Documentation sur Oracle Cloud Infrastructure

Intégration de Google Cloud Key Management pour le service Exadata Database sur Oracle Database@Google Cloud

Le service Exadata Database sur Oracle Database@Google Cloud prend désormais en charge l'intégration au service de gestion des clés (KMS) de la plate-forme Google Cloud.

Cette amélioration permet aux utilisateurs de gérer les clés de chiffrement principales (MEK) TDE à l'aide des clés de chiffrement gérées par le client (CMEK) GCP.

Auparavant, les clés de chiffrement principales TDE (Transparent Data Encryption) ne pouvaient être stockées que dans Oracle Wallet, Oracle Cloud Infrastructure (OCI) Vault ou Oracle Key Vault (OKV) basés sur des fichiers. Grâce à cette mise à jour, les utilisateurs peuvent désormais stocker et gérer les clés MEK directement dans GCP KMS, ce qui améliore le contrôle du cycle de vie des clés et l'alignement avec les politiques de sécurité propres à l'organisation.

Cette intégration permet aux applications, aux services Google Cloud et aux bases de données de bénéficier d'une solution de gestion des clés centralisée qui offre une sécurité améliorée et une gestion simplifiée du cycle de vie des clés.

Rubrique parent : Guides pratiques

Préalables

Avant de configurer les clés de chiffrement gérées par le client (CMEK) GCP en tant que service de gestion des clés pour vos bases de données, assurez-vous que les préalables suivants sont satisfaits.

  1. Provisionner une grappe de machines virtuelles Exadata au moyen de la console Google Cloud. Voir Provisionnement d'une grappe de machines virtuelles Exadata pour Google Cloud pour obtenir des instructions étape par étape.
  2. Vérifiez la connexion au connecteur d'identité pour vous assurer qu'elle est correctement configurée et active. Pour plus d'informations, voir Vérifier le connecteur d'identité par défaut attaché à la grappe de machines virtuelles.
  3. Préalables à la configuration des clés de chiffrement gérées par le client (CMEK) GCP au niveau de la grappe de machines virtuelles Exadata.

    Pour activer les clés de chiffrement gérées par le client (CMEK) de la plate-forme Google Cloud (GCP) pour les bases de données déployées avec le service Exadata Database sur Oracle Database@Google Cloud, vous devez configurer CMEK comme option de gestion des clés au niveau de la grappe de machines virtuelles. Une fois CMEK activé, toutes les opérations de chiffrement et de déchiffrement de base de données utiliseront la clé gérée par GCP spécifiée.

    Avant d'activer CMEK, assurez-vous que :
    • Les bagues de clés GCP et les clés de chiffrement requises sont déjà créées dans GCP.
    • Ces clés sont mises en miroir en tant que ressources d'ancrage dans Oracle Cloud Infrastructure (OCI), ce qui assure la synchronisation entre GCP et OCI.
    • Les ressources d'ancrage sont en place pour le provisionnement de base de données et pour la gestion du cycle de vie des clés de chiffrement, y compris la rotation des clés, la révocation et la vérification.
  4. Exigences de la politique IAM pour l'accès aux ressources clés GCP.

    La base de données utilise le principal de ressource de grappe pour extraire en toute sécurité les ressources de clé GCP. Pour activer cette fonctionnalité, vous devez définir les politiques IAM appropriées dans votre emplacement OCI.

    Accès en lecture seule aux clés Oracle GCP :
    Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster',}

    Cette politique accorde un accès en lecture seule aux ressources de clé GCP pour le principal de ressource de grappe de machines virtuelles.

Utilisation de la console pour gérer l'intégration GCP KMS pour le service Exadata Database sur Oracle Database@Google Cloud

Voyez comment gérer l'intégration GCP KMS pour le service Exadata Database sur Oracle Database@Google Cloud.

Rubrique parent : Intégration de Google Cloud Key Management pour le service Exadata Database sur Oracle Database@Google Cloud

Pour créer votre grappe de machines virtuelles ASM, soyez prêt à fournir des valeurs pour les champs nécessaires à la configuration de l'infrastructure.

Note

Pour créer une grappe de machines virtuelles en nuage dans une instance Exadata Cloud Infrastructure, vous devez avoir créé une ressource d'infrastructure Exadata en nuage.

Note

Une infrastructure acceptant plusieurs machines virtuelles prendra en charge la création de plusieurs grappes de machines virtuelles. Les infrastructures créées avant la mise en disponibilité de la fonction Créer et gérer des machines virtuelles multiples par système Exadata (MultiVM) et sous-ensemble de noeuds de grappe de machines virtuelles prennent uniquement en charge la création d'une seule grappe de machines virtuelles en nuage.

Note

Lorsque vous provisionnez une grappe de machines virtuelles Exadata dans le service Exadata Database sur Oracle Database@Google Cloud, un connecteur d'identité est automatiquement créé et associé à la grappe de machines virtuelles.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
    Note

    Plusieurs grappes de machines virtuelles ne peuvent être créées que dans une infrastructure acceptant plusieurs machines virtuelles.

  3. Cliquez sur Créer une grappe de machines virtuelles Exadata.

    La page Créer une grappe de machines virtuelles Exadata s'affiche. Entrez les informations requises pour configurer la grappe de machines virtuelles.

