Intégration de Google Cloud Key Management pour Exadata Database Service sur Oracle Database@Google Cloud

Afin de créer le cluster de machines virtuelles ASM, préparez-vous à fournir la valeur des champs requis pour configurer l'infrastructure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
   Remarque
   
   

   Plusieurs clusters de machines virtuelles peuvent être créés uniquement dans une infrastructure acceptant plusieurs machines virtuelles.

3. Cliquez sur Créer un cluster de machines virtuelles Exadata.

   La page Créer un cluster de machines virtuelles Exadata apparaît. Fournissez les informations requises pour configurer le cluster de machines virtuelles.

4. Compartiment : sélectionnez un compartiment pour la ressource de cluster de machines virtuelles.
5. Nom d'affichage : entrez un nom d'affichage convivial pour le cluster de machines virtuelles. Le nom ne doit pas nécessairement être unique. Un identificateur Oracle Cloud (OCID) identifiera le cluster de machines virtuelles de manière unique. Evitez de saisir des informations confidentielles.
6. Sélectionner une infrastructure Exadata : sélectionnez la ressource d'infrastructure qui va contenir le cluster de machines virtuelles. Vous devez choisir une ressource d'infrastructure disposant de suffisamment de ressources pour créer un cluster de machines virtuelles. Cliquez sur Modifier le compartiment et sélectionnez un compartiment différent de celui dans lequel vous travaillez pour visualiser les ressources d'infrastructure des autres compartiments.
   Remarque
   
   

   Plusieurs clusters de machines virtuelles peuvent être créés uniquement dans une infrastructure acceptant plusieurs machines virtuelles.

7. Type de cluster de machines virtuelles:
   Remarque
   
   

   Vous ne pouvez pas modifier le type de cluster de machines virtuelles après avoir déployé le cluster. Si vous souhaitez modifier le type de cluster de machines virtuelles, vous devez créer un cluster de machines virtuelles et migrer la base de données vers le nouveau cluster.

   • Base de données Exadata : machine virtuelle de base de données standard sans restriction, adaptée à toutes les charges globales.
   • Exadata Database-Developer : machine virtuelle de base de données de développement avec restrictions, adaptée au développement d'applications uniquement.
8. Configurer le cluster de machines virtuelles : indiquez les serveurs de base de données à utiliser pour le nouveau cluster de machines virtuelles (par défaut, tous les serveurs de base de données sont sélectionnés). Cliquez sur Sélectionner des serveurs de base de données pour effectuer une sélection parmi les serveurs de base de données disponibles, puis cliquez sur Enregistrer.

   Type de cluster de machines virtuelles - Base de données Exadata : sélectionnez au moins un serveur de base de données pour le placement de machine virtuelle. Si vous avez besoin d'un service de base de données haute disponibilité qui reste disponible pendant la maintenance et les pannes non planifiées, sélectionnez au moins deux serveurs de base de données. Le nombre maximal de ressources pouvant être allouées par machine virtuelle dépend du nombre de serveurs de base de données sélectionnés.

   Type de cluster de machines virtuelles - Exadata Database-Developer : sélectionnez un serveur de base de données pour le placement de machine virtuelle. Un seul serveur de base de données peut être sélectionné.

   Dans le panneau Allocation des ressources par machine virtuelle, indiquez les informations suivantes :

   • Indiquez le nombre d'OCPU/ECPU à allouer à chacun des noeuds de calcul d'unité virtuelle du cluster. Pour les clusters de machines virtuelles créés sur l'infrastructure Exadata X11M, indiquez des ECPU. Pour les clusters de machines virtuelles créés sur une infrastructure Exadata X10M et antérieure, indiquez des OCPU. Le minimum est de 2 OCPU par machine virtuelle pour X10M et les infrastructures antérieures ou de 8 ECPU par machine virtuelle pour les clusters de machines virtuelles créés sur l'infrastructure Exadata X11M. Le champ en lecture seule Nombre d'OCPU demandées pour le cluster d'unités virtuelles Exadata affiche le nombre total de coeurs OCPU ou ECPU que vous allouez.
   • Indiquez la mémoire par machine virtuelle à allouer à chaque machine virtuelle. La valeur minimale par machine virtuelle est de 30 Go.
   • Indiquez le stockage local par machine virtuelle pour allouer du stockage local à chaque machine virtuelle. La valeur minimale par machine virtuelle est de 60 Go.

     Chaque fois que vous créez un cluster de machines virtuelles, l'espace restant de l'espace disponible total est utilisé pour celui-ci.

     Outre /u02, vous pouvez indiquer la taille des systèmes de fichiers locaux supplémentaires.

