Activation d'OCI HYOK avec Thales CipherTrust Manager à l'aide d'OCI Load Balancer pour la haute disponibilité

Introduction

Dans le tutoriel précédent, nous avons exploré l'intégration de Thales CipherTrust Manager à Oracle Cloud Infrastructure (OCI) pour activer les fonctionnalités Hold Your Own Key (HYOK), à la fois avec et sans passerelle d'API OCI. Bien que le clustering des gestionnaires CipherTrust offre un niveau de récupération, il ne garantit pas une haute disponibilité précise du point de vue du réseau.

Le gestionnaire Thales CipherTrust ne prend pas en charge nativement une adresse IP virtuelle (adresse IP virtuelle) pour un basculement transparent entre les noeuds.

Ce tutoriel aborde la limitation en introduisant OCI Load Balancer afin de fournir une haute disponibilité réseau pour les instances Thales CipherTrust Manager. En plaçant les gestionnaires CipherTrust en cluster derrière un équilibreur de charge OCI, nous pouvons garantir une disponibilité continue et une tolérance aux pannes pour les services de gestion des clés externes dans OCI, même en cas de défaillance d'un noeud ou de perturbation d'un centre de données.

Ce tutoriel vous présente l'architecture, la configuration et les éléments à prendre en compte pour déployer cette configuration dans votre environnement OCI.

Objectifs

• Tâche 1 : passez en revue les architectures HYOK d'OCI et de Thales CipherTrust Manager existantes.
• Tâche 2 : créez un équilibreur de charge OCI.
• Tâche 3 : intégrer OCI Load Balancer à un déploiement HYOK basé sur OCI API Gateway existant.
• Tâche 4 : intégrer OCI Load Balancer à un déploiement HYOK existant sans OCI API Gateway.
• Tâche 5 : passez en revue toutes les architectures HYOK d'OCI et de Thales CipherTrust Manager pour rendre le gestionnaire Thales CipherTrust hautement disponible.

Tâche 1 : passer en revue les architectures HYOK OCI et Thales CipherTrust Manager existantes

Avant d'introduire OCI Load Balancer dans l'architecture, il est essentiel de revoir les déploiements HYOK d'OCI et de Thales CipherTrust Manager existants. Dans les implémentations précédentes, nous avons couvert deux modèles principaux :

• Configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager avec OCI API Gateway

• Configuration d'OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway

Cette section récapitule brièvement ces deux conceptions et met en évidence leurs forces et leurs limites, jetant ainsi les bases de l'introduction de l'équilibreur de charge OCI pour combler l'écart de disponibilité.

Les deux architectures reposaient sur la mise en cluster de plusieurs gestionnaires Thales CipherTrust pour assurer la récupération, mais elles manquaient de haute disponibilité au niveau du réseau en raison de l'absence de prise en charge des adresses IP virtuelles natives dans Thales CipherTrust Manager. Chaque déploiement a géré efficacement la gestion des clés, mais a introduit des points de défaillance uniques potentiels du point de vue du routage du réseau et de l'accessibilité des services.

Avant de commencer, assurez-vous que les éléments suivants sont en place :

• Au moins deux instances Thales CipherTrust Manager sont déployées dans différents domaines de disponibilité ou domaines de pannes (et en cluster). Pour plus d'informations, reportez-vous à Configuration d'appliances Cloud Key Manager CipherTrust Thales dans OCI, création d'un cluster entre elles et configuration d'une autorité de certification.

• Un VCN avec les sous-réseaux appropriés (privé ou public, selon votre architecture). Vous y placerez l'équilibreur de charge OCI.

• Certificats (si vous utilisez la terminaison SSL sur l'équilibreur de charge OCI). C'est quelque chose que nous allons expliquer dans ce tutoriel.

Tâche 2 : création d'un équilibreur de charge OCI

Pour bénéficier d'une haute disponibilité pour Thales CipherTrust Manager au niveau de la couche réseau, nous introduisons OCI Load Balancer dans l'architecture. L'équilibreur de charge OCI sera un point d'accès unique et résilient qui répartit intelligemment les demandes entrantes entre les noeuds Thales CipherTrust Manager en cluster.

