Cree un cluster de VM en una instancia de Exadata Cloud Infrastructure.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure
2. En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
   Nota
   
   Solo se pueden crear varios clusters de VM en una infraestructura con varias VM.
3. Haga clic en Crear cluster de VM de Exadata.

   Se mostrará la página Crear cluster de VM de Exadata. Proporcione la información necesaria para configurar el cluster de VM.

4. compartimento: seleccione un compartimento para el recurso de cluster de VM.
5. Nombre mostrado: introduzca un nombre mostrado fácil de recordar para el cluster de VM. El nombre no tiene que ser único. Un identificador de Oracle Cloud (OCID) identificará del cluster de VM de forma única. Evite introducir información confidencial.
6. Seleccionar infraestructura de Exadata: seleccione el recurso de infraestructura que contendrá el cluster de VM. Debe seleccionar un recurso de infraestructura que tenga suficientes recursos para crear un nuevo cluster de VM. Haga clic en Cambiar compartimento y seleccione un compartimento diferente de aquel en el que está trabajando para ver los recursos de infraestructura de otros compartimentos.
   Nota
   
   Solo se pueden crear varios clusters de VM en una infraestructura con varias VM
7. Seleccionar la Versión de Oracle Grid Infrastructure: en la lista, elija la Versión de Oracle Grid Infrastructure (19c y 23ai) que desea instalar en el cluster de VM.

   La versión de Oracle Grid Infrastructure determina las versiones de Oracle Database soportadas en el cluster de VM. No podrá ejecutar una versión de Oracle Database que sea posterior a la versión del software de Oracle Grid Infrastructure.

   Nota
   
   Requisitos mínimos para aprovisionar un cluster de VM con Grid Infrastructure 23ai:

   • VM de invitado de Exadata que ejecuta el software del sistema de Exadata 23.1.8
   • Infraestructura de Exadata que ejecuta el software del sistema de Exadata 23.1.x
8. Seleccione una versión de imagen de Exadata:
   • Infraestructura de Exadata con la versión de imagen de Oracle Linux 7 y Exadata 22.1.10.0.0.230422:
     • El botón Cambiar imagen no está activado.
     • La versión de Oracle Grid Infrastructure toma por defecto la versión 19.0.0.0.0.
     • La versión de invitado de Exadata será la misma que la del sistema operativo del host.
   • Infraestructura de Exadata con imagen de Oracle Linux 8 y Exadata versión 23.1.3.0.0.230613:
     • La versión de invitado de Exadata se define por defecto en la última versión (23.1.3.0).
     • La versión de Oracle Grid Infrastructure toma por defecto la versión 19.0.0.0.0
     • El botón Cambiar imagen está activado.
     • Haga clic en Cambiar imagen.

       El panel de imagen Cambiar resultante muestra la lista de versiones principales disponibles de la imagen de Exadata (23.1.3.0 y 22.1.3.0).

       La última versión de cada versión principal se indica mediante "(más recientes)".

     • Diapositiva Mostrar todas las versiones disponibles.

       Se muestran seis versiones anteriores, incluidas las últimas versiones de las imágenes de Exadata 23.1.3.0 y 22.1.3.0.

     • Seleccione una versión.
     • Haga clic en Guardar cambios.
9. Configurar el cluster de VM: especifique los servidores de base de datos que se utilizarán para el nuevo cluster de VM (por defecto, se seleccionan todos los servidores de base de datos). Haga clic en Seleccionar servidores de base de datos para seleccionar entre los servidores de base de datos disponibles y, a continuación, haga clic en Guardar.

   En el panel Asignación de recursos por VM:

   • Especifique el número de OCPU/ECPU que desea asignar a cada nodo de recursos informáticos que desea asignar a la máquina virtual del cluster del VM. Para los clusters de VM creados en la infraestructura de Exadata X11M, especifique las ECPU. Para los clusters de VM creados en X10M y la infraestructura de Exadata anterior, especifique las OCPU. El mínimo es de 2 OCPU por VM para la infraestructura X10M y anterior, o de 8 ECPU por VM para los clusters de VM creados en la infraestructura de Exadata X11M. El campo de solo lectura Recuento de OCPU solicitado para cluster de máquina virtual de Exadata muestra el número total de núcleos de OCPU o ECPU que va a asignar.
   • Especifique la memoria por VM que desea asignar a cada VM. El mínimo por VM es de 30 GB.
   • Especifique el almacenamiento local por VM para asignar almacenamiento local a cada VM. El mínimo por VM es de 60 GB.

     Cada vez que crea un nuevo cluster de VM, el espacio que queda del espacio total disponible se utiliza para el nuevo cluster de VM.

     Además de /u02, puede especificar el tamaño de los sistemas de archivos locales adicionales.

     Para obtener más información e instrucciones para especificar el tamaño de cada VM individual, consulte Introducción a las operaciones de escala o reducción vertical.

     • Haga clic en Mostrar opciones para configurar sistemas de archivos locales adicionales.
     • Especifique el tamaño de los sistemas de archivos /, /u01, /tmp, /var, /var/log, /var/log/audit y /home según sea necesario.
       Nota
       
       

       • Solo puede expandir estos sistemas de archivos y no puede reducir el tamaño una vez expandido.
       • Debido a las particiones y la creación de reflejos de copia de seguridad, los sistemas de archivos / y /var consumirán el doble de espacio que se les asignó, lo que se indica en los campos Total de almacenamiento asignado para / (GB) debido a la creación de reflejos y Total de almacenamiento asignado para /tmp (GB) debido a la creación de reflejos.
     • Después de crear el cluster de VM, compruebe la sección Recursos de Exadata de la página Detalles de infraestructura de Exadata para comprobar el tamaño de archivo asignado al almacenamiento local (/u02) y al almacenamiento local (sistemas de archivos adicionales).
10. Configurar almacenamiento de Exadata: especifique lo siguiente:

