Oracle Exadata Database Service (Oracle Database@Google Cloud)を使用したOracle Key Vaultのデプロイ
Oracle Key VaultをOracle Exadata Database Service (Oracle Database@Google Cloud)とともに使用すると、次の利点が顧客に提供されます。
- フォルト・トレランス
- 高可用性
- スケーラビリティ
- セキュリティ
- 標準準拠
Oracle Key Vaultは、暗号化キー、Oracleウォレット、Javaキーストア(JKS)、Java Cryptography Extensionキーストア(JCEKS)および資格証明ファイルを含むセキュリティ・オブジェクトを管理します。資格証明ファイルには、リモート・サーバー(オンプレミスまたは任意のクラウド)への公開キー認証に使用されるSSH秘密キー、または定期的にスケジュールされたメンテナンス・スクリプトの自動実行用のデータベース・アカウント・パスワードが含まれます。Oracle Key Vaultは、Oracle Cloud Stack (データベース、ミドルウェア、システム)および高度なセキュリティ透過的データ暗号化(TDE)用に最適化されています。また、業界標準のOASIS Key Management Interoperability Protocol (KMIP)に準拠することでKMIPベースのクライアントとの互換性を確保します。
Oracle Key Vaultはエンドポイントと連携し、エンドポイントはデータベース・サーバー、アプリケーション・サーバー、その他の情報システムなどのコンピュータ・システムです。Oracle Key Vaultと通信できるように、エンドポイントを登録およびエンロールする必要があります。エンロール済のエンドポイントは、キーをアップロードしてこれらを他のエンドポイントと共有し、これらをダウンロードしてデータにアクセスできます。キーは暗号化されたデータへのアクセスに使用され、資格証明は他のシステムへの認証に使用されます。1つ以上のOracleデータベースをホストするデータベース・サーバーの場合は、Oracleデータベースが少なくとも1つのエンドポイントになります。
Oracle Key Vaultは、RACとして、またはActive Data Guard、プラガブル・データベース、OCI GoldenGate暗号化証跡ファイル、およびグローバルに分散(シャード)データベース、Oracle ZFS Storage ApplianceおよびOracle Zero Data Loss Recovery Applianceを使用して、暗号化データベースを使用して日常の操作を合理化します。Oracle Key Vaultでは、Oracle Data Pumpと、Oracle Databaseの主要機能であるトランスポータブル表領域を使用して、暗号化データを簡単に移動します。
OracleとGoogleは、Oracle Key Vaultをサポートする基礎となるインフラストラクチャの保護を担当しますが、お客様は、セキュリティおよびコンプライアンスの義務を満たすために、必要なセキュリティ制御をアプリケーションや構成メカニズムに実装する必要があります。Oracle Key Vaultでは、デフォルトで独自のキーを保持できます。
開始する前に
このリファレンス・アーキテクチャを利用するには、次のものが必要です。
Oracle Database@Google Cloud
- Google Cloudサブスクリプションおよびディレクトリへのアクセス
- OCIテナンシへのアクセス
- Google CloudとOCI間のアクティブなOracle Database@Google Cloudマルチクラウド・リンク
- プロビジョニングの前に、適切なOracle Exadata Database Serviceの制限およびOCIサービス制限を確認してください
- OCIメニューで、「ガバナンスと管理」をクリックします。
- 「Tenancy Management」で、「Limits、 Quotas and Usage」をクリックします。
- 「サービス」ドロップダウンから、「データベース」を選択します。
- ネットワーク・トポロジを計画します。
- 対応するOCI仮想クラウド・ネットワーク(VCN)とペアにできるGoogle Cloud Virtual Private Cloud (VPC)が少なくとも1つ必要です
- Google Cloud Virtual Private Cloud (VPC)およびOCI VCNsのCIDRブロックは重複できません
- 対応するISOファイルからオンプレミスで構築されたOracle Key Vaultイメージへのアクセス
- Oracle Key Vaultのインストール要件
- NTPの設定が必要です
アーキテクチャ
このアーキテクチャは、Oracle Database@Google CloudのOracle Exadata Database Service暗号化キーのセキュアな長期外部キー管理ストレージとして、Google Cloud仮想マシン(VM)にOracle Key Vaultをデプロイする方法を示します。
The architecture diagram depicts the recommended Oracle Key Vault multi-master cluster in Google Cloud to provide continuously available, extremely scalable, and fault-tolerant key management for the Oracle Database in Oracle Exadata Database Service (Oracle Database@Google Cloud).