Cette tâche fournit un équilibreur de charge OCI qui fait face à plusieurs instances Thales CipherTrust Manager. Vous allez configurer des ensembles de back-ends, des vérifications de l'état, la terminaison SSL (le cas échéant) et des règles de processus d'écoute adaptées à votre déploiement HYOK, que vous utilisiez ou non la passerelle d'API OCI.

Cette configuration d'équilibreur de charge OCI garantit que le service de gestion des clés reste accessible même si l'un des noeuds Thales CipherTrust Manager devient indisponible, ce qui améliore considérablement la fiabilité et la tolérance aux pannes de votre intégration de gestion des clés externes à OCI.

• Connectez-vous à la console OCI, accédez à Networking et cliquez sur Equilibreurs de charge.

  

• Cliquez sur Créer un équilibre de charge.

  

• Saisissez les informations suivantes .

  • Nom : entrez un nom descriptif (par exemple, Load_Balancer_for_CCKM).
  • Type : sélectionnez privé ou public, selon votre cas d'emploi.

  

  • VCN et sous-réseau : sélectionnez le VCN et les sous-réseaux sur lesquels l'équilibreur de charge OCI sera déployé dans le bon compartiment.
  • Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

  

  • Stratégie : sélectionnez Coup de rôle pondéré.
  • Laissez le champ Sélectionner des serveurs back-end vide. Nous les configurerons ultérieurement.

  

  • Stratégie de vérification de l'état : sélectionnez HTTP avec le port 80 pour le moment. Nous le modifierons ultérieurement.

  

  • Nom de l'ensemble de back-ends : entrez un nom descriptif (par exemple, CTM_Appliances).
  • Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

  

  • Nom du processus d'écoute : entrez un nom descriptif (par exemple, LISTENER).
  • Type de trafic et port du processus d'écoute : TCP et port 80, nous les modifierons ultérieurement.
  • Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

  

  • Conservez tous les paramètres de journalisation par défaut.
  • Fournissez les informations relatives au jeu de transport, puis cliquez sur Suivant.

  

• Vérifiez les informations, puis cliquez sur Soumettre.

  

• L'équilibreur de charge OCI sera créé. Au bout de quelques minutes, le statut Actif s'affiche.

  

• Cliquez sur Processus d'écoute pour vérifier le processus d'écoute à modifier.

  

• Cliquez sur Ensembles de back-ends pour vérifier l'ensemble de back-ends que nous devons modifier. Notez également que l'état est Incomplet. En effet, nous devons toujours ajouter les serveurs back-end Thales CipherTrust Manager à l'ensemble.

  

• Nous devons ajouter un certificat avant de configurer le processus d'écoute et l'ensemble de back-ends avec SSL. Pour ajouter un certificat, accédez à Certificats et chiffrements et cliquez sur Ajouter un certificat.

  

• Assurez-vous qu'un certificat signé et une clé privée valides ont été créés pour l'équilibreur de charge OCI.

  Pour créer une demande de signature de certificat et utiliser le gestionnaire Thales CipherTrust pour signer le certificat avec son autorité de certification locale, reportez-vous à Création d'une CSR pour les appliances CCKM Thales et signature par l'autorité de certification.

  

• Assurez-vous également que vous disposez de l'autorité de certification racine (bundle ready).

  

• Dans Ajouter un certificat, entrez les informations suivantes.

  • Nom du certificat : entrez un nom descriptif (par exemple, LB-CTM-CERT).
  • Sélectionnez Coller un certificat SSL.
  • Certificat SSL : collez le certificat SSL signé.

  

  • Sélectionnez Spécifier un certificats d'autorité de certifications.
  • Sélectionnez Coller le certificat de l'autorité de Certification.
  • Certificat CA : collez le certificat CA (bundle).

  

  • Sélectionnez Spécifier une clé privé.
  • Sélectionnez Coller la clé privé.
  • Clé privée : collez la clé privé.
  • Cliquez sur Ajout d'un certificat.

  

• Notez que la demande de travail soumise est acceptée et cliquez sur Afficher toutes les demandes de travail.

  

• Notez que la demande a réussi.

  

• Accédez à Certificats et chiffrements et notez que le certificat a été ajouté.

