Integrazione di Google Cloud Key Management per Exadata Database Service su Oracle Database@Google Cloud

Per creare il cluster VM ASM, essere pronti a fornire i valori per i campi necessari per la configurazione dell'infrastruttura.

1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure
2. In Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata.
   Nota
   
   

   È possibile creare più cluster VM solo in un'infrastruttura abilitata per più VM.

3. Fare clic su Crea cluster VM Exadata.

   Viene visualizzata la pagina Crea cluster VM Exadata. Fornire le informazioni necessarie per configurare il cluster VM.

4. Compartimento: selezionare un compartimento per la risorsa cluster VM.
5. Nome visualizzato: immettere un nome visualizzato riconoscibile dall'utente per il cluster VM. Il nome non deve essere univoco. Un OCID (Oracle Cloud Identifier) identificherà in modo univoco il cluster VM. Evitare di fornire informazioni riservate.
6. Selezionare l'infrastruttura Exadata: selezionare la risorsa dell'infrastruttura che conterrà il cluster VM. È necessario scegliere una risorsa dell'infrastruttura che disponga di risorse sufficienti per creare un nuovo Cluster VM. Fare clic su Modifica compartimento e selezionare un compartimento diverso da quello in cui si sta lavorando per visualizzare le risorse dell'infrastruttura in altri compartimenti.
   Nota
   
   

   È possibile creare più cluster VM solo in un'infrastruttura abilitata per più VM.

7. Tipo di cluster VM:
   Nota
   
   

   Non è possibile modificare il tipo di cluster VM dopo la distribuzione del cluster VM. Se si desidera modificare il tipo di cluster VM, è necessario creare un nuovo cluster VM ed eseguire la migrazione del database al nuovo cluster.

   • Exadata Database: VM di database standard senza restrizioni, adatta a tutti i carichi di lavoro.
   • Exadata Database-Developer: Developer Database VM con limitazioni idonee solo per lo sviluppo delle applicazioni.
8. Configura cluster VM: specificare i DB server da utilizzare per il nuovo cluster VM (per impostazione predefinita sono selezionati tutti i DB server). Fare clic su Seleziona DB server per effettuare una selezione dai DB server disponibili, quindi fare clic su Salva.

   Tipo di cluster VM - Database Exadata: selezionare almeno un database server per il posizionamento delle VM. Se hai bisogno di un servizio di database ad alta disponibilità che rimanga disponibile durante la manutenzione e le indisponibilità non pianificate, seleziona almeno due database server. Le risorse massime disponibili per l'allocazione per VM si basano sul numero di database server selezionati.

   Tipo di cluster VM - Exadata Database-Developer: selezionare un database server per il posizionamento delle VM. È possibile selezionare un solo database server.

   Nel riquadro Allocazione delle risorse per VM:

   • Specificare il numero di OCPU/ECPU che si desidera allocare a ogni nodi di calcolo virtual machine del pool VM. Per i cluster VM creati nell'infrastruttura Exadata X11M specificare le ECPU. Per i cluster VM creati su X10M e su un'infrastruttura Exadata precedente, specificare le OCPU. Il minimo è di 2 OCPU per VM per X10M e infrastruttura precedente o 8 ECPU per VM per cluster VM creati sull'infrastruttura Exadata X11M. Il campo di sola lettura Conteggio OCPU richieste per il cluster VM Exadata visualizza il numero totale di memorie centrali OCPU o ECPU che si stanno allocando.
   • Specificare la Memoria per VM da allocare a ogni VM. Il valore minimo per VM è di 30 GB.
   • Specificare lo storage locale per VM per allocare lo storage locale a ogni VM. Il valore minimo per VM è di 60 GB.

     Ogni volta che si crea un nuovo cluster VM, lo spazio rimanente al di fuori dello spazio totale disponibile viene utilizzato per il nuovo cluster VM.

     Oltre a /u02, è possibile specificare la dimensione di altri file system locali.

     Per ulteriori informazioni e istruzioni per specificare la dimensione per ogni singola VM, vedere Introduzione allo scale up o allo scale down operations.

