Oracle Exadata Database Service를 사용하여 Oracle Key Vault 배포(Oracle Database@Google Cloud)

Oracle Key Vault는 Oracle 데이터베이스 배포를 위한 키 관리(이 경우 Oracle Database@Google Cloud의 Oracle Exadata Database Service)를 제공하기 위해 특별히 제작된 내결함성, 지속적이고 확장성이 뛰어난 키 관리 시스템입니다. Oracle Key Vault는 고객이 암호화 키, Oracle 전자 지갑, JKS(Java Keystores), JCEKS(Java Cryptography Extension Keystores) 및 SSH 개인 키를 사용하는 인증서 파일을 포함하는 Google Cloud의 Oracle Database@Google Cloud에 대한 보안 객체를 안전하게 관리할 수 있도록 합니다.

Oracle Key Vault와 Oracle Exadata Database Service(Oracle Database@Google Cloud)를 함께 활용하면 다음과 같은 이점을 누릴 수 있습니다.

• 결함 허용
• 고가용성
• 확장성
• 보안
• 표준 준수

Oracle Key Vault는 암호화 키, Oracle 전자 지갑, JKS(Java Keystores), JCEKS(Java Cryptography Extension Keystores) 및 자격 증명 파일을 포함하는 보안 객체를 관리합니다. 인증서 파일에는 원격 서버(온프레미스 또는 클라우드)에 대한 퍼블릭 키 인증에 사용되는 SSH 프라이빗 키 또는 정기적 일정이 잡힌 유지보수 스크립트의 무인 실행을 위한 데이터베이스 계정 비밀번호가 포함될 수 있습니다. Oracle Key Vault는 Oracle Cloud Stack(데이터베이스, 미들웨어, 시스템) 및 고급 보안 투명 데이터 암호화(TDE)에 최적화되어 있습니다. 또한 KMIP 기반 클라이언트와의 호환성을 위해 업계 표준 OASIS KMIP(Key Management Interoperability Protocol)를 준수합니다.

Oracle Key Vault는 엔드포인트와 함께 작동하며, 엔드포인트는 데이터베이스 서버, 애플리케이션 서버 및 기타 정보 시스템과 같은 컴퓨터 시스템입니다. 엔드포인트는 Oracle Key Vault와 통신할 수 있도록 등록하고 등록해야 합니다. 등록된 끝점은 키를 업로드하고, 다른 끝점과 공유하고, 다운로드하여 데이터에 액세스할 수 있습니다. 키는 암호화된 데이터에 액세스하는 데 사용되며 자격 증명은 다른 시스템에 대해 인증하는 데 사용됩니다. 하나 이상의 Oracle 데이터베이스를 호스트하는 데이터베이스 서버의 경우 각 Oracle 데이터베이스는 하나 이상의 끝점이 됩니다.

Oracle Key Vault는 RAC 또는 Active Data Guard, 플러그 가능한 데이터베이스, OCI GoldenGate 암호화된 추적 파일 및 전역으로 분산된(샤딩된) 데이터베이스, Oracle ZFS Storage Appliance 및 Oracle Zero Data Loss Recovery Appliance를 통해 배포된 암호화된 데이터베이스로 일상적인 작업을 간소화합니다. Oracle Key Vault는 Oracle Database의 핵심 기능인 Oracle Data Pump 및 이동 가능한 테이블스페이스를 사용하여 암호화된 데이터를 쉽게 이동할 수 있도록 합니다.

Oracle과 Google은 Oracle Key Vault를 지원하는 기본 인프라를 보호하는 역할을 담당하지만, 고객은 애플리케이션 및 보안 및 규정 준수 의무를 충족하기 위한 구성 메커니즘에 필요한 보안 제어를 구현해야 합니다. Oracle Key Vault는 기본적으로 사용자 고유의 키를 보유합니다.

시작하기 전에

이 참조 아키텍처를 활용하려면 다음이 필요합니다.