  

• Accédez à Ensembles de back-ends, cliquez sur les trois points pour ouvrir le menu de l'ensemble de back-ends créé, puis cliquez sur Modifier.

  

• Dans Modifier l'ensemble de back-ends, entrez les informations suivantes.

  • Sélectionnez Utiliser SSL pour activer SSL.
  • Ressource de certificat : sélectionnez Certificat géré par l'équilibreur de charge.
  • Sélectionnez le nom du certificat.
  • Cliquez sur Sauvegarder les modifications.

  

• Cliquez sur Fermer.

  

• Accédez à Processus d'écoute, cliquez sur les trois points pour ouvrir le menu de l'ensemble de back-ends créé, puis cliquez sur Modifier.

  

• Dans Modifier le processus d'écoute, entrez les informations suivantes :

  • Protocole : sélectionnez TCP.
  • Port : sélectionnez 443.
  • Sélectionnez Utiliser SSL.
  • Ressource de certificat : sélectionnez Certificat géré par l'équilibreur de charge.
  • Sélectionnez Nom du certificat.
  • Cliquez sur Sauvegarder les modifications.

  

• Cliquez sur Fermer.

  

• Le processus d'écoute écoute désormais sur le port TCP 443.

  

• Accédez à Ensembles de back-ends et notez que l'état est toujours incomplet. En effet, nous n'avons ajouté aucun serveur en tant que back-end à l'ensemble.

  

• Cliquez sur les trois points pour ouvrir le menu de l'ensemble de back-ends créé, puis cliquez sur Mettre à jour la vérification de l'état.

  

• Dans Mettre à jour la vérification de l'état, entrez les informations suivantes.

  • Protocole : sélectionnez TCP.
  • Port : sélectionnez 443.
  • Cliquez sur Sauvegarder les modifications.

  

• Cliquez sur Fermer.

  

• Cliquez sur l'ensemble de back-ends que vous avez créé précédemment.

  

• Cliquez sur Back-ends, puis sur Ajouter des back-ends.

  

• Dans Ajouter un back-end, entrez les informations suivantes.

  • Type de back-end : sélectionnez Adresse IP.
  • Ajoutez les back-ends suivants (adresses IP des marques communautaires) :
    • MT 1 (MS)
      • Adresse IP : entrez 10.111.10.32.
      • Port : sélectionnez 443.
      • Pondération : sélectionnez 1.
    • CTM 2 (SEM.)
      • Adresse IP : entrez 10.222.10.111.
      • Port : sélectionnez 443.
      • Pondération : sélectionnez 2.
  • Cliquez sur Ajouter.

  

• Notez que l'état apparaît comme Critique. La vérification de l'état des serveurs Thales CipherTrust Manager peut prendre une minute.

  

• Notez que l'état est maintenant remplacé par OK. Revenez maintenant à l'aperçu de l'ensemble de back-ends.

  

• L'état général de l'ensemble de back-ends est également OK. Revenez maintenant à la présentation d'OCI Load Balancer.

  

• L'équilibreur de charge OCI est actif, l'état général est OK et l'équilibreur de charge dispose d'une adresse IP.

  

Veillez à créer un enregistrement DNS pour l'équilibreur de charge. Nous avons créé un enregistrement A dans le processus d'écoute DNS privé dans le VCN OCI.

Tâche 3 : intégration d'OCI Load Balancer à un déploiement HYOK basé sur OCI API Gateway existant

Dans cette tâche, nous allons intégrer l'équilibreur de charge OCI à votre déploiement HYOK existant basé sur OCI API Gateway, garantissant une architecture transparente et hautement disponible.

Dans cette architecture, nous combinons les forces d'OCI API Gateway et d'OCI Load Balancer pour améliorer la fiabilité et la sécurité de l'intégration d'OCI HYOK avec Thales CipherTrust Manager.

La passerelle d'API OCI continue de servir de point d'entrée public sécurisé, appliquant des stratégies d'authentification, d'autorisation et de routage. Derrière lui, l'équilibreur de charge OCI distribue les demandes sur plusieurs noeuds CipherTrust Manager, garantissant une haute disponibilité et une tolérance aux pannes au niveau de la couche réseau.