  4. Compartiment : Sélectionnez un compartiment pour la ressource de grappe de machines virtuelles.
  5. Nom d'affichage : Entrez un nom d'affichage convivial pour la grappe de machines virtuelles. Le nom ne doit pas nécessairement être unique. Un identificateur Oracle Cloud (OCID) permet d'identifier de manière unique la grappe de machines virtuelles. Évitez d'entrer des informations confidentielles.
  6. Sélectionner l'infrastructure Exadata : Sélectionnez la ressource d'infrastructure qui contiendra la grappe de machines virtuelles. Vous devez choisir une ressource d'infrastructure disposant de suffisamment de ressources pour créer une nouvelle grappe de machines virtuelles. Cliquez sur Modifier le compartiment et, pour consulter les ressources d'infrastructure d'autres compartiments, choisissez un compartiment différent de celui dans lequel vous travaillez.
    Note

    Plusieurs grappes de machines virtuelles ne peuvent être créées que dans une infrastructure acceptant plusieurs machines virtuelles.

  7. Type de grappe de MV :
    Note

    Vous ne pouvez pas modifier le type de grappe de machines virtuelles après avoir déployé la grappe. Si vous souhaitez modifier le type de grappe de machines virtuelles, vous devez créer une nouvelle grappe de machines virtuelles et migrer la base de données vers la nouvelle grappe.

    • Base de données Exadata : MV de base de données standard sans restrictions, adaptée à toutes les charges de travail.
    • Exadata Database-Developer : Machine virtuelle de base de données pour développeur avec des restrictions, adaptée uniquement au développement d'applications.
  8. Configurer la grappe de machines virtuelles : Spécifiez les serveurs de base de données à utiliser pour la nouvelle grappe de machines virtuelles (par défaut, tous les serveurs de base de données sont sélectionnés). Cliquez sur Sélectionner des serveurs de base de données pour effectuer une sélection parmi les serveurs de base de données disponibles, puis cliquez sur Enregistrer.

    Type de grappe de MV - Base de données Exadata : Sélectionnez au moins un serveur de base de données pour le positionnement des machines virtuelles. Si vous avez besoin d'un service de base de données à haute disponibilité qui reste disponible pendant la maintenance et les interruptions non planifiées, sélectionnez au moins deux serveurs de base de données. Le nombre maximal de ressources disponibles pour l'affectation par machine virtuelle est basé sur le nombre de serveurs de base de données sélectionnés.

    Type de grappe de MV - Exadata Database-Developer : Sélectionnez un serveur de base de données pour le positionnement des machines virtuelles. Un seul serveur de base de données peut être sélectionné.

    Dans le volet Affectation de ressources par MV :

    • Indiquez le nombre d'OCPU/ECPU que vous souhaitez affecter à chacun des noeuds de calcul de machine virtuelle de la grappe. Pour les grappes de machines virtuelles créées sur l'infrastructure Exadata X11M, spécifiez des ECPU. Pour les grappes de machines virtuelles créées sur X10M et une infrastructure Exadata antérieure, spécifiez des OCPU. Le minimum est de 2 OCPU par machine virtuelle pour l'infrastructure X10M et les infrastructures antérieures ou de 8 ECPU par machine virtuelle pour les grappes de machines virtuelles créées sur l'infrastructure Exadata X11M. Le champ en lecture seule Nombre d'OCPU demandées pour la grappe de machines virtuelles Exadata affiche le nombre total d'OCPU ou d'ECPU que vous affectez.
    • Indiquez la mémoire à affecter à chaque machine virtuelle dans Mémoire par MV. La valeur minimale est de 30 Go par machine virtuelle.
    • Indiquez le stockage local à affecter à chaque machine virtuelle dans Stockage local réservé par MV. La valeur minimale est de 60 Go par machine virtuelle.

      Chaque fois que vous créez une nouvelle grappe de MV, l'espace restant de l'espace disponible total est utilisé pour la nouvelle grappe.

      En plus de /u02, vous pouvez spécifier la taille de systèmes de fichiers locaux supplémentaires.

      Pour plus d'informations et d'instructions pour spécifier la taille de chaque VM, voir Présentation des opérations d'augmentation/de réduction.

      • Cliquez sur Afficher les options de configuration de systèmes de fichiers locaux supplémentaires.
      • Spécifiez la taille des systèmes de fichiers /, /u01, /tmp, /var, /var/log, /var/log/audit et /home selon les besoins.
        Note

        • Vous ne pouvez développer ces systèmes de fichiers qu'une fois la taille étendue.
        • En raison des partitions de sauvegarde et de la mise en miroir, les systèmes de fichiers / et /var consomment deux fois l'espace qui leur a été affecté, ce qui est indiqué dans les champs en lecture seule Stockage total affecté pour / (Go) en raison de la mise en miroir et Stockage total affecté pour /tmp (Go) en raison de la mise en miroir.
      • Après avoir créé la grappe de machines virtuelles, vérifiez la section Ressources Exadata de la page Détails de l'infrastructure Exadata pour vérifier la taille de fichier affectée au stockage local (/u02) et au stockage local (systèmes de fichiers supplémentaires).
  9. Stockage Exadata :
    • Spécifier le stockage Exadata utilisable (To). Spécifiez le stockage en multiples de 1 To. Minimum : 2 To
    • Affecter le stockage pour les instantanés Exadata dispersés : Sélectionnez cette option de configuration si vous avez l'intention d'utiliser la fonctionnalité d'instantané dans votre grappe de machines virtuelles. Si vous sélectionnez cette option, le groupe de disques SPARSE est créé, ce qui vous permet d'utiliser la fonctionnalité d'instantané de grappe de machines virtuelles pour le clonage dispersé de la base de données enfichable. Si vous ne sélectionnez pas cette option, le groupe de disques SPARSE ne sera pas créé et la fonctionnalité d'instantané ne sera pas disponible dans les déploiements de base de données créés dans l'environnement.
      Note

      L'option de configuration du stockage pour les instantanés dispersés ne peut pas être modifiée après la création de la grappe de machines virtuelles.

