Estos permisos se deben asignar en el nivel de proyecto o carpeta adecuado para garantizar que el conector pueda acceder a todos los anillos de claves en el ámbito deseado.
cloudkms.keyRings.list
Permite mostrar todos los llaveros dentro de un proyecto.
cloudkms.locations.get
Permite recuperar metadatos para un anillo de claves específico.
- Haga clic en Detectar para verificar si el anillo de claves existe en GCP.
Si se realiza correctamente, se mostrarán los detalles del llavero.
Nota
Solo se pueden registrar llaveros, no llaves individuales. Todas las claves soportadas asociadas con un llavero registrado estarán disponibles, siempre que los permisos necesarios estén en su lugar.
- Haga clic en Registrar.
Activar o desactivar la gestión de claves de Google Cloud
Para activar la CMEK de GCP para el cluster de VM de Exadata, utilice este procedimiento.
Al aprovisionar un cluster de VM de Exadata, la CMEK de GCP está desactivada por defecto.
- Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
- En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
- Seleccione el nombre del cluster de VM que desea configurar.
- En la página Detalles de cluster de VM, desplácese a la sección Información de multinube y haga clic en Activar junto a CMEK de GCP.
- Para desactivar la CMEK de GCP, haga clic en Desactivar.
Crear una base de datos y utilizar la clave de cifrado gestionada por el cliente (CMEK) de GCP como solución de gestión de claves
En este tema, se describen solo los pasos para crear una base de datos y utilizar la clave de cifrado gestionada por el cliente (CMEK) de GCP como solución de gestión de claves.
Para conocer el procedimiento de creación de bases de datos genéricas, consulte Para crear una base de datos en un cluster de VM existente.
Requisitos
- Active la gestión de claves de Google Cloud en el nivel de cluster de VM.
- Registre los llaveros de GCP en OCI.
Pasos
Si Google Cloud Key Management está activado en el cluster de VM, tendrá dos opciones de gestión de claves: Oracle Wallet y Clave de cifrado gestionada por el cliente de GCP.
- En la sección Cifrado, seleccione Clave de cifrado gestionada por el cliente de GCP.
- Seleccione un llavero registrado disponible en su compartimento. Nota
- Solo se muestran los llaveros registrados.
- Si el llavero deseado no está visible, es posible que aún no se haya registrado. Haga clic en Registrar anillos clave para detectarlos y registrarlos.
Para obtener instrucciones detalladas, consulte Registro de Key Ring de GCP en Oracle Cloud Infrastructure (OCI).
- Seleccione la clave dentro del llavero seleccionado en el compartimento.
Cambio de la gestión de claves de Oracle Wallet a la clave de cifrado gestionada por el cliente (CMEK) de GCP
Para cambiar las claves de cifrado entre diferentes métodos de cifrado, utilice este procedimiento.
- No puede migrar de la clave de cifrado gestionada por el cliente de GCP a Oracle Wallet.
- Su base de datos experimentará un breve tiempo de inactividad mientras se actualiza la configuración de gestión de claves.
- Navegue a la página de detalles de la base de datos en la consola de OCI.
- En la sección Cifrado, verifique que Gestión de claves esté definido en Oracle Wallet y, a continuación, haga clic en el enlace Cambiar.
- Introduzca la siguiente información en la página Cambiar gestión de claves.
- Seleccione la gestión de claves como Clave de cifrado gestionada por el cliente de GCP en la lista desplegable.
- Seleccione el compartimento que está utilizando y, a continuación, elija el llavero disponible en ese compartimento.
- A continuación, seleccione el compartimento Key que está utilizando y, a continuación, seleccione la clave que desee en la lista desplegable.
- Haga clic en Guardar cambios.
Rotación de la clave de cifrado gestionada por el cliente de GCP de una base de datos de contenedores (CDB)
Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos de contenedores (CDB), utilice este procedimiento.
- Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
- Seleccione su compartimento.
Se mostrará una lista de clusters de VM para el compartimento seleccionado.
- En la lista de clústeres de VM, haga clic en el nombre del clúster de VM que contiene la base de datos cuya versión desea rotar las claves de cifrado.
