Déployer Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Google Cloud)
L'utilisation d'Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Google Cloud) offre aux clients les avantages suivants :
- Tolérance aux pannes
- Haute disponibilité
- Extensibilité
- Sécurité
- Conformité aux normes
Oracle Key Vault gère les objets de sécurité, notamment les clés de chiffrement, les portefeuilles Oracle, les magasins de clés Java (JKS), les magasins de clés d'extension de cryptographie Java (JCEKS) et les fichiers de données d'identification. Les fichiers de données d'identification peuvent inclure des clés privées SSH, utilisées pour l'authentification par clé publique sur des serveurs distants (sur place ou dans n'importe quel nuage), ou des mots de passe de compte de base de données pour l'exécution sans surveillance de scripts de maintenance programmés régulièrement. Oracle Key Vault est optimisé pour la pile Oracle Cloud (base de données, intergiciel, systèmes) et le chiffrement transparent des données de sécurité avancé (TDE). En outre, il est conforme à la norme OASIS Key Management Interoperability Protocol (KMIP) pour la compatibilité avec les clients basés sur KMIP.
Oracle Key Vault fonctionne avec des points d'extrémité, un point d'extrémité est un système informatique tel qu'un serveur de base de données, un serveur d'applications et d'autres systèmes d'informations. Les points d'extrémité doivent être enregistrés et inscrits pour pouvoir communiquer avec Oracle Key Vault. Les points d'extrémité inscrits peuvent charger leurs clés, les partager avec d'autres points d'extrémité et les télécharger pour accéder à leurs données. Les clés sont utilisées pour accéder aux données chiffrées et les données d'identification sont utilisées pour l'authentification auprès d'autres systèmes. Pour les serveurs de base de données hébergeant une ou plusieurs bases de données Oracle, chaque base de données Oracle sera au moins un point d'extrémité.
Oracle Key Vault rationalise les opérations quotidiennes avec des bases de données chiffrées déployées en tant que RAC ou avec Active Data Guard, des bases de données enfichables, des fichiers de piste chiffrés pour OCI GoldenGate, ainsi que des bases de données réparties globalement (fragmentées), Oracle ZFS Storage Appliance et Oracle Zero Data Loss Recovery Appliance. Oracle Key Vault facilite le déplacement de données chiffrées à l'aide d'Oracle Data Pump et d'espaces-tables transportables, une fonction clé d'Oracle Database.
Bien qu'Oracle et Google soient responsables de la sécurisation de l'infrastructure sous-jacente prenant en charge Oracle Key Vault, les clients sont responsables de la mise en oeuvre des contrôles de sécurité requis dans leurs applications et de tout mécanisme de configuration pour répondre à leurs mandats de sécurité et de conformité. Oracle Key Vault fournit bloquer votre propre clé par défaut.
Étapes préliminaires
Pour tirer parti de cette architecture de référence, les éléments suivants sont requis :
Oracle Database@Google Cloud
- Accès à un abonnement et à un répertoire Google Cloud
- Accès à une location OCI
- Lien multinuage Oracle Database@Google Cloud actif entre Google Cloud et OCI
- Avant le provisionnement, assurez-vous des limites appropriées pour le service Oracle Exadata Database Service et les limites de service OCI
- Dans le menu OCI, cliquez sur Gouvernance et administration.
- Sous Gestion des locations, cliquez sur limites, quotas et utilisation.
- Dans la liste déroulante Service, sélectionnez Base de données.
- Planifiez votre topologie réseau :
- Nécessite au moins un nuage privé virtuel (VPC) Google Cloud pouvant être apparié à un réseau en nuage virtuel (VCN) OCI correspondant
- Les blocs CIDR de tout nuage privé virtuel (VPC) Google Cloud et des réseaux en nuage virtuels OCI ne doivent pas se chevaucher
- Accès à une image Oracle Key Vault, créée sur place à partir du fichier ISO correspondant
- Exigences d'installation d'Oracle Key Vault
- La configuration de NTP est requise
Architecture
Cette architecture montre comment déployer Oracle Key Vault sur une machine virtuelle Google Cloud en tant que stockage de gestion de clés externes sécurisé à long terme pour les clés de chiffrement Oracle Exadata Database Service dans Oracle Database@Google Cloud.
Le diagramme de l'architecture présente la grappe maître multiple Oracle Key Vault recommandée dans Google Cloud pour assurer une gestion des clés disponible en continu, extrêmement évolutive et tolérante aux défaillances pour Oracle Database dans Oracle Exadata Database Service (Oracle Database@Google Cloud).