     • Fare clic su Mostra opzioni aggiuntive di configurazione dei file system locali.
     • Specificare le dimensioni dei file system /, /u01, /tmp, /var, /var/log, /var/log/audit e /home in base alle esigenze.
       Nota
       
       

       • È possibile espandere solo questi file system e non ridurne le dimensioni una volta espansi.
       • A causa delle partizioni di backup e del mirroring, i file system / e /var consumeranno il doppio dello spazio allocato, indicato nei campi di sola lettura Totale storage allocato per / (GB) a causa del mirroring e Totale storage allocato per /tmp (GB) a causa del mirroring.
     • Dopo aver creato il cluster VM, controllare la sezione Risorse Exadata nella pagina Dettagli infrastruttura Exadata per controllare la dimensione del file allocata allo storage locale (/u02) e allo storage locale (file system aggiuntivi).
9. Storage Exadata:
   • Specificare lo storage Exadata utilizzabile (TB). Specificare lo storage in multipli di 1 TB. Minimo: 2 TB
   • Allocare lo storage per gli snapshot sparse Exadata: selezionare questa opzione di configurazione se si intende utilizzare la funzionalità di snapshot all'interno del cluster VM. Se si seleziona questa opzione, viene creato il gruppo di dischi SPARSE, che consente di utilizzare la funzionalità di snapshot del cluster VM per la duplicazione con sparsità del PDB. Se non si seleziona questa opzione, il gruppo di dischi SPARSE non viene creato e la funzionalità snapshot non sarà disponibile nelle distribuzioni di database create nell'ambiente.
     Nota
     
     

     L'opzione di configurazione storage per gli snapshot con sparsità non può essere modificata dopo la creazione del cluster VM.

   • Allocare lo storage per i backup locali: selezionare questa opzione se si intende eseguire i backup del database nello storage Exadata locale all'interno dell'istanza di Exadata Cloud Infrastructure. Se si seleziona questa opzione, viene allocato più spazio al gruppo di dischi RECO, che viene utilizzato per memorizzare i backup nello storage Exadata. Se non si seleziona questa opzione, viene allocato più spazio al gruppo di dischi DATA, che consente di memorizzare ulteriori informazioni nei database.
     Nota
     
     

     L'opzione di configurazione storage per i backup locali non può essere modificata dopo la creazione del cluster VM.

10. Versione:
    • Versione di Oracle Grid Infrastructure: dalla lista, scegliere la release di Oracle Grid Infrastructure (19c e 26ai) che si desidera installare nel cluster VM.

      La release di Oracle Grid Infrastructure determina le release di Oracle Database che possono essere supportate nel cluster VM. Non è possibile eseguire una release di Oracle Database successiva alla release software di Oracle Grid Infrastructure.

      Nota
      
      

      Requisiti minimi per il provisioning di un cluster VM con Grid Infrastructure 26ai:

      • VM guest Exadata in cui è in esecuzione il software del sistema Exadata 23.1.8
      • Infrastruttura Exadata con software di sistema Exadata 23.1.x
    • Versione guest Exadata:
      • Infrastruttura Exadata con Oracle Linux 7 ed Exadata versione 22.1.10.0.0.230422:
        • Il pulsante Modifica immagine non è abilitato.
        • La versione predefinita di Oracle Grid Infrastructure è la 19.0.0.0.0.
        • La versione guest Exadata sarà la stessa del sistema operativo host.
      • Infrastruttura Exadata con Oracle Linux 8 e immagine Exadata versione 23.1.3.0.0.230613:
        • Per impostazione predefinita, la versione guest Exadata è la più recente (23.1.3.0).
        • La versione predefinita di Oracle Grid Infrastructure è la 19.0.0.0.0
        • Il pulsante Modifica immagine è abilitato.
        • Fare clic su Modifica immagine.

          Il pannello immagine Modifica risultante visualizza la lista delle principali versioni disponibili dell'immagine Exadata (23.1.3.0 e 22.1.3.0).

          La versione più recente per ogni versione principale è indicata da "(più recente)".

        • Diapositiva Visualizzazione di tutte le versioni disponibili.

          Vengono visualizzate sei versioni precedenti, incluse le versioni più recenti delle immagini Exadata 23.1.3.0 e 22.1.3.0.

