Déploiement d'Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Google Cloud)
L'utilisation d'Oracle Key Vault avec Oracle Exadata Database Service (Oracle Database@Google Cloud) offre aux clients les avantages suivants :
- Tolérance aux pannes
- Haute disponibilité
- Evolutivité
- Sécurité (Security)
- Conformité aux normes
Oracle Key Vault gère les objets de sécurité, notamment les clés de cryptage, les portefeuilles Oracle, les fichiers de clés Java (JKS), les fichiers de clés JCEKS (Java Cryptography Extension Keystores) et les fichiers d'informations d'identification. Les fichiers d'informations d'identification peuvent inclure des clés privées SSH, utilisées pour l'authentification par clé publique sur des serveurs distants (sur site ou dans n'importe quel cloud), ou des mots de passe de compte de base de données pour l'exécution sans surveillance de scripts de maintenance programmés régulièrement. Oracle Key Vault est optimisé pour Oracle Cloud Stack (base de données, middleware, systèmes) et le cryptage transparent des données (TDE) de sécurité avancé. En outre, il est conforme à la norme OASIS Key Management Interoperability Protocol (KMIP) de l'industrie pour la compatibilité avec les clients basés sur KMIP.
Oracle Key Vault fonctionne avec des adresses, une adresse est un système informatique tel qu'un serveur de base de données, un serveur d'applications et d'autres systèmes d'information. Les adresses doivent être inscrites et inscrites afin qu'elles puissent communiquer avec Oracle Key Vault. Les adresses inscrites peuvent télécharger leurs clés, les partager avec d'autres adresses et les télécharger pour accéder à leurs données. Les clés sont utilisées pour accéder aux données chiffrées et les informations d'identification sont utilisées pour l'authentification auprès d'autres systèmes. Pour les serveurs de base de données hébergeant des bases de données Oracle, chaque base de données Oracle correspond à au moins une adresse.
Oracle Key Vault rationalise les opérations quotidiennes avec des bases de données cryptées déployées en tant que RAC ou avec Active Data Guard, des bases de données pluggables, des fichiers de trace cryptés OCI GoldenGate, ainsi que des bases de données distribuées globalement (sharded), Oracle ZFS Storage Appliance et Oracle Zero Data Loss Recovery Appliance. Oracle Key Vault facilite le déplacement de données cryptées à l'aide d'Oracle Data Pump et de tablespaces transportables, une fonctionnalité clé d'Oracle Database.
Bien qu'Oracle et Google soient responsables de la sécurisation de l'infrastructure sous-jacente prenant en charge Oracle Key Vault, les clients sont responsables de l'implémentation des contrôles de sécurité requis dans leurs applications et de tout mécanisme de configuration pour répondre à leurs mandats de sécurité et de conformité. Oracle Key Vault permet de bloquer votre propre clé par défaut.
Avant de commencer
Pour tirer parti de cette architecture de référence, les éléments suivants sont requis :
Oracle Database@Google Cloud
- Accès à un abonnement et à un annuaire Google Cloud
- Accès à une location OCI
- Lien multicloud Oracle Database@Google Cloud actif entre Google Cloud et OCI
- Avant le provisionnement, assurez-vous des limites adéquates d'Oracle Exadata Database Service et de service OCI
- Dans le menu OCI, cliquez sur Gouvernance et administration.
- Sous Gestion des locations, cliquez sur Limites, quotas et utilisation.
- Dans la liste déroulante Service, sélectionnez Base de données.
- Planification de la topologie réseau :
- Nécessite au moins un cloud privé virtuel (VPC) Google Cloud pouvant être associé à un réseau cloud virtuel (VCN) OCI correspondant
- Les blocs CIDR pour n'importe quel cloud privé virtuel (VPC) Google Cloud et les réseaux cloud virtuels OCI ne doivent pas se chevaucher
- Accès à une image Oracle Key Vault, créée sur site à partir du fichier ISO correspondant
- Configuration requise pour l'installation d'Oracle Key Vault
- La configuration de NTP est requise
Architecture
Cette architecture montre comment déployer Oracle Key Vault sur une machine virtuelle Google Cloud en tant que stockage de gestion de clés externe sécurisé à long terme pour les clés de cryptage Oracle Exadata Database Service dans Oracle Database@Google Cloud.