Deux noeuds Oracle Key Vault dans la même zone forment une paire lecture/écriture, offrant une disponibilité continue en lecture. En effet, lorsque l'un des deux noeuds n'est pas opérationnel, le noeud restant est configuré pour être en mode lecture seule restreint. Lorsqu'un noeud en lecture/écriture est à nouveau capable de communiquer avec son pair en lecture/écriture, le noeud revient en mode lecture/écriture à partir du mode restreint en lecture seule. Quatre noeuds (comme le montre le diagramme de l'architecture) offrent une disponibilité continue en lecture/écriture.
Oracle Key Vault peut être déployé sur place, dans OCI, Google Cloud, Microsoft Azure et Amazon Web Services, tant que la connectivité réseau peut être établie. Des grappes Oracle Key Vault étendues (sur place vers le nuage ou entre des fournisseurs de services en nuage) sont également possibles, ce qui vous offre une flexibilité de déploiement maximale et une disponibilité locale de vos clés de chiffrement. Oracle Key Vault fournit la fonctionnalité de "maintien de votre propre clé" prête à l'emploi, sans avoir besoin d'un boîtier de gestion de clés de tierce partie supplémentaire et coûteux.
Le diagramme suivant illustre cette architecture de référence.
L'architecture comprend les composants suivants :
- Région Google Cloud
Les régions Google et OCI sont des zones géographiques localisées. Pour Oracle Database@Google Cloud, une région Google Cloud est connectée à une région OCI. Une zone de Google Cloud est connectée à un domaine de disponibilité dans OCI. Les paires de régions Google Cloud et OCI sont sélectionnées pour réduire la distance et la latence.
- Zone Google Cloud
Une zone est un centre de données physiquement séparé dans une région qui est conçu pour être disponible et tolérant aux pannes. Les zones sont suffisamment proches pour avoir des connexions à faible latence avec d'autres zones.
- Nuage privé virtuel Google Cloud
Le nuage privé virtuel (VPC) Google Cloud est le bloc fonctionnel fondamental de votre réseau privé dans Google Cloud. Le service VPC permet à de nombreux types de ressource Google Cloud, tels que les machines virtuelles Google, de communiquer en toute sécurité les uns avec les autres, avec Internet et avec les réseaux sur place.
- Service Exadata Database sur une infrastructure dédiée
Oracle Exadata Database Service offre des capacités éprouvées d'Oracle Database sur une infrastructure optimisée et spécialement conçue pour Oracle Exadata dans le nuage public. Automatisation en nuage intégrée, évolutivité élastique des ressources, sécurité et performance rapide pour OLTP, analyses en mémoire et charges de travail Oracle Database convergées aident à simplifier la gestion et à réduire les coûts.
Exadata Cloud Infrastructure X9M offre plus de coeurs d'UC, plus de stockage et une matrice réseau plus rapide pour le nuage public. Les serveurs de stockage Exadata X9M comprennent une mémoire Exadata RDMA (XRMEM), créant un niveau de stockage supplémentaire, améliorant ainsi la performance globale du système. Exadata X9M combine XRMEM à des algorithmes RDMA innovants qui contournent la pile réseau et d'E/S, éliminant ainsi les interruptions coûteuses d'UC et les commutateurs de contexte.
Exadata Cloud Infrastructure X9M augmente le débit de sa structure de réseau interne active-active Remote Direct Memory Access sur Ethernet convergé (RoCE) de 100 Gbit/s, offrant une interconnexion plus rapide que les générations précédentes avec une latence extrêmement faible entre tous les serveurs de calcul et de stockage.
- Oracle Database@Google Cloud
Oracle Database@Google Cloud is the Oracle Database service (Oracle Exadata Database Service on Dedicated Infrastructure or Oracle Autonomous Database Serverless) running on Oracle Cloud Infrastructure (OCI), deployed in Google Cloud data centers. Le service offre des fonctions et une parité de prix avec OCI. Les utilisateurs achètent le service sur le marché des applications Google Cloud.
Oracle Database@Google Cloud intègre les technologies Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) et Oracle Data Guard dans la plate-forme Google Cloud. Oracle Database@Google Cloud offre la même latence faible que les autres services natifs de Google et répond aux charges de travail critiques et aux besoins de développement natif en nuage. Les utilisateurs gèrent le service sur la console Google et avec les outils d'automatisation Google. Le service est déployé dans le nuage privé virtuel (VPC) Google et intégré au système de gestion des identités et des accès Google. Les mesures OCI et Oracle Database et les journaux de vérification sont disponibles de manière native dans Google. Le service nécessite que les utilisateurs aient une location Google et une location OCI.
