Documentação do Oracle Cloud Infrastructure

Integração do Google Cloud Key Management para o Exadata Database Service no Oracle Database@Google Cloud

O Exadata Database Service no Oracle Database@Google Cloud agora suporta integração com o KMS (Key Management Service) do Google Cloud Platform.

Esse aprimoramento permite que os usuários gerenciem chaves de criptografia mestras (MEKs) de TDE (Transparent Data Encryption) usando CMEKs (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP.

Anteriormente, as chaves de criptografia mestras (MEKs) de TDE (Transparent Data Encryption) só podiam ser armazenadas em um Oracle Wallet baseado em arquivo, no Oracle Cloud Infrastructure (OCI) Vault ou no Oracle Key Vault (OKV). Com essa atualização, os usuários agora podem armazenar e gerenciar MEKs diretamente no GCP KMS, fornecendo melhor controle do ciclo de vida das chaves e alinhamento com políticas de segurança específicas da organização.

Essa integração permite que aplicativos, serviços do Google Cloud e bancos de dados se beneficiem de uma solução centralizada de gerenciamento de chaves que oferece segurança aprimorada e gerenciamento simplificado do ciclo de vida das chaves.

Tópico principal: Guias Práticos

Pré-requisitos

Antes de configurar as CMEK (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP como o serviço de gerenciamento de chaves para seus bancos de dados, certifique-se de que os pré-requisitos a seguir sejam atendidos.

  1. Provisione um Cluster de VMs do Exadata pela console do Google Cloud. Consulte Provisionando um Cluster de VMs do Exadata para o Google Cloud para obter instruções passo a passo.
  2. Verifique a conexão do Conector de Identidade para garantir que ela esteja configurada e ativa corretamente. Para obter mais informações, consulte Verificar o Conector de Identidade Padrão Anexado ao Cluster de VMs.
  3. Pré-requisitos para Configurar CMEK (Chaves de Criptografia Gerenciadas pelo Cliente) do GCP no Nível do Cluster de VMs do Exadata.

    Para ativar as Chaves de Criptografia Gerenciada pelo Cliente (CMEK) do Google Cloud Platform (GCP) para bancos de dados implantados com o Exadata Database Service no Oracle Database@Google Cloud, configure o CMEK como a opção de gerenciamento de chaves no nível do cluster de VMs. Depois que o CMEK for ativado, todas as operações de criptografia e decriptografia do banco de dados usarão a chave gerenciada pelo GCP especificada.

    Antes de ativar o CMEK, certifique-se de que:
    • Os anéis de chave do GCP necessários e as chaves de criptografia já foram criados no GCP.
    • Essas chaves são espelhadas como recursos âncora no Oracle Cloud Infrastructure (OCI), garantindo a sincronização entre o GCP e o OCI.
    • Os recursos de âncora estão em vigor para provisionamento de banco de dados e gerenciamento do ciclo de vida da chave de criptografia, incluindo rotação de chaves, revogação e auditoria.
  4. Requisitos de Política do Serviço IAM para Acessar os Principais Recursos do GCP.

    O banco de dados usa o controlador de recursos do cluster para recuperar com segurança os recursos da chave do GCP. Para ativar essa funcionalidade, você deve definir as políticas de IAM apropriadas na sua tenancy do OCI.

    Acesso Somente para Leitura às Chaves do Oracle GCP:
    Allow any-user to read oracle-db-gcp-keys in compartment id <your-compartment-OCID> 
where all { request.principal.type = 'cloudvmcluster',}

    Esta política concede acesso somente leitura aos recursos de chave do GCP para o controlador de recursos do cluster de VMs.

Usando a Console para Gerenciar a Integração do GCP KMS para o Exadata Database Service no Oracle Database@Google Cloud

Saiba como gerenciar a integração do GCP KMS para o Exadata Database Service no Oracle Database@Google Cloud.

Tópico principal: Integração do Google Cloud Key Management para o Exadata Database Service no Oracle Database@Google Cloud

Para criar o cluster da VM do ASM, prepare-se para fornecer valores para os campos necessários para configurar a infraestrutura.

Observação

Para criar um cluster de VMs na nuvem em uma instância do Exadata Cloud Infrastructure, primeiro você deve ter criado um recurso de infraestrutura do Exadata na Nuvem.

Observação

A Infraestrutura ativada para várias VMs suportará a criação de vários Clusters de VMs. As infraestruturas criadas antes da liberação do recurso Criar e Gerenciar Diversas Máquinas Virtuais por Sistema Exadata (MultiVM) e Subconjunto de Nós de Clusters de VMs só suportam a criação de um único cluster de VMs na nuvem.

Observação

Quando você provisiona um cluster de VMs do Exadata no Exadata Database Service no Oracle Database@Google Cloud, um Conector de Identidade é criado e associado automaticamente ao cluster de VMs.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
    Observação

    Vários clusters só podem ser criados em uma Infraestrutura ativada para Várias VMs.

  3. Clique em Criar Cluster de VMs do Exadata.

    A página Criar Cluster de VMs do Exadata é exibida. Forneça as informações necessárias para configurar o cluster de VMs.