    • Especifique el almacenamiento Exadata utilizable (TB). Especifique el almacenamiento en múltiplos de 1 TB. Mínimo: 2 TB
    • Asignar almacenamiento para instantáneas dispersas de Exadata: seleccione esta opción de configuración si desea utilizar la funcionalidad de instantánea en su cluster de VM. Si selecciona esta opción, se creará el grupo de discos SPARSE, que permite utilizar la funcionalidad de instantáneas del cluster de VM para la clonación ligera de la PDB. Si no selecciona esta opción, el grupo de discos SPARSE no se creará y la funcionalidad de instantáneas no estará disponible en ningún despliegue de base de datos que se cree en el entorno.
      Nota
      
      La opción de configuración de almacenamiento para instantáneas dispersas no se puede cambiar después de crear el cluster de VM.
    • Asignar almacenamiento para las copias de seguridad locales seleccione esta opción si desea realizar copias de seguridad de base de datos en el almacenamiento local de Exadata dentro de su instancia de Exadata Cloud Infrastructure. Si selecciona esta opción, se asignará más espacio al grupo de discos RECO, que se utiliza para almacenar las copias de seguridad en el almacenamiento de Exadata. Si no selecciona esta opción, se asignará más espacio al grupo de discos DATA, lo cual le permite almacenar más información en las bases de datos.
      Nota
      
      La opción de configuración de almacenamiento para copias de seguridad locales no se puede cambiar después de crear el cluster de VM.
11. Agregar clave SSH: agregue la parte del clave pública de cada par de clave que desee utilizar para el acceso SSH al cluster de VM:
    • Generar par de claves SSH (opción por defecto) Seleccione este botón de radio para generar un par de claves SSH. A continuación, en el cuadro de diálogo siguiente, haga clic enGuardar clave privada para descargar la clave y, opcionalmente, haga clic enGuardar clave pública para descargar la clave.
    • Cargar archivos de clave SSH: seleccione este botón de radio para examinar o arrastrar y soltar archivos .pub.
    • Pegar claves SSH seleccione este botón de radio para pegar claves públicas individuales. Para pegar varias claves, haga clic en + Otra clave SSH y proporcione una única clave para cada entrada.
12. Configurar la configuración de red: especifique lo siguiente:
    Nota
    
    Las direcciones IP (100.64.0.0/10) se utilizan para la interconexión de Exadata Cloud Infrastructure X8M.

    No tiene la opción de elegir entre IPv4 (pila única) y IPv4/IPv6 (pila doble) si existen ambas configuraciones. Para obtener más información, consulte Gestión de subredes y VCN.

    • Red virtual en la nube: VCN en la que desea crear el cluster de VM. Haga clic en Cambiar compartimento para seleccionar una VCN en otro compartimento.
    • Subred de cliente: subred a la que se debe asociar el cluster de VM. Haga clic en Cambiar compartimento para seleccionar una subred de un compartimento diferente.

      No utilice una subred que se solape con 192.168.16.16/28, ya que la usa la interconexión privada de Oracle Clusterware en la instancia de base de datos. Especificar una subred solapada provoca que la interconexión privada no funcione correctamente.

    • Subred de copia de seguridad: subred que se va a utilizar para la red de copia de seguridad, que se suele usar para transportar la información de copia de seguridad hacia y desde Destino de copia de seguridad, y para la replicación de Data Guard. Haga clic en Cambiar compartimento para seleccionar una subred en un compartimento diferente, si es aplicable.

      No utilice una subred que se solape con 192.168.128.0/20. Esta restricción se aplica tanto a la subred del cliente como a la subred de copia de seguridad.

      Si tiene previsto realizar una copia de seguridad en las bases de datos del servicio Object Storage o Autonomous Recovery, consulte los requisitos previos de red en Managing Exadata Database Backups.

      Nota
      
      En caso de que se utilice Autonomous Recovery Service, se recomienda una nueva subred dedicada. Revise los requisitos y las configuraciones de red necesarios para realizar una copia de seguridad de las bases de datos de Oracle Cloud en Recovery Service. Consulte Configuring Network Resources for Recovery Service.
    • Grupos de seguridad a través de red: opcionalmente, puede especificar uno o más grupos para las redes de cliente y copia de seguridad. Los NSG funcionan como firewall virtuales, lo cual le permite aplicar un juego de reglas de seguridad de entrada y salida al cluster de VM de Exadata Cloud Infrastructure. Se puede especificar un máximo de cinco NSG. Para obtener más información, consulte Grupos de seguridad de red y Configuración de red para instancias de Exadata Cloud Infrastructure.

      Si selecciona una subred con una lista de seguridad, las reglas de seguridad para el cluster de VM serán la unión de las reglas de la lista de seguridad y los NSG.

      Uso de grupos de seguridad de red:

      • Marque la casilla de control Utilizar grupos de seguridad de red para controlar el tráfico. Este cuadro aparece bajo el selector de la subred de cliente y de la subred de copia de seguridad. Puede aplicar los NSG al cliente o a la red de copia de seguridad, o a ambas redes. Tenga en cuenta que debe haber seleccionado una red virtual en la nube para asignar los NSG a una red.
      • Especifique el NSG que se utilizará con la red. Puede que necesite usar más de un NSG. Si no está seguro, póngase en contacto con el administrador de la red.
      • Para usar los NSG adicionales con la red, haga clic en + Otro grupo de seguridad de red.
      Nota
      
      

      Para proporcionar a sus recursos de cluster de VM en la nube seguridad adicional, puede utilizar Oracle Cloud Infrastructure Zero Trust Packet Routing para asegurarse de que solo los recursos identificados con atributos de seguridad tengan permisos de red para acceder a sus recursos. Oracle proporciona plantillas de políticas de base de datos que puede utilizar para ayudarle a crear políticas para casos de uso de seguridad de base de datos comunes. Para configurarlo ahora, ya debe haber creado atributos de seguridad con Oracle Cloud Infrastructure Zero Trust Packet Routing. Haga clic en Mostrar opciones avanzadas al final de este procedimiento.