Oracle Database@Google Cloud

• Google Cloud 구독 및 디렉토리에 액세스
• OCI 테넌시에 대한 액세스
• Google Cloud와 OCI 간 활성 Oracle Database@Google Cloud 멀티클라우드 링크
• 프로비저닝 전에 적절한 Oracle Exadata Database Service 한도 및 OCI 서비스 한도를 확인하십시오.
  1. OCI 메뉴에서 거버넌스 및 관리를 누릅니다.
  2. 테넌시 관리에서 제한, 할당량 및 사용량을 누릅니다.
  3. 서비스 드롭다운에서 데이터베이스를 선택합니다.
• 네트워크 토폴로지 계획:
  • 해당하는 OCI VCN(가상 클라우드 네트워크)과 페어링할 수 있는 Google Cloud VPC(가상 프라이빗 클라우드)가 하나 이상 필요합니다.
  • Google Cloud VPC(가상 프라이빗 클라우드) 및 OCI VCN에 대한 CIDR 블록은 겹치지 않아야 합니다.

Oracle Key Vault

• 해당 ISO 파일에서 온프레미스로 구축된 Oracle Key Vault 이미지에 액세스
• Oracle Key Vault 설치 요구 사항
• NTP 설정이 필요합니다.

구조

이 아키텍처는 Oracle Key Vault를 Google Cloud 가상 머신(VM)에 배포하는 방법을 Oracle Database@Google Cloud의 Oracle Exadata Database Service 암호화 키에 대한 안전한 장기 외부 키 관리 스토리지로 보여줍니다.

이 아키텍처 다이어그램은 Google Cloud의 권장 Oracle Key Vault 다중 마스터 클러스터를 묘사하여 Oracle Exadata Database Service(Oracle Database@Google Cloud)의 Oracle Database에 대해 지속적으로 가용성과 확장성, 내결함성 키 관리를 제공합니다.

동일한 영역에 있는 Oracle Key Vault 노드 2개가 읽기/쓰기 쌍을 형성하므로 지속적인 읽기 가용성이 제공됩니다. 이는 두 노드 중 하나가 비작동 상태인 경우 나머지 노드가 읽기 전용 제한 모드로 설정되기 때문입니다. 읽기/쓰기 노드가 다시 읽기/쓰기 피어와 통신할 수 있는 경우 노드가 읽기/쓰기 모드로 다시 되돌아갑니다. 4개의 노드(아키텍처 다이어그램 참조)는 지속적인 읽기/쓰기 가용성을 제공합니다.

네트워크 연결을 설정할 수 있는 한 Oracle Key Vault는 온프레미스, OCI, Google Cloud, Microsoft Azure, Amazon Web Services에 배포할 수 있습니다. 확장된 Oracle Key Vault 클러스터(온프레미스에서 클라우드로 또는 클라우드 공급자 간)도 가능하므로 배포 유연성과 암호화 키의 로컬 가용성을 극대화할 수 있습니다. Oracle Key Vault는 비용이 많이 드는 추가 타사 키 관리 어플라이언스 없이도 즉시 사용 가능한 "사용자 고유의 키 유지" 기능을 제공합니다.

다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.

그림 key-vault-database-google-diagram.png에 대한 설명

키 볼트-데이터베이스-google.zip

구조에는 다음과 같은 구성 요소가 있습니다.

• Google Cloud 리전

  Google 및 OCI 리전은 지역화된 지리적 영역입니다. Oracle Database@Google Cloud의 경우 Google Cloud 리전이 OCI 리전에 연결됩니다. Google Cloud의 영역은 OCI의 가용성 도메인에 연결됩니다. 거리 및 대기 시간을 최소화하기 위해 Google Cloud 및 OCI 리전 쌍을 선택합니다.

• Google Cloud 영역

  영역은 사용 가능하고 내결함성이 보장되도록 설계된 영역 내에서 물리적으로 분리된 데이터 센터입니다. 영역은 다른 영역에 대한 대기 시간이 짧은 연결을 가질 만큼 충분히 가깝습니다.

• Google Cloud 가상 사설 클라우드

  Google Cloud VPC(Virtual Private Cloud)는 Google Cloud에서 개인 네트워크를 위한 기본 빌딩 블록입니다. VPC를 사용하면 Google VM(가상 머신)과 같은 여러 유형의 Google Cloud 리소스가 서로, 인터넷 및 온프레미스 네트워크와 안전하게 통신할 수 있습니다.

