Activer OCI HYOK avec le gestionnaire Thales CipherTrust à l'aide de l'équilibreur de charge OCI pour la haute disponibilité

Présentation

Dans le tutoriel précédent, nous avons exploré l'intégration de Thales CipherTrust Manager à Oracle Cloud Infrastructure (OCI) pour activer les fonctionnalités HYOK (Hold Your Own Key), avec ou sans passerelle d'API OCI. Bien que la mise en grappe des gestionnaires CipherTrust offre un niveau de récupération, elle ne garantit pas une haute disponibilité précise du point de vue du réseau.

Le gestionnaire Thales CipherTrust ne prend pas en charge de manière native une adresse IP virtuelle (adresse VIP) pour un basculement transparent entre les noeuds.

Ce tutoriel traite de la limitation en introduisant l'équilibreur de charge OCI pour fournir une haute disponibilité de réseau pour les instances de gestionnaire Thales CipherTrust. En plaçant les gestionnaires CipherTrust en grappe derrière un équilibreur de charge OCI, nous pouvons assurer une disponibilité continue et une tolérance aux pannes pour les services de gestion des clés externes dans OCI, même en cas de défaillance d'un noeud ou d'une interruption du centre de données.

Ce tutoriel présente l'architecture, la configuration et les considérations à prendre en compte pour déployer cette configuration dans votre environnement OCI.

Objectifs

• Tâche 1 : Vérifier les architectures HYOK existantes d'OCI et de Thales CipherTrust Manager.
• Tâche 2 : Créer un équilibreur de charge OCI.
• Tâche 3 : Intégrer l'équilibreur de charge OCI à un déploiement HYOK existant basé sur la passerelle d'API OCI.
• Tâche 4 : Intégrer l'équilibreur de charge OCI à un déploiement HYOK existant sans passerelle d'API OCI.
• Tâche 5 : Vérifiez toutes les architectures HYOK d'OCI et de Thales CipherTrust Manager pour rendre Thales CipherTrust Manager hautement disponible.

Tâche 1 : Examiner les architectures HYOK existantes d'OCI et de Thales CipherTrust Manager

Avant d'introduire l'équilibreur de charge OCI dans l'architecture, il est essentiel de revoir les déploiements HYOK existants d'OCI et de Thales CipherTrust Manager. Dans les implémentations précédentes, nous avons traité deux modèles principaux :

• Configurer une clé OCI bloquée à l'aide du gestionnaire Thales CipherTrust avec la passerelle d'API OCI

• Configurer une clé OCI bloquée à l'aide du gestionnaire Thales CipherTrust sans passerelle d'API OCI

Cette section résumera brièvement ces deux conceptions et mettra en évidence leurs forces et leurs limites, en jetant les bases pour l'introduction de l'équilibreur de charge OCI afin de combler l'écart de disponibilité.

Les deux architectures s'appuyaient sur la mise en grappe de plusieurs gestionnaires Thales CipherTrust pour assurer la récupération, mais elles manquaient d'une haute disponibilité précise au niveau du réseau en raison de l'absence de prise en charge des adresses IP virtuelles natives dans Thales CipherTrust Manager. Chaque déploiement a géré efficacement la gestion des clés, mais a introduit des points de défaillance uniques potentiels du point de vue du routage réseau et de l'accessibilité des services.

Avant de commencer, assurez-vous d'avoir les éléments suivants en place :

• Deux instances de gestionnaire Thales CipherTrust ou plus déployées dans différents domaines de disponibilité ou domaines d'erreur (et mises en grappe). Pour plus d'informations, voir Configurer deux boîtiers Thales CipherTrust Cloud Key Manager dans OCI, créer une grappe entre eux et en configurer un en tant qu'autorité de certification.

• Un réseau VCN avec les sous-réseaux appropriés (privé ou public, selon votre architecture). C'est ici que vous placerez l'équilibreur de charge OCI.

• Certificats (si vous utilisez une terminaison SSL au niveau de l'équilibreur de charge OCI). C'est quelque chose que nous allons expliquer dans ce tutoriel.

Tâche 2 : Créer un équilibreur de charge OCI

Pour assurer la haute disponibilité du gestionnaire Thales CipherTrust au niveau de la couche réseau, nous introduisons l'équilibreur de charge OCI dans l'architecture. L'équilibreur de charge OCI sera un point d'accès unique et résilient qui répartit intelligemment les demandes entrantes sur les noeuds Thales CipherTrust Manager en grappe.

