고가용성을 위해 OCI 로드 밸런서를 사용하여 Thales CipherTrust Manager와 함께 OCI HYOK 사용

소개

이전 튜토리얼에서는 Thales CipherTrust Manager를 Oracle Cloud Infrastructure(OCI)와 통합하여 OCI API Gateway를 사용하거나 사용하지 않고도 HYOK(Hold Your Own Key) 기능을 활성화하는 방법을 모색했습니다. 클러스터링 CipherTrust 관리자는 레벨의 복구 기능을 제공하지만 네트워킹 관점에서 정확한 고가용성을 보장하지는 않습니다.

Thales CipherTrust Manager는 노드 간 원활한 페일오버를 위해 가상 IP 주소(VIP 주소)를 기본적으로 지원하지 않습니다.

이 사용지침서에서는 Thales CipherTrust Manager 인스턴스에 대한 높은 네트워크 가용성을 제공하기 위해 OCI 로드 밸런서를 도입하여 제한을 다룹니다. 클러스터화된 CipherTrust 관리자를 OCI 로드 밸런서 뒤에 배치함으로써 노드 장애 또는 데이터 센터 중단 시에도 OCI의 외부 키 관리 서비스에 대한 지속적인 가용성 및 내결함성을 보장할 수 있습니다.

이 사용지침서에서는 OCI 환경에 이 설정을 배치하기 위한 구조, 구성 및 고려 사항을 안내합니다.

목표

• 작업 1: 기존 OCI 및 Thales CipherTrust Manager HYOK 아키텍처를 검토합니다.
• 작업 2: OCI 로드 밸런서 생성
• 작업 3: OCI 로드 밸런서를 기존 OCI API 게이트웨이 기반 HYOK 배치와 통합합니다.
• 작업 4: OCI API Gateway 없이 OCI 로드 밸런서를 기존 HYOK 배치와 통합합니다.
• 작업 5: 모든 OCI 및 Thales CipherTrust Manager HYOK 아키텍처를 검토하여 Thales CipherTrust Manager의 가용성을 높입니다.

작업 1: 기존 OCI 및 Thales CipherTrust Manager HYOK 아키텍처 검토

OCI 로드 밸런서를 아키텍처에 도입하기 전에 기존 OCI 및 Thales CipherTrust Manager HYOK 배포를 다시 방문해야 합니다. 이전 구현에서는 다음과 같은 두 가지 기본 패턴을 다루었습니다.

• OCI API Gateway와 함께 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정

• OCI API Gateway 없이 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정

이 섹션에서는 이 두 가지 설계를 간략하게 요약하고 강점과 한계를 강조하여 가용성 격차를 해소하기 위한 OCI 로드 밸런서를 도입하기 위한 토대를 마련합니다.

두 아키텍처 모두 복구 기능을 제공하기 위해 여러 Thales CipherTrust 관리자를 클러스터링하는 데 의존했지만 Thales CipherTrust Manager에 기본 VIP 주소 지원이 없기 때문에 정확한 네트워크 수준의 고가용성이 부족했습니다. 각 배포는 키 관리를 효과적으로 처리했지만 네트워크 라우팅 및 서비스 접근성 관점에서 잠재적인 단일 실패 지점을 도입했습니다.

시작하기 전에 다음 사항이 있는지 확인합니다.

• 두 개 이상의 Thales CipherTrust Manager 인스턴스가 서로 다른 가용성 도메인 또는 장애 도메인(및 클러스터화됨)에 배포되었습니다. 자세한 내용은 Set Up Two Thales CipherTrust Cloud Key Manager Appliances in OCI, Create a Cluster between them, and Configure One as a Certificate Authority을 참조하십시오.

• 적절한 서브넷이 있는 VCN(구조에 따라 전용 또는 공용)입니다. 여기서는 OCI 로드 밸런서를 배치합니다.

• 인증서(OCI 로드 밸런서에서 SSL 종료를 사용하는 경우). 이것은 우리가이 튜토리얼에서 설명 할 것입니다.

작업 2: OCI 로드 밸런서 생성

네트워크 계층에서 Thales CipherTrust Manager의 고가용성을 달성하기 위해 OCI 로드 밸런서를 아키텍처에 도입했습니다. OCI 로드 밸런서는 클러스터링된 Thales CipherTrust Manager 노드에 수신 요청을 지능적으로 배포하는 탄력적인 단일 액세스 포인트입니다.