- Chambre forte de clés
Oracle Key Vault stocke en toute sécurité des clés de chiffrement, des portefeuilles Oracle, Java KeyStores, des paires de clés SSH et d'autres clés secrètes dans une grappe évolutive tolérante aux défaillances qui prend en charge la norme KMIP OASIS et se déploie dans Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure et Amazon Web Services, ainsi que sur place sur du matériel dédié ou des machines virtuelles.
Recommandations
- ISO pour Oracle Key Vault
Pour créer la solution Oracle Key Vault appropriée, veillez à utiliser le dernier support d'installation d'Oracle Key Vault. En savoir plus sur le lien Oracle Software Delivery Cloud.
- Création d'images d'Oracle Key Vault
Pour créer l'image Oracle Key Vault à partir de la norme ISO, utilisez un système local d'au moins 1 To de stockage avec au moins 32 Go de mémoire vive. Créez le disque dur virtuel en tant que taille fixe et au format VHD.
- Grappe maître multiple
Déployez Oracle Key Vault en tant que grappe à plusieurs noeuds pour atteindre une disponibilité et une fiabilité maximales avec des paires lecture/écriture de noeuds Oracle Key Vault.
La grappe multimaître Oracle Key Vault est créée avec un premier noeud, puis des noeuds supplémentaires peuvent être ensuite injectés pour former éventuellement une grappe à plusieurs noeuds avec jusqu'à 8 paires lecture/écriture.
Le noeud initial est en mode restreint en lecture seule et aucune donnée critique ne peut y être ajoutée. Oracle recommande de déployer un second noeud pour former une paire lecture/écriture avec le premier noeud. Après quoi, le cluster peut être développé avec des paires lecture/écriture afin que les données critiques et non critiques puissent être ajoutées aux noeuds de lecture/écriture. Les noeuds en lecture seule peuvent faciliter l'équilibrage de la charge ou la continuité des opérations pendant les opérations de maintenance.
Reportez-vous à la documentation pour savoir comment un cluster multi-maîtres affecte les points d'extrémité, à la fois dans la façon dont un point d'extrémité se connecte et avec des restrictions.
Pour les déploiements volumineux, installez au moins quatre serveurs Oracle Key Vault. Les points d'extrémité doivent être inscrits en les rendant uniques et équilibrés sur les quatre serveurs pour assurer une haute disponibilité. Par exemple, si un centre de données comporte 1 000 points d'extrémité de base de données à enregistrer et que vous disposez de quatre serveurs Oracle Key Vault pour les accueillir, inscrivez 250 points d'extrémité sur chacun des quatre serveurs.
Assurez-vous que les horloges système de l'hôte du point d'extrémité et du serveur Oracle Key Vault sont synchronisées. Pour le serveur Oracle Key Vault, la configuration de NTP est requise.
- Paire de lecture/écriture
Paire de noeuds fonctionnant avec une réplication synchrone bidirectionnelle. La paire lecture/écriture par est créée en associant un nouveau noeud à un noeud en lecture seule. Les données peuvent être mises à jour, y compris le point d'extrémité et les données de portefeuille, dans un noeud à l'aide de la console de gestion Oracle Key Vault ou du logiciel client Oracle Key Vault. Les mises à jour sont répliquées immédiatement sur l'autre noeud de la paire. Les mises à jour sont répliquées de manière asynchrone vers tous les autres noeuds.
Un noeud peut être membre d'au plus une paire synchrone bidirectionnelle.
Un cluster multimaître nécessite qu'au moins une paire lecture/écriture soit pleinement opérationnelle. Il peut avoir un maximum de 8 paires lecture/écriture.
- Noeuds de lecture/écriture d'Oracle Key Vault
Un noeud en lecture/écriture est un noeud dans lequel des données critiques peuvent être ajoutées ou mises à jour à l'aide d'Oracle Key Vault ou du logiciel de point d'extrémité.
Les données critiques ajoutées ou mises à jour peuvent être des données telles que les clés, le contenu du portefeuille et les certificats.