Cette conception en couches maintient un modèle d'accès sécurisé via la passerelle d'API OCI. Il répond au manque de prise en charge des adresses IP virtuelles natives dans Thales CipherTrust Manager en introduisant un back-end résilient via l'équilibreur de charge OCI.

• Accédez à la passerelle d'API OCI créée dans le tutoriel suivant : Configurez une clé OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager avec OCI API Gateway.

  

• Accédez à Déploiements et cliquez sur Déploiement.

  

• Cliquez sur Modifier.

  

• Cliquez sur Routages.

  

• Notez que l'URL pointe vers le nom de domaine qualifié complet ctm1.oci-thales.lab, qui est la marque communautaire AMS.

  

• Modifiez l'URL pour qu'elle pointe désormais vers le nom de domaine qualifié complet lb-ctm.oci-thales.lab, l'équilibreur de charge OCI que nous venons de créer, puis cliquez sur Suivant et veillez à enregistrer les modifications.

  

L'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et l'équilibreur de charge OCI intégrés à l'architecture.

Tâche 4 : intégrer OCI Load Balancer à un déploiement HYOK existant mais sans OCI API Gateway

Dans cette tâche, vous apprendrez à configurer et à utiliser l'équilibreur de charge OCI comme seul point d'accès pour Thales CipherTrust Manager dans un déploiement OCI HYOK, ce qui permet une architecture propre, performante et hautement disponible.

Dans cette architecture, nous simplifions le déploiement en supprimant la passerelle d'API OCI et en plaçant l'équilibreur de charge OCI directement devant le cluster Thales CipherTrust Manager. Cette approche est idéale pour les intégrations privées où l'accès public n'est pas requis et l'objectif est de garantir une haute disponibilité au sein d'un réseau interne sécurisé.

En acheminant les demandes via l'équilibreur de charge OCI, nous pouvons distribuer le trafic sur plusieurs noeuds Thales CipherTrust Manager tout en maintenant la résilience de session et les fonctionnalités de basculement, même en cas de défaillance d'un noeud ou d'un domaine de disponibilité. Cette configuration résout la limitation clé de l'absence de prise en charge des adresses IP virtuelles natives par Thales CipherTrust Manager, sans la complexité supplémentaire des stratégies et des flux d'authentification OCI API Gateway.

Suivez les tâches répertoriées dans le tutoriel suivant : Configurez une clé OCI Hold Your Own Key à l'aide de Thales CipherTrust Manager sans OCI API Gateway. Mais maintenant, toutes les adresses IP CTM1 (AMS) ont été remplacées par l'adresse IP de l'équilibreur de charge.

• Application de ressource d'applications OCI Integration.
• Nom d'hôte de l'URL d'adresse CTM1 External Vault. Cette modification sera également synchronisée avec le (ASH) CTM2 lorsque la marque communautaire se trouve dans un cluster.
• Adresse privée OCI (le service OCI External Key Management l'utilisera).

Il s'agit du flux d'intégration détaillé pour OCI avec l'intégration Thales CipherTrust Manager (HYOK) avec uniquement l'équilibreur de charge OCI dans le chemin.

L'illustration suivante présente le flux de trafic de bout en bout avec uniquement l'équilibreur de charge OCI intégré à l'architecture.

Tâche 5 : passez en revue toutes les architectures HYOK d'OCI et de Thales CipherTrust Manager pour rendre le gestionnaire Thales CipherTrust hautement disponible

Il n'existe pas d'approche universelle pour le déploiement de Thales CipherTrust Manager for Hold Your Own Key (HYOK) dans OCI. Plusieurs options d'architecture sont disponibles pour réaliser un déploiement résilient hautement disponible, en fonction de la topologie de votre réseau, des exigences de sécurité et de l'infrastructure disponible, qu'elle soit basée sur le cloud ou sur site.

Cette section fournit une vue d'ensemble consolidée de tous les modèles d'architecture pris en charge pour l'intégration de Thales CipherTrust Manager à OCI HYOK, en se concentrant sur la haute disponibilité. Il s'agit notamment des combinaisons suivantes :

• Déploiements de data centers uniques ou doubles.
• Utilisation d'OCI API Gateway.
• Utilisation de l'équilibreur de charge OCI.
• Utilisation d'équilibreurs de charge hébergés sur site ou dans un centre de données, à la fois avec et sans haute disponibilité.