이 작업은 여러 Thales CipherTrust Manager 인스턴스를 지원하는 OCI 로드 밸런서를 제공합니다. OCI API Gateway를 사용 중인지 여부에 관계없이 HYOK 배치에 맞게 백엔드 집합, 건전성 검사, SSL 종료(해당하는 경우) 및 리스너 규칙을 구성합니다.

이 OCI 로드 밸런서 설정을 사용하면 Thales CipherTrust Manager 노드 중 하나를 사용할 수 없게 되더라도 키 관리 서비스에 계속 연결할 수 있으므로 OCI와의 외부 키 관리 통합에 대한 신뢰성과 내결함성이 크게 향상됩니다.

• OCI 콘솔에 로그인하고 네트워킹으로 이동한 후 로드 밸런서를 누릅니다.

  

• 로드 밸런서 생성을 누릅니다.

  

• 다음 정보를 입력합니다.

  • 이름: 설명적 이름(예: Load_Balancer_for_CCKM)을 입력합니다.
  • 유형: 사용 사례에 따라 비공개 또는 공개를 선택합니다.

  

  • VCN 및 서브넷: OCI 로드 밸런서가 오른쪽 컴파트먼트에 배치될 VCN 및 서브넷을 선택합니다.
  • 다음을 누릅니다.

  

  • 정책: 가중 라운드 로빈을 선택합니다.
  • 백엔드 서버 선택을 비워 둡니다. 나중에 구성합니다.

  

  • 건전성 검사 정책: 지금은 80 포트가 있는 HTTP를 선택합니다. 나중에 이 정책이 변경됩니다.

  

  • 백엔드 집합 이름: 설명적 이름(예: CTM_Appliances)을 입력합니다.
  • 다음을 누릅니다.

  

  • 리스너 이름: 설명적 이름(예: LISTENER)을 입력합니다.
  • 리스너 트래픽 유형 및 포트: TCP 및 포트 80, 나중에 변경합니다.
  • 다음을 누릅니다.

  

  • 모든 로깅 설정은 기본값으로 둡니다.
  • 다음을 누릅니다.

  

• 정보를 검토하고 제출을 누릅니다.

  

• OCI 로드 밸런서가 생성됩니다. 몇 분 후 Active가 표시됩니다.

  

• 리스너를 눌러 편집해야 하는 리스너를 검토합니다.

  

• 백엔드 집합을 눌러 편집해야 할 백엔드 집합을 검토합니다. 또한 건전성이 불완전으로 표시됩니다. 이는 Thales CipherTrust Manager 백엔드 서버를 세트에 추가해야 하기 때문입니다.

  

• 리스너 및 백엔드 집합을 SSL로 구성하기 전에 인증서를 추가해야 합니다. 추가하려면 인증서 및 암호화로 이동하고 인증서 추가를 누릅니다.

  

• OCI 로드 밸런서에 대해 생성된 적합한 서명된 인증서 및 프라이빗 키가 있는지 확인하십시오.

  CSR(인증서 서명 요청)을 만들고 Thales CipherTrust Manager를 사용하여 로컬 CA로 인증서에 서명하려면 Create a CSR for both Thales CCKM Appliances and Sign by the CA를 참조하십시오.

  

• 또한 루트 CA(번들 준비)가 있는지 확인합니다.

  

• 인증서 추가에 다음 정보를 입력합니다.

  • 인증서 이름: 설명적 이름(예: LB-CTM-CERT)을 입력합니다.
  • SSL 인증서 붙여넣기를 선택합니다.
  • SSL 인증서: 서명된 SSL 인증서를 붙여넣습니다.

  

  • CA 인증서 지정을 선택합니다.
  • CA 인증서 붙여넣기를 선택합니다.
  • CA 인증서: CA(번들) 인증서를 붙여넣습니다.

  

  • Specify Private key를 선택합니다.
  • 개인 키 붙여넣기를 선택합니다.
  • 개인 키: 개인 키를 붙여넣습니다.
  • 인증서 추가를 누릅니다.

  

• 제출된 작업 요청이 수락되고 모든 작업 요청 보기를 누릅니다.

  

• 요청이 성공했음을 알 수 있습니다.

  

• 인증서 및 암호화로 이동하고 인증서가 추가되었는지 확인합니다.