     Pour plus d'informations et d'instructions sur la spécification de la taille pour chaque machine virtuelle, reportez-vous à Introduction aux opérations d'augmentation ou de réduction.

     • Cliquez sur Afficher les options d'affichage de configuration des systèmes de fichiers locaux supplémentaires.
     • Indiquez la taille des systèmes de fichiers /, /u01, /tmp, /var, /var/log, /var/log/audit et /home, le cas échéant.
       Remarque
       
       

       • Vous pouvez uniquement développer ces systèmes de fichiers et ne pouvez pas réduire la taille une fois qu'ils sont développés.
       • En raison des partitions de sauvegarde et de la mise en miroir, les systèmes de fichiers / et /var consomment deux fois plus d'espace qu'ils ont été alloués, ce qui est indiqué dans les champs Stockage total alloué pour / (Go) en lecture seule en raison de la mise en miroir et Stockage total alloué pour /tmp (Go) en raison de la mise en miroir.
     • Après avoir créé le cluster de machines virtuelles, vérifiez la section Ressources Exadata sur la page Détails de l'infrastructure Exadata pour vérifier la taille de fichier allouée au stockage local (/u02) et au stockage local (systèmes de fichiers supplémentaires).
9. Stockage Exadata :
   • Indiquer le stockage Exadata utilisable (To) : indiquez le stockage en multiples de 1 To. Valeur minimale : 2 To.
   • Allouer du stockage pour les clichés dispersés Exadata : sélectionnez cette option de configuration si vous comptez utiliser la fonctionnalité de cliché dans votre cluster de machines virtuelles. Si vous sélectionnez cette option, le groupe de disques SPARSE est créé, ce qui vous permet d'utiliser la fonctionnalité de cliché de cluster de machines virtuelles pour le clonage dispersé de base de données pluggable. Si vous ne sélectionnez pas cette option, le groupe de disques SPARSE n'est pas créé et la fonctionnalité de cliché n'est disponible dans aucun déploiement de base de données créé dans l'environnement.
     Remarque
     
     

     L'option de configuration de stockage pour les clichés dispersés ne peut pas être modifiée après sa création.

   • Allouer du stockage pour les sauvegardes locales : sélectionnez cette option si vous comptez effectuer des sauvegardes de base de données sur le stockage Exadata local dans l'instance Exadata Cloud Infrastructure. Si vous sélectionnez cette option, un espace plus important est alloué au groupe de disques RECO, qui est utilisé pour stocker les sauvegardes sur le stockage Exadata. Si vous ne sélectionnez pas cette option, un espace plus important est alloué au groupe de disques DATA, ce qui vous permet de stocker plus d'informations dans les bases de données.
     Remarque
     
     

     L'option de configuration de stockage pour les sauvegardes locales ne peut pas être modifiée après le démarrage du cluster.

10. Version:
    • Version d'Oracle Grid Infrastructure : dans la liste, choisissez la version Oracle Grid Infrastructure à installer sur le cluster de machines virtuelles (19c et 26ai).

      La version d'Oracle Grid Infrastructure détermine les versions d'Oracle Database prises en charge sur le cluster de machines virtuelles. Vous ne pouvez pas exécuter une version d'Oracle Database ultérieure à la version du logiciel Oracle Grid Infrastructure.

      Remarque
      
      

      Configuration minimale requise pour le provisionnement d'un cluster de machines virtuelles avec Grid Infrastructure 26ai :

      • Machine virtuelle invitée Exadata exécutant le logiciel de système Exadata 23.1.8
      • Infrastructure Exadata exécutant le logiciel système Exadata 23.1.x
    • Version d'invité Exadata:
      • Infrastructure Exadata avec l'image Oracle Linux 7 et Exadata version 22.1.10.0.0.230422 :
        • Le bouton Modifier l'image n'est pas activé.
        • La version d'Oracle Grid Infrastructure est par défaut 19.0.0.0.0.
        • La version de l'invité Exadata sera la même que celle du système d'exploitation hôte.
      • Infrastructure Exadata avec Oracle Linux 8 et l'image Exadata version 23.1.3.0.0.230613 :
        • Par défaut, la version de l'invité Exadata est la plus récente (23.1.3.0).
        • La version d'Oracle Grid Infrastructure est par défaut 19.0.0.0.0
        • Le bouton Modifier l'image est activé.
        • Cliquez sur Modifier l'image.

          Le panneau Modifier l'image obtenu affiche la liste des versions principales disponibles de l'image Exadata (23.1.3.0 et 22.1.3.0).