    • Affecter le stockage pour les sauvegardes locales : Sélectionnez cette option si vous prévoyez d'effectuer des sauvegardes de base de données vers le stockage Exadata local dans votre instance Exadata Cloud Infrastructure. Si vous sélectionnez cette option, l'espace affecté au groupe de disques RECO est augmenté pour les sauvegardes locales dans le stockage Exadata. Si vous ne sélectionnez pas cette option, l'espace affecté au groupe de disques DATA est augmenté, ce qui vous permet de stocker plus d'informations dans vos bases de données.
      Note

      L'option de configuration du stockage pour les sauvegardes locales ne peut pas être modifiée après la création de la grappe de machines virtuelles.

  10. Version :
    • Version d'Oracle Grid Infrastructure : Dans la liste, choisissez la version d'Oracle Grid Infrastructure (19c et 26ai) à installer sur la grappe de MV.

      La version Oracle Grid Infrastructure détermine les versions Oracle Database prises en charge par la grappe de MV. Vous ne pouvez pas exécuter une version Oracle Database ultérieure à la version du logiciel Oracle Grid Infrastructure.

      Note

      Exigences minimales pour le provisionnement d'une grappe de machines virtuelles avec Grid Infrastructure 26ai :

      • MV invitée Exadata exécutant le logiciel du système Exadata 23.1.8
      • Infrastructure Exadata exécutant le logiciel du système Exadata 23.1.x
    • Version d'invité Exadata :
      • Infrastructure Exadata avec Oracle Linux 7 et image Exadata version 22.1.10.0.0.230422 :
        • Le bouton Modifier l'image n'est pas activé.
        • La version d'Oracle Grid Infrastructure prend par défaut la valeur 19.0.0.0.0.
        • La version de l'invité Exadata sera la même que celle du système d'exploitation hôte.
      • Infrastructure Exadata avec Oracle Linux 8 et image Exadata version 23.1.3.0.0.230613 :
        • La version d'invité Exadata est par défaut la plus récente (23.1.3.0).
        • La version d'Oracle Grid Infrastructure prend par défaut la valeur 19.0.0.0.0
        • Le bouton Modifier l'image est activé.
        • Cliquez sur Modifier l'image.

          Le panneau Modifier l'image qui en résulte affiche la liste des versions principales disponibles de l'image Exadata (23.1.3.0 et 22.1.3.0).

          La version la plus récente de chaque version majeure est indiquée par "(dernière)".

        • Diapositive Afficher toutes les versions disponibles.

          Six versions antérieures, y compris les dernières versions des images Exadata 23.1.3.0 et 22.1.3.0, s'affichent.

        • Sélectionner une version.
        • Cliquez sur Enregistrer les modifications.
  11. Clés SSH : Ajoutez la partie clé publique de chaque paire de clés que vous voulez utiliser pour l'accès SSH à la grappe de machines virtuelles :
    • Générer une paire de clés SSH (Option par défaut) Sélectionnez ce bouton radio pour générer une paire de clés SSH. Puis, dans la boîte de dialogue ci-dessous, cliquez sur Enregistrer la clé privée pour télécharger la clé et, éventuellement, cliquez sur Enregistrer la clé publique pour télécharger la clé.
    • Télécharger les fichiers de clé SSH : Sélectionnez ce bouton radio pour rechercher ou déposer des fichiers .pub.
    • Coller les clés SSH : Sélectionnez ce bouton radio pour coller des clés publiques individuelles. Pour coller plusieurs clés, cliquez sur + une autre clé SSH et indiquez une seule clé pour chaque entrée.
  12. Paramètres réseau : Spécifiez ce qui suit :
    Note

    Les adresses IP (100.64.0.0/10) sont utilisées pour l'interconnexion X8M Exadata Cloud Infrastructure

    .

    Vous n'avez pas la possibilité de choisir entre IPv4 (pile unique) et IPv4/IPv6 (pile double) si les deux configurations existent. Pour plus d'informations, voir VCN et gestion de sous-réseau.

    • Réseau en nuage virtuel : VCN dans lequel créer la grappe de machines virtuelles. Cliquez sur Changer de compartiment pour sélectionner un réseau en nuage virtuel dans un autre compartiment.
    • Sous-réseau client : Sous-réseau auquel la grappe de machines virtuelles doit être attachée. Cliquez sur Changer de compartiment pour sélectionner un sous-réseau dans un autre compartiment.

      Ne pas utiliser de sous-réseau chevauchant 192.168.16.16/28, car il est utilisé par l'interconnexion privée Oracle Clusterware sur l'instance de base de données. La spécification d'un sous-réseau qui se chevauche entraîne un dysfonctionnement de l'interconnexion privée.

    • Sous-réseau de sauvegarde : Sous-réseau à utiliser pour le réseau de sauvegarde, qui est normalement utilisé pour transporter des informations de sauvegarde vers et depuis la destination de sauvegarde, et pour la réplication Data Guard. Cliquez sur Changer de compartiment pour sélectionner un sous-réseau dans un autre compartiment, le cas échéant.

      N'utilisez pas un sous-réseau qui chevauche 192.168.128.0/20. Cette restriction s'applique au sous-réseau client et à celui de sauvegarde.