        • Scegliere una versione.
        • Fare clic su Salva modifiche.
11. Chiavi SSH: aggiungere la parte di chiave pubblica di ogni coppia di chiavi che si desidera utilizzare per l'accesso SSH al cluster VM:
    • Genera coppia di chiavi SSH (opzione predefinita) Selezionare questo pulsante di opzione per generare una coppia di chiavi SSH. Quindi nella finestra di dialogo sottostante fare clic su Salva chiave privata per scaricare la chiave e, facoltativamente, fare clic su Salva chiave pubblica per scaricare la chiave.
    • Carica file di chiavi SSH: selezionare questo pulsante di opzione per sfogliare o trascinare i file .pub.
    • Incolla chiavi SSH: selezionare questo pulsante di opzione per incollarlo in singole chiavi pubbliche. Per incollare più chiavi, fare clic su + Another SSH Key e fornire una singola chiave per ogni voce.
12. Impostazioni di rete: specificare quanto segue:
    Nota
    
    

    Gli indirizzi IP (100.64.0.0/10) vengono utilizzati per l'interconnessione X8M dell'infrastruttura Exadata Cloud

    .

    Non è possibile scegliere tra IPv4 (pila singola) e IPv4/IPv6 (pila doppia) se esistono entrambe le configurazioni. Per ulteriori informazioni, vedere Gestione di VCN e subnet.

    • Rete cloud virtuale: la VCN in cui si desidera creare il cluster VM. Fare clic su Modifica compartimento per selezionare una VCN in un compartimento diverso.
    • Subnet del client: la subnet a cui il cluster VM deve collegarsi. Fare clic su Modifica compartimento per selezionare una subnet in un compartimento diverso.

      Non utilizzare una subnet che si sovrappone a 192.168.16.16/28, utilizzata dall'interconnessione privata di Oracle Clusterware sull'istanza di database. Se si specifica una subnet sovrapposta, l'interconnessione privata non funziona correttamente.

    • Subnet di backup: la subnet da utilizzare per la rete di backup, che in genere viene utilizzata per trasportare le informazioni di backup da e verso la destinazione di backup e per la replica Data Guard. Fare clic su Modifica compartimento per selezionare una subnet in un compartimento diverso, se applicabile.

      Non utilizzare una sottorete che si sovrappone a 192.168.128.0/20. Questa restrizione si applica sia alla subnet client che alla subnet di backup.

      Se si prevede di eseguire il backup dei database nello storage degli oggetti o nel servizio Autonomous Recovery, vedere i prerequisiti di rete in Gestione dei backup di Exadata Database.

      Nota
      
      

      Nel caso in cui si utilizzi Autonomous Recovery Service, si consiglia di utilizzare una nuova subnet dedicata. Rivedere i requisiti di rete e le configurazioni necessarie per eseguire il backup dei database Oracle Cloud in Recovery Service. Vedere Configurazione delle risorse di rete per il servizio di recupero.

    • Gruppi di sicurezza di rete: Facoltativamente, è possibile specificare uno o più gruppi di sicurezza di rete (NSG) sia per le reti client che di backup. I gruppi NSG funzionano come firewall virtuali e consentono di applicare un set di regole di sicurezza in entrata e in uscita al cluster VM dell'infrastruttura Exadata Cloud. È possibile specificare un massimo di cinque gruppi NSG. Per ulteriori informazioni, vedere Gruppi di sicurezza di rete e Impostazione di rete per le istanze di Exadata Cloud Infrastructure.

      Tenere presente che se si sceglie una subnet con una lista di sicurezza, le regole di sicurezza per il cluster VM saranno un'unione delle regole nella lista di sicurezza e nei gruppi NSG.

      Per utilizzare i gruppi di sicurezza di rete:

      • Selezionare la casella di controllo Utilizzare i gruppi per la sicurezza della rete per controllare il traffico. Questa casella viene visualizzata sia sotto il selettore per la subnet client che sotto quella di backup. È possibile applicare i gruppi NSG al client, alla rete di backup o a entrambe le reti. Tenere presente che è necessario selezionare una rete cloud virtuale per poter assegnare gruppi NSG a una rete.
      • Specificare il gruppo NSG da utilizzare con la rete. Potrebbe essere necessario utilizzare più NSG. Se non si è sicuri, rivolgersi all'amministratore di rete.
      • Per utilizzare gruppi di sicurezza di rete aggiuntivi, fare clic su +;Another Network Security Group.
      Nota
      
      

      Per garantire maggiore sicurezza alle risorse del cluster VM cloud, è possibile utilizzare Oracle Cloud Infrastructure Zero Trust Packet Routing per assicurarsi che solo le risorse identificate con attributi di sicurezza dispongano delle autorizzazioni di rete per accedere alle risorse. Oracle fornisce i modelli di criteri del database che è possibile utilizzare per agevolare la creazione di criteri per casi d'uso comuni di sicurezza del database. Per configurarlo ora, è necessario aver già creato attributi di sicurezza con Oracle Cloud Infrastructure Zero Trust Packet Routing. Fare clic su Mostra opzioni avanzate al termine di questa procedura.

