Oracle Key Vault mit Oracle Exadata Database Service (Oracle Database@Google Cloud) bereitstellen

Oracle Key Vault ist ein fehlertolerantes, kontinuierlich verfügbares und hoch skalierbares Schlüsselverwaltungssystem, das speziell für die Schlüsselverwaltung für Oracle-Datenbank-Deployments entwickelt wurde, in diesem Fall Oracle Exadata Database Service auf Oracle Database@Google Cloud. Mit Oracle Key Vault können Kunden Sicherheitsobjekte für Oracle Database@Google Cloud in Google Cloud sicher verwalten, darunter Verschlüsselungsschlüssel, Oracle-Wallets, Java Keystores (JKS), Java Cryptography Extension Keystores (JCEKS) und Zugangsdatendateien mit SSH-Private Keys usw.

Die Nutzung von Oracle Key Vault mit Oracle Exadata Database Service (Oracle Database@Google Cloud) bietet Kunden die folgenden Vorteile:

• Fehlertoleranz
• High Availability
• Skalierbarkeit
• Sicherheit
• Standardkonformität

Oracle Key Vault verwaltet Sicherheitsobjekte, darunter Verschlüsselungsschlüssel, Oracle Wallets, Java Keystores (JKS), Java Cryptography Extension Keystores (JCEKS) und Zugangsdatendateien. Zugangsdatendateien können SSH-Private Keys umfassen, die für die Public-Key-Authentifizierung bei Remoteservern (On-Premise oder in einer beliebigen Cloud) verwendet werden, oder Datenbankaccountkennwörter für die unbeaufsichtigte Ausführung regelmäßig geplanter Wartungsskripte. Oracle Key Vault ist für den Oracle Cloud Stack (Datenbank, Middleware, Systeme) und die erweiterte sicherheitstransparente Datenverschlüsselung (TDE) optimiert. Darüber hinaus entspricht es dem Branchenstandard OASIS Key Management Interoperability Protocol (KMIP) für die Kompatibilität mit KMIP-basierten Clients.

Oracle Key Vault funktioniert mit Endpunkten, ein Endpunkt ist ein Computersystem wie ein Datenbankserver, ein Anwendungsserver und andere Informationssysteme. Endpunkte müssen registriert und registriert sein, damit sie mit Oracle Key Vault kommunizieren können. Registrierte Endpunkte können ihre Schlüssel hochladen, für andere Endpunkte freigeben und herunterladen, um auf ihre Daten zuzugreifen. Schlüssel werden für den Zugriff auf verschlüsselte Daten verwendet und Zugangsdaten werden zur Authentifizierung bei anderen Systemen verwendet. Bei Datenbankservern, die eine oder mehrere Oracle-Datenbanken hosten, ist jede Oracle-Datenbank mindestens ein Endpunkt.

Oracle Key Vault optimiert den täglichen Betrieb mit verschlüsselten Datenbanken, die als RAC oder mit Active Data Guard bereitgestellt werden, integrierbaren Datenbanken, verschlüsselten Traildateien von OCI GoldenGate sowie global verteilten (gemischten) Datenbanken, Oracle ZFS Storage Appliance und Oracle Zero Data Loss Recovery Appliance. Oracle Key Vault erleichtert das Verschieben verschlüsselter Daten mit Oracle Data Pump und Transportable Tablespaces, einem wichtigen Feature von Oracle Database.

Während Oracle und Google für die Sicherung der zugrunde liegenden Infrastruktur zur Unterstützung von Oracle Key Vault verantwortlich sind, sind Kunden für die Implementierung der erforderlichen Sicherheitskontrollen in ihren Anwendungen und aller Konfigurationsmechanismen verantwortlich, um ihre Sicherheits- und Complianceanforderungen zu erfüllen. Oracle Key Vault bietet standardmäßig einen eigenen Schlüssel.