      Si vous planifiez de sauvegarder des bases de données dans le service de stockage d'objets ou de récupération autonome, voir les préalables relatifs au réseau dans Gestion des sauvegardes de base de données Exadata.

      Note

      Si le service de récupération autonome est utilisé, un nouveau sous-réseau dédié est fortement recommandé. Examiner les exigences et configurations réseau requises pour sauvegarder vos bases de données Oracle Cloud dans le service de récupération. Voir Configuration des ressources de réseau pour le service de récupération.

    • Groupes de sécurité de réseau : Vous pouvez spécifier un ou plusieurs groupes de sécurité de réseau pour les réseaux client et de sauvegarde. Les groupes de sécurité de réseau fonctionnent comme pare-feux virtuels, ce qui vous permet d'appliquer un jeu de règles de sécurité de trafic entrant et sortant à votre grappe de machines virtuelles Exadata Cloud Infrastructure. Vous pouvez spécifier jusqu'à cinq groupes de sécurité de réseau. Pour plus d'informations, voir Groupes de sécurité de réseau et Configuration du réseau pour les instances Exadata Cloud Infrastructure.

      Si vous sélectionnez un sous-réseau doté d'une liste de sécurité, les règles de sécurité appliquées à la grappe de machines virtuelles combinent celles de la liste de sécurité et celles des groupes de sécurité de réseau.

      Pour utiliser des groupes de sécurité de réseau :

      • Cochez la case Utiliser les groupes de sécurité de réseau pour contrôler le trafic. Cette case apparaît sous le sélecteur du sous-réseau client et du sous-réseau de sauvegarde. Vous pouvez appliquer des groupes de sécurité de réseau au réseau client ou au réseau de sauvegarde, ou aux deux. Note : Vous devez sélectionner un réseau en nuage virtuel pour pouvoir affecter des groupes de sécurité de réseau à un réseau.
      • Spécifiez le groupe de sécurité de réseau à utiliser avec le réseau. Il peut être nécessaire d'utiliser plus d'un groupe de sécurité de réseau. En cas de doute, communiquez avec l'administrateur de réseau.
      • Pour utiliser des groupes de sécurité de réseau supplémentaires avec le réseau, cliquez sur + Autre groupe de sécurité de réseau.
      Note

      Pour renforcer la sécurité de vos ressources de grappe de machines virtuelles en nuage, vous pouvez utiliser Oracle Cloud Infrastructure Zero Trust Packet Routing afin de vous assurer que seules les ressources identifiées avec des attributs de sécurité disposent des autorisations réseau pour accéder à vos ressources. Oracle fournit des modèles de politique de base de données que vous pouvez utiliser pour vous aider à créer des politiques pour les cas d'utilisation courants en matière de sécurité de base de données. Pour le configurer maintenant, vous devez déjà avoir créé des attributs de sécurité avec Oracle Cloud Infrastructure Zero Trust Packet Routing. Cliquez sur Afficher les options avancées à la fin de cette procédure.

      Notez que lorsque vous fournissez des attributs de sécurité pour une grappe, dès qu'elle est appliquée, toutes les ressources nécessitent une politique de trousseau de confiance zéro pour accéder à la grappe. S'il y a un attribut de sécurité sur un point d'extrémité, il doit satisfaire à la fois aux règles de groupe de sécurité de réseau et de politique OCI ZPR (Oracle Cloud Infrastructure Zero Trust Packet Routing).

    • Pour utiliser un service DNS privé
      Note

      Un DNS privé doit être configuré pour pouvoir être sélectionné. Voir Configurer un DNS privé

      • Cochez la case Utiliser un service DNS privé.
      • Sélectionnez une vue privée. Cliquez sur Changer de compartiment pour sélectionner une vue privée dans un autre compartiment.
      • Sélectionnez une zone privée. Cliquez sur Changer de compartiment pour sélectionner une zone privée dans un autre compartiment.
    • Préfixe du nom d'hôte : Votre choix de nom d'hôte pour la grappe de machines virtuelles Exadata. Le nom d'hôte doit commencer par un caractère alphabétique et ne peut contenir que des caractères alphanumériques et des tirets (-). Le nombre maximal de caractères autorisé pour une grappe de machines virtuelles Exadata est de 12.

      Attention :

      Le nom d'hôte doit être unique dans le sous-réseau. Si elle n'est pas unique, le provisionnement de la grappe de MV échoue.

    • Nom du domaine hôte : Nom du domaine de la grappe de machines virtuelles. Si le sous-réseau sélectionné utilise le résolveur Internet et de réseau en nuage virtuel fourni par Oracle pour la résolution des nom DNS, ce champ affiche le nom de domaine du sous-réseau et ne peut pas être modifié. Sinon, vous pouvez choisir le nom de domaine. Les tirets (-) ne sont pas autorisés.

      Si vous prévoyez de stocker les sauvegardes de base de données dans le service de stockage d'objets ou de récupération autonome, Oracle vous recommande d'utiliser un réseau VCN pour la résolution du nom DNS pour le sous-réseau client, car il résout automatiquement les points d'extrémité Swift utilisés pour les sauvegardes.