      Tenere presente che quando si forniscono gli attributi di sicurezza per un cluster, non appena viene applicato, tutte le risorse richiedono un criterio Zero Trust Packet per accedere al cluster. Se esiste un attributo di sicurezza su un endpoint, deve soddisfare sia il gruppo di sicurezza di rete (NSG) che le regole del criterio Oracle Cloud Infrastructure Zero Trust Packet Routing (OCI ZPR).

    • Per utilizzare il servizio DNS privato
      Nota
      
      

      Prima di poter essere selezionato, è necessario configurare un DNS privato. Vedere Configura DNS privato

      • Selezionare la casella di controllo Usa servizio DNS privato.
      • Selezionare una vista privata. Fare clic su Modifica compartimento per selezionare una vista privata in un compartimento diverso.
      • Selezionare una zona privata. Fare clic su Modifica compartimento per selezionare una zona privata in un compartimento diverso.
    • Prefisso nome host: nome host a scelta per il cluster VM Exadata. Il nome host deve iniziare con un carattere alfabetico e può contenere solo caratteri alfanumerici e trattini (-). Il numero massimo di caratteri consentiti per un cluster VM Exadata è 12.

      Attenzione

      Il nome host deve essere univoco all'interno della subnet. Se non è univoco, il provisioning del cluster VM non verrà eseguito.

    • Nome dominio host: il nome di dominio del cluster VM. Se la subnet selezionata utilizza il resolver Internet e VCN forniti da Oracle per la risoluzione dei nomi DNS, questo campo visualizza il nome di dominio per la subnet e non può essere modificato. In caso contrario, è possibile scegliere il nome di dominio. I trattini (-) non sono consentiti.

      Se si prevede di memorizzare i backup del database nello storage degli oggetti o nel servizio Autonomous Recovery, Oracle consiglia di utilizzare un resolver VCN per la risoluzione dei nomi DNS per la subnet client perché risolve automaticamente gli endpoint Swift utilizzati per i backup.

    • URL host e dominio: questo campo di sola lettura combina i nomi host e dominio per visualizzare i nomi dominio completamente qualificati (FQDN) per il database. La lunghezza massima è 63 caratteri.
13. Scegliere un tipo di licenza: il tipo di licenza che si desidera utilizzare per il cluster VM. La scelta influisce sulla misurazione per la fatturazione.
    • Licenza inclusa indica che il costo del servizio cloud include una licenza per il servizio di database.
    • Bring Your Own License (BYOL) significa che sei un cliente Oracle Database con un contratto di licenza illimitata o un contratto di licenza non illimitata e desideri utilizzare la tua licenza con Oracle Cloud Infrastructure. Ciò elimina la necessità di licenze on-premise e cloud separate.
14. Raccolta diagnostica e notifiche: quando si abilitano la raccolta diagnostica e le notifiche, le operazioni Oracle Cloud e l'utente potranno identificare, indagare, tenere traccia e risolvere i problemi della VM guest in maniera rapida ed efficace. Eseguire la sottoscrizione agli eventi per ricevere notifiche sulle modifiche allo stato delle risorse.
    Nota
    
    

    Si sta optando per la comprensione che l'elenco precedente di eventi (o metriche, file di log) può cambiare in futuro. Puoi disattivare questa funzione in qualsiasi momento

    .
    • Abilita eventi diagnostici: consente a Oracle di raccogliere e pubblicare eventi critici, di avvertenze, errore e informatici.
    • Abilita monitoraggio dello stato: consente a Oracle di raccogliere metriche/eventi sullo stato, come l'up/down di Oracle Database, l'uso dello spazio su disco e così via, e condividerli con le operazioni di Oracle Cloud. Riceverai anche una notifica di alcuni eventi.
    • Enable Incident Logs and Trace Collection: Allow Oracle to collect incident logs and traces to enable fault diagnosis and issue resolution.
    Nota
    
    

    Si sta optando per la comprensione che l'elenco precedente di eventi (o metriche, file di log) può cambiare in futuro. È possibile disattivare questa funzione in qualsiasi momento.

