Distribuire Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Google Cloud)
L'utilizzo di Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Google Cloud) offre ai clienti i seguenti vantaggi:
- Fault Tolerance
- High Availability
- Scalabilità
- Sicurezza
- Conformità agli standard
Oracle Key Vault gestisce gli oggetti di sicurezza che includono chiavi di cifratura, wallet Oracle, JKS (Java Keystores), JCEKS (Java Cryptography Extension Keystores) e file delle credenziali. I file delle credenziali possono includere chiavi private SSH, utilizzate per l'autenticazione a chiave pubblica su server remoti (in locale o in qualsiasi cloud) o password degli account di database per l'esecuzione non presidiata degli script di manutenzione pianificati regolarmente. Oracle Key Vault è ottimizzato per Oracle Cloud Stack (database, middleware, sistemi) e per la cifratura dei dati trasparente (TDE) della sicurezza avanzata. Inoltre, è conforme allo standard di settore OASIS Key Management Interoperability Protocol (KMIP) per la compatibilità con i client basati su KMIP.
Oracle Key Vault funziona con gli endpoint, un endpoint è un computer come un database server, un Application Server e altri sistemi informativi. Per poter comunicare con Oracle Key Vault, gli endpoint devono essere registrati e registrati. Gli endpoint iscritti possono caricare le chiavi, condividerle con altri endpoint e scaricarle per accedere ai dati. Le chiavi vengono utilizzate per accedere ai dati cifrati e le credenziali vengono utilizzate per eseguire l'autenticazione in altri sistemi. Per i database server che ospitano uno o più database Oracle, ogni database Oracle sarà almeno un endpoint.
Oracle Key Vault semplifica le operazioni quotidiane con database cifrati distribuiti come RAC o con Active Data Guard, database collegabili, file trail cifrati OCI GoldenGate e database distribuiti a livello globale (condivisi), Oracle ZFS Storage Appliance e Oracle Zero Data Loss Recovery Appliance. Oracle Key Vault facilita lo spostamento dei dati cifrati utilizzando Oracle Data Pump e le tablespace trasportabili, una funzione chiave di Oracle Database.
Sebbene Oracle e Google siano responsabili della protezione dell'infrastruttura sottostante che supporta Oracle Key Vault, i clienti sono responsabili dell'implementazione dei controlli di sicurezza richiesti nelle loro applicazioni e di qualsiasi meccanismo di configurazione per soddisfare i propri obblighi di sicurezza e conformità. Per impostazione predefinita, Oracle Key Vault fornisce la chiave personale.
Operazioni preliminari
Per usufruire di questa architettura di riferimento, sono necessari i seguenti elementi:
Oracle Database@Google Cloud
- Accesso a una sottoscrizione e a una directory di Google Cloud
- Accesso a una tenancy OCI
- Collegamento multicloud attivo di Oracle Database@Google Cloud tra Google Cloud e OCI
- Prima del provisioning, assicurati limiti adeguati di Oracle Exadata Database Service e limiti del servizio OCI
- Nel menu OCI, fare clic su Governance e amministrazione.
- In Gestione tenancy, fare clic su Limiti, quote e uso.
- Nell'elenco a discesa Servizio, selezionare Database.
- Pianificare la topologia di rete:
- Richiede almeno un cloud privato virtuale (VPC, Virtual Private Cloud) di Google Cloud che può essere abbinato a una rete cloud virtuale (VCN) OCI corrispondente
- I blocchi CIDR per qualsiasi cloud privato virtuale (VPC, Virtual Private Cloud) di Google Cloud e VCN OCI non devono sovrapporsi
- Accesso a un'immagine di Oracle Key Vault, creata in locale dal file ISO corrispondente
- Requisiti di installazione di Oracle Key Vault
- Impostazione NTP obbligatoria
Architettura
Questa architettura mostra come distribuire Oracle Key Vault su una virtual machine (VM) Google Cloud come storage di gestione delle chiavi esterno sicuro a lungo termine per le chiavi di cifratura Oracle Exadata Database Service in Oracle Database@Google Cloud.
Il diagramma dell'architettura descrive il cluster multimaster consigliato Oracle Key Vault in Google Cloud per fornire una gestione delle chiavi costantemente disponibile, estremamente scalabile e tollerante agli errori per Oracle Database in Oracle Exadata Database Service (Oracle Database@Google Cloud).