      Tenga en cuenta que cuando proporciona atributos de seguridad para un cluster, tan pronto como se aplica, todos los recursos necesitan una política de paquete de confianza cero para acceder al cluster. Si hay un atributo de seguridad en un punto final, debe cumplir las reglas del grupo de seguridad de red (NSG) y la política de Oracle Cloud Infrastructure Zero Trust Packet Routing (OCI ZPR).

    • Para utilizar el servicio DNS privado
      Nota
      
      Se debe configurar un DNS privado para poder seleccionarlo. Consulte "Configuración de DNS Privado"
      • Active la casilla de control Utilizar servicio DNS privado.
      • Seleccione una vista privada. Haga clic en Cambiar compartimento para seleccionar una vista privada en otro compartimento.
      • Seleccione una zona privada. Haga clic en Cambiar compartimento para seleccionar una zona privada en otro compartimento.
    • Prefijo de nombre de host: nombre de host que elija para el cluster de VM de Exadata. El nombre de host debe empezar por un carácter alfabético y solo puede contener caracteres alfanuméricos y guiones (-). El número máximo de caracteres permitidos para un cluster de VM de Exadata es de 12.

      Atención:

      El nombre de host debe ser único dentro de la subred. Si no es único, el cluster de VM no podrá aprovisionarse.
    • Nombre de dominio de host: nombre de dominio del cluster de VM. Si la subred seleccionada utiliza el solucionador de Internet y VCN proporcionado por Oracle para la resolución del nombre DNS, este campo mostrará el nombre de dominio de la subred y no se podrá cambiar. De lo contrario, puede proporcionar la opción de nombre de dominio. Los guiones no están permitidos (-).

      Si desea almacenar copias de seguridad de base de datos en el servicio de almacenamiento de objetos o recuperación autónoma, Oracle recomienda utilizar un solucionador de nombres VCN para la resolución de nombres DNS para la subred de cliente, ya que resuelve automáticamente los puntos finales de Swift utilizados para las copias de seguridad.

    • URL de host y dominio: este campo de solo lectura combina los nombres de host y dominio para mostrar el nombre de dominio completo (FQDN) de la base de datos. La longitud máxima es de 63 caracteres.
13. Seleccionar un tipo de licencia: tipo de licencia que desea utilizar para el cluster de VM. Su elección afecta a la medición de la facturación.
    • Licencia incluida significa que el costo del servicio en la nube incluye una licencia para el servicio Database.
    • Traiga su propia licencia (BYOL) significa que es cliente de Oracle Database con un acuerdo de licencia ilimitada o un acuerdo de licencia no ilimitada y que desea utilizar su licencia con Oracle Cloud Infrastructure. De esta forma, se elimina la necesidad de separar las licencias locales y las licencias de la nube.
14. Recopilación de diagnósticos: la activación de la recopilación de diagnósticos les permitirá a usted y a Oracle Cloud Operations identificar, investigar, realizar un seguimiento y resolver las incidencias de VM de invitado de forma rápida y eficaz. Suscríbase a Eventos para recibir notificaciones sobre cambios de estado de recurso.
    Nota
    
    Al suscribirse acepta que la lista de eventos (o métricas, archivos log) anterior puede cambiar en el futuro. Puede anular su inclusión en esta función en cualquier momento.
    • Activar eventos de diagnóstico: permite a Oracle recopilar y publicar eventos críticos, de advertencia, de error e informativos para usted.
    • Activar supervisión de estado: permite a Oracle recopilar métricas de estado/eventos, como los de actividad o caída de Oracle Database, el uso del espacio en disco, etc., y compartirlos con Oracle Cloud Operations. También recibirá notificaciones de algunos eventos.
    • Activar logs de incidentes y la recopilación de rastreos: permita a Oracle recopilar logs de incidentes y rastreos para permitir el diagnóstico de fallos y la resolución de incidencias.
    Nota
    
    Al suscribirse acepta que la lista de eventos (o métricas, archivos log) anterior puede cambiar en el futuro. Puede anular la suscripción a esta función en cualquier momento.
    Las tres casillas de control están seleccionadas por defecto. Puede dejar los valores por defecto como están o desactivar las casillas de control según sea necesario. Puede ver los valores de recopilación de diagnóstico en la página Detalles de cluster de VM en Información general >> Recopilación de diagnósticos.

    • Activado: cuando selecciona que se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (las tres opciones).
    • Desactivado: cuando selecciona que no se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (las tres opciones).
    • Parcialmente activado: cuando selecciona que se recopilen los diagnósticos, las métricas de estado, los logs de incidentes y los archivos de rastreo (una o dos opciones).
15. Haga clic en Mostrar opciones avanzadas para especificar las opciones avanzadas del cluster de VM:

    • Zona horaria: esta opción se encuentra en el separador Gestión. La zona horaria por defecto para el clúster de VM es UTC, pero puede especificar una zona horaria diferente. Las opciones de zona horaria son las soportadas tanto en la clase Java.util.TimeZone como en el sistema operativo Oracle Linux.

      Nota
      
      

      Si desea definir una zona horaria que no sea UTC o la zona horaria detectada por el explorador, y no encuentra la zona horaria deseada, intente seleccionar la opción Seleccionar otra zona horaria y, a continuación, seleccione "Varios" en la lista Región o país y busque las selecciones adicionales de Zona horaria.