- Haga clic en Bases de datos.
- Haga clic en el nombre de la base que desea rotar las claves de cifrado.
La página Detalles de Base de Datos muestra información sobre la base datos seleccionada.
- En la sección Cifrado, verifique que Gestión de claves esté definido en Clave de cifrado gestionada por el cliente de GCP y, a continuación, haga clic en el enlace Rotar.
- En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.
Rotación de la clave de cifrado gestionada por el cliente de GCP de una base de datos conectable (PDB)
Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos de conexión (PDB), utilice este procedimiento.
- Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
- Seleccione su compartimento.
Se mostrará una lista de clusters de VM para el compartimento seleccionado.
- En la lista de clusters de VM, haga clic en el nombre del cluster de VM que contiene la PDB que desea iniciar y, a continuación, haga clic en su nombre para mostrar la página de detalles.
- En Bases de datos, busque la base de datos que contiene la PDB para la que desea rotar las claves de cifrado.
- Haga clic en el nombre de la base de datos para ver la página Detalles de base de datos.
- Haga clic en Bases de datos conectables en la sección Recursos de la página.
Aparecerá una lista de las PDB existentes en esta base de datos.
- Haga clic en el nombre de la PDB que desea rotar las claves de cifrado.
Aparecerá la página de detalles de conexión.
- En la sección Cifrado, se muestra que la gestión de claves está definida como clave de cifrado gestionada por el cliente de GCP.
- Haga clic en el enlace Rotar.
- En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.
Uso de la API para gestionar la integración de GCP KMS para Exadata Database Service en Oracle Database@Google Cloud
Para obtener más información sobre el uso de la API y la firma de solicitudes, consulte API de REST y Credenciales de seguridad. Para obtener información sobre los SDK, consulte Software development kits e interfaz de línea de comandos.
Los siguientes recursos estarán disponibles para los clientes mediante el SDK de OCI, la CLI y Terraform. Los clientes que deseen integrar Oracle Database en Exadata con Google Cloud Services utilizarán estas API.
Tabla 5-11 OracleDbGcpIdentityConnectors
API | Descripción |
---|---|
ListOracleDbGcpIdentityConnectors |
Muestra todos los recursos de GCP Identity Connector basados en los filtros especificados. |
GetOracleDbGcpIdentityConnector |
Recupera información detallada sobre un recurso de conector de identidad de GCP específico. |
CreateOracleDbGcpIdentityConnector |
Crea un nuevo recurso de conector de identidad de GCP para el cluster de VM ExaDB-D especificado. |
UpdateOracleDbGcpIdentityConnector |
Actualiza los detalles de configuración de un recurso existente de GCP Identity Connector. |
ChangeOracleDbGcpIdentityConnectorCompartment |
Mueve el recurso del conector de identidad de GCP a un compartimento diferente. |
DeleteOracleDbGcpIdentityConnector |
Suprime el recurso de conector de identidad de GCP especificado. |
Tabla 5-12 OracleDbGcpKeyRings
API | Descripción |
---|---|
ListOracleDbGcpKeyRings |
Muestra todos los recursos de anillo de claves GCP según los filtros especificados. |
CreateOracleDbGcpKeyRing |
Crea un nuevo recurso de conjunto de claves GCP. |
ChangeOracleDbGcpKeyRingCompartment |
Mueve el recurso del anillo de claves GCP a un compartimento diferente. |
RefreshOracleDbGcpKeyRing |
Refresca los detalles de un recurso de conjunto de claves GCP. |
GetOracleDbGcpKeyRing |
Recupera información detallada sobre un recurso de conjunto de claves GCP específico. |
UpdateOracleDbGcpKeyRing |
Actualiza los detalles de configuración de un recurso de conjunto de claves GCP existente. |
DeleteOracleDbGcpKeyRing |
Suprime el recurso de conjunto de claves GCP especificado. |
Tabla 5-13 OracleDbGcpKeyKeys
API | Descripción |
---|---|
ListOracleDbGcpKeys |
Muestra todos los recursos de anillo de claves GCP según los filtros especificados. |
GetOracleDbGcpKey |
Recupera información detallada sobre un recurso de clave GCP específico. |