同じゾーン内の2つのOracle Key Vaultノードが読取り/書込みペアを形成し、継続的な読取り可用性を提供します。これは、2つのノードのいずれかが動作不能になると、残りのノードが読取り専用制限モードに設定されるためです。読取り/書込みノードが再度読取り/書込みピアと通信できるようになると、ノードは読取り専用制限モードから読取り/書込みモードに戻ります。4つのノード(アーキテクチャ図に示すように)によって、読取り/書込みの継続的な可用性が提供されます。
Oracle Key Vaultは、ネットワーク接続を確立できるかぎり、オンプレミス、OCI、Google Cloud、Microsoft AzureおよびAmazon Web Servicesにデプロイできます。ストレッチされたOracle Key Vaultクラスタ(オンプレミスからクラウド、またはクラウド・プロバイダ間)も可能であり、最大限のデプロイメントの柔軟性と暗号化キーのローカル可用性を提供します。Oracle Key Vaultでは、追加のコストがかかるサードパーティのキー管理アプライアンスを必要とせずに、独自のキー機能をすぐに利用できます。
次の図は、このリファレンス・アーキテクチャを示しています。
このアーキテクチャには、次のコンポーネントがあります。
- 「Google Cloud」リージョン
GoogleリージョンとOCIリージョンはローカライズされた地理的領域です。Oracle Database@Google Cloudの場合、Google CloudリージョンがOCIリージョンに接続されます。Google Cloudのゾーンは、OCIの可用性ドメインに接続されています。Google CloudとOCIリージョンのペアは、距離とレイテンシを最小限に抑えるために選択されます。
- Google Cloudゾーン
ゾーンは、使用可能でフォルト・トレラントになるように設計されたリージョン内の物理的に独立したデータ・センターです。ゾーンは、ほかのゾーンへの待機時間が短いほど近くにあります。
- Google Cloud仮想プライベート・クラウド
Google Cloud Virtual Private Cloud (VPC)は、Google Cloudのプライベート・ネットワークの基本的な構成要素です。VPCでは、Google仮想マシン(VM)などの多くのタイプのGoogle Cloudリソースが、相互に、インターネットおよびオンプレミス・ネットワークと安全に通信できます。
- Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Serviceは、パブリック・クラウドで専用の最適化されたOracle Exadataインフラストラクチャ上で、実績のあるOracle Database機能を提供します。組み込みのクラウド自動化、柔軟なリソーススケーリング、セキュリティ、およびOLTP、インメモリ分析、およびコンバージドOracle Databaseワークロードのための高速パフォーマンスにより、管理を簡素化し、コストを削減できます。
Exadata Cloud Infrastructure X9Mは、より多くのCPUコア、ストレージの増加、およびより高速なネットワーク・ファブリックをパブリック・クラウドに提供します。Exadata X9Mストレージ・サーバーには、Exadata RDMA Memory (XRMEM)が含まれ、追加のストレージ層が作成され、システム全体のパフォーマンスが向上します。Exadata X9Mは、XRMEMと、ネットワークおよびI/Oスタックをバイパスする革新的なRDMAアルゴリズムを組み合せて、高価なCPU割込みおよびコンテキスト・スイッチを排除します。
Exadata Cloud Infrastructure X9Mは、コンバージド・イーサネット(RoCE)内部ネットワーク・ファブリックの100Gbpsアクティブ/アクティブ・リモート・ダイレクト・メモリー・アクセスのスループットを向上させ、すべてのコンピュート・サーバーとストレージ・サーバー間で非常に低レイテンシで、以前の世代よりも高速なインターコネクトを提供します。
- Oracle Database@Google Cloud
Oracle Database@Google Cloudは、Google Cloudデータ・センターにデプロイされたOracle Cloud Infrastructure (OCI)で実行されているOracle Databaseサービス(Oracle Exadata Database Service on Dedicated InfrastructureまたはOracle Autonomous Database Serverless)です。このサービスは、OCIで機能と価格を同等に提供します。ユーザーは、Google Cloud Marketplaceでサービスを購入します。