    • Puerto de listener de SCAN: esta opción se encuentra en el separador Red. Puede asignar un puerto de listener de SCAN (TCP/IP) en el rango entre 1024 y 8999. El valor por defecto es 1521.
      Nota
      
      El cambio manual del puerto del listener de SCAN de un cluster de VM después del aprovisionamiento utilizando el software de backend no está soportado. Este cambio puede provocar que falle el aprovisionamiento de Data Guard.
    • Enrutamiento de paquetes de confianza cero (ZPR): esta opción se encuentra en el separador Atributos de seguridad. Seleccione un espacio de nombres y proporcione la clave y el valor para el atributo de seguridad. Para completar este paso durante la configuración, ya debe haber configurado los atributos de seguridad con Oracle Cloud Infrastructure Zero Trust Packet Routing. También puede agregar atributos de seguridad después de la configuración y agregarlos más tarde. Para obtener más información sobre la adición de políticas específicas de Oracle Exadata Database Service on Dedicated Infrastructure, consulte Creador de plantillas de políticas.
    • Actualización de automatización en la nube: Oracle aplica periódicamente actualizaciones a las herramientas de base de datos y el software de agente necesarios para la automatización y las herramientas en la nube. Puede configurar la ventana de tiempo que prefiera para que estas actualizaciones se apliquen al cluster de VM.

      Defina la hora de inicio para las actualizaciones de automatización en la nube.

      Nota
      
      Oracle comprobará las últimas actualizaciones de VM Cloud Automation todos los días entre la ventana de tiempo configurada y aplicará actualizaciones cuando corresponda. Si la automatización no puede empezar a aplicar actualizaciones en la ventana de tiempo configurada debido a algún proceso subyacente de larga ejecución, Oracle comprobará automáticamente al día siguiente durante la ventana de tiempo configurada para empezar a aplicar actualizaciones de automatización en la nube al cluster de VM.

      Permitir el acceso anticipado para la actualización de herramientas en la nube: los clusters de VM designados para el acceso anticipado reciben actualizaciones de 1 a 2 semanas antes de que estén disponibles para otros sistemas. Active esta casilla de control si desea una adopción anticipada para este cluster de VM.

      Período de congelación de actualización de automatización en la nube: Oracle aplica periódicamente actualizaciones a las herramientas de base de datos y el software de agente necesarios para la automatización y las herramientas en la nube. Permite un período de congelación para definir un período de tiempo durante el cual la automatización de Oracle no aplicará actualizaciones en la nube.

      Mueva el control deslizante para establecer el período de congelación.

      Nota
      
      

      • El período de congelación puede extenderse por un máximo de 45 días a partir de la fecha de inicio.
      • La automatización de Oracle aplicará actualizaciones con correcciones de seguridad críticas (CVSS >= 9) incluso durante un período configurado de congelación.
    • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
16. Haga clic en Crear.

Para ver los detalles de un conector de identidad conectado a un cluster de VM, utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
3. Haga clic en el nombre del clúster de VM que desee.
4. En la página Detalles de cluster de VM resultante, en la sección Información de multinube, confirme que el campo Conector de identidad muestra el conector de identidad asociado a este cluster de VM.
5. Haga clic en el nombre del conector de identidad para ver sus detalles.

   Se le redirigirá al portal Database Multicloud Integrations.

Para crear un llavero, utilice este procedimiento.

1. Abra la consola de Google Cloud y vaya a la página Gestión de claves.
2. Haga clic en Crear anillo de claves.
3. Proporcione los siguientes detalles:
   • Nombre: introduzca un nombre descriptivo para el anillo de claves.
   • Ubicación: seleccione una ubicación para el llavero.

     Importante:

     • Los anillos de claves con el mismo nombre pueden existir en diferentes ubicaciones, por lo que siempre debe especificar la ubicación.
     • Elija una ubicación cercana a los recursos que desea proteger.
     • Para las claves de cifrado gestionadas por el cliente, asegúrese de que el anillo de claves esté en la misma ubicación que los recursos que lo utilizarán.

     Elegir una ubicación para su Key Ring:

     Al crear un llavero en Google Cloud Key Management Service (KMS), seleccionar la ubicación correcta es crucial. Su elección afecta a dónde se almacenan sus claves criptográficas y cómo se replican. Para obtener más información, consulte Ubicaciones de Cloud KMS.

     • Región:
       • Los datos se almacenan en una región geográfica específica.
       • Las claves permanecen dentro de los límites de esta única región.
       • Ideal para:
         • Aplicaciones de baja latencia
         • Cumplimiento de los requisitos de residencia de datos
         • Cargas de trabajo específicas de la región
     • Varias regiones
       • Los datos se replican en varias regiones dentro de un área geográfica más grande.
       • Google gestiona la distribución y la replicación automáticamente.
       • No puede seleccionar centros de datos o regiones individuales.
       • Ideal para:
         • Alta disponibilidad
         • Aplicaciones resistentes y tolerantes a fallos
         • Servicios que sirven a una amplia zona regional
     • Global:
       • Tipo especial de varias regiones.
       • Las claves se distribuyen en los centros de datos de Google en todo el mundo.
       • La selección y el control de ubicación no están disponibles.
       • Ideal para:
         • Aplicaciones con usuarios globales
         • Casos de uso que necesitan la máxima redundancia y alcance
4. Haga clic en Crear.

Una vez que se crea el anillo de claves, puede comenzar a crear y gestionar claves de cifrado dentro de él.

Para crear una clave de cifrado simétrica sin procesar en la ubicación y el anillo de claves especificados, utilice este procedimiento.

1. Abra la consola de Google Cloud y vaya a la página Gestión de claves.
2. Haga clic en el nombre del anillo de claves en el que desea crear la clave.
3. Haga clic en Crear clave.
4. Proporcione los siguientes detalles:
   • Nombre de clave: introduzca un nombre descriptivo para la clave.
   • Nivel de protección: seleccione Software o HSM (módulo de seguridad de hardware).

     El nivel de protección de una clave no se puede cambiar después de crearla. Para obtener más información, consulte Niveles de protección.

   • Material clave: seleccione Generar clave o Importar clave.

     Genere material clave en Cloud KMS o importe material clave que se mantenga fuera de Google Cloud. Para obtener más información, consulte Customer-managed encryption keys (CMEK).

   • Objetivo y algoritmo:

     Para obtener más información, consulte Fines clave y algoritmos.

     • Establezca Objetivo en Cifrado/descifrado raw.
     • En Algoritmo, seleccione AES-256-CBC.
5. Haga clic en Crear.