• 전용 인프라의 Exadata Database Service

  Oracle Exadata Database Service는 퍼블릭 클라우드에서 특별히 구축되고 최적화된 Oracle Exadata 인프라에 대해 검증된 Oracle Database 기능을 제공합니다. OLTP, 인메모리 애널리틱스 및 컨버지드 Oracle Database 워크로드를 위한 내장 클라우드 자동화, 탄력적인 리소스 확장, 보안 및 빠른 성능을 통해 관리를 간소화하고 비용을 절감할 수 있습니다.

  Exadata Cloud Infrastructure X9M는 퍼블릭 클라우드에 더 많은 CPU 코어, 향상된 스토리지 및 더 빠른 네트워크 패브릭을 제공합니다. Exadata X9M 스토리지 서버에는 XRMEM(Exadata RDMA Memory)이 포함되어 추가 스토리지 계층을 생성하여 전반적인 시스템 성능을 향상시킵니다. Exadata X9M는 XRMEM과 네트워크 및 I/O 스택을 우회하는 혁신적인 RDMA 알고리즘을 결합하여 값비싼 CPU 인터럽트 및 컨텍스트 스위치를 제거합니다.

  Exadata Cloud Infrastructure X9M는 100Gbps의 능동-능동 Remote Direct Memory Access over Converged Ethernet(RoCE) 내부 네트워크 패브릭의 처리량을 늘려 모든 컴퓨트 서버와 스토리지 서버 간에 매우 짧은 대기 시간으로 이전 세대보다 빠른 상호 연결을 제공합니다.

• Oracle Database@Google Cloud

  Oracle Database@Google Cloud is the Oracle Database service (Oracle Exadata Database Service on Dedicated Infrastructure or Oracle Autonomous Database Serverless) running on Oracle Cloud Infrastructure (OCI), deployed in Google Cloud data centers. 이 서비스는 OCI와 기능 및 가격 패리티를 제공합니다. 사용자는 Google Cloud Marketplace에서 서비스를 구매할 수 있습니다.

  Oracle Database@Google Cloud는 Oracle Exadata Database Service, Oracle RAC(Oracle Real Application Clusters) 및 Oracle Data Guard 기술을 Google Cloud 플랫폼에 통합합니다. Oracle Database@Google Cloud는 다른 Google 네이티브 서비스와 동일한 짧은 대기 시간을 제공하며 미션 크리티컬 워크로드 및 클라우드 네이티브 개발 요구를 충족합니다. 사용자는 Google 콘솔 및 Google 자동화 도구를 사용하여 서비스를 관리합니다. 이 서비스는 Google Virtual Private Cloud(VPC)에 배포되며 Google ID 및 액세스 관리 시스템과 통합됩니다. OCI 및 Oracle Database 메트릭과 감사 로그는 기본적으로 Google에서 사용할 수 있습니다. 이 서비스를 사용하려면 사용자에게 Google 테넌시와 OCI 테넌시가 있어야 합니다.

• Key Vault

  Oracle Key Vault는 암호화 키, Oracle Wallets, Java KeyStores, SSH 키 쌍 및 기타 암호를 OASIS KMIP 표준을 지원하고 Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure, Amazon Web Services 및 전용 하드웨어 또는 가상 머신의 온프레미스에 배포하는 확장 가능한 내결함성 클러스터에 안전하게 저장합니다.

권장사항

다음 권장 사항을 시작점으로 사용합니다. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.

• Oracle Key Vault ISO

  올바른 Oracle Key Vault 솔루션을 구축하려면 최신 Oracle Key Vault 설치 매체를 사용해야 합니다. 자세한 내용은 Oracle Software Delivery Cloud 링크를 참조하십시오.

• Oracle Key Vault 이미지 작성

  ISO에서 Oracle Key Vault 이미지를 빌드하려면 최소 32GB의 RAM을 사용하여 1TB 이상의 스토리지를 사용하는 로컬 시스템에서 해당 작업을 수행합니다. 가상 하드 디스크를 고정 크기 및 VHD 형식으로 만듭니다.

• 다중 마스터 클러스터

  Oracle Key Vault를 다중 노드 클러스터로 배포하여 Oracle Key Vault 노드의 읽기/쓰기 쌍으로 최대 가용성과 신뢰성을 달성합니다.