Bevor Sie beginnen

Um diese Referenzarchitektur nutzen zu können, sind folgende Voraussetzungen erforderlich:

Oracle Database@Google Cloud

• Zugriff auf ein Google Cloud-Abonnement und -Verzeichnis
• Zugriff auf einen OCI-Mandanten
• Aktiver Oracle Database@Google Cloud-Multicloud-Link zwischen Google Cloud und OCI
• Stellen Sie vor dem Provisioning angemessene Limits für Oracle Exadata Database Service und OCI-Servicelimits sicher
  1. Klicken Sie im OCI-Menü auf Governance und Administration.
  2. Klicken Sie unter Mandantenverwaltung auf Begrenzungen, Quota und Nutzung.
  3. Wählen Sie in der Dropdown-Liste Service die Option Datenbank aus.
• Planen Sie Ihre Netzwerk-Topologie:
  • Erfordert mindestens eine Google Cloud Virtual Private Cloud (VPC), die mit einem entsprechenden virtuellen OCI-Cloud-Netzwerk (VCN) gekoppelt werden kann
  • Die CIDR-Blöcke für Google Cloud Virtual Private Cloud-(VPC-) und OCI-VCNs dürfen sich nicht überschneiden

Oracle Key Vault

• Zugriff auf ein Oracle Key Vault-Image, das On Premise aus der entsprechenden ISO-Datei erstellt wurde
• Oracle Key Vault-Installationsanforderungen
• NTP muss eingerichtet werden

Architektur

Diese Architektur zeigt, wie Sie Oracle Key Vault auf einer Google Cloud-VM als sicheren langfristigen externen Schlüsselverwaltungsspeicher für Oracle Exadata Database Service-Verschlüsselungsschlüssel in Oracle Database@Google Cloud bereitstellen.

Das Architekturdiagramm zeigt das empfohlene Oracle Key Vault-Multimastercluster in Google Cloud, um kontinuierlich verfügbares, extrem skalierbares und fehlertolerantes Schlüsselmanagement für die Oracle Database in Oracle Exadata Database Service (Oracle Database@Google Cloud) bereitzustellen.

Zwei Oracle Key Vault-Knoten in derselben Zone bilden ein Lese-/Schreibpaar, das eine kontinuierliche Leseverfügbarkeit bietet. Wenn einer der beiden Knoten nicht betriebsbereit ist, wird der verbleibende Knoten so eingestellt, dass er sich im schreibgeschützten eingeschränkten Modus befindet. Wenn ein Lese-/Schreibknoten wieder mit seinem Lese-/Schreib-Peer kommunizieren kann, kehrt der Knoten aus dem schreibgeschützten eingeschränkten Modus in den Lese-/Schreibmodus zurück. Vier Knoten (wie im Architekturdiagramm dargestellt) bieten kontinuierliche Lese-/Schreibverfügbarkeit.

Oracle Key Vault kann On-Premises, in OCI, Google Cloud, Microsoft Azure und Amazon Web Services bereitgestellt werden, solange Netzwerkkonnektivität hergestellt werden kann. Gestreckte Oracle Key Vault-Cluster (On-Premise in die Cloud oder über Cloud-Provider hinweg) sind ebenfalls möglich, sodass Sie maximale Deployment-Flexibilität und lokale Verfügbarkeit Ihrer Verschlüsselungsschlüssel erhalten. Oracle Key Vault bietet Out-of-the-box-Funktionen, mit denen Sie Ihren eigenen Schlüssel behalten können, ohne dass eine zusätzliche, teure Schlüsselverwaltungs-Appliance von Drittanbietern erforderlich ist.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung key-vault-database-google-diagram.png

key-vault-database-google.zip

Die Architektur umfasst die folgenden Komponenten:

• Google Cloud-Region

  Google- und OCI-Regionen sind lokalisierte geografische Gebiete. Bei Oracle Database@Google Cloud ist eine Google Cloud-Region mit einer OCI-Region verbunden. Eine Zone in Google Cloud ist mit einer Availability-Domain in OCI verbunden. Google Cloud- und OCI-Regionspaare werden ausgewählt, um Entfernung und Latenz zu minimieren.

• Google Cloud-Zone

  Eine Zone ist ein physisch getrenntes Data Center innerhalb einer Region, die verfügbar und fehlertolerant ist. Zonen sind nahe genug, um Verbindungen mit geringer Latenz zu anderen Zonen herzustellen.

• Google Cloud Virtual Private Cloud

  Google Cloud Virtual Private Cloud (VPC) ist der grundlegende Baustein für Ihr privates Netzwerk in Google Cloud. Mit VPC können viele Arten von Google Cloud-Ressourcen wie virtuelle Google-Maschinen (VM) sicher miteinander, mit dem Internet und On-Premise-Netzwerken kommunizieren.