    Tutte e tre le caselle di controllo sono selezionate per impostazione predefinita. È possibile lasciare invariate le impostazioni predefinite oppure deselezionare le caselle di controllo in base alle esigenze. È possibile visualizzare le impostazioni della raccolta diagnostica nella pagina Dettagli cluster VM in Informazioni generali >> Raccolta diagnostica.

    • Abilitato: quando si sceglie di raccogliere la diagnostica, le metriche di integrità, i log degli incidenti e i file di trace (tutte e tre le opzioni).
    • Disabilitato: quando si sceglie di non raccogliere la diagnostica, le metriche di integrità, i log degli incidenti e i file di trace (tutte e tre le opzioni).
    • Parzialmente abilitato: quando si sceglie di raccogliere la diagnostica, le metriche di integrità, i log degli incidenti e i file di trace (una o due opzioni).
15. Fare clic su Mostra opzioni avanzate per specificare le opzioni avanzate per il cluster VM.

    • Fuso orario: questa opzione si trova nella scheda Gestione. Il fuso orario predefinito per il cluster VM è UTC, ma È possibile specificare un fuso orario diverso. Le opzioni relative al fuso orario sono quelle supportate sia nella classe Java.util.TimeZone che nel sistema operativo Oracle Linux.

      Nota
      
      

      Se si desidera impostare un fuso orario diverso da UTC o dal fuso orario rilevato dal browser e se il fuso orario desiderato non è visibile, provare a selezionare l'opzione Seleziona un altro fuso orario, quindi selezionare "Varie" nell'elenco Area o paese ed eseguire la ricerca delle selezioni aggiuntive Fuso orario.

    • Porta del listener SCAN: questa opzione è disponibile nella scheda Network. È possibile assegnare una porta listener SCAN (TCP/IP) nell'intervallo tra 1024 e 8999. L'impostazione predefinita è 1521.
      Nota
      
      La modifica manuale della porta del listener SCAN di un cluster VM dopo il provisioning mediante il software backend non è supportata. Questa modifica può causare il mancato provisioning di Data Guard.
    • Zero Trust Packet Routing (ZPR): questa opzione si trova nella scheda Attributi di sicurezza. Selezionare uno spazio di nomi e fornire la chiave e il valore per l'attributo di sicurezza. Per completare questo passo durante la configurazione, è necessario aver già impostato gli attributi di sicurezza con Oracle Cloud Infrastructure Zero Trust Packet Routing. È inoltre possibile aggiungere attributi di sicurezza dopo la configurazione e aggiungerli in un secondo momento. Per ulteriori informazioni sull'aggiunta di criteri specifici di Oracle Exadata Database Service on Dedicated Infrastructure, vedere Policy Template Builder.
    • Aggiornamento della automazione cloud: Oracle applica periodicamente gli aggiornamenti agli strumenti del database e al software degli agenti necessari per gli strumenti e l'automazione del cloud. È possibile configurare la finestra temporale preferita per l'applicazione di questi aggiornamenti al cluster VM.

      Imposta l'ora di inizio per gli aggiornamenti dell'automazione cloud.

      Nota
      
      

      Oracle verificherà la presenza degli aggiornamenti più recenti di VM Cloud Automation ogni giorno tra la finestra temporale configurata e applicherà gli aggiornamenti, se applicabile. Se l'automazione non è in grado di avviare l'applicazione di aggiornamenti entro la finestra temporale configurata a causa di un processo con tempi di esecuzione lunghi di base, Oracle verificherà automaticamente il giorno successivo durante la finestra temporale configurata per avviare l'applicazione degli aggiornamenti dell'automazione cloud al cluster VM.

      Abilita l'accesso anticipato per l'aggiornamento degli strumenti cloud: i cluster VM designati per l'accesso anticipato ricevono aggiornamenti 1-2 settimane prima che siano disponibili per altri sistemi. Selezionare questa casella di controllo se si desidera un'adozione anticipata per questo cluster VM.

