关于安装和配置 Oracle Key Vault

Oracle Key Vault 产品管理可以提供一个链接，通过该链接可以下载映像并将其导入到 Compute Cloud@Customer 。访问 Oracle Key Vault 映像后，请按照本文中的步骤进行安装。

从市场下载 Oracle Key Vault 映像

OCI Marketplace 上提供适用于 Compute Cloud@Customer 的 Oracle Key Vault 映像。

1. 登录到您的 OCI 账户并转到 OCI 市场。
2. 在筛选器选项上，选择 Compute Cloud@Customer 或 Roving Edge 兼容映像。
3. 选择 Compute Cloud@Customer 的 Oracle Key Vault 映像。

下载和导入 Oracle Key Vault

要下载和导入 Oracle Key Vault ，请使用此过程。

1. 将 Oracle Key Vault 映像导入到 Compute Cloud@Customer 中，并将定制映像放置在可通过 HTTP 访问的位置。这通常是与 Compute Cloud@Customer 位于同一网络中的某个公用事业 VM，甚至是 Compute Cloud@Customer 上的公用事业 VM。此示例将堡垒主机用于 Compute Cloud@Customer 。将 OCI 文件复制到目录并使其可通过 HTTP 进行访问。

   cd /export/home/okv

   python -m SimpleHTTPServer 8088

   系统响应：

   Serving HTTP on 0.0.0.0 port 8088 ...

2. 在 Compute Cloud@Customer 上，首先导航到定制映像部分，开始通过 GUI 导入定制映像。

   注意：

   此过程将转到所选区间中定制映像的列表。如有必要，请使用页面中上部的下拉列表更改为相应的区间。
3. 单击导入图像（右上角），然后在导入图像对话框中填写以下字段：
   • 名称：映像的名称；例如，okv_21_7_oci 。
   • 在区间中创建：映像将驻留的区间的名称。
   • 源类型：从中导入图像的源的类型。在此示例中，您可以选择从对象存储 URL 导入。
   • 对象存储 URL：从中导入映像的 URL。
   • 图像类型：要导入的图像的类型。在此示例中，应选择 OCI 。
   • 启动模式：选择 Paravirtualized Mode（半虚拟化模式）。
   • 标记名称空间：选择 None (add a free-form tag) 。
4. 选择导入图像（右下角）。
   根据导入的映像大小和可用的网络带宽，导入可能需要一些时间。对于超过 100GB 的图像，您最多可以期待一个小时或更长时间。

   注意：

   此示例通过在端口 8088 上使用 Python Web 服务器导出映像，因此在 URL 中指定了端口 8088。确保为实施指定正确的端口。

映像导入完成后，状态将从导入更改为可用，您可以从映像创建实例。

创建 Oracle Key Vault 实例

定制映像可用后，使用此过程创建 Key Vault 实例。

1. 单击图像标识符最右侧的三个垂直点以打开下拉菜单，然后单击从图像创建实例。
2. 通过添加以下信息完成对话框：
   • 名称：输入实例名。
   • 在区间中创建：选择实例将驻留在其中的区间。
   • 配置：选择适当的配置并包括以下参数：
     • 要使用的 OCPU 数。
     • Boot Volume 的大小。
     • 公共网络接口的数量。
   • SSH 密钥：选择选择要上载的 PUB 文件，并在相应的字段中输入 PUB 文件名，或者从文件系统拖放该文件。
3. 选择右下方的创建实例。

选择创建实例后，系统将使用您提供的定制映像创建实例。等待此实例引导，然后登录控制台并验证实例是否正在运行。完成后，重复上述过程以创建用于创建高可用性群集的其他 OKV 节点。

配置 Oracle Key Vault 实例

系统引导后，必须执行安装后步骤才能完成初始配置。这些步骤包括设置初始服务器密码和完成安装后配置。要完成这些任务，您需要以下各项：

• 用于执行配置的 Linux 或 Mac 系统的 IP 地址或全限定域名 (FQDN)。这可以是与 OKV 服务器或笔记本电脑位于同一网络上的任何 Linux 服务器。此示例使用 c3bastion。