  4. Compartimento: Selecione um compartimento para o recurso de cluster de VMs.
  5. Nome para exibição: Digite um nome para exibição amigável do cluster de VMs. O nome não precisa ser exclusivo. Um Oracle Cloud Identifier (OCID) identificará exclusivamente o cluster de VMs. Evite digitar informações confidenciais.
  6. Selecionar infraestrutura do Exadata: Selecione o recurso de infraestrutura que conterá o cluster de VMs. Escolha um recurso de infraestrutura que tenha recursos suficientes para criar um novo cluster de VMs. Clique em Alterar Compartimento e escolha um compartimento distinto daquele no qual você está trabalhando para exibir recursos de infraestrutura em outros compartimentos.
    Observação

    Vários clusters só podem ser criados em uma Infraestrutura ativada para Várias VMs.

  7. Tipo de Cluster de VMs:
    Observação

    Não é possível alterar o tipo de cluster de VMs após a implantação do cluster de VMs. Se quiser alterar o tipo de cluster de VMs, crie um novo cluster de VMs e migre o banco de dados para o novo cluster.

    • Exadata Database: VM de Banco de Dados Padrão sem restrições, adequada para todas as cargas de trabalho.
    • Exadata Database-Developer: VM do Developer Database com restrições, adequada apenas para desenvolvimento de aplicativos.
  8. Configurar o cluster de VMs: Especifique os servidores de Banco de Dados a serem usados para o novo cluster de VMs (por padrão, todos os Servidores de Banco de Dados são selecionados). Clique em Selecionar Servidores de Banco de Dados para selecionar entre os servidores de banco de dados disponíveis e clique em Salvar.

    Tipo de Cluster de VMs - Banco de Dados Exadata: Selecione no mínimo um servidor de banco de dados para posicionamento de VMs. Se você precisar de um serviço de banco de dados de alta disponibilidade que permaneça disponível durante a manutenção e interrupções não planejadas, selecione pelo menos dois servidores de banco de dados. O número máximo de recursos disponíveis para alocação por VM é baseado no número de servidores de banco de dados selecionados.

    Tipo de Cluster de VMs - Exadata Database-Developer: Selecione um servidor de banco de dados para posicionamento de VMs. Somente um servidor de banco de dados pode ser selecionado.

    No painel Alocação de recursos por VM:

    • Especifique o número de OCPU/ECPU que você deseja alocar para cada um dos nós de computação da máquina virtual do cluster da VM. Para clusters de VMs criados no X11M Exadata Infrastructure, especifique ECPUs. Para Clusters de VMs criados no X10M e na infraestrutura anterior do Exadata, especifique OCPUs. O mínimo é 2 OCPUs por VM para X10M e infraestrutura anterior ou 8 ECPUs por VM para clusters de VMs criados na infraestrutura Exadata X11M. O campo Contagem solicitada de OCPUs para o cluster da VM Exadata exibe o número total dos núcleos de OCPU ou ECPU que você está alocando.
    • Especifique a Memória por VM a ser alocada para cada VM. O mínimo por VM é 30 GB.
    • Especifique o Armazenamento Local por VM para alocar armazenamento local a cada VM. O mínimo por VM é 60 GB.

      Sempre que você cria um novo cluster de VMs, o espaço restante fora do espaço total disponível é utilizado para o novo cluster de VMs.

      Além de /u02, é possível especificar o tamanho de sistemas de arquivos locais adicionais.

      Para obter mais informações e instruções para especificar o tamanho de cada VM individual, consulte Introdução às Operações de Ampliação ou Redução.

      • Clique em Mostrar opções adicionais de configuração de sistemas de arquivos locais.
      • Especifique o tamanho dos sistemas de arquivos /, /u01, /tmp, /var, /var/log, /var/log/audit e /home, conforme necessário.
        Observação

        • Só é possível expandir esses sistemas de arquivos e não é possível reduzir o tamanho depois de expandido.
        • Devido a partições de backup e espelhamento, os sistemas de arquivos / e /var consumirão o dobro do espaço alocado, o que é indicado nos campos Total de armazenamento alocado para/ (GB) somente leitura devido ao espelhamento e Total de armazenamento alocado para /tmp (GB) devido ao espelhamento.
      • Após criar o Cluster de VMs, verifique a seção Recursos do Exadata na página Detalhes da Infraestrutura do Exadata para verificar o tamanho do arquivo alocado para o armazenamento local (/u02) e o armazenamento local (sistemas de arquivos adicionais).
  9. Armazenamento do Exadata:
    • Especificar o armazenamento utilizável do Exadata em TB. Especifique o armazenamento em múltiplos de 1 TB. Mínimo: 2 TB
    • Alocar armazenamento para snapshots esparsos do Exadata: Selecione essa opção de configuração se você pretende usar a funcionalidade de snapshot no seu cluster de VMs. Se você selecionar essa opção, o grupo de discos SPARSE será criado, o qual permitirá usar a funcionalidade de snapshot do cluster de VMs para clonagem esparsa do PDB. Se você não selecionar esta opção, o grupo de discos SPARSE não será criado e a funcionalidade de snapshot não estará disponível em implantações de banco de dados que forem criadas no ambiente.
      Observação

      A opção de configuração de armazenamento para snapshots esparsos não pode ser alterada após a criação da VM.