Oracle Database@Google Cloudは、Oracle Exadata Database Service、Oracle Real Application Clusters (Oracle RAC)およびOracle Data GuardテクノロジをGoogle Cloudプラットフォームに統合します。Oracle Database@Google Cloudは、他のGoogleネイティブ・サービスと同じ低レイテンシを提供し、ミッションクリティカルなワークロードとクラウドネイティブな開発ニーズに対応します。ユーザーは、GoogleコンソールおよびGoogle自動化ツールでサービスを管理します。このサービスは、Google Virtual Private Cloud (VPC)にデプロイされ、Googleアイデンティティおよびアクセス管理システムと統合されます。OCIおよびOracle Databaseのメトリックおよび監査ログは、Googleでネイティブに使用できます。このサービスでは、ユーザーにGoogleテナンシおよびOCIテナンシが必要です。
- Key Vault
Oracle Key Vaultは、暗号化キー、Oracleウォレット、Java KeyStores、SSHキー・ペアおよびその他のシークレットを、OASIS KMIP標準をサポートし、Oracle Cloud Infrastructure、Google Cloud、Microsoft AzureおよびAmazon Web Servicesおよびオンプレミスの専用ハードウェアまたは仮想マシンにデプロイする、スケーラブルでフォルト・トレラントなクラスタに安全に格納します。
レコメンデーション
- Oracle Key VaultのISO
適切なOracle Key Vaultソリューションを構築するには、必ず最新のOracle Key Vaultインストール・メディアを使用してください。「Oracle Software Delivery Cloud」リンクの詳細を参照してください。
- Oracle Key Vaultイメージ・ビルディング
ISOからOracle Key Vaultイメージを構築するには、少なくとも32 GBのRAMを持つストレージが1TB以上のローカル・システムで構築します。仮想ハード・ディスクを固定サイズでVHD形式で作成します。
- マルチマスター・クラスタ
Oracle Key Vaultをマルチノード・クラスタとしてデプロイし、Oracle Key Vaultノードの読取り/書込みペアを使用して最大限の可用性と信頼性を実現します。
Oracle Key Vaultマルチマスター・クラスタは最初のノードを使用して作成し、その後、追加のノードを誘導して、最終的に最大8つの読取り/書込みペアを持つマルチノード・クラスタを形成できます。
初期ノードは読取り専用制限モードであり、クリティカル・データを追加できません。Oracleでは、第2ノードをデプロイして、第1ノードとの読取り/書込みペアを作成することをお薦めします。その後、クリティカル・データと非クリティカル・データを読取り/書込みノードに追加できるように、クラスタを読取り/書込みペアで拡張できます。読取り専用ノードは、メンテナンス操作中のロード・バランシングまたは操作の継続性に役立ちます。
マルチマスター・クラスタがエンドポイントにどのように影響するか(エンドポイントの接続方法と制限の両方)については、ドキュメントを参照してください。
大規模なデプロイメントの場合は、少なくとも4つのOracle Key Vaultサーバーをインストールします。エンドポイントは、高可用性を確保するために、4つのサーバー間で一意かつバランスの取れたものにすることで登録する必要があります。たとえば、データ・センターに登録するデータベース・エンドポイントが1,000個あり、それらに対応するための4つのOracle Key Vaultサーバーがある場合、4つのサーバーそれぞれに250個のエンドポイントをエンロールします。
エンドポイント・ホストとOracle Key Vaultサーバーのシステム・クロックが同期していることを確認します。Oracle Key Vaultサーバーの場合、NTPの設定が必要です。
- 読取り/書込みペア
双方向同期レプリケーションで動作するノードのペア。読取り/書込みペアは、新しいノードを読取り専用ノードと組み合せることで作成されます。Oracle Key Vault管理コンソールまたはOracle Key Vaultクライアント・ソフトウェアを使用して、いずれかのノードでエンドポイントおよびウォレット・データを含むデータを更新できます。更新は、ペアの他方のノードに即時にレプリケートされます。更新は、他のすべてのノードに非同期的にレプリケートされます。
ノードは、最大で1つの双方向同期ペアのメンバーにできます。
マルチマスター・クラスタが完全に機能するには、少なくとも1つの読取り/書込みペアが必要です。最大8つの読取り/書込みペアを使用できます。
- Oracle Key Vault読取り/書込みノード
