OCI HYOK mit Thales CipherTrust Manager mit OCI Load Balancer für High Availability aktivieren

Einführung

Im vorherigen Tutorial haben wir untersucht, wie wir Thales CipherTrust Manager mit Oracle Cloud Infrastructure (OCI) integriert haben, um Hold Your Own Key-(HYOK-)Funktionen zu aktivieren, sowohl mit als auch ohne OCI API Gateway. Das Clustering von CipherTrust Managern bietet zwar einen Grad an Wiederherstellbarkeit, stellt jedoch aus Netzwerkperspektive keine genaue High Availability sicher.

Der Thales CipherTrust Manager unterstützt keine virtuelle IP-Adresse (VIP-Adresse) für ein nahtloses Failover zwischen Knoten.

In diesem Tutorial wird die Einschränkung behoben, indem OCI Load Balancer eingeführt wird, um eine hohe Netzwerkverfügbarkeit für Thales CipherTrust Manager-Instanzen bereitzustellen. Indem wir die geclusterten CipherTrust-Manager hinter einem OCI Load Balancer platzieren, können wir kontinuierliche Verfügbarkeit und Fehlertoleranz für externe Schlüsselmanagementservices in OCI sicherstellen, auch im Falle eines Knotenausfalls oder einer Störung des Rechenzentrums.

In diesem Tutorial werden Sie durch die Architektur, Konfiguration und Überlegungen zum Deployment dieses Setups in Ihrer OCI-Umgebung geführt.

Ziele

• Aufgabe 1: Vorhandene OCI- und Thales CipherTrust Manager-HYOK-Architekturen prüfen.
• Aufgabe 2: OCI Load Balancer erstellen
• Aufgabe 3: OCI Load Balancer in ein vorhandenes OCI API Gateway-basiertes HYOK-Deployment integrieren.
• Aufgabe 4: OCI Load Balancer ohne OCI API Gateway in ein vorhandenes HYOK-Deployment integrieren.
• Aufgabe 5: Überprüfen Sie alle OCI- und Thales CipherTrust Manager HYOK-Architekturen, um den Thales CipherTrust Manager hochverfügbar zu machen.

Aufgabe 1: Vorhandene OCI- und Thales CipherTrust Manager-HYOK-Architekturen prüfen

Vor der Einführung von OCI Load Balancer in die Architektur ist es wichtig, die vorhandenen OCI- und Thales CipherTrust Manager-HYOK-Deployments erneut zu besuchen. In früheren Implementierungen wurden zwei primäre Muster behandelt:

• OCI Hold Your Own Key mit Thales CipherTrust Manager mit OCI API Gateway einrichten

• OCI Hold Your Own Key mit Thales CipherTrust Manager ohne OCI API Gateway einrichten

In diesem Abschnitt werden diese beiden Designs kurz zusammengefasst und ihre Stärken und Einschränkungen hervorgehoben. So wird die Grundlage für die Einführung des OCI Load Balancers geschaffen, um die Verfügbarkeitslücke zu schließen.

Beide Architekturen nutzten das Clustering mehrerer Thales CipherTrust-Manager, um eine Wiederherstellbarkeit bereitzustellen, aber ihnen fehlte eine genaue High Availability auf Netzwerkebene, da keine native VIP-Adressunterstützung in Thales CipherTrust Manager vorhanden war. Jede Bereitstellung handelte effektiv mit der Schlüsselverwaltung, führte jedoch potenzielle Single Points of Failure aus der Perspektive des Netzwerkrouting und der Servicezugänglichkeit ein.

Bevor Sie beginnen, stellen Sie sicher, dass Folgendes vorhanden ist:

• Mindestens zwei Thales CipherTrust Manager-Instanzen, die in verschiedenen Availability-Domains oder Faultdomains (und geclustert) bereitgestellt sind. Weitere Informationen finden Sie unter Zwei Thales CipherTrust Cloud Key Manager Appliances in OCI einrichten, ein Cluster zwischen ihnen erstellen und als Certificate Authority konfigurieren.