Due nodi Oracle Key Vault nella stessa zona formano una coppia di lettura/scrittura, fornendo disponibilità di lettura continua. Questo perché quando uno dei due nodi non è operativo, il nodo rimanente è impostato in modalità limitata di sola lettura. Quando un nodo di lettura/scrittura è nuovamente in grado di comunicare con il relativo peer di lettura/scrittura, il nodo torna alla modalità di lettura/scrittura dalla modalità limitata di sola lettura. Quattro nodi (come mostrato nel diagramma dell'architettura) forniscono una disponibilità continua di lettura/scrittura.
Oracle Key Vault può essere distribuito on-premise, in OCI, Google Cloud, Microsoft Azure e Amazon Web Services, purché sia possibile stabilire la connettività di rete. Sono inoltre possibili cluster Oracle Key Vault estesi (da on-premise al cloud o tra provider cloud), offrendo la massima flessibilità di distribuzione e disponibilità locale delle chiavi di cifratura. Oracle Key Vault offre la funzionalità "tieni la tua chiave" pronta all'uso, senza la necessità di avere un'appliance di gestione delle chiavi di terze parti aggiuntiva e costosa.
Il seguente diagramma illustra questa architettura di riferimento.
L'architettura presenta i seguenti componenti:
- Area Google Cloud
Le region Google e OCI sono aree geografiche localizzate. Per Oracle Database@Google Cloud, un'area Google Cloud è connessa a un'area geografica OCI. Una zona in Google Cloud è connessa a un dominio di disponibilità in OCI. Le coppie di Google Cloud e region OCI sono selezionate per ridurre al minimo distanza e latenza.
- Area Google Cloud
Una zona è un centro dati fisicamente separato all'interno di una regione progettata per essere disponibile e con tolleranza degli errori. Le zone sono abbastanza vicine da avere connessioni a bassa latenza con altre zone.
- Google Cloud Virtual Private Cloud
Google Cloud Virtual Private Cloud (VPC) è la base fondamentale per la tua rete privata in Google Cloud. VPC consente a molti tipi di risorse Google Cloud, come le macchine virtuali (VM) di Google, di comunicare in modo sicuro tra loro, con Internet e con le reti on-premise.
- Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service offre funzionalità Oracle Database comprovate su un'infrastruttura Oracle Exadata ottimizzata e appositamente creata nel cloud pubblico. L'automazione cloud integrata, la scalabilità elastica delle risorse, la sicurezza e le prestazioni rapide per OLTP, gli analytics in-memory e i carichi di lavoro convergenti di Oracle Database semplificano la gestione e riducono i costi.
L'infrastruttura Exadata Cloud X9M porta più core CPU, maggiore storage e un fabric di rete più veloce nel cloud pubblico. I server di storage Exadata X9M includono la memoria RDMA (XRMEM) Exadata, che crea un livello aggiuntivo di storage e migliora le prestazioni complessive del sistema. Exadata X9M combina XRMEM con innovativi algoritmi RDMA che ignorano la rete e lo stack I/O, eliminando costosi interrupt CPU e switch di contesto.
L'infrastruttura Exadata Cloud X9M aumenta il throughput del suo accesso diretto remoto attivo-attivo a 100 Gbps su fabric di rete interno RoCE (Converged Ethernet), fornendo un'interconnessione più rapida rispetto alle generazioni precedenti con latenza estremamente bassa tra tutti i server di calcolo e storage.
- Oracle Database@Google Cloud
Oracle Database@Google Cloud è il servizio Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure o Oracle Autonomous Database Serverless) in esecuzione su Oracle Cloud Infrastructure (OCI), distribuito nei data center di Google Cloud. Il servizio offre funzioni e parità di prezzo con OCI. Gli utenti acquistano il servizio sul Marketplace di Google Cloud.
Oracle Database@Google Cloud integra le tecnologie Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) e Oracle Data Guard nella piattaforma Google Cloud. Oracle Database@Google Cloud offre la stessa bassa latenza di altri servizi nativi di Google e soddisfa i carichi di lavoro mission-critical e le esigenze di sviluppo cloud-native. Gli utenti gestiscono il servizio sulla console di Google e con gli strumenti di automazione di Google. Il servizio viene distribuito in Google Virtual Private Cloud (VPC) e integrato con il sistema di gestione delle identità e degli accessi di Google. Le metriche e i log di audit di OCI e Oracle Database sono disponibili in modo nativo in Google. Il servizio richiede che gli utenti dispongano di una tenancy Google e di una tenancy OCI.