      Periodo di blocco degli aggiornamenti di Cloud Automation: Oracle applica periodicamente gli aggiornamenti agli strumenti di database e al software degli agenti necessari per gli strumenti e l'automazione del cloud. Abilitare un periodo di blocco per definire una finestra temporale durante la quale l'automazione Oracle non applicherà gli aggiornamenti cloud.

      Spostare il dispositivo di scorrimento per impostare il periodo di blocco.

      Nota
      
      

      • Il periodo di blocco può estendersi per un massimo di 45 giorni dalla data di inizio.
      • L'automazione di Oracle applicherà automaticamente gli aggiornamenti con correzioni di sicurezza critiche (CVSS >= 9) anche durante un periodo del blocco configurato.
    • Tag: se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare i tag, saltare questa opzione (è possibile applicare i tag in seguito) o chiedere all'amministratore.
16. Fare clic su Crea.

Per visualizzare i dettagli di un connettore di identità collegato a un cluster VM, utilizzare questa procedura.

1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. In Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata.
3. Fare clic sul nome del cluster VM desiderato.
4. Nella pagina Dettagli cluster VM risultante, nella sezione Informazioni multicloud, confermare che nel campo Connettore di identità viene visualizzato il connettore di identità collegato a questo cluster VM.
5. Fare clic sul nome del connettore identità per visualizzarne i dettagli.

   Si verrà reindirizzati al portale Database Multicloud Integrations.

Per creare un portachiavi, attenersi alla procedura riportata di seguito.

1. Aprire la console di Google Cloud e andare alla pagina Gestione chiavi.
2. Fare clic su Crea anello chiave.
3. Fornire i dettagli riportati di seguito:
   • Nome: immettere un nome descrittivo per l'anello chiave.
   • Posizione: selezionare una posizione per la suoneria di tasti.

     Importante:

     • I portachiavi con lo stesso nome possono esistere in posizioni diverse, quindi è necessario specificare sempre la posizione.
     • Scegliere una posizione vicina alle risorse che si desidera proteggere.
     • Per le chiavi di cifratura gestite dal cliente, assicurarsi che l'anello chiave si trovi nella stessa posizione delle risorse che lo utilizzeranno.

     Scegliere una posizione per il tuo Key Ring:

     Quando si crea un anello chiave in Google Cloud Key Management Service (KMS), selezionare la posizione giusta è fondamentale. La scelta influisce sulla posizione in cui vengono memorizzate le chiavi crittografiche e su come vengono replicate. Per ulteriori informazioni, vedere Posizioni di Cloud KMS.

     • Region:
       • I dati vengono memorizzati in un'area geografica specifica.
       • Le chiavi rimangono entro i confini di questa singola area.
       • Ideale per:
         • Applicazioni a bassa latenza
         • Conformità ai requisiti di residenza dei dati
         • Carichi di lavoro specifici dell'area
     • Multiregione:
       • I dati vengono replicati in più aree all'interno di un'area geografica più ampia.
       • Google gestisce automaticamente la distribuzione e la replica.
       • Impossibile selezionare singoli data center o aree.
       • Ideale per:
         • High Availability
         • Applicazioni resilienti e tolleranti agli errori
         • Servizi che servono un'ampia area regionale
     • Globale:
       • Tipo speciale di multiregione.
       • Le chiavi sono distribuite nei data center di Google in tutto il mondo.
       • Selezione e controllo ubicazione non disponibili.
       • Ideale per:
         • Applicazioni con utenti globali
         • Casi d'uso che richiedono la massima ridondanza e portata
4. Fare clic su Crea.

Una volta creato l'anello chiave, puoi iniziare a creare e gestire le chiavi di cifratura al suo interno.

Per creare una chiave di cifratura simmetrica raw nella porta e nella posizione specificate, attenersi alla procedura riportata di seguito.

1. Aprire la console di Google Cloud e andare alla pagina Gestione chiavi.
2. Fare clic sul nome dell'anello chiave in cui si desidera creare la chiave.
3. Fare clic su Crea chiave.
4. Fornire i dettagli riportati di seguito:
   • Nome chiave: immettere un nome descrittivo per la chiave.
   • Livello di protezione: scegliere Software o HSM (modulo di sicurezza hardware).

     Il livello di protezione di una chiave non può essere modificato dopo la sua creazione. Per ulteriori informazioni, vedere Livelli di protezione.