• Ein VCN mit den entsprechenden Subnetzen (privat oder öffentlich, je nach Architektur). Hier platzieren Sie den OCI Load Balancer.

• Zertifikate (wenn Sie die SSL-Beendigung am OCI Load Balancer verwenden). Dies erklären wir in diesem Tutorial.

Aufgabe 2: OCI Load Balancer erstellen

Um High Availability für den Thales CipherTrust Manager auf der Netzwerkebene zu erreichen, führen wir OCI Load Balancer in die Architektur ein. Der OCI Load Balancer ist ein einzelner, resilienter Zugriffspunkt, der eingehende Anforderungen intelligent auf die geclusterten Thales CipherTrust Manager-Knoten verteilt.

Diese Aufgabe stellt einen OCI Load Balancer bereit, der mehrere Thales CipherTrust Manager-Instanzen vorstellt. Sie konfigurieren Backend-Sets, Health Checks, SSL-Beendigung (falls zutreffend) und Listener-Regeln, die auf Ihr HYOK-Deployment zugeschnitten sind, unabhängig davon, ob Sie das OCI API Gateway verwenden oder nicht.

Dieses OCI-Load-Balancer-Setup stellt sicher, dass der Schlüsselverwaltungsservice auch dann erreichbar bleibt, wenn einer der Thales CipherTrust Manager-Knoten nicht verfügbar ist. Dadurch wird die Zuverlässigkeit und Fehlertoleranz Ihrer externen Schlüsselverwaltungsintegration mit OCI erheblich verbessert.

• Melden Sie sich bei der OCI-Konsole an, navigieren Sie zu Networking, und klicken Sie auf Load Balancer.

  

• Klicken Sie auf Load Balancer erstellen.

  

• Geben Sie folgende Informationen ein.

  • Name: Geben Sie einen aussagekräftigen Namen ein (z.B. Load_Balancer_for_CCKM).
  • Typ: Wählen Sie je nach Anwendungsfall privat oder öffentlich aus.

  

  • VCN und Subnetz: Wählen Sie das VCN und die Subnetze aus, in denen der OCI Load Balancer im richtigen Compartment bereitgestellt wird.
  • Klicken Sie anschließend auf Weiter.

  

  • Policy: Wählen Sie Gewichtetes Round-Robin aus.
  • Lassen Sie das Feld Backend-Server auswählen leer, werden diese später konfiguriert.

  

  • Health Check Policy: Wählen Sie HTTP mit Port 80 vorerst aus. Diese Änderung wird später vorgenommen.

  

  • Backend-Setname: Geben Sie einen aussagekräftigen Namen ein (z.B. CTM_Appliances).
  • Klicken Sie anschließend auf Weiter.

  

  • Listener-Name: Geben Sie einen aussagekräftigen Namen ein (z.B. LISTENER).
  • Listener-Traffictyp und -Port: TCP und Port 80. Diese werden später geändert.
  • Klicken Sie anschließend auf Weiter.

  

  • Übernehmen Sie die Standardeinstellungen für alle Logging-Einstellungen.
  • Klicken Sie anschließend auf Weiter.

  

• Prüfen Sie die Informationen, und klicken Sie auf Weiterleiten.

  

• Beachten Sie, dass der OCI Load Balancer erstellt wird. Nach einigen Minuten wird Aktiv angezeigt.

  

• Klicken Sie auf Listener, um den Listener zu prüfen, den Sie bearbeiten müssen.

  

• Klicken Sie auf Backend-Sets, um das Backend-Set zu prüfen, das Sie bearbeiten müssen. Beachten Sie außerdem, dass der Zustand als Unvollständig angezeigt wird. Dies liegt daran, dass wir weiterhin die Thales CipherTrust Manager-Backend-Server zum Set hinzufügen müssen.

  

• Sie müssen ein Zertifikat hinzufügen, bevor Sie den Listener und das Backend-Set mit SSL konfigurieren. Um sie hinzuzufügen, navigieren Sie zu Zertifikate und Cipher, und klicken Sie auf Zertifikat hinzufügen.