  注意：

  记下分配给要添加到群集中的节点的外部和内部 IP 地址。我们需要两组地址。
• 要配置的 OKV 服务器的 IP 地址或 FQDN。此示例使用 10.122.56.38/172.20.0.33 和 10.122.56.29/172.20.0.21。

设置初始服务器口令

第一个实例配置任务是设置初始服务器密码。从命令行执行此操作

您以 opc 用户（从中设置 root 用户和支持用户密码的临时用户）身份登录。成功设置这些密码后，将删除 opc 用户并使用 SSH 登录到 Oracle Key Vault 实例将被关闭。您可以通过使用 SSH 从 Oracle Key Vault 管理控制台重新启用登录到 Oracle Key Vault 实例，并以支持用户身份登录。

1. 运行以下命令以设置 root 用户并支持用户密码。

   set_password

   系统响应：

   Setting root password
   Set root password:
   Confirm:

2. 输入并确认您的 root 用户密码。
   系统响应：

   Do you wish to set the support user password at this time.
   Enter 'y' or 'yes' to proceed:

3. 输入 y 将继续：

   Enter 'y' or 'yes' to proceed: y

   系统响应：

   Set support user password:
   Confirm:

4. 输入并确认您的 root 用户密码。
   系统响应：

   Changing password for user support.
   passwd: all authentication tokens updated successfully.
   Successfully set the support user password..
   Deleted 'opc' user..
   You can re-enable login to the Oracle Key Vault instance using
   SSH from the Oracle Key Vault management console.
   Login as the 'support' user using the same ssh key as 'opc' user.
   Connection to 10.122.56.29 closed.
   my_laptop ~ $^D

完成安装后配置

设置初始服务器密码后，使用在上一步中创建的 root 密码通过 Oracle Key Vault GUI 登录并完成安装后配置。这包括执行用户设置、系统管理员设置、时间 (Time，NTP) 和域名系统 (Domain Name System，DNS) 设置。然后保存此信息。

1. 在 Key Vault GUI 的 User Setup（用户设置）部分中，对于密钥管理员、系统管理员和审计管理器，在特定部分中输入用户名、密码（和密码确认）、其全名和电子邮件地址。对于系统管理员和审计管理器，如果适用，还可以选择用户源（新用户、与密钥管理员相同或与系统管理员相同）。另外，请记住为每个角色选择允许向前授权。
2. 指定恢复口令短语。此口令短语允许您在出现紧急情况时恢复会话；例如，如果需要从以前的备份恢复 Oracle Key Vault 服务器。

   注意：

   不要丢失恢复口令短语。Oracle 建议将此口令短语存储在安全位置。
3. 设置 NTP 和 DNS 服务器。
   应始终将它们设置为 Compute Cloud@Customer 机箱的默认值。仅指定单个 NTP 服务器和单个 DNS 服务器。要用于两者的 IP 地址相同，在此示例中为 169.254.169.254。

   要设置这些服务器：

   • 在时间设置部分中，选择使用网络时间协议并输入服务器 1 地址的地址。然后选择 OCI 默认 NTP 服务器并输入服务器时间。
   • 在 DNS 设置下，为用于 NTP 服务器的服务器 1 输入相同的 IP 地址。DNS 和 NTP 都以冗余方式在 Compute Cloud@Customer 中提供，因此只应具有单个条目。
4. 单击保存（右上角），然后针对要添加到群集的任何其他服务器重复此过程。然后注销，以系统管理员用户身份重新登录，并启动 REST 服务：
   1. 从 Oracle Key Vault GUI 中，打开 System 选项卡并选择 RESTful Services 。
   2. 依次选择启用和保存设置。
5. 完成后，可以使用 RESTful 服务接口完成配置。