Después de la creación, puede utilizar esta clave para operaciones criptográficas que requieren cifrado y descifrado AES-CBC.

Para permitir que se pueda detectar una clave en Oracle Cloud Infrastructure (OCI), utilice este procedimiento.

1. En Google Cloud KMS, seleccione la clave que desea que se pueda detectar.
2. Vaya al separador Permisos y haga clic en Agregar principal.
3. En el campo Nuevos principales, introduzca la cuenta de servicio asociada al agente de servicio de recursos de carga de trabajo.
   Nota
   
   

   Puede encontrar esta cuenta de servicio en la página Detalles de conector de identidad, en la sección Información de GCP. Busque el agente de servicio de recursos de carga de trabajo y anote su ID: esta es la cuenta de servicio necesaria.

4. En Asignar roles, agregue el rol que desee.
   Nota
   
   

   Cree un rol personalizado con los siguientes permisos mínimos y asígnelo al anillo de claves que elija.

   Estos permisos juntos permiten a OCI:

   • Descubra recursos de KMS como llaveros y llaves.
   • Acceder a metadatos sobre claves y sus versiones.
   • Utilice las claves para operaciones criptográficas (cifrado/descifrado).
   • Crear versiones de clave.

   Permisos mínimos necesarios:

   • cloudkms.cryptoKeyVersions.get

     Permite la recuperación de metadatos para una versión de clave específica.

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     Permite la gestión del material de claves AES-CBC bruto (importación, rotación, etc.).

   • cloudkms.cryptoKeyVersions.create

     Permite la creación de nuevas versiones de clave dentro de una clave.

   • cloudkms.cryptoKeyVersions.list

     Muestra todas las versiones de una clave determinada.

   • cloudkms.cryptoKeyVersions.useToDecrypt

     Otorga permiso para utilizar una versión de clave para descifrar datos.

   • cloudkms.cryptoKeyVersions.useToEncrypt

     Otorga permiso para utilizar una versión de clave para cifrar datos.

   • cloudkms.cryptoKeys.get

     Permite la recuperación de metadatos para una clave.

   • cloudkms.cryptoKeys.list

     Muestra todas las claves dentro de un llavero.

   • cloudkms.keyRings.get

     Permite la recuperación de metadatos para un anillo de claves.

   • cloudkms.locations.get

     Recupera información sobre las ubicaciones de claves admitidas.

5. Haga clic en Guardar para aplicar los cambios.
6. Haga clic en Refrescar para confirmar que se han aplicado los permisos actualizados.

Para activar las claves de cifrado gestionadas por el cliente (CMEK) de Google Cloud para el cluster de VM, primero debe registrar el conjunto de claves GCP en OCI.

1. En el portal Integraciones multinube de bases de datos, vaya a: Google Cloud Integration > Anillos de claves GCP.
2. Haga clic en Conjunto de claves GCP.
3. Haga clic en Registrar llaveros GCP.
4. En la página Registrar llaves GCP resultante, proporcione los siguientes detalles:
   • Compartimento: seleccione el compartimento en el que reside el cluster de VM.
   • Conector de identidad: seleccione el conector de identidad asociado al cluster de VM.
   • Key Ring: introduzca el nombre del key ring de GCP que se va a registrar.

     Para detectar todos los anillos de claves disponibles a través de un único conector de identidad, debe otorgar los siguientes permisos a ese conector de identidad. Estos permisos se deben asignar en el nivel de proyecto o carpeta adecuado para garantizar que el conector pueda acceder a todos los anillos de claves en el ámbito deseado.

     • cloudkms.keyRings.list

       Permite mostrar todos los llaveros dentro de un proyecto.

     • cloudkms.locations.get

       Permite recuperar metadatos para un anillo de claves específico.

5. Haga clic en Detectar para verificar si el anillo de claves existe en GCP.

   Si se realiza correctamente, se mostrarán los detalles del llavero.

   Nota
   
   

   Solo se pueden registrar llaveros, no llaves individuales. Todas las claves soportadas asociadas con un llavero registrado estarán disponibles, siempre que los permisos necesarios estén en su lugar.

6. Haga clic en Registrar.

Para activar la CMEK de GCP para el cluster de VM de Exadata, utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. En Oracle Exadata Database Service on Dedicated Infrastructure, haga clic en los clusters de máquina virtual de Exadata.
3. Seleccione el nombre del cluster de VM que desea configurar.
4. En la página Detalles de cluster de VM, desplácese a la sección Información de multinube y haga clic en Activar junto a CMEK de GCP.
5. Para desactivar la CMEK de GCP, haga clic en Desactivar.

En este temas se trata la creación de la primera base de Datos o las posteriores.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure
2. Seleccione su compartimento.
3. Navegue hasta el clúster de VM en la nube en la que desea crear la base de datos:

   Clusters en la red (nuevo modelo de recursos de infraestructura de Exadata Cloud): en Oracle Exadata Database Service on Dedicated Infrastructure, haga clic enClusters en la red de Exadata VM. En la lista de clusters de VM, busque el cluster de VM al que desea acceder y haga clic en el nombre resaltado para ver la página de detalles del cluster.

4. Haga clic en Crear base de datos.
5. En el cuadro de diálogo Crear base de datos, introduzca lo siguiente:
   Nota
   
   No puede modificar db_name, db_unique_name ni el prefijo SID después de crear la base de datos.
   • Nombre de base de datos: nombre de la base de datos. El nombre de base de datos debe cumplir los siguientes requisitos:
     • Máximo de 8 caracteres
     • Solo debe contener caracteres alfanuméricos
     • Debe comenzar con un carácter alfanumérico
     • No puede formar parte de los primeros 8 caracteres de un valor de DB_UNIQUE_NAME en el cluster de VM
     • NO debe utilizar los siguientes nombres reservados: grid, ASM
   • Sufijo de nombre único de la base de datos:

     Si lo desea, puede especificar un valor para el parámetro de base de datos DB_UNIQUE_NAME. El valor no es sensible a mayúsculas/minúsculas.