Cette tâche fournira un équilibreur de charge OCI qui fait face à plusieurs instances du gestionnaire Thales CipherTrust. Vous configurerez des jeux dorsaux, des vérifications d'état, une terminaison SSL (le cas échéant) et des règles de module d'écoute adaptées à votre déploiement HYOK, que vous utilisiez ou non la passerelle d'API OCI.

Cette configuration de l'équilibreur de charge OCI garantit que le service de gestion des clés reste accessible même si l'un des noeuds du gestionnaire Thales CipherTrust devient indisponible, ce qui améliore considérablement la fiabilité et la tolérance aux pannes de votre intégration de gestion des clés externes à OCI.

• Connectez-vous à la console OCI, naviguez jusqu'à Réseau et cliquez sur Équilibreurs de charge.

  

• Cliquez sur Créer un équilibreur de charge.

  

• Entrez les informations suivantes .

  • Nom : entrez un nom descriptif (par exemple, Load_Balancer_for_CCKM).
  • Type : Sélectionnez privé ou public, selon votre cas d'utilisation.

  

  • VCN et sous-réseau : Sélectionnez le VCN et les sous-réseaux où l'équilibreur de charge OCI sera déployé dans le compartiment de droite.
  • Cliquez sur Suivant.

  

  • Politique : Sélectionnez Vir à tour pondéré.
  • Laissez le champ Sélectionner les serveurs dorsaux vide. Nous les configurerons ultérieurement.

  

  • Politique de vérification de l'état : Sélectionnez HTTP avec le port 80 pour le moment, ce changement sera effectué plus tard.

  

  • Nom du jeu dorsal : Entrez un nom descriptif (par exemple, CTM_Appliances).
  • Cliquez sur Suivant.

  

  • Nom du module d'écoute : Entrez un nom descriptif (par exemple, LISTENER).
  • Type et port de trafic du module d'écoute : TCP et port 80, nous les modifierons ultérieurement.
  • Cliquez sur Suivant.

  

  • Conservez tous les paramètres de journalisation par défaut.
  • Cliquez sur Suivant.

  

• Vérifiez les informations et cliquez sur Submit (Soumettre).

  

• Notez que l'équilibreur de charge OCI sera créé. Au bout de quelques minutes, l'option Actif s'affiche.

  

• Cliquez sur Modules d'écoute pour vérifier le module d'écoute à modifier.

  

• Cliquez sur Jeux dorsaux pour vérifier le jeu dorsal à modifier. Notez également que l'état est Incomplet. En effet, nous devons toujours ajouter les serveurs dorsaux Thales CipherTrust Manager au jeu.

  

• Nous devons ajouter un certificat avant de configurer le module d'écoute et le jeu dorsal avec SSL. Pour l'ajouter, naviguez jusqu'à Certificats et chiffrements et cliquez sur Ajouter un certificat.

  

• Assurez-vous qu'un certificat signé et une clé privée valides ont été créés pour l'équilibreur de charge OCI.

  Pour créer une demande de signature de certificat et utiliser le gestionnaire Thales CipherTrust pour signer le certificat avec son autorité de certification locale, voir Créer une demande de signature de certificat pour les boîtiers Thales CCKM et signer par l'autorité de certification.

  

• Assurez-vous également d'avoir l'autorité de certification racine (ensemble prêt).

  

• Dans Ajouter un certificat, entrez les informations suivantes.

  • Nom du certificat : Entrez un nom descriptif (par exemple, LB-CTM-CERT).
  • Sélectionnez Coller le certificat SSL.
  • Certificat SSL : Collez le certificat SSL signé.

  

  • Sélectionnez Spécifier le certificat de l'AC.
  • Sélectionnez Coller le certificat de l'AC.
  • Certificat de l'autorité de certification : Collez le certificat de l'autorité de certification (ensemble).

  

  • Sélectionnez Spécifier la clé privée.
  • Sélectionnez Coller la clé privée.
  • Clé privée : Collez la clé privée.
  • Cliquez sur Ajouter un certificat.

  

• Notez que la demande de travail soumise est acceptée et cliquez sur Voir toutes les demandes de travail.

  

• Notez que la demande a réussi.