          La dernière version de chaque version majeure est indiquée par (dernière)".

        • Diapositive Afficher toutes les versions disponibles.

          Six versions antérieures, y compris les dernières versions des images Exadata 23.1.3.0 et 22.1.3.0, sont affichées.

        • Choisir une version.
        • Cliquez sur Enregistrer les modifications.
11. Clés SSH : créez la partie de clé publique de chaque paire à utiliser pour l'accès SSH au cluster de machines virtuelles.
    • Générer une paire de clés SSH : (option par défaut) sélectionnez ce bouton radio pour générer une paire de clés SSH. Ensuite, en bas de la boîte de dialogue, cliquez sur Enregistrer une clé privée pour télécharger la clé. Vous avez la possibilité de cliquer sur Enregistrer une clé publique pour la télécharger.
    • Télécharger les fichiers de clés SSH : sélectionnez ce bouton radio pour rechercher les fichiers .pub ou ajoutez-les par glisser-déplacer.
    • Coller les clés SSH : sélectionnez ce bouton radio pour coller des clés publiques individuelles. Pour coller plusieurs clés, cliquez sur + Une autre clé SSH et indiquez une seule clé pour chaque entrée.
12. Paramètres réseau : définissez les options suivantes :
    Remarque
    
    

    Les adresses IP (100.64.0.0/10) sont utilisées pour l'interconnexion Exadata Cloud Infrastructure X8M.

    .

    Vous n'avez pas la possibilité de choisir entre IPv4 (pile unique) et IPv4/IPv6 (pile double) si les deux configurations existent. Pour plus d'informations, reportez-vous à VCN and Subnet Management.

    • Réseau cloud virtuel : réseau cloud virtuel dans lequel créer le cluster de machines virtuelles. Cliquez sur Modifier le compartiment pour sélectionner un réseau cloud virtuel dans un autre compartiment.
    • Sous-réseau client : sous-réseau auquel attacher le cluster de machines virtuelles. Cliquez sur Modifier le compartiment pour sélectionner un sous-réseau dans un autre compartiment.

      N'utilisez pas de sous-réseau qui chevauche la plage 192.168.16.16/28, utilisée par l'interconnexion privée Oracle Clusterware sur l'instance de base de données. En cas de chevauchement par un sous-réseau, l'interconnexion privée risque d'être défaillante.

    • Sous-réseau de sauvegarde : sous-réseau à utiliser pour le réseau de sauvegarde, qui sert généralement à transporter des informations de sauvegarde depuis et vers la destination de sauvegarde, et pour la réplication Data Guard. Cliquez sur Modifier le compartiment pour sélectionner un sous-réseau dans un autre compartiment, le cas échéant.

      N'utilisez pas de sous-réseau qui chevauche la plage 192.168.128.0/20. Cette restriction s'applique à la fois au sous-réseau client et au sous-réseau de sauvegarde.

      Si vous envisagez de sauvegarder des bases de données vers Object Storage ou le service de récupération autonome, reportez-vous aux prérequis réseau dans Gestion des sauvegardes de base de données Exadata.

      Remarque
      
      

      Si Autonomous Recovery Service est utilisé, un nouveau sous-réseau dédié est fortement recommandé. Passer en revue les configurations et exigences réseau requises pour sauvegarder vos bases de données Oracle Cloud dans Recovery Service. Reportez-vous à Configuration des ressources réseau pour Recovery Service.

    • Groupes de sécurité système : vous pouvez éventuellement spécifier des groupes de sécurité système pour les réseaux client et de sauvegarde. Les groupes de sécurité réseau fonctionnent comme des pare-feu virtuels, ce qui vous permet d'appliquer un ensemble de règles de sécurité entrantes et sortantes à votre cluster de machines virtuelles Exadata Cloud Infrastructure. Vous pouvez spécifier cinq groupes de sécurité réseau au maximum. Pour plus d'informations, reportez-vous à Groupes de sécurité réseau et à Configuration réseau pour les instances Exadata Cloud Infrastructure.

      Si vous choisissez un sous-réseau disposant d'une liste de sécurité, les règles de sécurité du cluster de machines virtuelles incluent les règles de la liste de sécurité et des groupes de sécurité réseau.