   • Materiale chiave: selezionare Genera chiave o Importa chiave.

     Genera materiale chiave in Cloud KMS o importa materiale chiave che viene gestito al di fuori di Google Cloud. Per ulteriori informazioni, vedere Chiavi di cifratura gestite dal cliente (CMEK).

   • Scopo e algoritmo:

     Per ulteriori informazioni, vedere Scopo chiave e algoritmi.

     • Impostare Scopo su Cifratura/decifrazione raw.
     • Per Algoritmo, selezionare AES-256-CBC.
5. Fare clic su Crea.

Dopo la creazione, è possibile utilizzare questa chiave per le operazioni di cifratura che richiedono la cifratura e la decifrazione AES-CBC.

Per consentire la ricerca automatica di una chiave in Oracle Cloud Infrastructure (OCI), attenersi alla procedura riportata di seguito.

1. In Google Cloud KMS, selezionare la chiave che si desidera rendere rilevabile.
2. Andare alla scheda Autorizzazioni e fare clic su Aggiungi principal.
3. Nel campo Nuovi principal, immettere l'account di servizio associato all'agente del servizio risorse del carico di lavoro.
   Nota
   
   

   È possibile trovare questo account di servizio nella pagina Dettagli connettore identità, nella sezione Informazioni GCP. Cercare l'agente del servizio risorse del carico di lavoro e prendere nota del relativo ID, ovvero l'account di servizio richiesto.

4. In Assegna ruoli, aggiungere un ruolo a scelta.
   Nota
   
   

   Creare un ruolo personalizzato con le seguenti autorizzazioni minime e assegnarlo all'anello chiave desiderato.

   Queste autorizzazioni insieme consentono a OCI di:

   • Scopri le risorse KMS come portachiavi e chiavi.
   • Accedere ai metadati relativi alle chiavi e alle relative versioni.
   • Utilizzare le chiavi per le operazioni di cifratura (cifratura/decifrazione).
   • Creare versioni chiave.

   Autorizzazioni minime richieste:

   • cloudkms.cryptoKeyVersions.get

     Consente il recupero dei metadati per una versione chiave specifica.

   • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

     Consente la gestione del materiale chiave AES-CBC grezzo (importazione, rotazione e così via).

   • cloudkms.cryptoKeyVersions.create

     Consente la creazione di nuove versioni della chiave all'interno di una chiave.

   • cloudkms.cryptoKeyVersions.list

     Elenca tutte le versioni di una chiave specificata.

   • cloudkms.cryptoKeyVersions.useToDecrypt

     Consente di utilizzare una versione della chiave per la decifrazione dei dati.

   • cloudkms.cryptoKeyVersions.useToEncrypt

     Consente di utilizzare una versione della chiave per la cifratura dei dati.

   • cloudkms.cryptoKeys.get

     Consente il recupero dei metadati per una chiave.

   • cloudkms.cryptoKeys.list

     Elenca tutte le chiavi all'interno di un portachiavi.

   • cloudkms.keyRings.get

     Consente il recupero dei metadati per un anello chiave.

   • cloudkms.locations.get

     Recupera le informazioni sulle posizioni chiave supportate.

5. Fare clic su Salva per applicare le modifiche.
6. Fare clic su Aggiorna per confermare che le autorizzazioni aggiornate sono diventate effettive.

Per abilitare le chiavi di cifratura gestite dal cliente (CMEK) di Google Cloud per il cluster VM, è prima necessario registrare il portachiavi GCP in OCI.

1. Nel portale Integrazioni multi-cloud database, andare a: Integrazione di Google Cloud > Anelli chiave GCP.
2. Fare clic su GCP Key Ring,
3. Fare clic su Registra portachiavi GCP
4. Nella pagina Registra portachiavi GCP risultante fornire i dettagli riportati di seguito.
   • Compartimento: selezionare il compartimento in cui risiede il cluster VM.
   • Connettore identità: scegliere il connettore identità collegato al cluster VM.
   • Anello tasti: immettere il nome dell'anello chiave GCP da registrare.

     Per trovare tutti i portachiavi disponibili tramite un singolo connettore di identità, è necessario concedere le autorizzazioni seguenti al connettore di identità. Queste autorizzazioni devono essere assegnate a livello di progetto o cartella appropriato per garantire che il connettore possa accedere a tutti gli anelli chiave nell'ambito previsto.