- Vault di chiavi
Oracle Key Vault memorizza in modo sicuro le chiavi di cifratura, i wallet Oracle, le coppie di chiavi Java KeyStores, SSH e altri segreti in un cluster scalabile e con tolleranza degli errori che supporta lo standard OASIS KMIP e si distribuisce in Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure e Amazon Web Services, nonché in locale su hardware dedicato o macchine virtuali.
Suggerimenti
- ISO Oracle Key Vault
Per creare la soluzione Oracle Key Vault più adatta, assicurarsi di utilizzare il supporto di installazione più recente di Oracle Key Vault. Per ulteriori informazioni, consulta il collegamento Oracle Software Delivery Cloud.
- Creazione di immagini di Oracle Key Vault
Per creare l'immagine di Oracle Key Vault dall'ISO, eseguire questa operazione su un sistema locale con almeno 1 TB di storage con almeno 32 GB di RAM. Creare il disco rigido virtuale con una dimensione Fixed e il formato VHD.
- Cluster master multiplo
Distribuire Oracle Key Vault come cluster a più nodi per ottenere la massima disponibilità e affidabilità con coppie di lettura/scrittura di nodi Oracle Key Vault.
Il cluster master multiplo di Oracle Key Vault viene creato con un primo nodo, quindi è possibile inserire nodi aggiuntivi per formare un cluster a più nodi con un massimo di 8 coppie di lettura/scrittura.
Il nodo iniziale è in modalità limitata di sola lettura e non è possibile aggiungere dati critici. Oracle consiglia di distribuire un secondo nodo per formare una coppia di lettura/scrittura con il primo nodo. Successivamente, il cluster può essere espanso con coppie di lettura/scrittura in modo che sia i dati critici che quelli non critici possano essere aggiunti ai nodi di lettura/scrittura. I nodi di sola lettura possono favorire il bilanciamento del carico o la continuità operativa durante le operazioni di manutenzione.
Fare riferimento alla documentazione per informazioni su come un cluster multi-master influisce sugli endpoint, sia nel modo in cui un endpoint si connette che con le limitazioni.
Per le distribuzioni di grandi dimensioni, installare almeno quattro server Oracle Key Vault. Gli endpoint devono essere registrati rendendoli unici e bilanciati tra i quattro server per garantire l'alta disponibilità. Ad esempio, se un data center dispone di 1.000 endpoint di database da registrare e si dispone di quattro server Oracle Key Vault per accontentarli, registrare 250 endpoint in ciascuno dei quattro server.
Assicurarsi che i clock di sistema dell'host endpoint e del server Oracle Key Vault siano sincronizzati. Per il server Oracle Key Vault, è necessaria l'impostazione di NTP.
- Coppia lettura/scrittura
Coppia di nodi che funzionano con una replica sincrona bidirezionale. La coppia lettura/scrittura di viene creata mediante l'associazione di un nuovo nodo a un nodo di sola lettura. È possibile aggiornare i dati, inclusi i dati dell'endpoint e del wallet, in entrambi i nodi utilizzando la console di gestione di Oracle Key Vault o il software client di Oracle Key Vault. Gli aggiornamenti vengono replicati immediatamente nell'altro nodo della coppia. Gli aggiornamenti vengono replicati in modo asincrono su tutti gli altri nodi.
Un nodo può essere membro al massimo di una coppia sincrona bidirezionale.
Un cluster multimaster richiede almeno una coppia di lettura/scrittura per essere completamente operativo. Può avere un massimo di 8 coppie di lettura/scrittura.
- Nodi di lettura/scrittura di Oracle Key Vault
Un nodo di lettura/scrittura è un nodo in cui è possibile aggiungere o aggiornare dati critici utilizzando il software Oracle Key Vault o endpoint.
I dati critici aggiunti o aggiornati possono essere dati quali chiavi, contenuto del wallet e certificati.