• Exadata Database Service on Dedicated Infrastructure

  Oracle Exadata Database Service bietet bewährte Oracle Database-Funktionen auf einer speziell entwickelten, optimierten Oracle Exadata-Infrastruktur in der Public Cloud. Integrierte Cloud-Automatisierung, elastische Ressourcenskalierung, Sicherheit und schnelle Performance für OLTP, In-Memory-Analysen und konvergierte Oracle Database-Workloads helfen dabei, die Verwaltung zu vereinfachen und Kosten zu senken.

  Exadata Cloud Infrastructure X9M bringt mehr CPU-Cores, mehr Speicher und eine schnellere Netzwerkstruktur in die Public Cloud. Exadata X9M-Speicherserver umfassen den Exadata RDMA-Speicher (XRMEM), wodurch eine zusätzliche Speicherebene erstellt wird und die allgemeine Systemperformance gesteigert wird. Exadata X9M kombiniert XRMEM mit innovativen RDMA-Algorithmen, die das Netzwerk und den I/O-Stack umgehen, wodurch teure CPU-Interrupts und Kontext-Switches vermieden werden.

  Exadata Cloud Infrastructure X9M erhöht den Durchsatz seines 100 Gbit/s Active/Active Remote Direct Memory Access über die interne Netzwerkstruktur von Converged Ethernet (RoCE) und bietet so eine schnellere Verbindung als frühere Generationen mit extrem geringer Latenz zwischen allen Compute- und Speicherservern.

• Oracle Database@Google Cloud

  Oracle Database@Google Cloud ist der Oracle Database-Service (Oracle Exadata Database Service on Dedicated Infrastructure oder Oracle Autonomous Database Serverless), der auf Oracle Cloud Infrastructure (OCI) ausgeführt wird und in Google Cloud-Data Centern bereitgestellt wird. Der Service bietet Features und Preisparität mit OCI. Benutzer kaufen den Service im Google Cloud Marketplace.

  Oracle Database@Google Cloud integriert die Technologien Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) und Oracle Data Guard in die Google Cloud-Plattform. Oracle Database@Google Cloud bietet die gleiche geringe Latenz wie andere native Google-Services und erfüllt geschäftskritische Workloads und Cloud-native Entwicklungsanforderungen. Benutzer verwalten den Service in der Google-Konsole und mit Google-Automatisierungstools. Der Service wird in Google Virtual Private Cloud (VPC) bereitgestellt und in das Identitäts- und Zugriffsverwaltungssystem von Google integriert. Die OCI- und Oracle Database-Metriken und Auditlogs sind nativ in Google verfügbar. Der Service erfordert, dass Benutzer über einen Google-Mandanten und einen OCI-Mandanten verfügen.

• Key Vault

  Oracle Key Vault speichert Verschlüsselungsschlüssel, Oracle Wallets, Java KeyStores, SSH-Schlüsselpaare und andere Geheimnisse sicher in einem skalierbaren, fehlertoleranten Cluster, das den OASIS KMIP-Standard unterstützt und in Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure und Amazon Web Services sowie On-Premises auf dedizierter Hardware oder virtuellen Maschinen bereitgestellt wird.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• Oracle Key Vault-ISO

  Um die richtige Oracle Key Vault-Lösung zu erstellen, müssen Sie das neueste Oracle Key Vault-Installationsmedium verwenden. Weitere Informationen finden Sie unter dem Link Oracle Software Delivery Cloud.

• Oracle Key Vault-Images erstellen

  Um das Oracle Key Vault-Image aus dem ISO zu erstellen, führen Sie dies auf einem lokalen System mit mindestens 1 TB Speicher und mindestens 32 GB RAM aus. Erstellen Sie die virtuelle Festplatte als Fest-Größe und im VHD-Format.

• Multi-Master-Cluster

  Stellen Sie Oracle Key Vault als Cluster mit mehreren Knoten bereit, um maximale Verfügbarkeit und Zuverlässigkeit mit Lese-/Schreibpaaren von Oracle Key Vault-Knoten zu erreichen.

  Oracle Key Vault-Multimastercluster wird mit einem ersten Knoten erstellt. Anschließend können zusätzliche Knoten induziert werden, um schließlich ein Cluster mit mehreren Knoten mit bis zu 8 Lese-/Schreibpaaren zu bilden.