    • URL de l'hôte et du domaine : Ce champ en lecture seule combine les noms d'hôte et de domaine pour afficher le nom de domaine complet de la base de données. La longueur maximale est de 63 caractères.
  13. Sélectionner un type de licence : Type de licence à utiliser pour la grappe de machines virtuelles. Votre choix a une incidence sur la facturation à l'usage.
    • Licence incluse signifie que le coût du service en nuage inclut une licence pour le service Base de données.
    • Utiliser sa propre licence (BYOL) signifie que vous êtes un client Oracle Database avec un contrat de licence illimité ou non, et que vous souhaitez utiliser votre licence avec Oracle Cloud Infrastructure. Il n'est pas nécessaire de séparer les licences sur place et les licences en nuage.
  14. Collecte de diagnostics : En activant la collecte et les avis de diagnostics, l'équipe des opérations d'Oracle Cloud et vous pourrez identifier, étudier, suivre et résoudre les problèmes liés aux MV invitées rapidement et efficacement. Abonnez-vous à des événements pour être avisé des modifications d'état de ressource.
    Note

    Vous choisissez l'option d'inclusion en acceptant que la liste d'événements (ou de mesures, de fichiers journaux) ci-dessus puisse changer à l'avenir. Vous pouvez désactiver cette fonction à tout moment

    .
    • Activer les événements de diagnostic : Autorisez Oracle à collecter et publier des événements critiques, d'avertissement, d'erreur et d'information à votre intention.
    • Activer la surveillance de l'état : Autorisez Oracle à collecter des mesures/événements d'état, tels que l'activité/inactivité d'Oracle Database, l'utilisation de l'espace disque, etc., et à les partager avec l'équipe des opérations d'Oracle Cloud. Vous serez également avisé de certains événements.
    • Activer les journaux d'incidents et la collecte de trace : Autorisez Oracle à collecter des journaux et des traces d'incident pour permettre le diagnostic des anomalies et la résolution des problèmes.
    Note

    Vous choisissez l'option d'inclusion en acceptant que la liste d'événements (ou de mesures, de fichiers journaux) ci-dessus puisse changer à l'avenir. Vous pouvez désactiver cette fonction à tout moment.

    Les trois cases sont cochées par défaut. Vous pouvez laisser les paramètres par défaut tels quels ou désélectionner les cases si nécessaire. Vous pouvez voir les paramètres de collecte des diagnostics dans la page Détails de la grappe de MV sous Informations générales >> Collecte de diagnostics.
    • Activé : Lorsque vous choisissez de collecter des diagnostics, des mesures d'état, des journaux d'incidents et des fichiers de suivi (les trois options).
    • Désactivé : Lorsque vous choisissez de ne pas collecter les diagnostics, les mesures d'état, les journaux d'incidents et les fichiers de suivi (les trois options).
    • Partiellement activé : Lorsque vous choisissez de collecter des diagnostics, des mesures d'état, des journaux d'incidents et des fichiers de suivi (une ou deux options).
  15. Cliquez sur Afficher les options avancées pour spécifier des options avancées pour la grappe de machines virtuelles :

    • Fuseau horaire : Cette option se trouve dans l'onglet Gestion. Le fuseau horaire par défaut pour la grappe de machines virtuelles est UTC, mais vous pouvez en spécifier un autre. Les options de fuseau horaire sont celles prises en charge dans la classe Java.util. TimeZone et le système d'exploitation Oracle Linux.

      Note

      Si vous voulez définir un fuseau horaire autre qu'UTC ou que celui détecté par le navigateur, et si vous ne voyez pas le fuseau horaire souhaité, tentez de sélectionner l'option Sélectionner un autre fuseau horaire, puis "Divers" dans la liste Région ou pays et de rechercher les sélections Fuseau horaire supplémentaires.

    • Port du module d'écoute SCAN : Cette option se trouve dans l'onglet Réseau. Vous pouvez affecter un port de module d'écoute SCAN (TCP/IP) compris entre 1024 et 8999. La valeur par défaut est 1521.
      Note

      La modification manuelle du port du module d'écoute SCAN d'une grappe de machines virtuelles après le provisionnement à l'aide du logiciel dorsal n'est pas prise en charge. Cette modification peut entraîner l'échec du provisionnement de Data Guard.
    • Zero Trust Packet Routing (ZPR) : Cette option se trouve dans l'onglet Attributs de sécurité. Sélectionnez un espace de noms et indiquez la clé et la valeur de l'attribut de sécurité. Pour terminer cette étape lors de la configuration, vous devez déjà avoir configuré des attributs de sécurité avec Oracle Cloud Infrastructure Zero Trust Packet Routing. Vous pouvez également ajouter des attributs de sécurité après la configuration et les ajouter ultérieurement. For more information about adding Oracle Exadata Database Service on Dedicated Infrastructure specific policies, see Policy Template Builder.
    • Mise à jour de l'automatisation du nuage : Oracle applique périodiquement des mises à jour aux outils de base de données et au logiciel d'agent nécessaires pour les outils et l'automatisation du nuage. Vous pouvez configurer la fenêtre de votre choix pour que ces mises à jour soient appliquées à votre grappe de machines virtuelles.

      Définir l'heure de début des mises à jour de l'automatisation du nuage.

      Note

      Oracle vérifiera chaque jour les dernières mises à jour de VM Cloud Automation entre la fenêtre de temps configurée et appliquera les mises à jour le cas échéant. Si l'automatisation ne peut pas commencer à appliquer les mises à jour dans la fenêtre de temps configurée en raison d'un processus sous-jacent de longue durée, Oracle vérifie automatiquement le jour suivant pendant la fenêtre de temps configurée pour commencer à appliquer les mises à jour de l'automatisation en nuage à la grappe de machines virtuelles.