I nodi di lettura/scrittura di Oracle Key Vault esistono sempre a coppie. Ogni nodo della coppia lettura/scrittura può accettare aggiornamenti a dati critici e non critici e questi aggiornamenti vengono immediatamente replicati nell'altro membro della coppia, il peer di lettura/scrittura. Un peer in lettura/scrittura è il membro specifico di una coppia sola di lettura/scrittura nel cluster. Esiste una replica sincrona bidirezionale tra peer in lettura/scrittura. La replica a tutti i nodi che non sono il peer di lettura/scrittura di un determinato nodo è asincrona.
Un nodo può essere membro, al massimo, di una coppia lettura/scrittura. Un nodo può avere un solo peer in lettura/scrittura. Un nodo diventa membro di una coppia di lettura/scrittura, e quindi un nodo di lettura/scrittura, durante il processo di induzione. Un nodo di lettura/scrittura torna ad essere un nodo di sola lettura quando viene eliminato il relativo peer di lettura/scrittura, nel momento in cui può formare una nuova coppia di lettura/scrittura.
Un nodo di lettura/scrittura opera in modalità di lettura/scrittura quando può replicarsi correttamente nel peer di lettura/scrittura e quando entrambi i peer sono attivi. Un nodo di lettura/scrittura viene temporaneamente posizionato in modalità limitata di sola lettura quando non è in grado di replicare nel relativo peer di lettura/scrittura o quando il relativo peer di lettura/scrittura è disabilitato.
- Crea un cluster master multiplo
Un cluster con più siti principali viene creato convertendo un singolo server Oracle Key Vault in un nodo iniziale.
Questo server Oracle Key Vault semina i dati del cluster e converte il server nel primo nodo del cluster, chiamato nodo iniziale.
Dopo la conversione del server Oracle Key Vault nel nodo iniziale del cluster multimaster, è possibile aggiungere al cluster i diversi tipi di nodi necessari. Il cluster viene espanso quando ulteriori server di Oracle Key Vault vengono introdotti e aggiunti come nodi di lettura/scrittura o come semplici nodi di sola lettura.
Considerazioni
Quando si distribuisce questa architettura di riferimento, tenere presente quanto riportato di seguito.
- Prestazioni
Per prestazioni ottimali e bilanciamento del carico, aggiungere altre coppie di lettura/scrittura.
È possibile aggiungere più nodi di sola lettura a un cluster, ma per ottimizzare le prestazioni e il bilanciamento del carico, è necessario disporre di più coppie di lettura/scrittura per evitare il sovraccarico del cluster.
Il cluster multimaster di Oracle Key Vault richiede almeno una coppia di lettura/scrittura per essere completamente operativo. Può avere al massimo otto coppie di lettura/scrittura.
- Disponibilità
Il cluster multi-nodo fornisce alta disponibilità, recupero in seguito a calamità, distribuzione del carico e distribuzione geografica in un ambiente Oracle Key Vault. Fornisce un meccanismo per creare coppie di lettura/scrittura dei nodi di Oracle Key Vault per garantire la massima disponibilità e affidabilità.
Dopo aver inizializzato il cluster, è possibile espanderlo aggiungendo fino a 15 nodi in più, come coppie di lettura/scrittura o nodi di sola lettura. Un cluster multimaster può contenere un minimo di due nodi e un massimo di 16 nodi.
È possibile aggiungere al cluster nodi Oracle Key Vault di sola lettura per offrire una disponibilità ancora maggiore agli endpoint che richiedono wallet Oracle, chiavi di cifratura, keystore Java, certificati, file delle credenziali e altri oggetti.
Visualizza altro
Ulteriori informazioni sulla gestione della cifratura in Oracle Database@Google Cloud con Oracle Key Vault.
Esamina queste risorse aggiuntive:
- Creazione dell'immagine di Oracle Key Vault in Google Cloud nel manuale Oracle Key Vault Administrator's Guide
- Oracle Database@Azure
- Concetti di Oracle Key Vault
- Iscrizione e aggiornamento degli endpoint per Oracle Key Vault nel manuale Oracle Key Vault Administrator's Guide
- Oracle Key Vault General System Administration nel manuale Oracle Key Vault Administrator's Guide
- Oracle Software Delivery Cloud
- Migrazione di una cifratura dei dati trasparente basata su file in Oracle Key Vault per Oracle Exadata Database Service on Dedicated Infrastructure utilizzando l'automazione tramite REST
- Framework ben progettato per Oracle Cloud Infrastructure