在專用 Exadata 基礎架構上使用 Oracle Key Vault 與自治式 AI 資料庫

Oracle Key Vault 是完整堆疊、強化安全的軟體設備,可集中管理企業內的金鑰與安全物件。Oracle Key Vault 是客戶佈建與管理的系統,不屬於 Oracle Cloud Infrastructure 管理的服務。您可以將內部部署 Oracle Key Vault (OKV) 與客戶管理的資料庫雲端服務整合,以保護企業內部部署的重要資料。

相關主題

必備條件

  1. 確定已設定 OKV,且可從 Oracle Public Cloud 用戶端網路存取網路。開啟連接埠 443、5695 與 5696,以在用戶端網路上輸出,進而存取 OKV 伺服器。
  2. 確定已從 OKV 使用者介面啟用 REST 介面。
  3. 建立「OKV REST 管理員」使用者。您可以使用任何您選擇的合格使用者名稱,例如 "okv_rest_user"。對於 Cloud@CustomerOracle Database Exadata Cloud at Customer 上的 Autonomous AI Database ,請使用相同或不同的 REST 使用者。這些資料庫可以是相同或不同內部部署 OKV 叢集中的金鑰管理。Oracle Database Exadata Cloud at Customer 需要具備 create endpoint 權限的 REST 使用者。Cloud@Customer 上的 Autonomous AI Database 需要具備 create endpointcreate endpoint group 權限的 REST 使用者。
  4. 收集連線至 OKV 並設定金鑰存放區所需的 OKV 管理員證明資料和 IP 位址。如需相關指引,請參閱建立金鑰存放區
  5. 開啟連接埠 443、5695 與 5696,以在用戶端網路上輸出,進而存取 OKV 伺服器。
  6. Oracle Public Cloud 部署上,如果運算主機位於另一個 VCN 中,則透過設定 VPN (快速連線或 VPN 即服務) 或任何 VCN 對等互連的適當網路路由,確保 OKV 可透過網路存取 Autonomous AI Database

在 OCI Vault 服務中建立保存庫,並新增保存庫加密密碼以儲存 OKV REST 管理員密碼

每次佈建 Oracle Database 以註冊 Oracle Database 並在 OKV 上要求公事包時,您的專用 Exadata 基礎架構部署會透過 REST 與 OKV 進行通訊。因此,Exadata 基礎架構需要存取 REST 管理證明資料,才能向 OKV 伺服器註冊。這些證明資料會以加密密碼安全地儲存在 OCI 的 Oracle Vault Service 中,並且只有在需要時,才能由您的專用 Exadata 基礎架構部署存取。如有需要,證明資料會儲存在受密碼保護的公事包檔案中。

更新 OKV 端點群組

您可以從 ACD 的「詳細資訊」頁面更新 OKV 端點群組。

您也可以選擇在佈建 ACD 或更新版本時,新增含有 OKV 金鑰存放區的 OKV 端點群組名稱。

若要更新 ACD 上的 OKV 端點群組,您必須確定:
  • OKV 端點群組可以存取對應的 OKV 公事包。
  • 與 ACD 對應的 OKV 端點是 OKV 端點群組的一部分。
  • OKV 端點群組具有端點預設公事包的讀取存取權。
更新 OKV 端點群組名稱:
  • 前往 ACD 的詳細資訊頁面。如需指示,請參閱「檢視自治式容器資料庫的詳細資訊」。
  • 按一下加密底下 OKV 端點群組名稱旁的編輯
  • 從清單中選擇金鑰存放區,然後輸入 OKV 端點群組的名稱。端點群組名稱必須全部大寫,而且可以包含數字、連字號 (-) 以及底線 (_),而且必須以大寫字母為開頭。
  • 按一下儲存

管理 OKV 端點

刪除 Oracle Key Vault 端點

終止 ACD 之後,您應該從 OKV 刪除與 ACD 對應的端點。OKV 端點是在每個叢集節點的每個 ACD 佈建 ACD 時建立。刪除與已終止 ACD 對應的端點會讓 OKV 保持井然有序,並且有助於 OKV CA 憑證輪換。

刪除端點會將其從 Oracle Key Vault 中永久移除。不過,先前由該端點建立或上傳的安全物件仍將保留在 Oracle Key Vault 中。同樣地,與該端點相關聯的安全物件也會保持不變。若要永久刪除或重新指定這些安全物件,您必須是具備「主要管理員」角色的使用者,或是具備管理公事包權限以合併這些物件授權的使用者。端點管理員移除之前在端點下載的端點軟體,也會保留在端點上。

除非您是建立端點的使用者,否則無法刪除處於 PENDING 狀態的端點。您必須在建立它的節點上將其刪除。請參閱刪除一或多個端點以瞭解詳細資訊。

重新註冊端點

專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 不支援立即可用的重新註冊 OKV 端點。若要重新註冊 OKV 端點,您必須聯絡 Autonomous AI Database 作業團隊。