  

• Stellen Sie sicher, dass ein gültiges signiertes Zertifikat und ein gültiger Private Key für den OCI Load Balancer erstellt wurden.

  Informationen zum Erstellen einer Certificate Signing Request (CSR) und zum Signieren des Zertifikats mit der lokalen CA mit dem Thales CipherTrust Manager finden Sie unter CSR für Thales CCKM Appliances erstellen und von der CA signieren.

  

• Stellen Sie außerdem sicher, dass die Root-CA (Bundle) bereit ist.

  

• Geben Sie unter Zertifikat hinzufügen die folgenden Informationen ein.

  • Zertifikatsname: Geben Sie einen aussagekräftigen Namen ein (Beispiel: LB-CTM-CERT).
  • Wählen Sie SSL-Zertifikat einfügen aus.
  • SSL-Zertifikat: Fügen Sie das signierte SSL-Zertifikat ein.

  

  • Wählen Sie CA-Zertifikat angeben aus.
  • Wählen Sie CA-Zertifikat einfügen aus.
  • CA-Zertifikat: Fügen Sie das CA-(Bundle-)Zertifikat ein.

  

  • Wählen Sie Private Key festlegen aus.
  • Wählen Sie Private Key einfügen aus.
  • Private Key: Fügen Sie den privaten Schlüssel ein.
  • Klicken Sie auf Zertifikat hinzufügen.

  

• Beachten Sie, dass die Weitergeleitete Arbeitsanforderung akzeptiert wird, und klicken Sie auf Alle Arbeitsanforderungen anzeigen.

  

• Beachten Sie, dass die Anforderung erfolgreich war.

  

• Navigieren Sie zu Zertifikate und Cipher, und beachten Sie, dass das Zertifikat hinzugefügt wird.

  

• Navigieren Sie zu Backend-Sets, klicken Sie auf die drei Punkte, um das Menü des erstellten Backend-Sets zu öffnen, und klicken Sie dann auf Bearbeiten.

  

• Geben Sie unter Backend-Set bearbeiten die folgenden Informationen ein.

  • Wählen Sie SSL verwenden aus, um SSL zu aktivieren.
  • Zertifikatsressource: Wählen Sie Von Load Balancer verwaltetes Zertifikat aus.
  • Wählen Sie den Zertifikatsnamen aus.
  • Klicken Sie auf Änderungen speichern.

  

• Klicken Sie auf Schließen.

  

• Navigieren Sie zu Listener, klicken Sie auf die drei Punkte, um das Menü des erstellten Backend-Sets zu öffnen, und klicken Sie dann auf Bearbeiten.

  

• Geben Sie unter Listener bearbeiten die folgenden Informationen ein:

  • Protokoll: Wählen Sie TCP aus.
  • Port: Wählen Sie 443 aus.
  • Wählen Sie SSL verwenden aus.
  • Zertifikatsressource: Wählen Sie Von Load Balancer verwaltetes Zertifikat aus.
  • Wählen Sie Zertifikatsname aus.
  • Klicken Sie auf Änderungen speichern.

  

• Klicken Sie auf Schließen.

  

• Beachten Sie, dass der Listener jetzt auf TCP-Port 443 horcht.

  

• Navigieren Sie zu Backend-Sets, und beachten Sie, dass der Zustand noch unvollständig ist. Dies liegt daran, dass wir keine Server als Backend zum Set hinzugefügt haben.

  

• Klicken Sie auf die drei Punkte, um das Menü des erstellten Backend-Sets zu öffnen, und klicken Sie dann auf Health Check aktualisieren.

  

• Geben Sie unter Health Check aktualisieren die folgenden Informationen ein.

  • Protokoll: Wählen Sie TCP aus.
  • Port: Wählen Sie 443 aus.
  • Klicken Sie auf Änderungen speichern.

  

• Klicken Sie auf Schließen.

  

• Klicken Sie auf das zuvor erstellte Backend-Set.

  

• Klicken Sie auf Backends und dann auf Backends hinzufügen.