      Procédure d'utilisation des groupes de sécurité réseau:

      • Cochez la case Utiliser les groupes de sécurité réseau pour contrôler le trafic. Cette case se trouve sous le sélecteur du sous-réseau client et du sous-réseau de sauvegarde. Vous pouvez appliquer des groupes de sécurité réseau au réseau client, au réseau de sauvegarde ou aux deux. Vous devez sélectionner un réseau cloud virtuel pour pouvoir affecter des groupes de sécurité réseau à un réseau.
      • Spécifiez le groupe de sécurité réseau à utiliser avec le réseau. Vous aurez peut-être besoin de plusieurs groupes de sécurité réseau. En cas de doute, contactez l'administrateur réseau.
      • Pour utiliser des groupes de sécurité réseau supplémentaires avec le réseau, cliquez sur + Autre groupe de sécurité réseau.
      Remarque
      
      

      Pour assurer une sécurité supplémentaire aux ressources de cluster de machines virtuelles cloud, vous pouvez utiliser Oracle Cloud Infrastructure Zero Trust Packet Routing afin de vous assurer que seules les ressources identifiées par des attributs de sécurité disposent de droits d'accès réseau pour accéder à vos ressources. Oracle fournit des modèles de stratégie de base de données que vous pouvez utiliser pour vous aider à créer des stratégies pour les cas d'emploi courants de sécurité de base de données. Pour la configurer maintenant, vous devez déjà avoir créé des attributs de sécurité avec Oracle Cloud Infrastructure Zero Trust Packet Routing. Cliquez sur Afficher les options avancées à la fin de cette procédure.

      Sachez que lorsque vous fournissez des attributs de sécurité pour un cluster, dès qu'il est appliqué, toutes les ressources nécessitent une stratégie Zero Trust Packet pour accéder au cluster. S'il existe un attribut de sécurité sur une adresse, il doit satisfaire à la fois les règles de groupe de sécurité réseau et de stratégie Oracle Cloud Infrastructure Zero Trust Packet Routing (OCI ZPR).

    • Pour utiliser un service DNS privé, effectuez les opérations suivantes :
      Remarque
      
      

      Un DNS privé doit être configuré pour pouvoir le sélectionner. Voir Configuration d'un DNS privé

      • Cochez la case Utiliser le service DNS privé.
      • Sélectionnez une vue privée. Cliquez sur Modifier le compartiment pour sélectionner une vue privée dans un autre compartiment.
      • Sélectionnez une zone privée. Cliquez sur Modifier le compartiment pour sélectionner une zone privée dans un autre compartiment.
    • Préfixe de nom d'hôte : nom d'hôte de votre choix pour le cluster de machines virtuelles Exadata. Le nom d'hôte doit commencer par un caractère alphabétique, et ne peut contenir que des caractères alphanumériques et des traits d'union (-). Le nombre maximal de caractères autorisé pour un cluster de machines virtuelles Exadata est de 12.

      Attention :

      Le nom d'hôte doit être unique au sein du sous-réseau. S'il n'est pas unique, le provisionnement du cluster de machines virtuelles échoue.

    • Nom de domaine hôte : nom de domaine du cluster de machines virtuelles. Si le sous-réseau sélectionné utilise le résolveur de réseau cloud virtuel et Internet fourni par Oracle pour la résolution de noms DNS, ce champ affiche le nom de domaine du sous-réseau, qui ne peut pas être modifié. Sinon, vous pouvez fournir votre choix de nom de domaine. Les traits d'union (-) ne sont pas autorisés.

      Si vous prévoyez de stocker des sauvegardes de base de données dans le service Object Storage ou Autonomous Recovery, Oracle recommande d'utiliser un résolveur VCN pour la résolution de nom DNS pour le sous-réseau client car il résout automatiquement les adresses Swift utilisées pour les sauvegardes.

    • Hôte et URL de domaine : ce champ en lecture seule combine les noms d'hôte et de domaine afin d'afficher le nom de domaine qualifié complet de la base de données. La longueur maximale est de 63 caractères.
13. Choisir un type de licence : type de licence à utiliser pour le cluster de machines virtuelles. Votre choix a une incidence sur le décompte de la facturation.
    • Licence incluse : signifie que le coût du service cloud inclut une licence pour le service Database.
    • Utilisation de votre propre licence (BYOL) : signifie que vous êtes un client Oracle Database dont le contrat de licence est illimité ou limité et que vous souhaitez utiliser votre licence avec Oracle Cloud Infrastructure. Ainsi, il n'est pas nécessaire de disposer de licences sur site et cloud distinctes.
14. Collecte de diagnostics : en activant la collecte et les notifications de diagnostics, vous, ainsi que l'équipe des opérations Oracle Cloud, pourrez identifier, examiner, suivre et résoudre les problèmes liés aux machines virtuelles invitées de manière rapide et efficace. Abonnez-vous à Events pour être notifié des modifications d'état des ressources.
    Remarque
    
    