  

• Naviguez jusqu'à Certificats et chiffrements et notez que le certificat a été ajouté.

  

• Naviguez jusqu'à Jeux dorsaux, cliquez sur les trois points pour ouvrir le menu du jeu dorsal créé, puis cliquez sur Modifier.

  

• Dans Modifier le jeu dorsal, entrez les informations suivantes.

  • Sélectionnez Utiliser SSL pour activer SSL.
  • Ressource de certificat : Sélectionnez Certificat géré par l'équilibreur de charge.
  • Sélectionnez le nom du certificat.
  • Cliquez sur enregistrer les modifications.

  

• Cliquez sur Fermer.

  

• Naviguez jusqu'à Modules d'écoute, cliquez sur les trois points pour ouvrir le menu du jeu dorsal créé, puis cliquez sur Modifier.

  

• Dans Modifier le module d'écoute, entrez les informations suivantes :

  • Protocole : Sélectionnez TCP.
  • Port : Sélectionnez 443.
  • Sélectionnez Utiliser le protocole SSL.
  • Ressource de certificat : Sélectionnez Certificat géré par l'équilibreur de charge.
  • Sélectionnez Nom du certificat.
  • Cliquez sur enregistrer les modifications.

  

• Cliquez sur Fermer.

  

• Notez que le module d'écoute écoute maintenant sur le port 443TCP.

  

• Naviguez jusqu'à Jeux dorsaux et notez que l'état est toujours incomplet. En effet, nous n'avons ajouté aucun serveur en tant que serveur dorsal au jeu.

  

• Cliquez sur les trois points pour ouvrir le menu du jeu dorsal créé, puis cliquez sur Mettre à jour la vérification de l'état.

  

• Dans Mettre à jour la vérification de l'état, entrez les informations suivantes.

  • Protocole : Sélectionnez TCP.
  • Port : Sélectionnez 443.
  • Cliquez sur enregistrer les modifications.

  

• Cliquez sur Fermer.

  

• Cliquez sur le jeu dorsal que vous avez créé précédemment.

  

• Cliquez sur Serveurs dorsaux, puis sur Ajouter des serveurs dorsaux.

  

• Dans Ajouter un serveur dorsal, entrez les informations suivantes.

  • Type dorsal : Sélectionnez Adresses IP.
  • Ajoutez les dossiers dorsaux suivants (adresses IP des marques de commerce) :
    • CTM 1 (AMS)
      • Adresse IP : Entrez 10.111.10.32.
      • Port : Sélectionnez 443.
      • Pondération : Sélectionnez 1.
    • CTM 2 (ACH)
      • Adresse IP : Entrez 10.222.10.111.
      • Port : Sélectionnez 443.
      • Pondération : Sélectionnez 2.
  • Cliquez sur Ajouter.

  

• Notez que l'état apparaîtra comme critique. L'exécution de la vérification d'état sur les serveurs du gestionnaire Thales CipherTrust peut prendre une minute.

  

• Notez que l'état est maintenant réglé à OK. Maintenant, naviguez jusqu'à l'aperçu du jeu dorsal.

  

• Notez que l'état général du jeu dorsal est également OK. Maintenant, revenez à l'aperçu de l'équilibreur de charge OCI.

  

• Notez que l'équilibreur de charge OCI est actif, que l'état général est OK et que l'équilibreur de charge a une adresse IP.

  

Assurez-vous de créer un enregistrement DNS pour l'équilibreur de charge. Nous avons créé un enregistrement A dans le module d'écoute DNS privé du VCN OCI.

Tâche 3 : Intégrer l'équilibreur de charge OCI à un déploiement HYOK basé sur une passerelle d'API OCI existante

Dans cette tâche, nous intégrerons l'équilibreur de charge OCI à votre déploiement HYOK basé sur la passerelle d'API OCI existant, afin de garantir une architecture transparente et hautement disponible.

Dans cette architecture, nous combinons les forces de la passerelle d'API OCI et de l'équilibreur de charge OCI pour améliorer la fiabilité et la sécurité de l'intégration d'OCI HYOK avec Thales CipherTrust Manager.

La passerelle d'API OCI continue de servir de point d'entrée public sécurisé, en appliquant les politiques d'authentification, d'autorisation et d'acheminement. Derrière cela, l'équilibreur de charge OCI répartit les demandes sur plusieurs noeuds de gestionnaire CipherTrust, garantissant la haute disponibilité et la tolérance aux pannes au niveau de la couche réseau.