  

• 백엔드 집합으로 이동하고 3개의 점을 눌러 생성된 백엔드 집합의 메뉴를 연 다음 편집을 누릅니다.

  

• 백엔드 집합 편집에 다음 정보를 입력합니다.

  • SSL을 사용으로 설정하려면 SSL 사용을 선택합니다.
  • 인증서 리소스: 로드 밸런서 관리 인증서를 선택합니다.
  • 인증서 이름을 선택합니다.
  • 변경사항 저장를 누릅니다.

  

• 닫기를 누르면

  

• 리스너로 이동하고 3개의 점을 눌러 생성된 백엔드 집합의 메뉴를 열고 편집을 누릅니다.

  

• 리스너 편집에 다음 정보를 입력합니다.

  • 프로토콜: TCP를 선택합니다.
  • Port(포트): 443을 선택합니다.
  • SSL 사용을 선택합니다.
  • 인증서 리소스: 로드 밸런서 관리 인증서를 선택합니다.
  • 인증서 이름을 선택합니다.
  • 변경사항 저장를 누릅니다.

  

• 닫기를 누르면

  

• 리스너는 이제 TCP 포트 443에서 수신합니다.

  

• 백엔드 집합으로 이동하고 건전성이 아직 불완전한지 확인합니다. 이는 세트에 백엔드로 서버를 추가하지 않았기 때문입니다.

  

• 3개의 점을 눌러 생성된 백엔드 집합의 메뉴를 열고 건전성 검사 업데이트를 누릅니다.

  

• 건전성 검사 업데이트에 다음 정보를 입력합니다.

  • 프로토콜: TCP를 선택합니다.
  • Port(포트): 443을 선택합니다.
  • 변경사항 저장를 누릅니다.

  

• 닫기를 누르면

  

• 이전에 생성한 백엔드 집합을 누릅니다.

  

• 백엔드를 누른 다음 백엔드 추가를 누릅니다.

  

• 백엔드 추가에 다음 정보를 입력합니다.

  • 백엔드 유형: IP 주소를 선택합니다.
  • 다음 백엔드(CTM의 IP 주소)를 추가합니다.
    • CTM 1(AMS)
      • IP 주소: 10.111.10.32를 입력합니다.
      • Port(포트): 443을 선택합니다.
      • 가중치: 1을 선택합니다.
    • CTM 2(ASH)
      • IP 주소: 10.222.10.111를 입력합니다.
      • Port(포트): 443을 선택합니다.
      • 가중치: 2를 선택합니다.
  • 추가를 누릅니다.

  

• 건전성은 Critical로 표시됩니다. Thales CipherTrust Manager 서버에서 건전성 검사를 수행하는 데 1분 정도 걸릴 수 있습니다.

  

• 이제 건전성이 OK로 변경됩니다. 이제 백엔드 집합 개요로 돌아갑니다.

  

• 백엔드 세트의 전체 건전성도 OK입니다. 이제 OCI 로드 밸런서 개요로 돌아갑니다.

  

• OCI 로드 밸런서가 활성이고, 전체 건전성이 OK이며, 로드 밸런서에 IP 주소가 있습니다.

  

로드 밸런서에 대한 DNS 레코드를 생성했는지 확인합니다. OCI VCN 내의 프라이빗 DNS 리스너에 A 레코드를 생성했습니다.

작업 3: OCI 로드 밸런서를 기존 OCI API 게이트웨이 기반 HYOK 배치에 통합

이 작업에서는 OCI 로드 밸런서를 기존 OCI API 게이트웨이 기반 HYOK 배포에 통합하여 원활하고 고가용성 아키텍처를 보장합니다.

이 아키텍처에서는 OCI API 게이트웨이와 OCI 로드 밸런서의 강점을 결합하여 OCI HYOK 통합의 안정성과 보안을 Thales CipherTrust Manager와 강화합니다.

OCI API 게이트웨이는 인증, 권한 부여 및 경로 지정 정책을 적용하여 보안 공용 진입점 역할을 계속합니다. 그 뒤에는 OCI Load Balancer가 여러 CipherTrust Manager 노드에 요청을 분산하여 네트워크 계층에서 고가용성 및 내결함성을 보장합니다.

이 계층형 설계는 OCI API 게이트웨이를 통해 보안 액세스 모델을 유지 관리합니다. OCI 로드 밸런서를 통해 탄력적인 백엔드를 도입하여 Thales CipherTrust Manager의 네이티브 VIP 주소 지원 부족 문제를 해결합니다.