    Vous acceptez de savoir que la liste des événements (ou des mesures, des fichiers journaux) ci-dessus peut changer à l'avenir. Vous pouvez refuser cette fonctionnalité à tout moment

    .
    • Activer les événements de diagnostic : autorise Oracle à collecter et à vous informer des événements critiques, d'avertissement, d'erreur et d'information.
    • Activer la surveillance d'état : autorise Oracle à collecter des mesures/événements d'état tels que le démarrage/l'arrêt de la base de données Oracle, l'utilisation de l'espace de disque, etc., et à les partager avec l'équipe des opérations Oracle Cloud. Vous recevrez également une notification pour certains événements.
    • Activer la collecte de journaux d'incident et de traces : autorise Oracle à collecter des journaux d'incident et des traces pour permettre le diagnostic de la panne et la résolution du problème.
    Remarque
    
    

    Vous acceptez de savoir que la liste des événements (ou des mesures, des fichiers journaux) ci-dessus peut changer à l'avenir. Vous pouvez la désactiver à tout moment.

    Les trois cases sont cochées par défaut. Vous pouvez conserver les paramètres par défaut ou désélectionner des case à cocher selon vos besoins. Vous pouvez visualiser les paramètres de collecte de diagnostics sur la page Détails du cluster de machines virtuelles sous Informations générales >> Collecte de diagnostics.

    • Activé : lorsque vous choisissez de collecter les diagnostics, les mesures d'état ainsi que les journaux d'incident et fichiers trace (les trois options).
    • Désactivé : lorsque vous choisissez de ne collecter ni les diagnostics, ni les mesures d'état, ni les journaux d'incident et fichiers trace (les trois options).
    • Partiellement activé : lorsque vous choisissez de collecter les diagnostics, les mesures d'état ou les journaux d'incident et fichiers trace (une ou deux options).
15. Cliquez sur Afficher les options avancées afin de spécifier des options avancées pour le cluster de machines virtuelles.

    • Fuseau horaire : cette option se trouve dans l'onglet Gestion. Le fuseau horaire par défaut pour le cluster de machines virtuelles est UTC, mais vous pouvez en indiquer un autre. Les options de fuseau horaire sont celles prises en charge dans la classe Java.util.TimeZone et dans le système d'exploitation Oracle Linux.

      Remarque
      
      

      Si vous voulez définir un autre fuseau horaire qu'UTC ou que celui détecté par le navigateur, et que vous ne voyez pas le fuseau horaire qui vous intéresse, essayez de sélectionner l'option Sélectionner un autre fuseau horaire, de sélectionner Divers dans la liste Région ou pays, puis d'effectuer une recherche dans les sélections de fuseau horaire supplémentaires.

    • Port du processus d'écoute SCAN : cette option se trouve dans l'onglet Réseau. Vous pouvez affecter un port de processus d'écoute SCAN (TCP/IP) dans la plage comprise entre 1024 et 8999. La valeur par défaut est 1521.
      Remarque
      
      La modification manuelle du port de processus d'écoute SCAN d'un cluster de machines virtuelles après provisionnement à l'aide du logiciel de back-end n'est pas prise en charge. Cette modification peut entraîner l'échec du provisionnement Data Guard.
    • Zero Trust Packet Routing (ZPR) : cette option se trouve dans l'onglet Attributs de sécurité. Sélectionnez un espace de noms et indiquez la clé et la valeur de l'attribut de sécurité. Pour effectuer cette étape lors de la configuration, vous devez déjà avoir configuré des attributs de sécurité avec Oracle Cloud Infrastructure Zero Trust Packet Routing. Vous pouvez également ajouter des attributs de sécurité après la configuration et les ajouter ultérieurement. Pour plus d'informations sur l'ajout de stratégies propres à Oracle Exadata Database Service on Dedicated Infrastructure, reportez-vous à Générateur de modèles de stratégie.
    • Mise à jour de l'automatisation du cloud : Oracle applique régulièrement des mises à jour aux outils de base de données et aux logiciels d'agent nécessaires à l'outil et à l'automatisation du cloud. Vous pouvez configurer la fenêtre de temps de votre choix pour que ces mises à jour soient appliquées au cluster de machines virtuelles.

      Définissez l'heure de début des mises à jour de l'automatisation du cloud.

      Remarque
      
      

      Oracle recherchera les dernières mises à jour de VM Cloud Automation chaque jour entre la fenêtre de temps configurée et appliquera les mises à jour, le cas échéant. Si l'automatisation ne parvient pas à appliquer les mises à jour dans la fenêtre de temps configurée en raison d'un processus sous-jacent à longue durée d'exécution, Oracle vérifie automatiquement le jour suivant au cours de la fenêtre de temps configurée pour commencer à appliquer les mises à jour d'automatisation cloud au cluster de machines virtuelles.