  

• Geben Sie unter Backend hinzufügen die folgenden Informationen ein.

  • Backend-Typ: Wählen Sie IP-Adressen.
  • Fügen Sie die folgenden Backends (IP-Adressen der CTMs) hinzu:
    • CTM 1 (MS)
      • IP-Adresse: Geben Sie 10.111.10.32 ein.
      • Port: Wählen Sie 443 aus.
      • Gewichtung: Wählen Sie 1 aus.
    • CTM 2 (ASH)
      • IP-Adresse: Geben Sie 10.222.10.111 ein.
      • Port: Wählen Sie 443 aus.
      • Gewichtung: Wählen Sie 2 aus.
  • Klicken Sie auf Hinzufügen.

  

• Beachten Sie, dass der Zustand als Kritisch angezeigt wird. Die Ausführung des Health Checks auf den Thales CipherTrust Manager-Servern kann eine Minute dauern.

  

• Beachten Sie, dass der Zustand jetzt in OK geändert wird. Navigieren Sie jetzt zurück zum Überblick über das Backend-Set.

  

• Beachten Sie, dass der Gesamtzustand des Backend-Sets ebenfalls OK lautet. Navigieren Sie jetzt zurück zum Überblick über OCI Load Balancer.

  

• Beachten Sie, dass der OCI Load Balancer aktiv ist, der Gesamtzustand OK lautet und der Load Balancer eine IP-Adresse aufweist.

  

Stellen Sie sicher, dass Sie einen DNS-Datensatz für den Load Balancer erstellen. Wir haben einen A-Datensatz im privaten DNS-Listener im OCI-VCN erstellt.

Aufgabe 3: OCI Load Balancer in ein vorhandenes, auf OCI API Gateway basierendes HYOK-Deployment integrieren

In dieser Aufgabe integrieren wir den OCI Load Balancer in Ihr vorhandenes OCI API Gateway-basiertes HYOK-Deployment, um eine nahtlose und hochverfügbare Architektur sicherzustellen.

In dieser Architektur kombinieren wir die Stärken von OCI API Gateway und OCI Load Balancer, um die Zuverlässigkeit und Sicherheit der OCI HYOK-Integration mit Thales CipherTrust Manager zu verbessern.

Das OCI API Gateway dient weiterhin als sicherer, öffentlich zugänglicher Einstiegspunkt und erzwingt Authentifizierungs-, Autorisierungs- und Routing-Policys. Dahinter verteilt der OCI Load Balancer Anforderungen auf mehrere CipherTrust Manager-Knoten, um High Availability und Fehlertoleranz auf der Netzwerkebene sicherzustellen.

Dieses Layer-Design verwaltet ein sicheres Zugriffsmodell über das OCI-API-Gateway. Es behebt den Mangel an nativer VIP-Adressunterstützung in Thales CipherTrust Manager, indem es ein resilientes Backend über den OCI Load Balancer einführt.

• Navigieren Sie zu dem OCI-API-Gateway, das im folgenden Tutorial erstellt wurde: Richten Sie einen OCI-Schlüssel mit Thales CipherTrust Manager mit OCI API Gateway ein.

  

• Navigieren Sie zu Deployments, und klicken Sie auf Deployment.

  

• Klicken Sie auf Bearbeiten.

  

• Klicken Sie auf Routen.

  

• Beachten Sie, dass die URL auf den ctm1.oci-thales.lab-FQDN verweist, der AMS CTM ist.

  

• Ändern Sie die URL so, dass sie jetzt auf lb-ctm.oci-thales.lab FQDN, den OCI Load Balancer, den wir gerade erstellt haben, verweist. Klicken Sie dann auf Weiter, und speichern Sie die Änderungen.

  

Die folgende Abbildung zeigt den End-to-End-Trafficfluss mit dem OCI API Gateway und dem OCI Load Balancer, der in die Architektur integriert ist.