• 다음 자습서에서 생성된 OCI API 게이트웨이로 이동합니다. OCI API Gateway를 사용하여 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정.

  

• 배포로 이동하고 배포를 누릅니다.

  

• 편집을 누릅니다.

  

• 경로를 누릅니다.

  

• URL은 AMS CTM인 ctm1.oci-thales.lab FQDN을 가리킵니다.

  

• 방금 생성한 OCI 로드 밸런서인 lb-ctm.oci-thales.lab FQDN을 가리키도록 URL을 변경하고 다음을 누르고 변경사항을 저장해야 합니다.

  

다음 그림은 OCI API Gateway 및 OCI 로드 밸런서가 아키텍처에 통합된 엔드투엔드 트래픽 플로우를 보여줍니다.

작업 4: OCI API Gateway 기반 HYOK 배치를 사용하지 않고 OCI 로드 밸런서를 기존에 통합

이 연습에서는 OCI 로드 밸런서를 OCI HYOK 배치에서 Thales CipherTrust Manager에 대한 유일한 액세스 포인트로 구성하고 사용하여 깔끔하고 성능이 뛰어나며 고가용성 아키텍처를 구현하는 방법을 배웁니다.

이 아키텍처에서는 OCI API Gateway를 제거하고 OCI 로드 밸런서를 Thales CipherTrust Manager 클러스터 바로 앞에 배치하여 배포를 간소화합니다. 이 접근 방식은 공용 액세스가 필요하지 않고 안전한 내부 네트워크 내에서 고가용성을 보장하는 것이 목표인 개인 통합에 이상적입니다.

OCI Load Balancer를 통해 요청을 라우팅함으로써 여러 Thales CipherTrust Manager 노드로 트래픽을 분산하는 동시에 노드 또는 가용성 도메인 오류가 발생하더라도 세션 복원성 및 페일오버 기능을 유지할 수 있습니다. 이 설정은 OCI API 게이트웨이 정책 및 인증 플로우의 복잡성 없이 Thales CipherTrust Manager의 고유 VIP 주소 지원 부족에 대한 주요 제한을 해결합니다.

다음 자습서에 나열된 작업을 수행합니다. OCI API Gateway 없이 Thales CipherTrust Manager를 사용하여 OCI Hold Your Own Key 설정. 그러나 이제 모든 (AMS) CTM1 IP 주소가 로드 밸런서 IP 주소로 변경되었습니다.

• OCI Integration 애플리케이션 리소스 앱입니다.
• CTM1 외부 저장소 끝점 URL 호스트 이름입니다. 이 변경 사항은 CTM이 클러스터에 있을 때 (ASH) CTM2에도 동기화됩니다.
• OCI 프라이빗 끝점(OCI 외부 키 관리 서비스에서 사용합니다).

이 흐름은 OCI와 Thales CipherTrust Manager 통합(HYOK) 및 경로에 OCI 로드 밸런서만 포함된 자세한 통합 흐름입니다.

다음 그림은 아키텍처에 통합된 OCI 로드 밸런서만 포함하는 엔드투엔드 트래픽 플로우를 보여줍니다.

작업 5: 모든 OCI 및 Thales CipherTrust Manager HYOK 아키텍처를 검토하여 Thales CipherTrust Manager의 고가용성을 구현합니다.

Thales CipherTrust Manager for Hold Your Own Key(HYOK)를 OCI에 배포하기 위한 획일적인 접근 방식은 없습니다. 여러 아키텍처 옵션을 사용하여 클라우드 기반 또는 온프레미스에 관계없이 네트워크 토폴로지, 보안 요구 사항 및 사용 가능한 인프라에 따라 탄력적인 고가용성 배포를 수행할 수 있습니다.

이 섹션에서는 고가용성에 중점을 둔 Thales CipherTrust Manager와 OCI HYOK를 통합하기 위해 지원되는 모든 아키텍처 패턴에 대한 통합 개요를 제공합니다. 여기에는 다음의 조합이 포함됩니다.