      Activer l'accès anticipé pour la mise à jour des outils en nuage : Les grappes de machines virtuelles désignées pour l'accès anticipé reçoivent des mises à jour 1 à 2 semaines avant qu'elles ne soient disponibles pour d'autres systèmes. Cochez cette case pour une adoption anticipée de cette grappe de machines virtuelles.

      Période de gel des mises à jour de l'automatisation du nuage : Oracle applique périodiquement des mises à jour aux outils de base de données et au logiciel d'agent nécessaires aux outils et à l'automatisation du nuage. Activez une période de gel pour définir une fenêtre de temps pendant laquelle l'automatisation d'Oracle n'appliquera pas les mises à jour en nuage.

      Déplacez le curseur pour définir la période de gel.

      Note

      • La période de gel peut être prolongée d'un maximum de 45 jours à compter de la date de début.
      • L'automatisation Oracle applique automatiquement les mises à jour avec les correctifs de sécurité critiques (CVSS >= 9) même pendant une période de gel configurée.
    • Marqueurs : Si vous êtes autorisé à créer une ressource, vous disposez également des autorisations nécessaires pour appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  16. Cliquez sur Créer.

ET ENSUITE?

Une fois la grappe de machines virtuelles créée, elle est à l'état Disponible.
  • Vous pouvez consulter la page Détails de la grappe de MV en cliquant sur son nom dans la liste des grappes. Dans la page Détails de la grappe de MV, créez votre première base de données dans la grappe en cliquant sur Créer une base de données
  • Les champs Adresse IP SCAN (IPv4) et Adresse IP SCAN (IPv6) de la section Réseau de la page Détails de la grappe de MV affichent les détails de l'adresse IP de la pile double.
  • Le champ Mise à jour de l'automatisation du nuage de la section Version de la page Détails de la grappe de MV affiche la période de gel que vous avez définie.

Pour voir les détails d'un connecteur d'identité attaché à une grappe de machines virtuelles, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Cliquez sur le nom de la grappe de machines virtuelles de votre choix.
  4. Dans la page Détails de la grappe de MV obtenue, dans la section Informations sur plusieurs nuages, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité attaché à cette grappe de MV.
  5. Cliquez sur le nom du connecteur d'identité pour en voir les détails.

    Vous allez être redirigé vers le portail Intégrations multinuages de base de données.

Pour créer un porte-clés, utilisez cette procédure.

  1. Ouvrez la console Google Cloud, naviguez jusqu'à la page Gestion des clés.
  2. Cliquez sur Créer un porte-clés.
  3. Fournissez les détails suivants :
    • Nom : Entrez un nom descriptif pour le sonnerie.
    • Emplacement : Sélectionnez un emplacement pour votre sonnerie.

      Important :

      • Des porte-clés du même nom peuvent exister à différents endroits, vous devez donc toujours spécifier l'emplacement.
      • Choisissez un emplacement proche des ressources que vous souhaitez protéger.
      • Pour les clés de chiffrement gérées par le client, assurez-vous que le cycle de clés se trouve au même emplacement que les ressources qui l'utiliseront.

      Choisir un emplacement pour votre porte-clés :

      Lors de la création d'un porte-clés dans Google Cloud Key Management Service (KMS), il est essentiel de sélectionner le bon emplacement. Votre choix affecte l'endroit où vos clés cryptographiques sont stockées et la façon dont elles sont répliquées. Pour plus d'informations, voir Emplacements du service de gestion des clés pour le nuage.

      • Région :
        • Les données sont stockées dans une région géographique spécifique.
        • Les clés restent dans les limites de cette seule région.
        • Idéal pour :
          • Applications à faible latence
          • Conformité aux exigences en matière de résidence des données
          • Charges de travail spécifiques à une région
      • Régions multiples :
        • Les données sont répliquées dans plusieurs régions d'une zone géographique plus grande.
        • Google gère automatiquement la distribution et la réplication.
        • Vous ne pouvez pas sélectionner des centres de données ou des régions individuels.
        • Idéal pour :
          • Haute disponibilité
          • Applications résilientes et tolérantes aux pannes
          • Services desservant une vaste région
      • Globale :
        • Un type particulier de multi-régions.
        • Les clés sont distribuées dans les centres de données Google dans le monde entier.
        • La sélection et le contrôle d'emplacement ne sont pas disponibles.
        • Idéal pour :
          • Applications avec des utilisateurs mondiaux
          • Cas d'utilisation nécessitant une redondance et une portée maximales
  4. Cliquez sur Créer.

Une fois le porte-clés créé, vous pouvez commencer à créer et à gérer des clés de chiffrement à l'intérieur de celui-ci.

Pour créer une clé de chiffrement symétrique brute dans le porte-clés et l'emplacement spécifiés, utilisez cette procédure.

  1. Ouvrez la console Google Cloud, naviguez jusqu'à la page Gestion des clés.
  2. Cliquez sur le nom du porte-clés dans lequel vous voulez créer la clé.
  3. Cliquez sur Créer une clé.
  4. Fournissez les détails suivants :
    • Nom de la clé : Entrez un nom descriptif pour votre clé.
    • Niveau de protection : Sélectionnez Logiciel ou HSM (Module de sécurité du matériel).

      Le niveau de protection d'une clé ne peut pas être modifié une fois la clé créée. Pour plus d'informations, voir Niveaux de protection.

    • Matières clés : Sélectionnez Générer une clé ou Importer une clé.

      Générez du matériel clé dans Cloud KMS ou importez du matériel clé qui est maintenu en dehors de Google Cloud. Pour plus d'informations, voir Clés de chiffrement gérées par le client (CMEK).