     El nombre único debe cumplir los siguientes requisitos:

     • Máximo 30 caracteres
     • Contener solo caracteres alfanuméricos o de subrayado (_)
     • Debe comenzar con un carácter alfanumérico
     • Único en todo el cluster de VM. Se recomienda que sea único en todo el arrendamiento.
     Si no se especifica, el sistema genera automáticamente un valor de nombre único de la siguiente manera:

     <db_name>_<3_chars_unique_string>_<region-name>

   • Versión de base de datos: versión de la base de datos. Puede combinar distintas versiones de bases de Datos en el cluster Exadata de VM.
   • Nombre de PDB: (opcional) Para Oracle Database 12c (12.1.0.2) y posteriores, puede especificar el nombre de la base de datos conectable. El nombre de la PDB debe empezar por un carácter alfabético y puede contener un máximo de ocho caracteres alfanuméricos. El único carácter especial permitido es el guion bajo (_).

     Para evitar posibles conflictos de nombre de servicio al utilizar Oracle Net Services para conectarse a la PDB, asegúrese de que el nombre de la PDB sea único en todo el cluster de VM. Si no proporciona el nombre de la primera PDB, se utilizará un nombre generado por el sistema.

   • Directorio raíz de base de datos: directorio raíz de Oracle Database para la base de datos. Seleccione la opción aplicable:
     • Seleccionar un directorio raíz de base de datos existente: el campo de nombre mostrado de directorio raíz de base de datos permite seleccionar el directorio raíz de base de datos entre los directorios raíz existentes para la versión de base de datos que ha especificado. Si no existe ningún directorio raíz de base de datos con esa versión, debe crear uno nuevo.
     • Crear un nuevo directorio raíz de base de dato: utilice esta opción para aprovisionar un nuevo directorio raíz de base de dato para la base de Datos peer de Data Guard.

       Haga clic en Cambiar imagen de base de Datos para utilizar la imagen publicada por Oracle o una imagen de software personalizada que haya creado con antelación y, a continuación, seleccione un Tipo de imagen:

       • Imágenes de software de base de datos proporcionadas por Oracle:

         Puede utilizar el conmutador Mostrar todas las versiones disponibles para elegir entre todas las PSU y las RU disponibles. La versión más reciente de cada versión principal se indica con la etiqueta más reciente.

         Nota
         
         Para las versiones principales de Oracle Database disponibles en Oracle Cloud Infrastructure, se proporcionan imágenes de la versión actual y de las tres versiones anteriores más recientes (de N a N - 3). Por ejemplo, si una instancia utiliza Oracle Database 19c y la versión más reciente de 19c ofrecida es la 19.8.0.0.0, las imágenes disponibles para el aprovisionamiento son de las versiones 19.8.0.0.0, 19.7.0.0, 19.6.0.0 y 19.5.0.0.
       • Imágenes de software de base de datos personalizadas: estas imágenes se crean en su organización y contienen configuraciones personalizadas de actualizaciones y parches de software. Utilice los selectores de Seleccionar un compartimento, Seleccionar una región y Seleccionar una versión de bases de datos para limitar la lista de imágenes del software de bases de datos personalizadas a un compartimento específico, una región o una versión principal de Oracle Database.

         El filtro de región toma por defecto la región conectada actualmente y muestra todas las imágenes de software creadas en esa región. Al seleccionar una región diferente, la lista de imágenes de software se refresca para mostrar las imágenes de software creadas en la región seleccionada.

   • Crear credenciales de administrador: (solo lectura) se creará un usuario administrador de la base de datos SYS con la contraseña que proporcione.
     • Nombre de usuario: SYS
     • Contraseña: proporcione la contraseña para este usuario. La contraseña debe cumplir los siguientes criterios:

       Contraseña segura para SYS, SYSTEM, la cartera de TDE y el administrador de la PDB. La contraseña debe tener entre 9 y 30 caracteres y contener al menos dos caracteres en mayúsculas, dos caracteres en minúsculas, dos caracteres numéricos y dos caracteres especiales. Los caracteres especiales deben ser _, # o -. La contraseña no debe contener el nombre de usuario (SYS, SYSTEM, etc.) ni la palabra "oracle" ya sea en orden hacia delante o inverso e independientemente de las mayúsculas o minúsculas.

     • Confirmar contraseña: vuelva a introducir la contraseña de SYS especificada.
     • El uso de una contraseña de cartera de TDE es opcional. Si utiliza claves del cifrado gestionadas por un cliente almacenadas en un almacén de su arrendamiento, la contraseña del cartera de TDE no se aplica a su cluster de VM. Utilice Mostrar opciones Avanzadas al final del recuadro de diálogo Crear Base de Datos para configurar las claves gestionadas por el cliente.

       Si utiliza claves gestionadas por el cliente o desea especificar una contraseña de cartera de TDE diferente, anule la selección de la casilla Usar la contraseña de administrador para la cartera de TDE. Si utiliza claves gestionadas por el cliente, deje los campos de contraseña de TDE en blanco. Para definir la contraseña de cartera de TDE manualmente, introduzca una contraseña en el campo Introducir contraseña de cartera de TDE y, a continuación, confírmela en el campo Confirmar contraseña de cartera de TDE.

   • Configurar copias de seguridad de base de datos: especifique la configuración para realizar una copia de Seguridad de la base de datos a Autonomous Recovery Service o Object Storage:

     • Activar copia de seguridad automática: marque la casilla de control para activar la copia de seguridad incremental automática para esta base de datos. Si va a crear una base de datos en un compartimento de zona de seguridad, debe activar copias de seguridad automáticas.
     • Destino de copia de seguridad: las opciones son Autonomous Recovery Service u Object Storage.
     • Programación de copias de seguridad:
       • Object Storage (L0):
         • Día de programación de copia de seguridad completa: seleccione un día de la semana para que comiencen la copia de seguridad L0 inicial y futura.
         • Tiempo de programación de copia de seguridad completa (UTC): especifique la ventana de tiempo en la que las copias de seguridad completas se inician cuando la capacidad de copia de seguridad automática esté seleccionada.