    • Alocar armazenamento para backups locais: Selecione essa opção se você pretende fazer backups de bancos de dados no armazenamento local do Exadata dentro da sua instância do Exadata Cloud Infrastructure. Se você selecionar essa opção, mais espaço será alocado ao grupo de discos RECO, que é usado para armazenar backups no armazenamento do Exadata. Se você não selecionar essa opção, mais espaço será alocado ao grupo de discos DATA, que permite armazenar mais informações nos seus bancos de dados.
      Observação

      A opção de configuração de armazenamento para backups locais não pode ser alterada após a criação da VM.

  10. Versão:
    • Versão do Oracle Grid Infrastructure: Na lista, escolha o Oracle Grid Infrastructure (19c e 23ai) que deseja instalar no cluster de VMs.

      A release do Oracle Grid Infrastructure determina as releases do Oracle Database que podem ser suportadas no cluster de VMs. Não é possível executar uma release do Oracle Database que seja posterior à release do software Oracle Grid Infrastructure.

      Observação

      Requisitos mínimos para provisionar um Cluster de VMs com o Grid Infrastructure 23ai:

      • VM Convidada do Exadata executando o Software do Sistema Exadata 23.1.8
      • Infraestrutura do Exadata executando o Software do Sistema Exadata 23.1.x
    • Versão convidada do Exadata:
      • Infraestrutura Exadata com Oracle Linux 7 e imagem Exadata versão 22.1.10.0.0.230422:
        • O botão Alterar imagem não está ativado.
        • A versão do Oracle Grid Infrastructure tem como padrão 19.0.0.0.0.
        • A versão do convidado do Exadata será a mesma do sistema operacional do host.
      • Infraestrutura do Exadata com Oracle Linux 8 e imagem do Exadata versão 23.1.3.0.0.230613:
        • A versão do convidado do Exadata assume como padrão a mais recente (23.1.3.0).
        • A versão do Oracle Grid Infrastructure tem como padrão 19.0.0.0.0
        • O botão Alterar imagem está ativado.
        • Clique em Alterar imagem.

          O painel Alterar imagem resultante exibe a lista de versões principais disponíveis da imagem do Exadata (23.1.3.0 e 22.1.3.0).

          A release mais recente de cada versão principal é indicada por "(última)".

        • Exibir todas as versões disponíveis do slide.

          São exibidas seis versões anteriores, incluindo as versões mais recentes das imagens 23.1.3.0 e 22.1.3.0 do Exadata.

        • Escolha uma versão.
        • Clique em Salvar Alterações.
  11. Chaves SSH: Adicione a parte das chaves públicas de cada par que você deseja usar para acesso SSH ao cluster da VM:
    • Gerar par de chaves SSH (Opção padrão) Selecione esse botão de opção para gerar um par de chaves SSH. Na caixa de diálogo abaixo, clique emSalvar chave privada para fazer download da chave e, opcionalmente, clique em Salvar chave pública para fazer download da chave.
    • Fazer upload de arquivos de chave SSH: Selecione esse botão de opção para procurar ou arrastar e soltar arquivos .pub.
    • Colar chaves SSH: Selecione esse botão de opção para colar chaves públicas individuais. Para colar várias chaves, clique em + Outra Chave SSH e forneça uma chave única para cada entrada.
  12. Definições de rede: especifique o seguinte:
    Observação

    Endereços IP (100.64.0.0/10) são usados para interconexão X8M da Exadata Cloud Infrastructure

    .

    Você não tem a opção de escolher entre IPv4 (pilha única) e IPv4/IPv6 (pilha dupla) se ambas as configurações existirem. Para obter mais informações, consulte VCN e Gerenciamento de Sub-rede.

    • Rede virtual na nuvem: A VCN na qual você deseja criar o cluster de VMs. Clique em Alterar Compartimento para selecionar uma VCN em outro compartimento.
    • Sub-rede do cliente: A sub-rede à qual o cluster de VMs deve ser conectado. Clique em Alterar Compartimento para selecionar uma sub-rede em outro compartimento.

      Não use uma sub-rede que se sobreponha a 192.168.16.16/28, que é usada pela interconexão privada do Oracle Clusterware na instância de banco de dados. A especificação de uma sub-rede de sobreposição faz com que a interconexão privada funcione incorretamente.

    • Sub-rede de backup: A sub-rede a ser usada para a rede de backup, que geralmente é usada para transportar informações de backup de/para o Destino de Backup, e para a replicação do Data Guard. Clique em Alterar Compartimento para selecionar uma sub-rede em outro compartimento, se aplicável.

      Não use uma sub-rede que substitua 192.168.128.0/20. Essa restrição se aplica à sub-rede do cliente e à sub-rede de backup.

      Se você planeja fazer backup dos bancos de dados para o serviço Object Storage ou Autonomous Recovery, consulte os pré-requisitos da rede em Gerenciando Backups de Bancos de Dados Exadata.

      Observação

      Caso o Autonomous Recovery Service seja usado, uma nova sub-rede dedicada será altamente recomendada. Verifique os requisitos e as configurações de rede necessários para fazer backup de seus bancos de dados Oracle Cloud no Recovery Service. Consulte Configurando Recursos de Rede para Serviço de Recuperação.