Les noeuds de lecture/écriture d'Oracle Key Vault existent toujours par paires. Chaque noeud de la paire lecture/écriture peut accepter les mises à jour de données critiques et non critiques, et ces mises à jour sont immédiatement répliquées à l'autre membre de la paire, le pair lecture/écriture. Un pair de lecture/écriture est le membre spécifique d'une seule paire de lecture/écriture dans le cluster. Il existe une réplication synchrone bidirectionnelle entre les pairs en lecture/écriture. La réplication vers tous les noeuds qui ne sont pas le pair de lecture/écriture d'un noeud donné est asynchrone.
Un noeud peut être membre, au maximum, d'une paire lecture/écriture. Un noeud ne peut avoir qu'un seul pair en lecture/écriture. Un noeud devient membre d'une paire lecture/écriture, et donc d'un noeud lecture/écriture, pendant le processus d'induction. Un noeud en lecture/écriture redevient un noeud en lecture seule lorsque son pair en lecture/écriture est supprimé, ce qui lui permet de former une nouvelle paire lecture/écriture.
Un noeud en lecture/écriture fonctionne en lecture/écriture lorsqu'il peut répliquer avec succès vers son pair en lecture/écriture et lorsque les deux pairs sont actifs. Un noeud en lecture/écriture est temporairement placé en mode restreint en lecture seule lorsqu'il n'est pas en mesure de répliquer vers son pair en lecture/écriture ou lorsque son pair en lecture/écriture est désactivé.
- Créer une grappe maître multiple
Une grappe multimaître est créée en convertissant un seul serveur Oracle Key Vault en noeud initial.
Ce serveur Oracle Key Vault prédéfinit les données de la grappe et convertit le serveur en premier noeud de grappe, appelé noeud initial.
Une fois le serveur Oracle Key Vault converti en noeud initial de la grappe multimaître, les différents types de noeud dont vous avez besoin peuvent être ajoutés à la grappe. La grappe est développée lorsque des serveurs Oracle Key Vault supplémentaires sont intronisés et ajoutés en tant que noeuds de lecture/écriture ou en tant que simples noeuds en lecture seule.
Points à considérer
Tenez compte des points suivants lors du déploiement de cette architecture de référence.
- Performance
Pour des performances optimales et un équilibrage de charge, ajoutez d'autres paires lecture/écriture.
Plusieurs noeuds en lecture seule peuvent être ajoutés à une grappe, mais pour optimiser les performances et l'équilibrage de la charge, vous devez avoir plus de paires lecture/écriture pour éviter la surcharge de la grappe.
La grappe multimaître Oracle Key Vault nécessite au moins une paire lecture/écriture pour être pleinement opérationnelle. Il peut comporter un maximum de huit paires lecture/écriture.
- Disponibilité
La grappe à plusieurs noeuds assure la haute disponibilité, la récupération après sinistre, la répartition de la charge et la répartition géographique dans un environnement Oracle Key Vault. Il fournit un mécanisme permettant de créer des paires lecture-écriture de noeuds Oracle Key Vault pour une disponibilité et une fiabilité maximales.
Après avoir initialisé le cluster, vous pouvez le développer en ajoutant jusqu'à 15 noeuds supplémentaires, en tant que paires lecture/écriture ou noeuds en lecture seule. Un cluster multi-maîtres peut contenir un minimum de deux noeuds et un maximum de 16 noeuds.
Vous pouvez ajouter des noeuds Oracle Key Vault en lecture seule à la grappe pour assurer une disponibilité encore plus grande aux points d'extrémité qui ont besoin de portefeuilles Oracle, de clés de chiffrement, de magasins de clés Java, de certificats, de fichiers de données d'identification et d'autres objets.
Informations complémentaires
Pour en savoir plus sur la gestion du chiffrement dans Oracle Database@Google Cloud avec Oracle Key Vault.
Vérifiez les ressources supplémentaires suivantes :
- Création d'une image Oracle Key Vault dans Google Cloud dans le guide de l'administrateur d'Oracle Key Vault
- Oracle Database@Azure
- Concepts relatifs à Oracle Key Vault
- Inscription et mise à niveau de points d'extrémité pour Oracle Key Vault dans le guide de l'administrateur d'Oracle Key Vault
- Administration générale du système d'Oracle Key Vault dans le guide de l'administrateur d'Oracle Key Vault
- Oracle Software Delivery Cloud
- Migration of File Based Transparent Data Encryption to Oracle Key Vault for Oracle Exadata Database Service on Dedicated Infrastructure Using Automation via REST
- Cadre bien conçu pour Oracle Cloud Infrastructure