  Oracle Key Vault 다중 마스터 클러스터는 첫 번째 노드로 생성된 다음 추가 노드를 나중에 유도하여 최종적으로 최대 8개의 읽기/쓰기 쌍을 가진 다중 노드 클러스터를 형성할 수 있습니다.

  초기 노드가 읽기 전용 제한 모드이므로 중요 데이터를 추가할 수 없습니다. Oracle은 첫번째 노드와 읽기/쓰기 쌍을 형성하는 두번째 노드를 배치할 것을 권장합니다. 그 후에 클러스터를 읽기/쓰기 쌍으로 확장하여 critical 및 non-critical 데이터를 모두 읽기/쓰기 노드에 추가할 수 있습니다. 읽기 전용 노드는 유지 관리 작업 중 로드 균형 조정 또는 작업 연속성에 도움이 될 수 있습니다.

  끝점 연결 방식과 제한 사항 모두에서 다중 마스터 클러스터가 끝점에 미치는 영향에 대해 알아보려면 설명서를 참조하십시오.

  대규모 배포의 경우 Oracle Key Vault 서버를 4개 이상 설치합니다. 고가용성을 보장하려면 네 대의 서버에서 엔드포인트를 고유하고 균형 있게 등록해야 합니다. 예를 들어, 데이터 센터에 등록할 데이터베이스 엔드포인트가 1,000개 있고 이를 수용할 Oracle Key Vault 서버가 4개 있는 경우 4개 서버 각각에 250개의 엔드포인트를 등록합니다.

  끝점 호스트와 Oracle Key Vault 서버의 시스템 시계가 동기화되었는지 확인합니다. Oracle Key Vault 서버의 경우 NTP를 설정해야 합니다.

• 읽기/쓰기 쌍

  양방향 동기 복제로 작동하는 노드 쌍입니다. 읽기/쓰기 쌍은 새 노드를 읽기 전용 노드와 페어링하여 생성됩니다. Oracle Key Vault 관리 콘솔 또는 Oracle Key Vault 클라이언트 소프트웨어를 사용하여 엔드포인트 및 전자 지갑 데이터를 포함한 데이터를 한 노드에서 업데이트할 수 있습니다. 업데이트는 쌍의 다른 노드에 즉시 복제됩니다. 업데이트는 다른 모든 노드에 비동기적으로 복제됩니다.

  노드는 최대 하나의 양방향 동기 쌍의 멤버일 수 있습니다.

  다중 마스터 클러스터의 경우 완전히 작동하려면 적어도 하나의 읽기/쓰기 쌍이 필요합니다. 최대 8개의 읽기/쓰기 쌍을 가질 수 있습니다.

• Oracle Key Vault 읽기/쓰기 노드

  읽기/쓰기 노드는 Oracle Key Vault 또는 끝점 소프트웨어를 사용하여 중요 데이터를 추가하거나 업데이트할 수 있는 노드입니다.

  추가되거나 갱신되는 중요한 데이터는 키, 전자 지갑 내용 및 인증서와 같은 데이터일 수 있습니다.

  Oracle Key Vault 읽기/쓰기 노드는 항상 쌍으로 존재합니다. 읽기/쓰기 쌍의 각 노드는 중요 및 중요하지 않은 데이터에 대한 업데이트를 수락할 수 있으며, 이러한 업데이트는 읽기/쓰기 피어인 쌍의 다른 멤버로 즉시 복제됩니다. 읽기/쓰기 피어는 클러스터에서 하나의 특정 멤버이며 하나의 읽기/쓰기 쌍만입니다. 읽기/쓰기 피어 간에 양방향 동기 복제가 있습니다. 지정된 노드의 읽기/쓰기 피어가 아닌 모든 노드에 대한 복제는 비동기적입니다.

  노드는 최대 하나의 읽기/쓰기 쌍의 멤버일 수 있습니다. 노드에는 읽기/쓰기 피어가 하나만 있을 수 있습니다. 노드는 읽기/쓰기 쌍의 멤버가 되므로 유도 프로세스 중에는 읽기/쓰기 노드가 됩니다. 읽기/쓰기 노드는 읽기/쓰기 피어가 삭제될 때 새 읽기/쓰기 쌍을 형성할 수 있는 읽기 전용 노드로 되돌아갑니다.