      Activer l'accès anticipé pour la mise à jour des outils cloud : les clusters de machines virtuelles désignés pour l'accès anticipé reçoivent les mises à jour 1 à 2 semaines avant qu'elles ne soient disponibles pour d'autres systèmes. Cochez cette case si vous souhaitez une adoption anticipée pour ce cluster de machines virtuelles.

      Période de gel des mises à jour de l'automatisation du cloud : Oracle applique régulièrement des mises à jour aux outils de base de données et aux logiciels d'agent nécessaires à l'automatisation et aux outils cloud. Activez une période de blocage pour définir une fenêtre de temps pendant laquelle l'automatisation Oracle n'appliquera pas de mises à jour cloud.

      Déplacez le curseur pour définir la période de gel.

      Remarque
      
      

      • La période de gel peut être prolongée de 45 jours maximum à compter de la date de début.
      • L'automatisation d'Oracle appliquera automatiquement les mises à jour avec des correctifs de sécurité critiques (CVSS >= 9), même lors d'une période de blocage configurée.
    • Balises : si vous disposez des droits d'accès permettant de créer une ressource, vous disposez également de ceux permettant de lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas certain d'appliquer des balises, ignorez cette option (vous pouvez les appliquer ultérieurement) ou demandez à l'administrateur.
16. Cliquez sur Créer.

Pour afficher les détails d'un connecteur d'identité attaché à un cluster de machines virtuelles, suivez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
3. Cliquez sur le nom de votre choix pour le cluster.
4. Sur la page Détails du cluster de machines virtuelles obtenue, dans la section Informations sur le multicloud, vérifiez que le champ Connecteur d'identité affiche le connecteur d'identité attaché à ce cluster de machines virtuelles.
5. Cliquez sur le nom du connecteur d'identité pour en visualiser les détails.

   Vous serez redirigé vers le portail des intégrations multicloud de base de données.

Pour créer un trousseau de clés, suivez cette procédure.

1. Ouvrez la console Google Cloud et accédez à la page Gestion des clés.
2. Cliquez sur Créer un trousseau de clés.
3. Indiquez les informations suivantes:
   • Nom : entrez le nom descriptif du trousseau de clés.
   • Emplacement : sélectionnez un emplacement pour le trousseau de clés.

     Important :

     • Des porte-clés portant le même nom peuvent exister à différents endroits. Vous devez donc toujours indiquer l'emplacement.
     • Choisissez un emplacement proche des ressources à protéger.
     • Pour les clés de cryptage gérées par le client, assurez-vous que le trousseau de clés se trouve au même emplacement que les ressources qui l'utiliseront.

     Choisir un emplacement pour votre porte-clés :

     Lors de la création d'un porte-clés dans Google Cloud Key Management Service (KMS), la sélection du bon emplacement est cruciale. Votre choix affecte l'emplacement de stockage de vos clés cryptographiques et la façon dont elles sont répliquées. Pour plus d'informations, reportez-vous à Emplacements de Cloud KMS.

     • Région:
       • Les données sont stockées dans une région géographique spécifique.
       • Les clés restent dans les limites de cette seule région.
       • Idéal pour :
         • Applications à faible latence
         • Conformité aux exigences de résidence des données
         • Charges de travail spécifiques aux régions
     • Multi-région :
       • Les données sont répliquées dans plusieurs régions d'une zone géographique plus grande.
       • Google gère automatiquement la distribution et la réplication.
       • Vous ne pouvez pas sélectionner de centres de données ou de régions individuels.
       • Idéal pour :
         • Haute disponibilité
         • Applications résilientes et tolérantes aux pannes
         • Services desservant une vaste région
     • Global :
       • Un type particulier de multi-région.
       • Les clés sont distribuées dans les centres de données Google dans le monde entier.
       • La sélection et le contrôle d'emplacement ne sont pas disponibles.
       • Idéal pour :
         • Applications avec utilisateurs globaux
         • Cas d'utilisation nécessitant une redondance et une portée maximales
4. Cliquez sur Créer.

Une fois le trousseau de clés créé, vous pouvez commencer à créer et à gérer les clés de chiffrement qu'il contient.

Pour créer une clé de chiffrement symétrique brute dans le trousseau de clés et l'emplacement spécifiés, suivez cette procédure.