• 단일 또는 이중 데이터 센터 배포
• OCI API Gateway 사용.
• OCI 로드 밸런서 사용.
• 고가용성 유무에 관계없이 온프레미스 또는 데이터 센터 호스팅 로드 밸런서 사용

각 아키텍처에는 복잡성, 페일오버 기능 및 제어와 관련된 이점과 장단점이 있습니다. 완전한 클라우드 전용 설정을 실행하든, 하이브리드 환경에서 운영하든, 데이터 센터에서 레거시 로드 밸런서를 활용하든, 적합한 모델이 있습니다.

포함된 아키텍처는 다음과 같습니다.

구조 번호	설명
1	단일 데이터 센터의 CTM - OCI API 게이트웨이 또는 OCI 로드 밸런서가 없는 기본 설정
2	OCI API Gateway를 통한 단일 데이터 센터 내 CTM - 외부 액세스, HA 없음
3	OCI API Gateway 및 OCI 로드 밸런서를 갖춘 2개의 데이터 센터 내 CTM - 전체 HA 솔루션
4	OCI API Gateway 및 온프레미스 로드 밸런서(HA 없음)를 사용하는 두 데이터 센터의 CTM - 부분 복원성
5	OCI API Gateway 및 온프레미스 로드 밸런서(HA)를 사용하는 2개의 데이터 센터에 있는 CTM - 외부에서 관리되는 HA
6	OCI API Gateway 및 온프레미스 로드 밸런서(HA 없음)를 갖춘 단일 데이터 센터의 CTM – 제한된 페일오버
7	OCI 로드 밸런서만 포함된 2개의 데이터 센터 내 CTM - 내부 액세스, OCI API 게이트웨이가 없는 전체 네트워크 레벨 HA

이 개요는 기술 및 운영 요구사항에 가장 적합한 아키텍처를 비교하고 선택하는 데 도움이 됩니다.

• 아키텍처 1: 다음 그림은 OCI API 게이트웨이가 없고 아키텍처에 통합된 로드 밸런싱이 없는 엔드투엔드 트래픽 플로우를 보여줍니다.

  

• 아키텍처 2: 다음 그림은 OCI API 게이트웨이와 아키텍처에 통합된 로드 밸런싱이 없는 엔드투엔드 트래픽 플로우를 보여줍니다.

  

• 아키텍처 3: 다음 그림은 OCI API Gateway 및 OCI Load Balancer가 아키텍처에 통합된 종단간 트래픽 흐름을 보여줍니다.

  

• 아키텍처 4, 5, 6: 다음 그림은 OCI API Gateway 및 아키텍처에 통합된 온프레미스 로드 밸런서를 통한 엔드투엔드 트래픽 흐름을 보여줍니다.

  

• 아키텍처 7: 다음 그림은 아키텍처에 통합된 OCI 로드 밸런서만 포함하는 엔드투엔드 트래픽 플로우를 보여줍니다.

  

결론

Oracle Cloud Infrastructure(OCI) HYOK 배포에서 Thales CipherTrust Manager의 고가용성을 보장하는 것은 고객 관리 암호화 키에 대한 무중단 보안 액세스를 유지하는 데 필수적입니다. 클러스터링 CipherTrust 관리자는 복구 기능을 제공하지만 네트워크 수준에서 고가용성 요구 사항을 충족하기에 충분하지 않습니다.

이 사용지침서에서는 OCI 로드 밸런서가 OCI API 게이트웨이 또는 내부 액세스를 위한 독립형 솔루션과 함께 이러한 격차를 해소하는 방법을 시연했습니다. 또한 온프레미스 로드 밸런서를 활용하는 하이브리드 모델을 포함한 여러 실제 아키텍처 패턴을 검토하여 인프라 전략 및 가용성 목표에 맞는 설계를 선택할 수 있도록 지원했습니다.

조직은 OCI의 네트워킹 서비스를 Thales CipherTrust Manager와 신중하게 통합함으로써 엔터프라이즈급 규정 준수 및 운영 연속성을 지원하는 탄력적이고 안전한 외부 키 관리 솔루션을 구축할 수 있습니다.

승인

• 작성자 - Iwan Hoogendoorn(클라우드 네트워킹 블랙 벨트)

추가 학습 자원

docs.oracle.com/learn에서 다른 랩을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 education.oracle.com/learning-explorer를 방문하여 Oracle Learning Explorer가 되십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Enable OCI HYOK with Thales CipherTrust Manager Using OCI Load Balancer for High Availability

G40055-01

Copyright ©2025, Oracle and/or its affiliates.