    • Grupos de Segurança de Rede: Opcionalmente, você pode especificar um ou mais grupos de segurança da rede (NSGs) para as redes cliente e de backup. Os NSGs funcionam como firewalls virtuais, permitindo que você aplique um conjunto de regras de segurança de entrada e saída ao cluster de VMs do Exadata Cloud Infrastructure. É possível especificar um máximo de cinco NSGs. Para obter mais informações, consulte Grupos de Segurança de Rede e Configuração da Rede para Instâncias do Exadata Cloud Infrastructure.

      Observe que, se você escolher uma sub-rede com uma lista de segurança, as regras de segurança do cluster de VMs serão uma união das regras da lista de segurança e dos NSGs.

      Para usar grupos de segurança de rede:

      • Marque a caixa de seleção Usar grupos de segurança de rede para controlar o tráfego. Essa caixa aparece sob o seletor das sub-redes do cliente e de backup. Você pode aplicar NSGs à rede do cliente ou à rede de backup ou a ambas as redes. Observe que você deverá ter uma rede virtual na nuvem selecionada para poder designar NSGs a uma rede.
      • Especifique o NSG a ser usado com a rede. Pode ser necessário usar mais de um NSG. Em caso de dúvida, entre em contato com o administrador.
      • Para usar NSGs adicionais com a rede, clique em + Outro Grupo de Segurança de Rede.
      Observação

      Para fornecer segurança adicional aos recursos do Cluster de VMs na nuvem, você pode usar o Oracle Cloud Infrastructure Zero Trust Packet Routing para garantir que apenas os recursos identificados com atributos de segurança tenham permissões de rede para acessar seus recursos. A Oracle fornece modelos de política de Banco de Dados que você pode usar para ajudá-lo a criar políticas para casos de uso comuns de segurança de banco de dados. Para configurá-lo agora, você já deve ter criado atributos de segurança com o Oracle Cloud Infrastructure Zero Trust Packet Routing. Clique em Mostrar Opções Avançadas no final deste procedimento.

      Lembre-se de que, quando você fornece atributos de segurança para um cluster, assim que ele é aplicado, todos os recursos exigem uma política de Pacote de Confiança Zero para acessar o cluster. Se houver um atributo de segurança em um ponto final, ele deverá atender às regras do NSG (grupo de segurança de rede) e da política do OCI ZPR (Oracle Cloud Infrastructure Zero Trust Packet Routing).

    • Para usar o Serviço de DNS privado
      Observação

      Um DNS Privado deve ser configurado antes de ser selecionado. Consulte Configurar DNS Privado

      • Marque a caixa de seleção Usar Serviço de DNS privado.
      • Selecione uma view privada. Clique em Alterar Compartimento para selecionar uma view privada em outro compartimento.
      • Selecione uma zona privada. Clique em Alterar Compartimento para selecionar uma zona privada em outro compartimento.
    • Prefixo de nome de host: Sua opção de nome de host para o cluster de VMs do Exadata. O nome do host deve começar com um caractere alfabético e só pode conter caracteres alfanuméricos e hifens (-). O número máximo de caracteres permitido para um cluster de VMs do Exadata é 12.

      Cuidado:

      O nome do host deve ser exclusivo na sub-rede. Se não for exclusivo, o cluster de VMs não será provisionado.

    • Nome do domínio do host: O nome do domínio do cluster de VMs. Se a sub-rede selecionada usar o Resolvedor de Internet e VCN fornecido pela Oracle para resolução do nome de DNS, esse campo exibirá o nome do domínio da sub-rede e não poderá ser alterado. Caso contrário, você poderá fornecer sua escolha do nome do domínio. Hifens (-) não são permitidos.

      Se você planeja armazenar backups dos bancos de dados no serviço Object Storage ou Autonomous Recovery, a Oracle recomenda que você use um Resolvedor da VCN para a resolução do nome do DNS da sub-rede do cliente porque ele resolve automaticamente os pontos finais Swift usados para backups.

    • Host e URL do domínio: Esse campo somente para leitura combina os nomes de host e domínio para exibir o FQDN (nome do domínio totalmente qualificado) do banco de dados. O tamanho máximo é 63 caracteres.
  13. Escolher um tipo de licença: O tipo de licença que você deseja usar para o cluster de VMs. Sua escolha afeta a medição de faturamento.
    • Licença Incluída significa que o custo do serviço de nuvem inclui uma licença para o serviço Database.
    • BYOL (Bring Your Own License) significa que você é um cliente Oracle Database que tem um Contrato de Licença Ilimitado ou um Contrato de Licença Não Ilimitado e deseja usar sua licença com o Oracle Cloud Infrastructure. Isso elimina a necessidade de licenças on-premises separadas e licenças na nuvem.
  14. Coleta de Diagnóstico: Ativando a coleta e as notificações de diagnóstico, o Oracle Cloud Operations e você poderão identificar, investigar, rastrear e resolver problemas de VM convidada de forma rápida e eficaz. Assine o serviço Events para ser notificado sobre alterações no estado do recurso.
    Observação

    Você está optando por usar o entendimento de que a lista de eventos acima (ou métricas, ficheiros de log) pode mudar no futuro. Você pode recusar esse recurso a qualquer momento