    • Objet et algorithme :

      Pour plus d'informations, voir Objectifs clés et algorithmes.

      • Réglez Objet à Chiffrement/déchiffrement brut.
      • Pour Algorithme, sélectionnez AES-256-CBC.
  5. Cliquez sur Créer.

Après la création, vous pouvez utiliser cette clé pour les opérations cryptographiques nécessitant un chiffrement et un déchiffrement AES-CBC.

Pour permettre la détection d'une clé dans Oracle Cloud Infrastructure (OCI), utilisez cette procédure.

  1. Dans Google Cloud KMS, sélectionnez la clé que vous voulez rendre détectable.
  2. Naviguez jusqu'à l'onglet Autorisations et cliquez sur Ajouter un principal.
  3. Dans le champ Nouveaux principaux, entrez le compte de service associé à votre agent de service de ressources de charge de travail.
    Note

    Vous pouvez trouver ce compte de service dans la page Détails du connecteur d'identité, sous la section Informations sur GCP. Recherchez l'agent du service de ressources de charge de travail et notez son ID - il s'agit du compte de service requis.

  4. Sous Affecter des rôles, ajoutez un rôle de votre choix.
    Note

    Créez un rôle personnalisé avec les autorisations minimales suivantes et affectez-le au cycle de clés de votre choix.

    Ces autorisations permettent à OCI de :

    • Découvrez les ressources KMS telles que les porte-clés et les clés.
    • Accéder aux métadonnées sur les clés et leurs versions.
    • Utilisez les clés pour les opérations cryptographiques (chiffrement/déchiffrement).
    • Créer des versions de clé.

    Autorisations minimales requises :

    • cloudkms.cryptoKeyVersions.get

      Permet d'extraire les métadonnées pour une version de clé spécifique.

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

      Permet la gestion des matières clés brutes AES-CBC (importation, rotation, etc.).

    • cloudkms.cryptoKeyVersions.create

      Permet de créer de nouvelles versions de clé dans une clé.

    • cloudkms.cryptoKeyVersions.list

      Répertorie toutes les versions d'une clé donnée.

    • cloudkms.cryptoKeyVersions.useToDecrypt

      Autorise l'utilisation d'une version de clé pour le déchiffrement des données.

    • cloudkms.cryptoKeyVersions.useToEncrypt

      Permet d'utiliser une version de clé pour chiffrer les données.

    • cloudkms.cryptoKeys.get

      Permet d'extraire les métadonnées d'une clé.

    • cloudkms.cryptoKeys.list

      Répertorie toutes les clés d'un porte-clés.

    • cloudkms.keyRings.get

      Permet d'extraire les métadonnées d'un porte-clés.

    • cloudkms.locations.get

      Extrait des informations sur les emplacements de clé pris en charge.

  5. Cliquez sur Enregistrer pour appliquer les modifications.
  6. Cliquez sur Actualiser pour confirmer que les autorisations mises à jour ont pris effet.

Pour activer les clés de chiffrement gérées par le client (CMEK) Google Cloud pour votre grappe de machines virtuelles, vous devez d'abord enregistrer le cycle de clés GCP dans OCI.

Note

Avant de continuer, assurez-vous que les autorisations décrites dans Octroyer des autorisations dans Google Cloud KMS pour la détection de clés par Oracle Cloud Infrastructure (OCI) ont été accordées.

  1. Dans le portail Intégrations multinuages de base de données, naviguez jusqu'à : Intégration à Google Cloud > Anneaux de clé GCP.
  2. Cliquez sur GCP Key Ring (Carnet de clés GCP),
  3. Cliquez sur Enregistrer les clés GCP.
  4. Dans la page Enregistrer les clés GCP qui s'affiche, fournissez les détails suivants :
    • Compartiment : Sélectionnez le compartiment dans lequel réside la grappe de machines virtuelles.
    • Connecteur d'identité : Sélectionnez le connecteur d'identité attaché à la grappe de machines virtuelles.
    • Bague clé : Entrez le nom de la bague clé GCP à enregistrer.

      Pour détecter tous les porte-clés disponibles au moyen d'un seul connecteur d'identité, vous devez accorder les autorisations suivantes à ce connecteur d'identité. Ces autorisations doivent être affectées au niveau du projet ou du dossier approprié pour garantir que le connecteur puisse accéder à tous les porte-clés dans la portée prévue.

      • cloudkms.keyRings.list

        Permet de répertorier tous les porte-clés d'un projet.

      • cloudkms.locations.get

        Permet d'extraire les métadonnées pour un porte-clés spécifique.

  5. Cliquez sur Discover (Détecter) pour vérifier si le porte-clés existe dans GCP.

    En cas de succès, les détails du porte-clés seront affichés.

    Note

    Seuls les porte-clés peuvent être enregistrés, et non des clés individuelles. Toutes les clés prises en charge associées à un annuaire de clés enregistré seront disponibles, à condition que les autorisations requises soient en place.

  6. Cliquez sur Enregistrer.

Pour activer GCP CMEK pour votre grappe de machines virtuelles Exadata, utilisez cette procédure.

Note

Lorsque vous provisionnez une grappe de machines virtuelles Exadata, GCP CMEK est désactivé par défaut.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Under Oracle Exadata Database Service on Dedicated Infrastructure, click Exadata VM Clusters.
  3. Sélectionnez le nom de la grappe de MV à configurer.
  4. Dans la page Détails de la grappe de MV, faites défiler l'affichage jusqu'à la section Informations sur plusieurs nuages et cliquez sur Activer à côté de GCP CMEK.
  5. Pour désactiver GCP CMEK, cliquez sur Désactiver.