読取り/書込みノードは、Oracle Key Vaultまたはエンドポイント・ソフトウェアを使用してクリティカル・データを追加または更新できるノードです。
追加または更新されるクリティカル・データには、キー、ウォレット・コンテンツおよび証明書などのデータがあります。
Oracle Key Vault読取り/書込みノードは、常にペアで存在します。読取り/書込みペアの各ノードは、クリティカル・データおよび非クリティカル・データの更新を受け入れることができ、これらの更新は、ペアの他のメンバーである読取り/書込みピアに即時にレプリケートされます。読取り/書込みピアは、クラスタ内の唯一の読取り/書込みペアの特定のメンバーです。読取り/書込みピア間には双方向の同期レプリケーションがあります。特定のノードの読取り/書込みピアではないすべてのノードへのレプリケーションは非同期です。
ノードは、最大で1つの読取り/書込みペアのメンバーにできます。1つのノードは、読取り/書込みピアを1つのみ保持できます。ノードは、インダクション・プロセス中に読取り/書込みペア、つまり読取り/書込みノードのメンバーになります。読み取り/書き込みピアが削除されると、読み取り/書き込みノードは読み取り専用ノードに戻り、その時点で新しい読み取り/書き込みペアを形成できます。
読取り/書込みノードは、その読取り/書込みピアに正常にレプリケートできる場合および両方のピアがアクティブである場合に、読取り/書込みモードで動作します。読み取り/書き込みノードは、その読み取り/書き込みピアにレプリケートできない場合、またはその読み取り/書き込みピアが無効になっている場合に、一時的に読み取り専用制限モードになります。
- マルチマスター・クラスタの作成
単一のOracle Key Vaultサーバーを初期ノードになるよう変換して、マルチマスター・クラスタを作成します。
このOracle Key Vaultサーバーでは、クラスタ・データがシードされ、サーバーが初期ノードと呼ばれる最初のクラスタ・ノードに変換されます。
Oracle Key Vaultサーバーがマルチマスター・クラスタの初期ノードに変換された後、必要な様々なタイプのノードをクラスタに追加できます。追加のOracle Key Vaultサーバーが、読取り/書込みノードまたは単純な読取り専用ノードとしてインダクションおよび追加されると、クラスタが拡張されます。
考慮事項
このリファレンス・アーキテクチャをデプロイする場合は、次の点を考慮してください。
- パフォーマンス
最適なパフォーマンスとロード・バランシングのため、さらに読取り/書込みペアを追加します。
複数の読取り専用ノードをクラスタに追加できますが、最適なパフォーマンスとロード・バランシングを実現するには、クラスタが過負荷にならないように、より多くの読取り/書込みペアが必要です。
Oracle Key Vaultマルチマスター・クラスタが完全に機能するには、少なくとも1つの読取り/書込みペアが必要です。最大8つの読取り/書込みペアを使用できます。
- 可用性
マルチノード・クラスタは、Oracle Key Vault環境に高可用性、障害時リカバリ、負荷分散および地理的分散を提供します。Oracle Key Vaultノードの読取り/書込みペアを作成して、最大の可用性と信頼性を実現するメカニズムを提供します。
クラスタを初期化した後、読取り/書込みペアまたは読取り専用ノードとして最大15個のノードを追加することで、クラスタを拡張できます。マルチマスター・クラスタには、少なくとも2つのノード、最大16のノードを含めることができます。
読取り専用Oracle Key Vaultノードをクラスタに追加して、Oracleウォレット、暗号化キー、Javaキーストア、証明書、資格証明ファイルおよびその他のオブジェクトを必要とするエンドポイントにさらに高い可用性を提供できます。
詳細の参照
Oracle Key Vaultを使用したOracle Database@Google Cloudでの暗号化の管理についてさらに学習します。
次の追加リソースを確認します。
- Oracle Key Vault管理者ガイドのGoogle CloudでのOracle Key Vaultイメージの作成
- Oracle Database@Azure
- Oracle Key Vaultの概念
- Oracle Key Vault管理者ガイドのOracle Key Vaultのエンドポイントのエンロールおよびアップグレード
- Oracle Key Vault管理者ガイドのOracle Key Vaultの一般的なシステム管理
- Oracle Software Delivery Cloud
- RESTを介した自動化を使用したOracle Exadata Database Service on Dedicated InfrastructureのOracle Key Vaultへのファイル・ベースのTransparent Data Encryptionの移行
- Oracle Cloud Infrastructure向けの適切に設計されたフレームワーク