  Der anfängliche Knoten befindet sich im schreibgeschützten eingeschränkten Modus, und es können keine kritischen Daten hinzugefügt werden. Oracle empfiehlt, einen zweiten Knoten bereitzustellen, um ein Lese-/Schreibpaar mit dem ersten Knoten zu bilden. Danach kann das Cluster um Lese-/Schreibpaare erweitert werden, sodass sowohl kritische als auch nicht kritische Daten zu den Lese-/Schreibknoten hinzugefügt werden können. Schreibgeschützte Knoten können beim Load Balancing oder bei der Betriebskontinuität während Wartungsvorgängen helfen.

  In der Dokumentation erfahren Sie, wie sich ein Multi-Master-Cluster auf Endpunkte auswirkt, sowohl in Bezug auf die Verbindung eines Endpunkts als auch auf Einschränkungen.

  Bei großen Deployments installieren Sie mindestens vier Oracle Key Vault-Server. Endpunkte sollten registriert werden, indem sie auf den vier Servern einzigartig und ausgewogen sind, um High Availability sicherzustellen. Beispiel: Wenn ein Data Center über 1.000 zu registrierende Datenbankendpunkte verfügt und Sie über vier Oracle Key Vault-Server verfügen, melden Sie 250 Endpunkte für jeden der vier Server an.

  Stellen Sie sicher, dass die Systemuhren des Endpunkthosts und des Oracle Key Vault-Servers synchron sind. Für den Oracle Key Vault-Server ist die Einrichtung von NTP erforderlich.

• Paar lesen/schreiben

  Ein Knotenpaar, das mit bidirektionaler synchroner Replikation arbeitet. Das Lese-/Schreibpaar wird erstellt, indem ein neuer Knoten mit einem schreibgeschützten Knoten gekoppelt wird. Daten können in jedem Knoten mit der Oracle Key Vault-Managementkonsole oder der Oracle Key Vault-Clientsoftware aktualisiert werden, einschließlich der Endpunkt- und Wallet-Daten. Die Updates werden sofort auf den anderen Knoten im Paar repliziert. Updates werden asynchron auf allen anderen Knoten repliziert.

  Ein Knoten kann höchstens zu einem bidirektionalen synchronen Paar gehören.

  Ein Multi-Master-Cluster erfordert, dass mindestens ein Lese-/Schreibpaar vollständig betriebsbereit ist. Es kann maximal 8 Lese-/Schreibpaare enthalten.

• Oracle Key Vault-Lese-/Schreibknoten

  Ein Lese-/Schreibknoten ist ein Knoten, auf dem kritische Daten mit der Oracle Key Vault- oder Endpunktsoftware hinzugefügt oder aktualisiert werden können.

  Bei den kritischen Daten, die hinzugefügt oder aktualisiert werden, kann es sich um Daten wie Schlüssel, Wallet-Inhalte und Zertifikate handeln.

  Oracle Key Vault-Lese-/Schreibknoten sind immer paarweise vorhanden. Jeder Knoten im Lese-/Schreibpaar kann Updates für kritische und nicht kritische Daten annehmen, und diese Updates werden sofort auf das andere Member des Paares, den Lese-/Schreib-Peer, repliziert. Ein Lese-/Schreib-Peer ist das spezifische Member eines und nur eines Lese-/Schreibpaares im Cluster. Es gibt eine bidirektionale synchrone Replikation zwischen Lese-/Schreibpeers. Die Replikation auf alle Knoten, die kein Lese-/Schreib-Peer eines bestimmten Knotens sind, ist asynchron.

  Ein Knoten kann höchstens ein Lese-/Schreibpaar sein. Ein Knoten kann nur einen Lese-/Schreib-Peer haben. Ein Knoten wird während des Induktionsprozesses Mitglied eines Lese-/Schreibpaares und damit eines Lese-/Schreibknotens. Ein Lese-/Schreibknoten wird wieder als schreibgeschützter Knoten verwendet, wenn sein Lese-/Schreib-Peer gelöscht wird. Zu diesem Zeitpunkt kann er ein neues Lese-/Schreibpaar bilden.