Le diagramme d'architecture décrit le cluster multimaître Oracle Key Vault recommandé dans Google Cloud afin de fournir une gestion des clés disponible en permanence, extrêmement évolutive et tolérante aux pannes pour Oracle Database dans Oracle Exadata Database Service (Oracle Database@Google Cloud).
Deux noeuds Oracle Key Vault dans la même zone forment une paire lecture/écriture, offrant une disponibilité continue en lecture. En effet, lorsque l'un des deux noeuds n'est pas opérationnel, le noeud restant est défini pour être en mode restreint en lecture seule. Lorsqu'un noeud en lecture/écriture est à nouveau en mesure de communiquer avec son pair en lecture/écriture, le noeud revient en mode lecture/écriture à partir du mode restreint en lecture seule. Quatre noeuds (comme indiqué dans le diagramme d'architecture) assurent une disponibilité continue en lecture/écriture.
Oracle Key Vault peut être déployé sur site, dans OCI, Google Cloud, Microsoft Azure et Amazon Web Services, à condition que la connectivité réseau puisse être établie. Des clusters Oracle Key Vault étendus (sur site vers le cloud ou entre les fournisseurs cloud) sont également possibles, ce qui vous offre une flexibilité de déploiement maximale et une disponibilité locale de vos clés de cryptage. Oracle Key Vault fournit la fonctionnalité "maintenir votre propre clé" prête à l'emploi, sans avoir besoin d'une appliance de gestion de clés tierce supplémentaire coûteuse.
Le schéma suivant illustre cette architecture de référence.
L'architecture comprend les composants suivants :
- Région Google Cloud
Les régions Google et OCI sont des zones géographiques localisées. Pour Oracle Database@Google Cloud, une région Google Cloud est connectée à une région OCI. Une zone dans Google Cloud est connectée à un domaine de disponibilité dans OCI. Les paires de régions Google Cloud et OCI sont sélectionnées pour minimiser la distance et la latence.
- Zone Google Cloud
Une zone est un centre de données physiquement distinct au sein d'une région conçu pour être disponible et tolérant aux pannes. Les zones sont suffisamment proches pour avoir des connexions à faible latence à d'autres zones.
- Cloud privé virtuel Google Cloud
Le cloud privé virtuel (VPC) Google Cloud est le bloc de base de votre réseau privé dans Google Cloud. Le VPC permet à de nombreux types de ressources Google Cloud, telles que les machines virtuelles (VM) Google, de communiquer en toute sécurité entre elles, avec Internet et avec les réseaux sur site.
- Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service offre des fonctionnalités Oracle Database éprouvées sur une infrastructure Oracle Exadata optimisée et spécialement conçue dans le cloud public. L'automatisation cloud intégrée, l'évolutivité élastique des ressources, la sécurité et les performances rapides pour OLTP, les analyses en mémoire et les charges de travail Oracle Database convergées aident à simplifier la gestion et à réduire les coûts.
Exadata Cloud Infrastructure X9M permet d'augmenter le nombre de coeurs de processeur, d'augmenter le stockage et d'accélérer la structure réseau pour le cloud public. Les serveurs de stockage Exadata X9M incluent la mémoire RDMA Exadata (XRMEM), créant ainsi un niveau de stockage supplémentaire, ce qui améliore les performances globales du système. Exadata X9M combine XRMEM avec des algorithmes RDMA innovants qui contournent la pile réseau et d'E/S, éliminant ainsi les interruptions de CPU et les commutateurs de contexte coûteux.
Exadata Cloud Infrastructure X9M augmente le débit de sa structure réseau interne 100 Gbits/s d'accès direct à la mémoire distante actif-actif sur Ethernet convergé (RoCE), offrant une interconnexion plus rapide que les générations précédentes avec une latence extrêmement faible entre tous les serveurs de calcul et de stockage.
- Oracle Database@Google Cloud
Oracle Database@Google Cloud est le service Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure ou Oracle Autonomous Database Serverless) exécuté sur Oracle Cloud Infrastructure (OCI), déployé dans les centres de données Google Cloud. Le service offre des fonctionnalités et une parité de prix avec OCI. Les utilisateurs achètent le service sur Google Cloud Marketplace.
Oracle Database@Google Cloud intègre les technologies Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) et Oracle Data Guard à la plate-forme Google Cloud. Oracle Database@Google Cloud offre la même faible latence que les autres services natifs de Google et répond aux workloads stratégiques et aux besoins de développement natifs du cloud. Les utilisateurs gèrent le service sur la console Google et à l'aide des outils d'automatisation Google. Le service est déployé dans le cloud privé virtuel (VPC) Google et intégré au système de gestion des identités et des accès Google. Les mesures OCI et Oracle Database et les journaux d'audit sont disponibles de manière native dans Google. Le service requiert que les utilisateurs disposent d'une location Google et d'une location OCI.