Aufgabe 4: OCI Load Balancer in ein vorhandenes, aber ohne OCI API Gateway-basiertes HYOK-Deployment integrieren

In dieser Aufgabe lernen Sie, wie Sie den OCI Load Balancer als einzigen Zugriffspunkt für Thales CipherTrust Manager in einem OCI HYOK-Deployment konfigurieren und verwenden, um eine saubere, leistungsstarke und hochverfügbare Architektur zu ermöglichen.

In dieser Architektur vereinfachen wir das Deployment, indem wir das OCI API Gateway entfernen und den OCI Load Balancer direkt vor dem Thales CipherTrust Manager-Cluster platzieren. Dieser Ansatz ist ideal für private Integrationen, bei denen kein öffentlicher Zugriff erforderlich ist und das Ziel darin besteht, eine hohe Verfügbarkeit in einem sicheren, internen Netzwerk sicherzustellen.

Durch das Routing von Anforderungen über den OCI Load Balancer können wir Traffic auf mehrere Thales CipherTrust Manager-Knoten verteilen und dabei die Resilienz und Failover-Funktionen der Session beibehalten, selbst wenn ein Knoten- oder Availability-Domainfehler auftritt. Dieses Setup behebt die wesentliche Einschränkung des Mangels an nativer Unterstützung von VIP-Adressen durch den Thales CipherTrust Manager, ohne die zusätzliche Komplexität von OCI API Gateway-Policys und Authentifizierungsflüssen.

Befolgen Sie die im folgenden Tutorial aufgeführten Aufgaben: Richten Sie einen OCI Hold Your Own Key mit Thales CipherTrust Manager ohne OCI API Gateway ein. Jetzt wurden jedoch alle (AMS) CTM1-IP-Adressen in die Load-Balancer-IP-Adresse geändert.

• Die Ressourcenanwendung für OCI Integration-Anwendungen.
• Der Hostname der externen Vault-Endpunkt-URL CTM1. Diese Änderung wird auch mit der (ASH) CTM2 synchronisiert, wenn sich die CTM in einem Cluster befindet.
• Der private OCI-Endpunkt (der OCI External Key Management Service verwendet diesen).

Dies ist der detaillierte Integrationsfluss für OCI mit Thales CipherTrust Manager-Integration (HYOK) nur mit dem OCI Load Balancer im Pfad.

Die folgende Abbildung zeigt den End-to-End-Trafficfluss, wobei nur der OCI Load Balancer in die Architektur integriert ist.

Aufgabe 5: Überprüfen Sie alle OCI- und Thales CipherTrust Manager HYOK-Architekturen, um den Thales CipherTrust Manager hochverfügbar zu machen

Es gibt keinen einheitlichen Ansatz für die Bereitstellung von Thales CipherTrust Manager for Hold Your Own Key (HYOK) in OCI. Je nach Netzwerktopologie, Sicherheitsanforderungen und verfügbarer Infrastruktur, ob cloudbasiert oder On-Premises, stehen mehrere Architekturoptionen zur Verfügung, um ein resilientes, hochverfügbares Deployment zu erreichen.

Dieser Abschnitt bietet einen konsolidierten Überblick über alle unterstützten Architekturmuster für die Integration von Thales CipherTrust Manager mit OCI HYOK, wobei der Schwerpunkt auf High Availability liegt. Dazu gehören Kombinationen von:

• Einzelne oder duale Data Center-Bereitstellungen.
• Verwendung des OCI API Gateways.
• Verwendung des OCI Load Balancers.
• Verwendung von On-Premise- oder Data-Center-Host-Load Balancern, sowohl mit als auch ohne High Availability.

Jede Architektur bietet Vorteile und Kompromisse in Bezug auf Komplexität, Failover-Funktionen und Kontrolle. Unabhängig davon, ob Sie ein vollständig cloudnatives Setup ausführen, über Hybridumgebungen hinweg arbeiten oder Legacy Load Balancer in Ihren Data Centern nutzen, gibt es ein passendes Modell.