     • cloudkms.keyRings.list

       Consente di elencare tutti gli anelli chiave all'interno di un progetto.

     • cloudkms.locations.get

       Consente il recupero dei metadati per un anello di chiavi specifico.

5. Fare clic su Trova per verificare se la suoneria di chiavi esiste in GCP.

   In caso di successo, verranno visualizzati i dettagli dell'anello chiave.

   Nota
   
   

   È possibile registrare solo i portachiavi, non le singole chiavi. Tutte le chiavi supportate associate a un portachiavi registrato saranno disponibili, a condizione che siano in vigore le autorizzazioni necessarie.

6. Fare clic su Registra.

Per abilitare CMEK GCP per il cluster VM Exadata, utilizzare questa procedura.

1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. In Oracle Exadata Database Service on Dedicated Infrastructure, fare clic su Cluster VM Exadata.
3. Selezionare il nome del cluster VM da configurare.
4. Nella pagina Dettagli cluster VM, scorrere fino alla sezione Informazioni multicloud e fare clic su Abilita accanto a CMEK GCP.
5. Per disabilitare CMEK GCP, fare clic su Disabilita.

Questo argomento descrive solo i passi per la creazione di un database e l'utilizzo della chiave di cifratura gestita dal cliente GCP (CMEK) come soluzione di gestione delle chiavi.

Per la procedura di creazione del database generico, vedere Per creare un database in un cluster VM esistente.

Per modificare le chiavi di cifratura tra diversi metodi di cifratura, attenersi alla procedura riportata di seguito.

1. Andare alla pagina dei dettagli del database nella console OCI.
2. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Oracle Wallet, quindi fare clic sul collegamento Modifica.
3. Immettere le informazioni seguenti nella pagina Modifica gestione chiavi.
   1. Selezionare Gestione chiavi come Chiave di cifratura gestita dal cliente GCP dall'elenco a discesa.
   2. Selezionare il compartimento in uso, quindi scegliere l'anello chiave disponibile in tale compartimento.
   3. Successivamente, selezionare il compartimento Chiave in uso, quindi scegliere la chiave desiderata dall'elenco a discesa.
   4. Fare clic su Salva modifiche.

Per ruotare la chiave di cifratura gestita dal cliente GCP di un container database (CDB), attenersi alla procedura riportata di seguito.

1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. Scegliere il compartimento.

   Viene visualizzata una lista di cluster VM per il compartimento scelto.

3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il database che si desidera ruotare le chiavi di cifratura.
4. Fare clic su Database.
5. Fare clic sul nome del database che si desidera ruotare le chiavi di cifratura.

   Nella pagina Dettagli database vengono visualizzate informazioni sul database selezionato.

6. Nella sezione Cifratura, verificare che Gestione chiavi sia impostato su Chiave di cifratura gestita dal cliente GCP, quindi fare clic sul collegamento Ruota.
7. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.

Per ruotare la chiave di cifratura gestita dal cliente GCP di un pluggable database (PDB), utilizzare questa procedura.

1. Aprire il menu di navigazione. Fai clic su Oracle Database, quindi su Oracle Exadata Database Service on Dedicated Infrastructure.
2. Scegliere il compartimento.

   Viene visualizzata una lista di cluster VM per il compartimento scelto.

3. Nella lista dei cluster VM fare clic sul nome del cluster VM contenente il PDB che si desidera avviare, quindi fare clic sul relativo nome per visualizzare la pagina dei dettagli.
4. In Database, individuare il database contenente il PDB che si desidera ruotare le chiavi di cifratura.
5. Fare clic sul nome del database per visualizzare la pagina Dettagli database.
6. Fare clic su Basi di dati collegabili nella sezione Risorse della pagina.

   Viene visualizzata una lista di PDB esistenti in questo database.

7. Fare clic sul nome del PDB che si desidera ruotare le chiavi di cifratura.

   Viene visualizzata la pagina dei dettagli collegabili.

8. Nella sezione Cifratura viene visualizzato che la gestione delle chiavi è impostata come chiave di cifratura gestita dal cliente GCP.
9. Fare clic sul collegamento Ruota.
10. Nella finestra di dialogo Tasto di rotazione risultante fare clic su Ruota per confermare l'azione.