- Vault de clé
Oracle Key Vault stocke en toute sécurité les clés de cryptage, les portefeuilles Oracle, Java KeyStores, les paires de clés SSH et d'autres clés secrètes dans un cluster évolutif tolérant aux pannes qui prend en charge la norme OASIS KMIP et se déploie dans Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure et Amazon Web Services, ainsi que sur site sur du matériel dédié ou des machines virtuelles.
Recommandations
- ISO Oracle Key Vault
Pour créer la solution Oracle Key Vault appropriée, veillez à utiliser le dernier support d'installation Oracle Key Vault. Pour en savoir plus, consultez le lien Oracle Software Delivery Cloud.
- Création d'images Oracle Key Vault
Pour créer l'image Oracle Key Vault à partir de l'ISO, effectuez cette opération sur un système local avec au moins 1 To de stockage avec au moins 32 Go de RAM. Créez le disque dur virtuel en tant que taille Fixed et au format VHD.
- Cluster multimaître
Déployez Oracle Key Vault en tant que cluster à plusieurs noeuds pour bénéficier d'une disponibilité et d'une fiabilité maximales avec des paires de noeuds Oracle Key Vault en lecture/écriture.
Le cluster multimaître Oracle Key Vault est créé avec un premier noeud, puis des noeuds supplémentaires peuvent être induits pour former un cluster à plusieurs noeuds avec jusqu'à 8 paires lecture/écriture.
Le noeud initial est en mode restreint en lecture seule et aucune donnée critique ne peut y être ajoutée. Oracle recommande de déployer un second noeud pour former une paire lecture/écriture avec le premier noeud. Après quoi, le cluster peut être développé avec des paires lecture/écriture afin que les données critiques et non critiques puissent être ajoutées aux noeuds de lecture/écriture. Les noeuds en lecture seule peuvent faciliter l'équilibrage de la charge ou la continuité des opérations lors des opérations de maintenance.
Reportez-vous à la documentation pour découvrir comment un cluster multimaître affecte les adresses, à la fois dans la façon dont une adresse se connecte et avec les restrictions.
Pour les déploiements volumineux, installez au moins quatre serveurs Oracle Key Vault. Les adresses doivent être inscrites en les rendant uniques et équilibrées sur les quatre serveurs pour garantir une haute disponibilité. Par exemple, si un centre de données dispose de 1 000 adresses de base de données à inscrire et que vous disposez de quatre serveurs Oracle Key Vault pour les accueillir, inscrivez 250 adresses sur chacun des quatre serveurs.
Assurez-vous que les horloges système de l'hôte d'adresse et du serveur Oracle Key Vault sont synchronisées. Pour le serveur Oracle Key Vault, la configuration du protocole NTP est requise.
- Paire de lecture/écriture
Paire de noeuds fonctionnant avec la réplication synchrone bidirectionnelle. La paire lecture/écriture est créée en associant un nouveau noeud à un noeud en lecture seule. Les données peuvent être mises à jour, y compris les données d'adresse et de portefeuille, dans l'un ou l'autre noeud à l'aide de la console de gestion Oracle Key Vault ou du logiciel client Oracle Key Vault. Les mises à jour sont répliquées immédiatement sur l'autre noeud de la paire. Les mises à jour sont répliquées de manière asynchrone sur tous les autres noeuds.
Un noeud peut être membre d'au plus une paire synchrone bidirectionnelle.
Un cluster multimaître nécessite qu'au moins une paire de lecture/écriture soit pleinement opérationnelle. Il peut avoir un maximum de 8 paires de lecture/écriture.
- Noeuds de lecture/écriture Oracle Key Vault
Un noeud en lecture/écriture est un noeud dans lequel des données critiques peuvent être ajoutées ou mises à jour à l'aide du logiciel d'adresse ou d'Oracle Key Vault.
Les données critiques ajoutées ou mises à jour peuvent être des données telles que les clés, le contenu du portefeuille et les certificats.