    .
    • Ativar Eventos de Diagnóstico: Permitir que a Oracle colete e publique eventos críticos, de advertência, de erro e de informações para mim.
    • Ativar Monitoramento de Integridade: Permitir que a Oracle colete métricas/eventos de integridade como o Oracle Database ativado/desativado, uso do espaço em disco etc., e compartilhe-os com as operações do Oracle Cloud. Você também receberá notificação de alguns eventos.
    • Ativar Coleta de Logs e Rastreamento de Incidentes: Permitir que a Oracle colete logs e rastreamentos de incidentes para ativar o diagnóstico de falha e a resolução de problemas.
    Observação

    Você está optando por usar o entendimento de que a lista de eventos acima (ou métricas, ficheiros de log) pode mudar no futuro. Você pode recusar esse recurso a qualquer momento.

    Todas as três caixas de seleção são marcadas por padrão. Você pode deixar as definições padrão como são ou desmarcar as caixas de verificação conforme necessário. Você pode exibir as definições de Coleta de Diagnóstico na página Detalhes do Cluster de VMs em Informações Gerais >> Coleta de Diagnóstico.
    • Ativada: Quando você opta por coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (todas as três opções).
    • Desativada: Quando você opta por não coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (todas as três opções).
    • Parcialmente Ativada: Quando você opta por coletar diagnósticos, métricas de integridade, logs de incidentes e arquivos de rastreamento (uma ou duas opções).
  15. Clique em Mostrar Opções Avançadas para especificar opções avançadas para o cluster de VMs:

    • Fuso horário: Essa opção está localizada na guia Gerenciamento. O fuso horário padrão do cluster de VMs é UTC, mas você pode especificar outro fuso horário. As opções de fuso horário são as suportadas na classe Java.util.TimeZone e no sistema operacional Oracle Linux.

      Observação

      Se você quiser definir um fuso horário que não seja UTC ou o fuso horário detectado pelo browser e não vir o fuso horário desejado, tente selecionar a opção Selecionar outro fuso horário, em seguida, selecionando "Diversos" na lista Região ou país e pesquisando as seleções adicionais de Fuso horário.

    • Porta do Listener SCAN: Essa opção está localizada na guia Rede. Você pode designar uma porta de listener SCAN (TCP/IP) no intervalo entre 1024 e 8999. O padrão é 1521. de
      Observação

      Não há suporte para a alteração manual da porta do listener SCAN de um cluster de VMs após o provisionamento usando o software de backend. Essa alteração pode causar falhas no provisionamento do Data Guard.
    • ZPR (Zero Trust Packet Routing): Esta opção está localizada na guia Atributos de segurança. Selecione um namespace e forneça a chave e o valor do atributo de segurança. Para concluir esta etapa durante a configuração, você já deve ter configurado atributos de segurança com o Oracle Cloud Infrastructure Zero Trust Packet Routing. Você também pode adicionar atributos de segurança após a configuração e adicioná-los posteriormente. Para obter mais informações sobre como adicionar políticas específicas do Oracle Exadata Database Service on Dedicated Infrastructure, consulte Criador de Modelos de Política.
    • Atualização da Automação na Nuvem: A Oracle aplica periodicamente atualizações às ferramentas de banco de dados e ao software do agente necessários para ferramentas e automação na nuvem. Você pode configurar seu intervalo de tempo preferencial para que essas atualizações sejam aplicadas ao seu Cluster de VMs.

      Defina o horário de início para atualizações de automação na nuvem.

      Observação

      A Oracle verificará as atualizações mais recentes do VM Cloud Automation todos os dias entre o intervalo de tempo configurado e aplicará atualizações quando aplicável. Se a automação não puder começar a aplicar atualizações dentro do intervalo de tempo configurado devido a algum processo de longa execução subjacente, a Oracle verificará automaticamente o dia seguinte durante o intervalo de tempo configurado para começar a aplicar atualizações de automação na nuvem ao Cluster de VMs.

      Ativar acesso antecipado para atualização de ferramentas na nuvem: Os clusters de VMs designados para acesso antecipado recebem atualizações de 1 a 2 semanas antes de estarem disponíveis para outros sistemas. Marque esta caixa de seleção se quiser adoção antecipada para este cluster de VMs.

      Período de Congelamento da Atualização do Cloud Automation: A Oracle aplica periodicamente atualizações às ferramentas de banco de dados e ao software do agente necessários para ferramentas e automação na nuvem. Ative um período de congelamento para definir um intervalo de tempo durante o qual a automação da Oracle não aplicará atualizações na nuvem.

      Mova o controle deslizante para definir o período de congelamento.

      Observação

      • O período de congelamento pode se estender por um máximo de 45 dias a partir da data inicial.
      • A automação da Oracle aplicará automaticamente atualizações com correções de segurança críticas (CVSS >= 9), mesmo durante um período configurado de congelamento.
    • Tags: Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deve aplicar tags, ignore essa opção (você poderá aplicar tags posteriormente) ou pergunte ao administrador.
  16. Clique em Criar.

QUAL É O PRÓXIMO PASSO?

