Présentation d'Oracle Blockchain Platform Enterprise Edition
Oracle Blockchain Platform fournit une plate-forme permettant de créer et d'exécuter des contrats intelligents, ainsi que de maintenir l'intégrité de son registre distribué.
Oracle Blockchain Platform est un réseau composé de noeuds de validation (homologues) qui mettent à jour le registre et répondent aux requêtes en exécutant un code de contrat intelligent, c'est-à-dire la logique applicative qui est exécutée sur la chaîne de blocs. Les applications externes appellent des transactions ou exécutent des requêtes via des appels d'API REST intégrés spécialisés ou via leurs propres kits SDK client personnalisés, ce qui invite les homologues sélectionnés à exécuter les contrats intelligents. Plusieurs homologues approuvent (signent numériquement) les résultats, qui sont ensuite vérifiés et envoyés au service de tri. Après consensus sur l'ordre des transactions, les résultats de transaction sont regroupés en blocs de données inaltérables et sécurisés par cryptographie, puis envoyés aux noeuds homologues pour être validés et ajoutés au registre. Les administrateurs de plate-forme peuvent utiliser le gestionnaire de plate-forme Blockchain pour créer et gérer des instances de plate-forme, tandis que les administrateurs réseau peuvent utiliser la console Oracle Blockchain Platform pour configurer la chaîne de blocs et surveiller son fonctionnement.
Oracle Blockchain Platform Enterprise Edition fournit une version d'Oracle Blockchain Platform basée sur des clusters Kubernetes et fournie sous la forme d'un ensemble d'images de conteneur prédéfinies pour plusieurs distributions Kubernetes, y compris Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) et minikube. L'artefact téléchargeable Oracle Blockchain Platform Enterprise Edition fournit un package de distribution qui inclut toutes les images de conteneur requises, les graphiques Helm et des scripts exécutables pour aider à configurer les services Oracle Blockchain Platform sur un cluster Kubernetes donné. Une fois qu'Oracle Blockchain Platform Enterprise Edition a été installé, Blockchain Platform Manager peut être utilisé pour configurer et provisionner plusieurs instances Blockchain Platform, qui s'exécuteront sur les noeuds de processus actif Kubernetes disponibles. Comme pour l'offre cloud, cette édition permet aux clients de créer des instances de chaîne de blocs complètes en quelques minutes.
L'édition d'entreprise permet aux utilisateurs de s'adapter au besoin pour gérer les charges de travail en constante évolution en augmentant les répliques pour différents noeuds. Contrairement aux applications classiques, le registre distribué d'Oracle Blockchain Platform et la base de données de métadonnées distribuées gèrent la réplication de données prête à l'emploi.
La parité des fonctionnalités avec la version cloud permet aux clients de déployer le code chaîne et d'utiliser les mêmes API de code chaîne et les mêmes API REST étendues sur les deux versions. Les innovations d'Oracle dans l'utilisation de Berkeley DB pour l'état mondial avec des requêtes basées sur SQL, la synchronisation des transactions intégrée à une base de données d'historique riche hors chaîne, une console intuitive et complète avec de puissants outils d'opérations et de surveillance, et toutes les autres fonctionnalités uniques de niveau entreprise sont partagées entre les versions cloud et sur site.
Sécurité, authentification et autorisation
Introduction à la sécurité d'Oracle Blockchain Platform Enterprise Edition
Oracle Blockchain Platform Enterprise Edition traite de la sécurité à plusieurs niveaux. Au niveau supérieur figure la sécurité liée aux noeuds Oracle Blockchain Platform. Ensuite, la sécurité associée à Blockchain Platform Manager est utilisée pour gérer le cycle de vie sur les instances Oracle Blockchain Platform. Les utilisateurs de Blockchain Platform Manager (plan de contrôle) peuvent créer, augmenter, réduire et effectuer d'autres opérations de cycle de vie sur les instances. Pour chaque instance, des utilisateurs sont autorisés à gérer, surveiller et administrer une instance. Enfin, des utilisateurs de l'instance accèdent à une instance via les kits SDK Fabric ou le proxy REST Oracle Blockchain Platform. Toutes les informations utilisateur, y compris les rôles et les mots de passe, sont stockées sur le serveur d'authentification LDAP intégré.
Toutes les données sensibles liées aux services Oracle Blockchain Platform (mots de passe, certificats et clés privées) sont stockées à l'aide des clés secrètes Kubernetes. Il est important de s'assurer que les clés secrètes Kubernetes sont sécurisées en suivant leurs directives : Bonnes pratiques pour les clés secrètes Kubernetes.
Gestion de la sécurité
Sécurisation des données inactives
Vous pouvez activer le cryptage de disque dans Kubernetes pour protéger les données inactives. Toutes les API Kubernetes qui vous permettent d'écrire des données de ressource d'API persistantes prennent en charge le cryptage au repos.
Reportez-vous à la section Encrypting Confidential Data at Rest.
De plus, suivez les meilleures pratiques Kubernetes standard pour sécuriser l'accès aux composants de votre cluster, en particulier pour les clés secrètes Kubernetes, car Oracle Blockchain Platform y stocke des informations confidentielles.
Ports exposés
Oracle Blockchain Platform utilise Istio comme service de passerelle entrante pour accepter le trafic externe dans les services Oracle Blockchain Platform. Oracle Blockchain Platform Enterprise Edition utilise le port https du service istio-ingressgateway en tant que point d'entrée unique pour écouter tout le trafic externe. Cependant, en fonction du type de service configuré, le numéro de port public peut varier.
| ServiceType | Nom de port | Numéro de port exposé | Configurable pendant l'installation ? |
|---|---|---|---|
| LoadBalancer (par défaut) | HTTPS | 443 (Valeur par défaut) | Oui |
| NodePort | HTTPS | 3xxxx (valeur nodePort correspondant au port https) | Oui |
Configurer l'authentification et l'autorisation
L'authentification dans Oracle Blockchain Platform est effectuée à l'aide du serveur LDAP inclus. Les utilisateurs doivent disposer d'un compte dans le serveur d'authentification pour pouvoir utiliser le service.
Les utilisateurs associés à certains groupes d'authentification se voient accorder des privilèges spécifiques tels que définis dans Groupes d'utilisateurs et rôles.