Die Architektur umfasst:

Architektur-Nr	Beschreibung
1	CTM in einem einzigen Data Center – grundlegendes Setup ohne OCI API Gateway oder OCI Load Balancer
2	CTM in einem einzigen Data Center mit OCI API Gateway – externer Zugriff, kein HA
3	CTMs in zwei Data Centern mit OCI API Gateway und OCI Load Balancer – vollständige HA-Lösung
4	CTMs in zwei Data Centern mit OCI API Gateway und On-Premises-Load Balancer (keine HA) – partielle Resilienz
5	CTMs in zwei Data Centern mit OCI API Gateway und On-Premises-Load-Balancer (HA) – HA extern verwaltet
6	CTM in einem Data Center mit OCI API Gateway und On-Premise-Load Balancer (keine HA) – begrenztes Failover
7	CTMs in zwei Data Centern nur mit OCI Load Balancer – interner Zugriff, vollständige HA auf Netzwerkebene ohne OCI API Gateway

In dieser Übersicht können Sie die Architektur vergleichen und auswählen, die am besten zu Ihren technischen und betrieblichen Anforderungen passt.

• Architektur 1: Die folgende Abbildung zeigt den End-to-End-Trafficfluss ohne OCI API Gateway und ohne Load Balancing, das in die Architektur integriert ist.

  

• Architektur 2: Die folgende Abbildung zeigt den End-to-End-Trafficfluss nur mit dem OCI-API-Gateway und ohne Load Balancing, das in die Architektur integriert ist.

  

• Architektur 3: Die folgende Abbildung zeigt den End-to-End-Trafficfluss mit dem OCI API Gateway und dem OCI Load Balancer, der in die Architektur integriert ist.

  

• Architektur 4, 5 und 6: Die folgende Abbildung zeigt den End-to-End-Trafficfluss mit dem OCI API Gateway und den in die Architektur integrierten On-Premise-Load Balancern.

  

• Architektur 7: Die folgende Abbildung zeigt den End-to-End-Trafficfluss, wobei nur der OCI Load Balancer in die Architektur integriert ist.

  

Schlussfolgerung

Die Sicherstellung der High Availability für Thales CipherTrust Manager in einem Oracle Cloud Infrastructure-(OCI-)HYOK-Deployment ist für die Aufrechterhaltung eines sicheren, ununterbrochenen Zugriffs auf vom Kunden verwaltete Verschlüsselungsschlüssel unerlässlich. Während das Clustering von CipherTrust Managern die Wiederherstellbarkeit bietet, reicht es nicht aus, um High-Availability-Anforderungen auf Netzwerkebene zu erfüllen.

In diesem Tutorial wurde gezeigt, wie der OCI Load Balancer diese Lücke schließen kann, entweder in Verbindung mit dem OCI API Gateway oder als Standalone-Lösung für den internen Zugriff. Wir haben außerdem mehrere reale Architekturmuster geprüft, darunter Hybridmodelle, die On-Premises-Load-Balancer nutzen und Ihnen dabei helfen, das Design auszuwählen, das zu Ihrer Infrastrukturstrategie und Ihren Verfügbarkeitszielen passt.

Durch die durchdachte Integration der Networking-Services von OCI in Thales CipherTrust Manager können Unternehmen eine belastbare und sichere externe Schlüsselmanagementlösung erstellen, die Compliance und Betriebskontinuität der Unternehmensklasse unterstützt.

Bestätigungen

• Autor - Iwan Hoogendoorn (Black Belt für Cloud-Netzwerke)

Weitere Lernressourcen

Sehen Sie sich weitere Übungen zu docs.oracle.com/learn an, oder greifen Sie auf weitere kostenlose Lerninhalte im Oracle Learning YouTube-Kanal zu. Besuchen Sie außerdem education.oracle.com/learning-explorer, um ein Oracle Learning Explorer zu werden.

Die Produktdokumentation finden Sie im Oracle Help Center.

---

Titel und Copyright-Informationen

Enable OCI HYOK with Thales CipherTrust Manager Using OCI Load Balancer for High Availability

G40050-01

Copyright ©2025, Oracle and/or its affiliates.