Chaque architecture présente des avantages et des compromis en matière de complexité, de capacités de basculement et de contrôle. Que vous exécutiez une configuration entièrement native du cloud, que vous opériez dans des environnements hybrides ou que vous utilisiez des équilibreurs de charge hérités dans vos centres de données, il existe un modèle adapté.

Les architectures couvertes comprennent :

N° d'architecture	Description
1	CTM dans un seul centre de données : configuration de base sans passerelle d'API OCI ou équilibreur de charge OCI
2	CTM dans un centre de données unique avec OCI API Gateway : accès externe, aucune haute disponibilité
3	CTM dans deux data centers avec OCI API Gateway et OCI Load Balancer - solution haute disponibilité complète
4	CTM dans deux centres de données avec OCI API Gateway et équilibreur de charge sur site (pas de haute disponibilité) – résilience partielle
5	CTM dans deux data centers avec OCI API Gateway et équilibreur de charge sur site (HA) – HA géré en externe
6	CTM dans un centre de données avec OCI API Gateway et l'équilibreur de charge sur site (pas de haute disponibilité) – basculement limité
7	CTM dans deux data centers avec OCI Load Balancer uniquement : accès interne, haute disponibilité complète au niveau du réseau sans passerelle d'API OCI

Cette présentation vous aidera à comparer et à sélectionner l'architecture qui correspond le mieux à vos exigences techniques et opérationnelles.

• Architecture 1 : l'illustration suivante présente le flux de trafic de bout en bout sans passerelle d'API OCI et sans équilibrage de charge intégré à l'architecture.

  

• Architecture 2 : l'illustration suivante présente le flux de trafic de bout en bout avec uniquement la passerelle d'API OCI et aucun équilibrage de charge intégré à l'architecture.

  

• Architecture 3 : l'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et l'équilibreur de charge OCI intégrés à l'architecture.

  

• Architecture 4, 5 et 6 : l'illustration suivante présente le flux de trafic de bout en bout avec la passerelle d'API OCI et les équilibreurs de charge sur site intégrés à l'architecture.

  

• Architecture 7 : l'illustration suivante montre le flux de trafic de bout en bout avec uniquement l'équilibreur de charge OCI intégré à l'architecture.

  

Conclusion

Assurer la haute disponibilité de Thales CipherTrust Manager dans un déploiement Oracle Cloud Infrastructure (OCI) HYOK est essentiel pour maintenir un accès sécurisé et ininterrompu aux clés de cryptage gérées par le client. Bien que la mise en cluster des gestionnaires CipherTrust offre une capacité de récupération, elle est insuffisante pour répondre aux exigences de haute disponibilité au niveau du réseau.

Ce tutoriel a démontré comment l'équilibreur de charge OCI peut combler cet écart, soit en conjonction avec OCI API Gateway, soit en tant que solution autonome pour l'accès interne. Nous avons également passé en revue plusieurs modèles d'architecture du monde réel, y compris des modèles hybrides qui exploitent les équilibreurs de charge sur site, ce qui vous aide à choisir la conception qui correspond à votre stratégie d'infrastructure et à vos objectifs de disponibilité.

En intégrant soigneusement les services de réseau d'OCI à Thales CipherTrust Manager, les entreprises peuvent créer une solution de gestion des clés externes résiliente et sécurisée qui prend en charge la conformité de niveau entreprise et la continuité opérationnelle.

Accusés de réception

• Auteur - Iwan Hoogendoorn (ceinture noire de mise en réseau cloud)

Ressources de formation supplémentaires

Explorez d'autres ateliers sur le site docs.oracle.com/learn ou accédez à d'autres contenus d'apprentissage gratuits sur le canal Oracle Learning YouTube. En outre, visitez le site education.oracle.com/learning-explorer pour devenir un explorateur Oracle Learning.

Pour obtenir de la documentation sur le produit, consultez Oracle Help Center.

---

Informations relatives au titre et au copyright

Enable OCI HYOK with Thales CipherTrust Manager Using OCI Load Balancer for High Availability

G40052-01

Copyright ©2025, Oracle and/or its affiliates.