Após a criação bem-sucedida do cluster de VMs e no estado Disponível.
  • Você pode exibir a página Detalhes do Cluster de VMs clicando no nome do cluster de VMs na lista de clusters. Na página Detalhes do Cluster de VMs, você pode criar seu primeiro banco de dados no cluster, clicando em Criar Banco de Dados
  • Os campos Endereço IP SCAN (IPv4) e Endereço IP SCAN (IPv6) na seção Rede da página Detalhes do Cluster de VMs exibem os detalhes do endereço IP de pilha dupla.
  • O campo Atualização do Serviço Cloud Automation na seção Versão da página Detalhes do Cluster de VMs exibe o período de congelamento definido.

Para exibir os detalhes de um conector de identidade anexado a um cluster de VMs, use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Clique no nome do cluster de VMs de sua escolha.
  4. Na página Detalhes do Cluster de VMs resultante, na seção Informações Multinuvem, confirme se o campo Conector de identidade exibe o conector de identidade anexado a este cluster de VMs.
  5. Clique no nome do Conector de Identidade para exibir seus detalhes.

    Você será redirecionado ao portal Database Multicloud Integrations.

Para criar um keyring, use este procedimento.

  1. Abra o Google Cloud Console e navegue até a página Gerenciamento de Chaves.
  2. Clique em Criar keyring.
  3. Forneça os seguintes detalhes:
    • Nome: Informe um nome descritivo para o keyring.
    • Local: Selecione um local para o seu keyring.

      Importante:

      • Anéis de chave com o mesmo nome podem existir em diferentes locais, portanto, você deve sempre especificar o local.
      • Escolha uma localização próxima aos recursos que deseja proteger.
      • Para Chaves de Criptografia Gerenciadas pelo Cliente, verifique se o keyring está no mesmo local que os recursos que o usarão.

      Escolhendo um local para o seu Keyring:

      Ao criar um keyring no Google Cloud Key Management Service (KMS), é crucial selecionar o local certo. Sua escolha afeta onde suas chaves criptográficas são armazenadas e como elas são replicadas. Para obter mais informações, consulte Localizações do Cloud KMS.

      • Região:
        • Os dados são armazenados em uma região geográfica específica.
        • As chaves permanecem dentro dos limites desta única região.
        • Ideal para:
          • Aplicativos de baixa latência
          • Conformidade com os requisitos de residência de dados
          • Cargas de trabalho específicas da região
      • Multirregião:
        • Os dados são replicados em várias regiões dentro de uma área geográfica maior.
        • O Google gerencia a distribuição e a replicação automaticamente.
        • Não é possível selecionar data centers ou regiões individuais.
        • Ideal para:
          • Alta disponibilidade
          • Aplicações resilientes e tolerantes a falhas
          • Serviços que atendem a uma ampla área regional
      • Global:
        • Um tipo especial de multirregião.
        • As chaves são distribuídas entre os data centers do Google em todo o mundo.
        • A seleção e o controle de local não estão disponíveis.
        • Ideal para:
          • Aplicativos com usuários globais
          • Casos de uso que precisam de redundância e alcance máximos
  4. Clique em Criar.

Uma vez que o keyring é criado, você pode começar a criar e gerenciar chaves de criptografia dentro dele.

Para criar uma chave de criptografia simétrica bruta no keyring e no local especificados, use este procedimento.

  1. Abra o Google Cloud Console e navegue até a página Gerenciamento de Chaves.
  2. Clique no nome do keyring no qual deseja criar a chave.
  3. Clique em Criar chave.
  4. Forneça os seguintes detalhes:
    • Nome da chave: Informe um nome descritivo para sua chave.
    • Nível de proteção: Escolha Software ou HSM (Módulo de Segurança de Hardware).

      O nível de proteção de uma chave não pode ser alterado após a criação da chave. Para obter mais informações, consulte Níveis de proteção.

    • Material da chave: Selecione Gerar chave ou Importar chave.

      Gere material de chave no Cloud KMS ou importe material de chave mantido fora do Google Cloud. Para obter mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK).

    • Finalidade e Algoritmo:

      Para obter mais informações, consulte Fins principais e algoritmos.

      • Defina Finalidade como Criptografia/decriptografia bruta.
      • Para Algoritmo, selecione AES-256-CBC.
  5. Clique em Criar.

Após a criação, você pode usar essa chave para operações criptográficas que exigem criptografia e decriptografia AES-CBC.

Para permitir que uma chave seja detectável no OCI (Oracle Cloud Infrastructure), use este procedimento.

  1. No Google Cloud KMS, selecione a chave que você deseja tornar detectável.
  2. Navegue até a guia Permissões e clique em Adicionar principal.
  3. No campo Novos principais, informe a conta de serviço associada ao seu Agente de Serviço de Recursos de Carga de Trabalho.
    Observação

    Você pode encontrar essa conta de serviço na página Detalhes do Conector de Identidade, na seção Informações do GCP. Procure o Agente de serviço de recurso de carga de trabalho e anote seu ID. Essa é a conta de serviço necessária.

  4. Em Designar atribuições, adicione uma atribuição de sua escolha.
    Observação

    Crie um papel personalizado com as permissões mínimas a seguir e atribua-o ao keyring de sua escolha.