         • Realizar primera copia de seguridad inmediatamente: una copia de seguridad completa es una copia de seguridad del sistema operativo de todos los archivos de datos y el archivo de control que constituye una instancia de Oracle Database. Una copia de seguridad completa también debe incluir los ficheros de parámetro asociados a la base de datos. Puede realizar una copia de seguridad completa de las bases de datos cuando estas están cerradas o mientras la base está abierta. Normalmente, no debe realizar una copia de seguridad completa después de un fallo de instancia u otras circunstancias inusuales.

           Si decide diferir la primera copia de seguridad completa, puede que la base de datos no se pueda recuperar si se produce un fallo de la base de datos.

       • Object Storage (L1):
         • Hora de programación de copia de seguridad incremental (UTC): especifique la ventana de tiempo en la que las copias de seguridad incrementales se inician cuando la capacidad de copia de seguridad automática esté seleccionada.
       • Autonomous Recovery Service (L0):
         • Día programado para copias de seguridad iniciales: seleccione un día de la semana para la copia inicial.
         • Hora programada para copia del respaldo inicial (UTC): seleccione la ventana de tiempo para la copia del respaldo inicial.

         • Realizar primera copia de seguridad inmediatamente: una copia de seguridad completa es una copia de seguridad del sistema operativo de todos los archivos de datos y el archivo de control que constituye una instancia de Oracle Database. Una copia de seguridad completa también debe incluir los ficheros de parámetro asociados a la base de datos. Puede realizar una copia de seguridad completa de las bases de datos cuando esta está cerrada o mientras la base está abierta. Normalmente, no debe realizar una copia de seguridad completa después de un fallo de instancia u otras circunstancias inusuales.

           Si decide diferir la primera copia de seguridad completa, puede que la base de datos no se pueda recuperar si se produce un fallo de la base de datos.

       • Autonomous Recovery Service (L1):
         • Hora programada para la copia de seguridad diaria (UTC): especifique la ventana de tiempo cuando las copias de seguridad incrementales se inicien cuando la capacidad de copia de seguridad automática esté seleccionada.
     • Opciones de supresión después de la Terminación de la Base de Datos: las opciones que puede utilizar para conservar la copia de seguridad de base de Datos Protegida tras su terminación. Estas opciones también pueden ayudar a restaurar la base de datos a partir de copias de seguridad en caso de daño accidental o malicioso en la base de datos.
       • Retener copias de seguridad para el período especificado en la política de protección o el período de retención de copia de seguridad: seleccione esta opción si desea retener copias de seguridad de la base de datos durante todo el período definido en el período de retención de copia de seguridad de Object Storage o en la política de protección de Autonomous Recovery Service después de terminar la base de datos.
       • Retener copias de seguridad durante 72 horas y, a continuación, suprimir: seleccione esta opción para retener copias de seguridad durante un período de 72 horas después de terminar la base de datos.

     • Período de Retención de Copia de Seguridad/Política de Protección: si decide activar las copias en modo automático, puede seleccionar una política con uno de los siguientes periodos de conservación predefinidos o una política personalizada.

       Período de retención de copia de seguridad de almacenamiento de objetos: 7, 15, 30, 45, 60. Valor por defecto: 30 días. El sistema suprime automáticamente las copias de seguridad incrementales al final del período de retención seleccionado.

       Política de protección de Autonomous Recovery Service:

       • Bronce: 14 días
       • Plata: 35 días
       • Oro: 65 días
       • Platino: 95 días
       • Personalizado definido por usted
       • Valor predeterminado: Silver - 35 días
     • Activar protección de datos en tiempo real: la protección en tiempo real es la transferencia continua de cambios de redo de una base a datos protegida a Autonomous Recovery Service. Esto reduce la pérdida de datos y proporciona un objetivo de punto de recuperación (RPO) cercano a 0. Esta es una opción de costo adicional.
6. Haga clic en Mostrar opciones avanzadas para especificar opciones avanzadas para la base de datos:
   • Gestión:

     Prefijo de SID de Oracle: el número de instancia de Oracle Database se agrega automáticamente al prefijo de SID para crear el parámetro de base de datos INSTANCE_NAME. El parámetro INSTANCE_NAME también se conoce como SID. El SID es único en todo el cluster en la nube de VM. Si no se especifica, el prefijo de SID se define por Defecto en db_name.

     Nota
     
     La incorporación de un prefijo SID solo está disponible para las bases de datos de Oracle 12.1 y versiones posteriores.

     El prefijo SID debe cumplir los requisitos:

     • Máximo de 12 caracteres
     • Solo debe contener caracteres alfanuméricos. Sin embargo, puede utilizar el guion bajo (_), que es el único carácter especial que no está restringido por esta convención de nomenclatura.
     • Debe comenzar con un carácter alfanumérico
     • Único en el cluster de VM
     • NO debe utilizar los siguientes nombres reservados: grid, ASM
   • Juego de caracteres: juego de caracteres de la base de datos. El valor por defecto es AL32UTF8.
   • Juego de caracteres nacional: juego de caracteres nacional de la base de datos. El valor por defecto es AL16UTF16.
   • Cifrado:

     Si está creando una base de datos en un cluster Exadata Cloud Service VM, puede elegir utilizar el cifrado basado en claves de cifrado que gestione. Por defecto, la base de datos se configura mediante claves de cifrado gestionadas por Oracle.