Les noeuds de lecture/écriture Oracle Key Vault existent toujours par paires. Chaque noeud de la paire lecture/écriture peut accepter les mises à jour des données critiques et non critiques, et ces mises à jour sont immédiatement répliquées sur l'autre membre de la paire, le pair lecture/écriture. Un pair en lecture/écriture est le membre spécifique d'une seule paire de lecture/écriture dans le cluster. Il existe une réplication synchrone bidirectionnelle entre les pairs en lecture/écriture. La réplication vers tous les noeuds qui ne sont pas le pair de lecture/écriture d'un noeud donné est asynchrone.
Un noeud peut être membre d'au plus une paire de lecture/écriture. Un noeud ne peut avoir qu'un seul pair en lecture/écriture. Un noeud devient membre d'une paire lecture/écriture, et donc d'un noeud lecture/écriture, pendant le processus d'induction. Un noeud en lecture/écriture redevient un noeud en lecture seule lorsque son pair en lecture/écriture est supprimé, auquel cas il peut former une nouvelle paire en lecture/écriture.
Un noeud de lecture/écriture fonctionne en mode lecture/écriture lorsqu'il peut effectuer une réplication vers son homologue de lecture/écriture et lorsque les deux homologues sont actifs. Un noeud en lecture/écriture est temporairement placé en mode restreint en lecture seule lorsqu'il ne peut pas effectuer de réplication vers son pair en lecture/écriture ou lorsque son pair en lecture/écriture est désactivé.
- Création d'un cluster multimaître
Un cluster multimaître est créé en convertissant un serveur Oracle Key Vault unique en noeud initial.
Ce serveur Oracle Key Vault prédéfinit les données de cluster et convertit le serveur en premier noeud de cluster, appelé noeud initial.
Une fois que le serveur Oracle Key Vault a été converti en noeud initial du cluster multimaître, vous pouvez ajouter les différents types de noeud dont vous avez besoin au cluster. Le cluster est développé lorsque des serveurs Oracle Key Vault supplémentaires sont intronisés et ajoutés en tant que noeuds en lecture/écriture ou en tant que noeuds simples en lecture seule.
Points à prendre en compte
Tenez compte des points suivants lors du déploiement de cette architecture de référence.
- Performances
Pour des performances et un équilibrage de charge optimaux, ajoutez davantage de paires de lecture/écriture.
Vous pouvez ajouter plusieurs noeuds en lecture seule à un cluster, mais pour des performances et un équilibrage de charge optimaux, vous devez disposer de paires de lecture/écriture supplémentaires afin d'éviter que le cluster ne soit surchargé.
Le cluster multimaître Oracle Key Vault requiert au moins une paire de lecture/écriture pour être entièrement opérationnel. Il peut avoir un maximum de huit paires de lecture/écriture.
- Disponibilité
Le cluster multinoeud fournit la haute disponibilité, la récupération après sinistre, la distribution de la charge et la distribution géographique à un environnement Oracle Key Vault. Il fournit un mécanisme permettant de créer des paires de noeuds Oracle Key Vault en lecture/écriture pour une disponibilité et une fiabilité maximales.
Après avoir initialisé le cluster, vous pouvez le développer en ajoutant jusqu'à 15 noeuds supplémentaires, sous forme de paires en lecture/écriture ou de noeuds en lecture seule. Un cluster multimaître peut contenir au moins deux noeuds et au maximum 16 noeuds.
Vous pouvez ajouter des noeuds Oracle Key Vault en lecture seule au cluster afin de fournir une disponibilité encore plus grande aux adresses nécessitant des portefeuilles Oracle, des clés de cryptage, des fichiers de clés Java, des certificats, des fichiers d'informations d'identification et d'autres objets.
En savoir plus
En savoir plus sur la gestion du cryptage dans Oracle Database@Google Cloud avec Oracle Key Vault.
Consultez les ressources supplémentaires suivantes :
- Création d'une image Oracle Key Vault dans Google Cloud dans le Guide de l'administrateur Oracle Key Vault
- Oracle Database@Azure
- Concepts relatifs à Oracle Key Vault
- Inscription et mise à niveau d'adresses pour Oracle Key Vault dans le Guide de l'administrateur Oracle Key Vault
- Administration système générale d'Oracle Key Vault dans le Guide de l'administrateur Oracle Key Vault
- Oracle Software Delivery Cloud
- Migration du cryptage transparent des données basé sur des fichiers vers Oracle Key Vault pour Oracle Exadata Database Service on Dedicated Infrastructure à l'aide de l'automatisation via REST
- Structure bien conçue pour Oracle Cloud Infrastructure