Cette conception en couches maintient un modèle d'accès sécurisé au moyen de la passerelle d'API OCI. Il résout le manque de prise en charge des adresses IP virtuelles natives dans Thales CipherTrust Manager en introduisant un serveur dorsal résilient au moyen de l'équilibreur de charge OCI.

• Naviguez jusqu'à la passerelle d'API OCI créée dans le tutoriel suivant : Configurez une clé OCI bloquée à l'aide du gestionnaire Thales CipherTrust avec la passerelle d'API OCI.

  

• Naviguez jusqu'à Déploiements et cliquez sur Déploiement.

  

• Cliquez sur Modifier.

  

• Cliquez sur Routes.

  

• Notez que l'URL pointe vers le nom de domaine complet ctm1.oci-thales.lab, qui est l'AMS CTM.

  

• Modifiez l'URL pour qu'elle pointe maintenant vers le nom de domaine complet lb-ctm.oci-thales.lab, l'équilibreur de charge OCI que nous venons de créer, puis cliquez sur Suivant et veillez à enregistrer les modifications.

  

L'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et l'équilibreur de charge OCI intégrés à l'architecture.

Tâche 4 : Intégrer l'équilibreur de charge OCI à un déploiement HYOK existant mais sans passerelle d'API OCI

Dans cette tâche, vous apprendrez à configurer et à utiliser l'équilibreur de charge OCI en tant que seul point d'accès pour le gestionnaire Thales CipherTrust dans un déploiement OCI HYOK, ce qui permet une architecture propre, performante et hautement disponible.

Dans cette architecture, nous simplifions le déploiement en supprimant la passerelle d'API OCI et en plaçant l'équilibreur de charge OCI directement devant la grappe Thales CipherTrust Manager. Cette approche est idéale pour les intégrations privées où l'accès public n'est pas nécessaire et l'objectif est d'assurer une haute disponibilité au sein d'un réseau interne sécurisé.

En acheminant les demandes au moyen de l'équilibreur de charge OCI, nous pouvons répartir le trafic entre plusieurs noeuds Thales CipherTrust Manager tout en conservant les capacités de résilience de session et de basculement, même en cas de défaillance d'un noeud ou d'un domaine de disponibilité. Cette configuration résout la limitation clé du manque de prise en charge des adresses IP virtuelles natives par le gestionnaire Thales CipherTrust, sans la complexité supplémentaire des politiques et des flux d'authentification du service de passerelle d'API pour OCI.

Suivez les tâches listées dans le tutoriel suivant : Configurer une clé OCI bloquée à l'aide du gestionnaire Thales CipherTrust sans passerelle d'API OCI. Mais maintenant, toutes les adresses IP CTM1 (AMS) ont été remplacées par l'adresse IP de l'équilibreur de charge.

• Application de ressources pour les applications d'intégration OCI.
• Nom d'hôte de l'URL du point d'extrémité de chambre forte externe CTM1. Cette modification sera également synchronisée avec (ASH) CTM2 lorsque la marque communautaire se trouve dans un cluster.
• Point d'extrémité privé OCI (le service de gestion des clés externes OCI l'utilisera).

Il s'agit du flux d'intégration détaillé pour OCI avec l'intégration du gestionnaire Thales CipherTrust (HYOK) avec uniquement l'équilibreur de charge OCI dans le chemin.

L'illustration suivante présente le flux de trafic de bout en bout avec uniquement l'équilibreur de charge OCI intégré à l'architecture.

Tâche 5 : Examiner toutes les architectures HYOK d'OCI et de Thales CipherTrust Manager pour rendre le gestionnaire Thales CipherTrust hautement disponible

Il n'y a pas d'approche unique pour déployer Thales CipherTrust Manager pour Hold Your Own Key (HYOK) dans OCI. Plusieurs options architecturales sont disponibles pour assurer un déploiement résilient et hautement disponible en fonction de la topologie de votre réseau, des exigences de sécurité et de l'infrastructure disponible, en nuage ou sur place.

Cette section fournit un aperçu consolidé de tous les modèles d'architecture pris en charge pour l'intégration de Thales CipherTrust Manager à OCI HYOK, en mettant l'accent sur la haute disponibilité. Il s'agit des combinaisons suivantes :

• Déploiements de centres de données uniques ou doubles.
• Utilisation de la passerelle d'API OCI.
• Utilisation de l'équilibreur de charge OCI.
• Utilisation d'équilibreurs de charge hébergés sur place ou dans un centre de données, avec ou sans haute disponibilité.