    Essas permissões juntas permitem que o OCI:

    • Descubra recursos do KMS, como key rings e keys.
    • Acessar metadados sobre chaves e suas versões.
    • Use as chaves para operações criptográficas (criptografia/descriptografia).
    • Criar versões de chave.

    Permissões Mínimas Necessárias:

    • cloudkms.cryptoKeyVersions.get

      Permite a recuperação de metadados para uma versão de chave específica.

    • cloudkms.cryptoKeyVersions.manageRawAesCbcKeys

      Permite o gerenciamento de material-chave bruto AES-CBC (importação, rotação, etc.).

    • cloudkms.cryptoKeyVersions.create

      Permite a criação de novas versões de chave em uma chave.

    • cloudkms.cryptoKeyVersions.list

      Lista todas as versões de uma determinada chave.

    • cloudkms.cryptoKeyVersions.useToDecrypt

      Concede permissão para usar uma versão de chave para decriptografar dados.

    • cloudkms.cryptoKeyVersions.useToEncrypt

      Concede permissão para usar uma versão de chave para criptografar dados.

    • cloudkms.cryptoKeys.get

      Permite a recuperação de metadados para uma chave.

    • cloudkms.cryptoKeys.list

      Lista todas as chaves dentro de um keyring.

    • cloudkms.keyRings.get

      Permite a recuperação de metadados para um keyring.

    • cloudkms.locations.get

      Recupera informações sobre locais de chave suportados.

  5. Clique em Salvar para aplicar as alterações.
  6. Clique em Atualizar para confirmar se as permissões atualizadas entraram em vigor.

Para ativar as Chaves de Criptografia Gerenciada pelo Cliente (CMEK) do Google Cloud para seu cluster de VMs, primeiro registre o Keyring do GCP na OCI.

Observação

Antes de continuar, certifique-se de que as permissões descritas em Conceder Permissões no Google Cloud KMS para Descoberta de Chaves pela Oracle Cloud Infrastructure (OCI) tenham sido concedidas.

  1. No portal Integrações Multicloud de Banco de Dados, navegue até: Integração do Google Cloud > Anéis de Chaves GCP.
  2. Clique em Key Ring do GCP,
  3. Clique em Registrar key rings do GCP
  4. Na página Registrar key rings do GCP resultante, forneça os seguintes detalhes:
    • Compartimento: Selecione o compartimento no qual o cluster de VMs reside.
    • Conector de Identidade: Escolha o Conector de Identidade anexado ao cluster de VMs.
    • Key Ring: Informe o nome do keyring do GCP a ser registrado.

      Para descobrir todos os keyrings disponíveis por meio de um único conector de identidade, você deve conceder as permissões a seguir a esse conector de identidade. Essas permissões devem ser atribuídas no nível apropriado do projeto ou da pasta para garantir que o conector possa acessar todos os key rings no escopo pretendido.

      • cloudkms.keyRings.list

        Permite listar todos os principais anéis em um projeto.

      • cloudkms.locations.get

        Permite recuperar metadados para um keyring específico.

  5. Clique em Descobrir para verificar se o keyring existe no GCP.

    Se for bem-sucedido, os detalhes do keyring serão exibidos.

    Observação

    Apenas anéis de chave podem ser registrados – não chaves individuais. Todas as chaves suportadas associadas a um keyring registrado estarão disponíveis, desde que as permissões necessárias estejam em vigor.

  6. Clique em Registrar.

Para ativar o GCP CMEK para o Cluster de VMs do Exadata, use este procedimento.

Observação

Quando você provisiona um Cluster de VMs do Exadata, o GCP CMEK é desativado por padrão.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Em Oracle Exadata Database Service on Dedicated Infrastructure, clique em Clusters da VM Exadata.
  3. Selecione o nome do cluster de VMs que você deseja configurar.
  4. Na página Detalhes do Cluster de VMs, role até a seção Informações Multinuvem e clique em Ativar ao lado do GCP CMEK.
  5. Para desativar o GCP CMEK, clique em Desativar.

Criar um Banco de Dados e Usar a Chave de Criptografia Gerenciada pelo Cliente (CMEK) do GCP como a Solução de Gerenciamento de Chaves

Este tópico descreve apenas as etapas para criar um banco de dados e usar a CMEK (Chave de criptografia gerenciada pelo Cliente) do GCP como solução de gerenciamento de chaves.

Para obter o procedimento de criação de banco de dados genérico, consulte Para criar um banco de dados em um Cluster de VMs existente.

Pré-requisitos

  • Ative o Google Cloud Key Management no nível do cluster de VMs.
  • Registre os principais anéis do GCP no OCI.

Etapas

Se o Google Cloud Key Management estiver ativado no cluster de VMs, você terá duas opções de gerenciamento de chaves: Oracle Wallet e Chave de Criptografia Gerenciada pelo Cliente GCP.

  1. Na seção Criptografia, escolha Chave de Criptografia Gerenciada pelo Cliente GCP.
  2. Selecione um Keyring registrado disponível em seu compartimento. Observação
  3. Selecione a chave dentro do keyring selecionado em seu compartimento.

Para alterar as chaves de criptografia entre diferentes métodos de criptografia, use este procedimento.