Créer une base de données et utiliser la clé de chiffrement gérée par le client (CMEK) GCP comme solution de gestion des clés

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation de la clé de chiffrement GCP gérée par le client (CMEK) comme solution de gestion des clés.

Pour la procédure générique de création de base de données, voir Pour créer une base de données dans une grappe de machines virtuelles existante.

Préalables

  • Activez Google Cloud Key Management au niveau de la grappe de machines virtuelles.
  • Enregistrez les porte-clés GCP dans OCI.

Étapes

Si la gestion des clés Google Cloud est activée dans la grappe de machines virtuelles, vous disposez de deux options de gestion des clés : Oracle Wallet et Clé de chiffrement gérée par le client GCP.

  1. Dans la section Chiffrement, sélectionnez Clé de chiffrement gérée par le client GCP.
  2. Sélectionnez un porte-clés enregistré disponible dans votre compartiment. Note
  3. Sélectionnez la clé dans le sonnerie sélectionnée de votre compartiment.

Pour modifier les clés de chiffrement entre différentes méthodes de chiffrement, utilisez cette procédure.

Note

  • Vous ne pouvez pas migrer de la clé de chiffrement gérée par le client GCP vers Oracle Wallet.
  • Votre base de données subira un bref temps d'arrêt pendant la mise à jour de la configuration de gestion des clés.
  1. Naviguez jusqu'à la page des détails de votre base de données dans la console OCI.
  2. Dans la section Chiffrement, vérifiez que la valeur Gestion des clés est réglée à Oracle Wallet, puis cliquez sur le lien Modifier.
  3. Entrez les informations suivantes dans la page Modifier la gestion des clés.
    1. Sélectionnez votre gestion des clés comme clé de chiffrement gérée par le client GCP dans la liste déroulante.
    2. Sélectionnez le compartiment que vous utilisez, puis choisissez le porte-clés disponible dans ce compartiment.
    3. Sélectionnez ensuite le compartiment de clés que vous utilisez, puis choisissez la clé souhaitée dans la liste déroulante.
    4. Cliquez sur Enregistrer les modifications.

Pour effectuer la rotation de la clé de chiffrement gérée par le client GCP d'une base de données conteneur, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données dont vous voulez effectuer la rotation des clés de chiffrement.
  4. Cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données dont vous voulez effectuer la rotation des clés de chiffrement.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Chiffrement, vérifiez que le service Gestion des clés est réglé à Clé de chiffrement gérée par le client GCP, puis cliquez sur le lien Effectuer la rotation.
  7. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.

Pour effectuer la rotation de la clé de chiffrement gérée par le client GCP d'une base de données enfichable, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable dont vous voulez effectuer la rotation des clés de chiffrement.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à laquelle vous voulez effectuer la rotation des clés de chiffrement.

    La page des détails de la base de données enfichable s'affiche.

  8. Dans la section Chiffrement, la gestion des clés est définie en tant que clé de chiffrement gérée par le client GCP.
  9. Cliquez sur le lien Effectuer la rotation.
  10. Dans la boîte de dialogue Effectuer la rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation pour confirmer l'action.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Les ressources suivantes seront mises à la disposition des clients au moyen de la trousse SDK OCI, de l'interface de ligne de commande et de Terraform. Ces API seront utilisées par les clients qui souhaitent intégrer Oracle Database sur Exadata aux services Google Cloud.

Tableau 5-11 OracleDbGcpIdentityConnectors

API Description
ListOracleDbGcpIdentityConnectors Répertorie toutes les ressources du connecteur d'identité GCP en fonction des filtres spécifiés.
GetOracleDbGcpIdentityConnector Extrait des informations détaillées sur une ressource de connecteur d'identité GCP spécifique.
CreateOracleDbGcpIdentityConnector Crée une nouvelle ressource de connecteur d'identité GCP pour la grappe de machines virtuelles ExaDB-D spécifiée.
UpdateOracleDbGcpIdentityConnector Met à jour les détails de configuration d'une ressource de connecteur d'identité GCP existante.
ChangeOracleDbGcpIdentityConnectorCompartment Déplace la ressource du connecteur d'identité GCP vers un autre compartiment.
DeleteOracleDbGcpIdentityConnector Supprime la ressource de connecteur d'identité GCP spécifiée.

Tableau 5-12 OracleDbGcpKeyRings

API Description
ListOracleDbGcpKeyRings Répertorie toutes les ressources de porte-clés GCP en fonction des filtres spécifiés.
CreateOracleDbGcpKeyRing Crée une nouvelle ressource Key Ring GCP.
ChangeOracleDbGcpKeyRingCompartment Déplace la ressource Key Ring GCP vers un autre compartiment.
RefreshOracleDbGcpKeyRing Actualise les détails d'une ressource Key Ring GCP.
GetOracleDbGcpKeyRing Extrait des informations détaillées sur une ressource GCP Key Ring spécifique.
UpdateOracleDbGcpKeyRing Met à jour les détails de configuration d'une ressource GCP Key Ring existante.
DeleteOracleDbGcpKeyRing Supprime la ressource GCP Key Ring spécifiée.

Tableau 5-13 OracleDbGcpKeyKeys

API Description
ListOracleDbGcpKeys Répertorie toutes les ressources de porte-clés GCP en fonction des filtres spécifiés.
GetOracleDbGcpKey Extrait des informations détaillées sur une ressource de clé GCP spécifique.