Chaque architecture présente des avantages et des compromis en matière de complexité, de capacités de basculement et de contrôle. Que vous exécutiez une configuration entièrement native en nuage, que vous opériez dans des environnements hybrides ou que vous utilisiez les équilibreurs de charge existants dans vos centres de données, il existe un modèle qui convient.

Les architectures couvertes sont les suivantes :

Architecture #	Description
1	CTM dans un seul centre de données – configuration de base sans passerelle d'API OCI ou équilibreur de charge OCI
2	CTM dans un seul centre de données avec passerelle d'API OCI – accès externe, aucune haute disponibilité
3	CTM dans deux centres de données avec la passerelle d'API OCI et l'équilibreur de charge OCI - solution haute disponibilité complète
4	Les marques de commerce dans deux centres de données avec la passerelle d'API OCI et l'équilibreur de charge sur place (aucune haute disponibilité) – résilience partielle
5	Les marques de commerce dans deux centres de données avec la passerelle d'API OCI et l'équilibreur de charge sur place - Haute disponibilité gérée en externe
6	CTM dans un centre de données avec la passerelle d'API OCI et l'équilibreur de charge sur place (aucune haute disponibilité) – basculement limité
7	Les marques de commerce dans deux centres de données avec l'équilibreur de charge OCI uniquement : accès interne, haute disponibilité au niveau du réseau sans passerelle d'API OCI

Cet aperçu vous aidera à comparer et à sélectionner l'architecture qui correspond le mieux à vos exigences techniques et opérationnelles.

• Architecture 1 : L'illustration suivante présente le flux de trafic de bout en bout sans passerelle d'API OCI et sans équilibrage de charge intégré dans l'architecture.

  

• Architecture 2 : L'illustration suivante présente le flux de trafic de bout en bout avec uniquement la passerelle d'API OCI et aucun équilibrage de charge intégré dans l'architecture.

  

• Architecture 3 : L'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et l'équilibreur de charge OCI intégrés à l'architecture.

  

• Architecture 4, 5 et 6 : L'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et les équilibreurs de charge sur place intégrés à l'architecture.

  

• Architecture 7 : L'illustration suivante présente le flux de trafic de bout en bout avec uniquement l'équilibreur de charge OCI intégré à l'architecture.

  

Conclusion

Il est essentiel d'assurer la haute disponibilité du gestionnaire Thales CipherTrust dans un déploiement HYOK d'Oracle Cloud Infrastructure (OCI) pour maintenir un accès sécurisé et ininterrompu aux clés de chiffrement gérées par le client. Bien que la mise en grappe des gestionnaires CipherTrust offre une possibilité de récupération, elle est insuffisante pour répondre aux exigences de haute disponibilité au niveau du réseau.

Ce tutoriel montre comment l'équilibreur de charge OCI peut combler cet écart, en conjonction avec le service de passerelle d'API OCI ou en tant que solution autonome pour l'accès interne. Nous avons également passé en revue plusieurs modèles d'architecture du monde réel, notamment des modèles hybrides qui tirent parti des équilibreurs de charge sur place, pour vous aider à choisir la conception qui correspond à votre stratégie d'infrastructure et à vos objectifs de disponibilité.

En intégrant judicieusement les services de réseau d'OCI avec Thales CipherTrust Manager, les organisations peuvent créer une solution de gestion des clés externes résiliente et sécurisée qui prend en charge la conformité de niveau entreprise et la continuité opérationnelle.

Remerciements

• Auteur - Iwan Hoogendoorn (Ceinture noire pour le réseau en nuage)

Ressources d'apprentissage supplémentaires

Explorez d'autres laboratoires sur le site docs.oracle.com/learn ou accédez à plus de contenu d'apprentissage gratuit sur le canal Oracle Learning YouTube. De plus, visitez education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir la documentation sur le produit, visitez Oracle Help Center.

---

Informations sur le titre et les droits d'auteur

Enable OCI HYOK with Thales CipherTrust Manager Using OCI Load Balancer for High Availability

G40059-01

Copyright ©2025, Oracle and/or its affiliates.