  Ein Lese-/Schreibknoten arbeitet im Lese-/Schreibmodus, wenn er sich erfolgreich auf seinen Lese-/Schreib-Peer replizieren kann und wenn beide Peers aktiv sind. Ein Lese-/Schreibknoten wird vorübergehend in den schreibgeschützten eingeschränkten Modus versetzt, wenn er sich nicht auf seinen Lese-/Schreib-Peer replizieren kann oder wenn sein Lese-/Schreib-Peer deaktiviert ist.

• Multi-Master-Cluster erstellen

  Ein Multi-Master-Cluster wird erstellt, indem ein einzelner Oracle Key Vault-Server in den anfänglichen Knoten konvertiert wird.

  Dieser Oracle Key Vault-Server vordefiniert die Clusterdaten und konvertiert den Server in den ersten Clusterknoten, der als anfänglicher Knoten bezeichnet wird.

  Nachdem der Oracle Key Vault-Server in den anfänglichen Knoten des Multi-Master-Clusters konvertiert wurde, können die verschiedenen erforderlichen Knotentypen zum Cluster hinzugefügt werden. Das Cluster wird erweitert, wenn zusätzliche Oracle Key Vault-Server induziert und als Lese-/Schreibknoten oder als einfache schreibgeschützte Knoten hinzugefügt werden.

Hinweise

Beachten Sie beim Deployment dieser Referenzarchitektur die folgenden Punkte:

• Performance

  Für optimale Performance und Load Balancing fügen Sie weitere Lese-/Schreibpaare hinzu.

  Einem Cluster können mehrere schreibgeschützte Knoten hinzugefügt werden. Für optimale Performance und Load Balancing benötigen Sie jedoch mehr Lese-/Schreibpaare, um zu verhindern, dass das Cluster überlastet wird.

  Für das Oracle Key Vault-Multimastercluster ist mindestens ein Lese-/Schreibpaar erforderlich, damit es vollständig betriebsbereit ist. Es kann maximal acht Lese-/Schreibpaare enthalten.

• Verfügbarkeit

  Das Cluster mit mehreren Knoten bietet High Availability, Disaster Recovery, Lastverteilung und geografische Verteilung für eine Oracle Key Vault-Umgebung. Es bietet einen Mechanismus zum Erstellen von Lese-/Schreibpaaren von Oracle Key Vault-Knoten für maximale Verfügbarkeit und Zuverlässigkeit.

  Nachdem Sie das Cluster initialisiert haben, können Sie es erweitern, indem Sie bis zu 15 weitere Knoten hinzufügen, entweder als Lese-/Schreibpaare oder als schreibgeschützte Knoten. Ein Multi-Master-Cluster kann mindestens zwei Knoten und maximal 16 Knoten enthalten.

  Sie können dem Cluster schreibgeschützte Oracle Key Vault-Knoten hinzufügen, um Endpunkten, die Oracle-Wallets, Verschlüsselungsschlüssel, Java-Keystores, Zertifikate, Zugangsdatendateien und andere Objekte benötigen, noch mehr Verfügbarkeit zu bieten.

Mehr erfahren

Erfahren Sie mehr über die Verwaltung der Verschlüsselung in Oracle Database@Google Cloud mit Oracle Key Vault.

Prüfen Sie diese zusätzlichen Ressourcen:

• Oracle Key Vault Image in Google Cloud erstellen im Oracle Key Vault Administrator's Guide
• Oracle Database@Azure
• Oracle Key Vault-Konzepte
• Endpunkte für Oracle Key Vault registrieren und upgraden im Oracle Key Vault Administrator's Guide
• Oracle Key Vault General System Administration im Oracle Key Vault Administrator's Guide
• Oracle Software Delivery Cloud
• Migration der dateibasierten transparenten Datenverschlüsselung in Oracle Key Vault für Oracle Exadata Database Service on Dedicated Infrastructure mit Automatisierung über REST
• Ausgefeiltes Framework für Oracle Cloud Infrastructure

Danksagungen

• Autoren: Suzanne Holliday, Anwar Belayachi, Peter Wahl, Julien Silverston
• Mitwirkende: Wei Han, Leo Alvarado

Änderungslog

In diesem Log werden wichtige Änderungen aufgeführt:

16. Januar 2025

Das Architekturdiagramm wurde aktualisiert und eine herunterladbare Version des Diagramms hinzugefügt.