  읽기/쓰기 노드는 읽기/쓰기 피어에 성공적으로 복제할 수 있고 두 피어가 모두 활성 상태인 경우 읽기/쓰기 모드로 작동합니다. 읽기/쓰기 노드는 읽기/쓰기 피어에 복제할 수 없거나 읽기/쓰기 피어가 사용 안함으로 설정된 경우 일시적으로 읽기/쓰기 제한 모드로 설정됩니다.

• 다중 마스터 클러스터 만들기

  다중 마스터 클러스터는 단일 Oracle Key Vault 서버를 초기 노드로 변환하여 만듭니다.

  이 Oracle Key Vault 서버는 클러스터 데이터를 시드하고 서버를 초기 노드라고 하는 첫번째 클러스터 노드로 변환합니다.

  Oracle Key Vault 서버가 다중 마스터 클러스터의 초기 노드로 변환된 후 필요한 여러 유형의 노드를 클러스터에 추가할 수 있습니다. Oracle Key Vault 서버가 추가되어 읽기/쓰기 노드 또는 단순 읽기 전용 노드로 추가되면 클러스터가 확장됩니다.

고려사항

이 참조 아키텍처를 배치할 때는 다음 사항을 고려하십시오.

• 성능

  최적의 성능 및 로드 밸런싱을 위해 더 많은 읽기/쓰기 쌍을 추가합니다.

  읽기 전용 노드를 클러스터에 여러 개 추가할 수 있지만, 최적의 성능 및 로드 밸런싱을 위해서는 클러스터가 오버로드되지 않도록 읽기/쓰기 쌍이 더 있어야 합니다.

  Oracle Key Vault 다중 마스터 클러스터의 경우 하나 이상의 읽기/쓰기 쌍이 완전히 작동해야 합니다. 최대 8개의 읽기/쓰기 쌍을 가질 수 있습니다.

• 가용성

  다중 노드 클러스터는 Oracle Key Vault 환경에 고가용성, 재해 복구, 로드 분배 및 지리적 배포를 제공합니다. 가용성과 안정성을 극대화하기 위해 Oracle Key Vault 노드의 읽기/쓰기 쌍을 생성하는 메커니즘을 제공합니다.

  클러스터를 초기화한 후 읽기/쓰기 쌍 또는 읽기 전용 노드로 노드를 최대 15개 더 추가하여 확장할 수 있습니다. 다중 마스터 클러스터에는 최소 2개의 노드와 최대 16개의 노드가 포함될 수 있습니다.

  읽기 전용 Oracle Key Vault 노드를 클러스터에 추가하여 Oracle 전자 지갑, 암호화 키, Java 키 저장소, 인증서, 인증서 파일 및 기타 객체가 필요한 끝점에 대한 가용성을 더욱 높일 수 있습니다.

추가 탐색

Oracle Key Vault를 사용하여 Oracle Database@Google Cloud에서 암호화 관리에 대해 자세히 알아보십시오.

다음 추가 리소스를 검토하십시오.

• Oracle Key Vault Administrator's Guide의 Creating Oracle Key Vault Image in Google Cloud
• Oracle Database@Azure
• Oracle Key Vault 개념
• Oracle Key Vault Administrator's Guide의 Enrolling and Upgrading Endpoints for Oracle Key Vault
• Oracle Key Vault Administrator's Guide의 Oracle Key Vault General System Administration
• Oracle Software Delivery Cloud
• REST를 통한 자동화를 사용하여 Oracle Exadata Database Service on Dedicated Infrastructure용 Oracle Key Vault로 파일 기반 투명 데이터 암호화 마이그레이션
• Oracle Cloud Infrastructure를 위한 잘 설계된 프레임워크

확인

• 작성자: Suzanne Holliday, Anwar Belayachi, Peter Wahl, Julien Silverston
• 제공자: Wei Han, Leo Alvarado

로그 변경

이 로그는 중요한 변경 사항을 나열합니다.

2025년 1월 16일

아키텍처 다이어그램이 업데이트되고 다운로드 가능한 버전의 다이어그램이 추가되었습니다.