     • Para configurar la base de datos con cifrado basado en claves de cifrado que gestione:
       Nota
       
       Si la gestión de claves de Azure o la clave de cifrado gestionada por el cliente de GCP están desactivadas en el nivel de cluster de VM, tendrá tres opciones de gestión de claves: Oracle Wallet, OCI Vault y Oracle Key Vault.
       • OCI Vault:
         1. Debe tener una clave de cifrado válida en el servicio Vault de Oracle Cloud Infrastructure. Consulte Permitir que los administradores de seguridad gestionen almacenes, claves y secretos.
            Nota
            
            Debe utilizar las claves de cifrado AES-256 para la base de datos.
         2. Seleccione un Almacén.
         3. Seleccione una Clave de cifrado maestra.
         4. Para especificar una versión de clave que no sea la versión más reciente de la clave seleccionada, seleccione Seleccionar la versión de la clave e introduzca el OCID de la clave que desea utilizar en el campo OCID de versión de clave.
            Nota
            
            La versión de clave solo se asignará a la base de datos de contenedores (CDB) y no a su base de datos de conexión (PDB). A la PDB se le asignará una nueva versión de clave generada automáticamente.
       • Oracle Key Vault: seleccione un compartimento y un almacén de claves del compartimento seleccionado.
     • Para crear una base de datos mediante el almacén de claves de Azure como gestión de claves:
       Nota
       
       Si la gestión de claves de Azure está activada en el nivel de cluster de VM, tendrá dos opciones de gestión de claves: Oracle Wallet y Azure Key Vault.
       1. Seleccione el tipo Gestión de claves como Azure Key Vault.
       2. Seleccione el almacén disponible en el compartimento.
          Nota
          
          La lista Almacén rellena solo los almacenes registrados. Haga clic en el enlace Registrar nuevos almacenes para registrar el almacén. En la página Registrar almacenes de claves de Azure, seleccione el almacén y, a continuación, haga clic en Registrar.
          Nota
          
          Se debe registrar al menos una clave en los almacenes.
       3. Seleccione la clave disponible en el compartimento.
     • Para crear una base de datos mediante la clave de cifrado gestionada por el cliente de GCP como gestión de claves:
       Nota
       
       Si la clave de cifrado gestionada por el cliente GCP está activada, tendrá dos opciones de gestión de claves: Oracle Wallet y Clave de cifrado gestionada por el cliente GCP.
       1. Seleccione Clave de cifrado gestionada por el cliente de GCP como opción de gestión de claves.
       2. Seleccione el llavero disponible en su compartimento.
          Nota
          
          

          Solo se muestran los llaveros registrados.

          Si el llavero deseado no está visible, es posible que aún no se haya registrado. Haga clic en Registrar anillos clave para detectarlos y registrarlos.

          Para obtener instrucciones detalladas, consulte Registro de Key Ring de GCP en Oracle Cloud Infrastructure (OCI).

       3. Seleccione la clave de cifrado en el compartimento y el anillo de claves seleccionados.
   • Etiquetas: si tiene permisos para crear un recurso, también tiene permisos para aplicar etiquetas de formato libre a dicho recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si deben aplicar etiquetas, omita esta opción (puede aplicar las etiquetas posteriormente) o pregunte al administrador.
7. Haga clic en Crear base de datos.

Una vez completada la creación de la base de datos, el estado cambia de Aprovisionando a Disponible y, en la página de detalles de la nueva base de datos, la sección Cifrado muestra el nombre y el OCID de la clave de cifrado.

Para cambiar las claves de cifrado entre diferentes métodos de cifrado, utilice este procedimiento.

1. Navegue a la página de detalles de la base de datos en la consola de OCI.
2. En la sección Cifrado, verifique que Gestión de claves esté definido en Oracle Wallet y, a continuación, haga clic en el enlace Cambiar.
3. Introduzca la siguiente información en la página Cambiar gestión de claves.
   1. Seleccione la gestión de claves como Clave de cifrado gestionada por el cliente de GCP en la lista desplegable.
   2. Seleccione el compartimento que está utilizando y, a continuación, elija el llavero disponible en ese compartimento.
   3. A continuación, seleccione el compartimento Key que está utilizando y, a continuación, seleccione la clave que desee en la lista desplegable.
   4. Haga clic en Guardar cambios.

Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos de contenedores (CDB), utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. Seleccione su compartimento.

   Se mostrará una lista de clusters de VM para el compartimento seleccionado.

3. En la lista de clústeres de VM, haga clic en el nombre del clúster de VM que contiene la base de datos cuya versión desea rotar las claves de cifrado.
4. Haga clic en Bases de datos.
5. Haga clic en el nombre de la base que desea rotar las claves de cifrado.

   La página Detalles de Base de Datos muestra información sobre la base datos seleccionada.

6. En la sección Cifrado, verifique que Gestión de claves esté definido en Clave de cifrado gestionada por el cliente de GCP y, a continuación, haga clic en el enlace Rotar.
7. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.

Para rotar la clave de cifrado gestionada por el cliente de GCP de una base de datos de conexión (PDB), utilice este procedimiento.

1. Abra el menú de navegación. Haga clic en Oracle Database y, a continuación, en Oracle Exadata Database Service on Dedicated Infrastructure.
2. Seleccione su compartimento.

   Se mostrará una lista de clusters de VM para el compartimento seleccionado.

3. En la lista de clusters de VM, haga clic en el nombre del cluster de VM que contiene la PDB que desea iniciar y, a continuación, haga clic en su nombre para mostrar la página de detalles.
4. En Bases de datos, busque la base de datos que contiene la PDB para la que desea rotar las claves de cifrado.
5. Haga clic en el nombre de la base de datos para ver la página Detalles de base de datos.
6. Haga clic en Bases de datos conectables en la sección Recursos de la página.

   Aparecerá una lista de las PDB existentes en esta base de datos.

7. Haga clic en el nombre de la PDB que desea rotar las claves de cifrado.

   Aparecerá la página de detalles de conexión.

8. En la sección Cifrado, se muestra que la gestión de claves está definida como clave de cifrado gestionada por el cliente de GCP.
9. Haga clic en el enlace Rotar.
10. En el cuadro de diálogo Rotar clave resultante, haga clic en Rotar para confirmar la acción.