Observação

  • Não é possível migrar da Chave de Criptografia Gerenciada pelo Cliente GCP para o Oracle Wallet.
  • O banco de dados terá um breve período de indisponibilidade enquanto a configuração do gerenciamento de chaves está sendo atualizada.
  1. Navegue até a página de detalhes do seu banco de dados na console do OCI.
  2. Na seção Criptografia, verifique se o Gerenciamento de chaves está definido como Oracle Wallet e clique no link Alterar.
  3. Especifique as informações a seguir na página Alterar gerenciamento de chaves.
    1. Selecione sua Gerenciamento de chaves como Chave de Criptografia Gerenciada pelo Cliente GCP na lista drop-down.
    2. Selecione o compartimento que você está usando e escolha o Keyring disponível nesse compartimento.
    3. Em seguida, selecione o compartimento Chave que você está usando e escolha a Chave desejada na lista drop-down.
    4. Clique em Salvar alterações.

Para rotacionar a Chave de Criptografia Gerenciada pelo Cliente GCP de um banco de dados contêiner (CDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de Clusters de VMs, clique no nome do cluster que contém o banco de dados que você deseja rotacionar as chaves de criptografia.
  4. Clique em Bancos de Dados.
  5. Clique no nome da base de dados que você deseja rotacionar chaves de criptografia.

    A página Detalhes do Banco de Dados exibe informações sobre o banco de dados selecionado.

  6. Na seção Criptografia, verifique se o serviço Key Management está definido como Chave de Criptografia Gerenciada pelo Cliente GCP e clique no link Girar.
  7. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.

Para rotacionar a Chave de Criptografia Gerenciada pelo Cliente GCP de um banco de dados plugável (PDB), use este procedimento.

  1. Abra o menu de navegação. Clique em Oracle Database e depois clique em Oracle Exadata Database Service on Dedicated Infrastructure.
  2. Escolha o Compartimento.

    Uma lista de Clusters de VMs é exibida para o Compartimento escolhido.

  3. Na lista de clusters de VMs, clique no nome do cluster de VMs que contém o PDB que você deseja iniciar e, em seguida, clique no nome dele para exibir a página de detalhes.
  4. Em Bancos de Dados, localize o banco de dados que contém o PDB cujas chaves de criptografia você deseja rotacionar.
  5. Clique no nome do banco de dados para exibir a página Detalhes do Banco de Dados.
  6. Clique em Bancos de Dados Plugáveis na seção Recursos da página.

    Uma lista de PDBs existentes nesse banco de dados é exibida.

  7. Clique no nome do PDB cujas chaves de criptografia você deseja rotacionar.

    A página de detalhes do banco de dados plugável é exibida.

  8. Na seção Criptografia, exibe que o gerenciamento de Chaves está definido como Chave de Criptografia Gerenciada pelo Cliente do GCP.
  9. Clique no link Girar.
  10. Na caixa de diálogo Alternar Chave resultante, clique em Alternar para confirmar a ação.

Para obter informações sobre como usar a API e assinar solicitações, consulte APIs REST e Credenciais de Segurança. Para obter informações sobre SDKs, consulte Kits de Desenvolvimento de Software e Interface de Linha de Comando.

Os recursos a seguir serão disponibilizados aos clientes por meio do OCI SDK, da CLI e do Terraform. Essas APIs serão usadas por clientes que desejam integrar o Oracle Database no Exadata com o Google Cloud Services.

Tabela 5-11 OracleDbGcpIdentityConnectors

API Descrição
ListOracleDbGcpIdentityConnectors Lista todos os recursos do Conector de Identidade do GCP com base nos filtros especificados.
GetOracleDbGcpIdentityConnector Recupera informações detalhadas sobre um recurso específico do GCP Identity Connector.
CreateOracleDbGcpIdentityConnector Cria um novo recurso do Conector de Identidades do GCP para o Cluster de VMs ExaDB-D especificado.
UpdateOracleDbGcpIdentityConnector Atualiza os detalhes de configuração de um recurso existente do GCP Identity Connector.
ChangeOracleDbGcpIdentityConnectorCompartment Move o recurso do Conector de Identidade do GCP para outro compartimento.
DeleteOracleDbGcpIdentityConnector Exclui o recurso especificado do GCP Identity Connector.

Tabela 5-12 OracleDbGcpKeyRings

API Descrição
ListOracleDbGcpKeyRings Lista todos os recursos do Keyring do GCP com base nos filtros especificados.
CreateOracleDbGcpKeyRing Cria um novo recurso de Keyring do GCP.
ChangeOracleDbGcpKeyRingCompartment Move o recurso Keyring do GCP para outro compartimento.
RefreshOracleDbGcpKeyRing Atualiza os detalhes de um recurso de Keyring do GCP.
GetOracleDbGcpKeyRing Recupera informações detalhadas sobre um recurso específico do Keyring do GCP.
UpdateOracleDbGcpKeyRing Atualiza os detalhes de configuração de um recurso de Keyring do GCP existente.
DeleteOracleDbGcpKeyRing Exclui o recurso de Keyring do GCP especificado.

Tabela 5-13 OracleDbGcpKeyKeys

API Descrição
ListOracleDbGcpKeys Lista todos os recursos do Keyring do GCP com base nos filtros especificados.
GetOracleDbGcpKey Recupera informações detalhadas sobre um recurso de Chave GCP específico.