准备在专用 Exadata 基础结构上将 Oracle Key Vault 与 Autonomous AI Database 结合使用

Oracle Key Vault 是一款全栈、安全增强的软件设备,旨在集中管理企业内的密钥和安全对象。Oracle Key Vault 是客户预配的托管系统,不属于 Oracle Cloud Infrastructure 托管服务。您可以将本地部署 Oracle Key Vault (OKV) 与客户管理的数据库云服务集成,以保护本地关键数据。

Prerequisites

  1. 确保已设置 OKV,并且可以从 Oracle Public Cloud 客户机网络访问该网络。打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  2. 确保已从 OKV 用户界面启用 REST 接口。
  3. 创建“OKV REST 管理员”用户。可以使用您选择的任何限定用户名,例如 "okv_rest_user"。对于 Cloud@Customer 上的 Autonomous AI DatabaseOracle Database Exadata Cloud at Customer ,请使用相同或不同的 REST 用户。这些数据库可以在相同或不同的内部部署 OKV 集群中进行密钥管理。Oracle Database Exadata Cloud at Customer 需要具有 create endpoint 权限的 REST 用户。Cloud@Customer 上的 Autonomous AI Database 需要具有 create endpointcreate endpoint group 权限的 REST 用户。
  4. 收集 OKV 管理员凭证和 IP 地址,这是连接到 OKV 并配置密钥库所必需的。有关指导,请参见 Create a Key Store
  5. 打开端口 443、5695 和 5696,以便在客户机网络上出站以访问 OKV 服务器。
  6. Oracle Public Cloud 部署上,通过 VPN(快速连接或 VPN 即服务)或任何 VCN 对等连接(如果计算主机位于其他 VCN 中)设置正确的网络路由,确保 OKV 可以通过网络访问 Autonomous AI Database

在 OCI Vault 服务中创建 Vault 并向 Vault 添加密钥以存储 OKV REST 管理员密码

每次设置 Oracle Database 来注册 Oracle Database 并请求 OKV 上的 wallet 时,您的专用 Exadata 基础结构部署都会通过 REST 与 OKV 进行通信。因此,Exadata 基础结构需要访问 REST 管理身份证明才能向 OKV 服务器注册。这些身份证明以密钥形式安全地存储在 OCI 中的 Oracle Vault 服务中,仅在需要时由专用 Exadata 基础结构部署访问。必要时,身份证明存储在受密码保护的 wallet 文件中。