1. Ouvrez la console Google Cloud et accédez à la page Gestion des clés.
2. Cliquez sur le nom du trousseau de clés dans lequel vous voulez créer la clé.
3. Cliquez sur Créer une clé.
4. Indiquez les informations suivantes:
   • Nom de clé : entrez un nom descriptif pour la clé.
   • Niveau de protection : sélectionnez Logiciel ou HSM (module de sécurité matérielle).

     Le niveau de protection d'une clé ne peut pas être modifié après sa création. Pour plus d'informations, reportez-vous à la rubrique Niveaux de protection.

   • Matière clé : sélectionnez Générer une clé ou Importer une clé.

     Générez des informations clés dans Cloud KMS ou importez des informations clés gérées en dehors de Google Cloud. Pour plus d'informations, reportez-vous à Clés de cryptage gérées par le client (CMEK).

   • Objet et algorithme :

     Pour plus d'informations, voir Principaux objectifs et algorithmes.

     • Définissez Objectif sur Chiffrement/décryptage brut.
     • Pour Algorithme, sélectionnez AES-256-CBC.
5. Cliquez sur Créer.

Après la création, vous pouvez utiliser cette clé pour les opérations cryptographiques qui nécessitent un chiffrement et un déchiffrement AES-CBC.

Pour permettre à une clé d'être repérable dans Oracle Cloud Infrastructure (OCI), suivez cette procédure.

1. Dans Google Cloud KMS, sélectionnez la clé que vous voulez rendre repérable.
2. Accédez à l'onglet Droits d'accès et cliquez sur Ajouter un principal.
3. Dans le champ Nouveaux principaux, entrez le compte de service associé à l'agent de service de ressource de charge globale.
   Remarque
   
   

   Ce compte de service est disponible sur la page Détails du connecteur d'identité, sous la section Informations GCP. Recherchez l'agent de service de ressource de charge globale et notez son ID. Il s'agit du compte de service requis.

4. Sous Affecter des rôles, ajoutez le rôle de votre choix.
   Remarque
   
   

   Créez un rôle personnalisé avec les autorisations minimales suivantes et affectez-le au trousseau de clés de votre choix.

   Ces droits d'accès permettent à OCI de :

   • Découvrez les ressources KMS telles que les trousseaux de clés et les clés.
   • Accéder aux métadonnées relatives aux clés et à leurs versions.
   • Utilisez les clés pour les opérations cryptographiques (chiffrement/décryptage).
   • Créer des versions de clé.

   Droits d'accès minimum requis :

   • cloudkms.cryptoKeyVersions.get

     Permet d'extraire des métadonnées pour une version de clé spécifique.

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     Permet la gestion du matériel clé AES-CBC brut (importation, rotation, etc.).

   • cloudkms.cryptoKeyVersions.create

     Permet de créer de nouvelles versions de clé dans une clé.

   • cloudkms.cryptoKeyVersions.list

     Répertorie toutes les versions d'une clé donnée.

   • cloudkms.cryptoKeyVersions.useToDecrypt

     Autorise l'utilisation d'une version de clé pour le décryptage des données.

   • cloudkms.cryptoKeyVersions.useToEncrypt

     Autorise l'utilisation d'une version de clé pour le cryptage des données.

   • cloudkms.cryptoKeys.get

     Permet d'extraire les métadonnées d'une clé.

   • cloudkms.cryptoKeys.list

     Répertorie toutes les clés d'un trousseau de clés.

   • cloudkms.keyRings.get

     Permet d'extraire les métadonnées d'un trousseau de clés.

   • cloudkms.locations.get

     Récupère des informations sur les emplacements de clés pris en charge.

5. Cliquez sur Enregistrer pour appliquer les modifications.
6. Cliquez sur Actualiser pour vérifier que les droits d'accès mis à jour sont appliqués.

Pour activer les clés de cryptage gérées par le client (CMEK) Google Cloud pour votre cluster de machines virtuelles, vous devez d'abord inscrire le trousseau de clés GCP dans OCI.

1. Sur le portail Intégrations multicloud de base de données, accédez à : Intégration Google Cloud > Anneaux de clés GCP.
2. Cliquez sur Bague de clés GCP.
3. Cliquez sur Inscrire des trousseaux de clés GCP
4. Sur la page Inscrire des trousseaux de clés GCP qui s'affiche, fournissez les détails suivants :
   • Compartiment : sélectionnez le compartiment dans lequel réside le cluster de machines virtuelles.
   • Connecteur d'identité : choisissez le connecteur d'identité attaché au cluster de machines virtuelles.
   • Bague de clés : entrez le nom du trousseau de clés GCP à enregistrer.

     Pour repérer tous les trousseaux de clés disponibles via un seul connecteur d'identité, vous devez accorder les droits d'accès suivants à ce connecteur d'identité. Ces autorisations doivent être affectées au niveau du projet ou du dossier approprié pour garantir que le connecteur peut accéder à tous les trousseaux de clés dans l'étendue prévue.

     • cloudkms.keyRings.list

       Permet de répertorier tous les porte-clés d'un projet.

     • cloudkms.locations.get

       Permet d'extraire les métadonnées d'un trousseau de clés spécifique.

5. Cliquez sur Repérer pour vérifier si le trousseau de clés existe dans GCP.

   En cas de succès, les détails du trousseau de clés seront affichés.

   Remarque
   
   

   Seuls les porte-clés peuvent être enregistrés, pas les clés individuelles. Toutes les clés prises en charge associées à un trousseau de clés enregistré seront disponibles, à condition que les autorisations requises soient en place.

6. Cliquez sur Inscrire.

Pour activer GCP CMEK pour votre cluster de machines virtuelles Exadata, suivez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Sous Oracle Exadata Database Service on Dedicated Infrastructure, cliquez sur Cluster de machines virtuelles Exadata.
3. Sélectionnez le nom du cluster de machines virtuelles à configurer.
4. Sur la page Détails du cluster de machines virtuelles, faites défiler la page jusqu'à la section Informations multicloud, puis cliquez sur Activer en regard de GCP CMEK.
5. Pour désactiver le CMEK GCP, cliquez sur Désactiver.

Cette rubrique décrit uniquement les étapes de création d'une base de données et d'utilisation de la clé de cryptage gérée par le client (CMEK) GCP en tant que solution de gestion des clés.

Pour connaître la procédure de création de base de données générique, reportez-vous à Procédure de création d'une base de données dans un cluster de machines virtuelles existant.

Pour modifier les clés de chiffrement entre différentes méthodes de chiffrement, suivez cette procédure.

1. Accédez à la page de détails de la base de données dans la console OCI.
2. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Oracle Wallet, puis cliquez sur le lien Modifier.
3. Entrez les informations suivantes sur la page Gestion des clés de modification.
   1. Dans la liste déroulante, sélectionnez Gestion des clés en tant que Clé de cryptage gérée par le client GCP.
   2. Sélectionnez le compartiment que vous utilisez, puis choisissez le trousseau de clés disponible dans ce compartiment.
   3. Ensuite, sélectionnez le compartiment de clé que vous utilisez, puis choisissez la clé souhaitée dans la liste déroulante.
   4. Cliquez sur Enregistrer les modifications.

Pour effectuer la rotation de la clé de cryptage gérée par le client GCP d'une base de données Conteneur, suivez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Choisissez votre compartiment.

   La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

3. Dans la liste des cluster de machines virtuelles, cliquez sur le nom de celui qui contient la base de données dont vous voulez effectuer la rotation des clés de cryptage.
4. Cliquez sur Bases de données.
5. Cliquez sur le nom de la base de données pour laquelle vous souhaitez effectuer la rotation des clés de cryptage.

   La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

6. Dans la section Cryptage, vérifiez que la gestion des clés est définie sur Clé de cryptage gérée par le client GCP, puis cliquez sur le lien Faire pivoter.
7. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.

Pour effectuer la rotation de la clé de cryptage gérée par le client GCP d'une base de données pluggable, suivez cette procédure.

1. Ouvrez le menu de navigation. Cliquez sur Oracle Database, puis sur Oracle Exadata Database Service on Dedicated Infrastructure.
2. Choisissez votre compartiment.

   La liste des clusters de machines virtuelles est affichée pour le compartiment choisi.

3. Dans la liste des clusters de machines virtuelles, cliquez sur le nom de celui qui contient la base de données pluggable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
4. Sous bases de données, recherchez la base de donnée contenant la base de donnée pluggable dont vous voulez effectuer la rotation des clés de cryptage.
5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
6. Cliquez sur Bases de données pluggables dans la section Ressources de la page.

   La liste des bases de données pluggables existantes dans cette base de données apparaît.

7. Cliquez sur le nom de la base des données pluggable pour laquelle effectuer la rotation des clés de cryptage.

   La page de détails de la base de données pluggable est affichée.

8. Dans la section Cryptage, la gestion des clés est définie en tant que clé de cryptage gérée par le client GCP.
9. Cliquez sur le lien Faire pivoter.
10. Dans la boîte de dialogue Effectuer une rotation de la clé qui apparaît, cliquez sur Effectuer une rotation pour confirmer l'action.