Despliegue de Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Google Cloud)
El uso de Oracle Key Vault con Oracle Exadata Database Service (Oracle Database@Google Cloud) proporciona a los clientes las siguientes ventajas:
- Tolerancia a fallos
- Alta disponibilidad
- Posibilidades de ampliación
- Seguridad
- Cumplimiento de estándares
Oracle Key Vault gestiona objetos de seguridad que incluyen claves de cifrado, carteras de Oracle, almacenes de claves de Java (JKS), almacenes de claves de extensión de criptografía de Java (JCEKS) y archivos de credenciales. Los archivos de credenciales pueden incluir claves privadas SSH, utilizadas para la autenticación de claves públicas en servidores remotos (local o en cualquier nube), o contraseñas de cuentas de base de datos para la ejecución desatendida de scripts de mantenimiento programados regularmente. Oracle Key Vault está optimizado para la pila de Oracle Cloud (base de datos, middleware, sistemas) y el cifrado de datos transparente (TDE) de seguridad avanzada. Además, cumple con el estándar de la industria OASIS Key Management Interoperability Protocol (KMIP) para la compatibilidad con clientes basados en KMIP.
Oracle Key Vault funciona con puntos finales, un punto final es un sistema informático como un servidor de base de datos, un servidor de aplicaciones y otros sistemas de información. Los puntos finales se deben registrar e inscribir para que se puedan comunicar con Oracle Key Vault. Los puntos finales inscritos pueden cargar sus claves, compartirlas con otros puntos finales y descargarlas para acceder a sus datos. Las claves se utilizan para acceder a datos cifrados y las credenciales se utilizan para autenticarse en otros sistemas. Para los servidores de bases de datos que alojen una o más bases de datos de Oracle, cada base de datos Oracle tendrá al menos un punto final.
Oracle Key Vault optimiza las operaciones diarias con bases de datos cifradas desplegadas como RAC o con Active Data Guard, bases de datos conectables, archivos de pista cifrados de OCI GoldenGate, así como bases de datos distribuidas globalmente (con particiones horizontales), Oracle ZFS Storage Appliance y Oracle Zero Data Loss Recovery Appliance. Oracle Key Vault facilita el movimiento de datos cifrados mediante Oracle Data Pump y tablespaces transportables, una función clave de Oracle Database.
Aunque Oracle y Google son responsables de proteger la infraestructura subyacente que soporta Oracle Key Vault, los clientes son responsables de implementar los controles de seguridad necesarios en sus aplicaciones y cualquier mecanismo de configuración para cumplir con sus mandatos de seguridad y cumplimiento. Oracle Key Vault proporciona mantener su propia clave por defecto.
Antes de empezar
Para aprovechar esta arquitectura de referencia, se necesitan los siguientes elementos:
Oracle Database@Google Cloud
- Acceso a una suscripción y directorio de Google Cloud
- Acceso a un arrendamiento de OCI
- Enlace multinube activo de Oracle Database@Google Cloud entre Google Cloud y OCI
- Antes del aprovisionamiento, asegúrese de que los límites adecuados de Oracle Exadata Database Service y los límites del servicio OCI
- En el menú OCI, haga clic en Gobernanza y administración.
- En Gestión de arrendamiento, haga clic en Límites, cuotas y uso.
- En la lista desplegable Servicio, seleccione Base de datos.
- Planificar la topología de red:
- Requiere al menos una nube privada virtual (VPC) de Google Cloud que se pueda emparejar con una red virtual en la nube (VCN) de OCI correspondiente
- Los bloques de CIDR para cualquier nube privada virtual (VPC) de Google Cloud y las VCN de OCI no se deben solapar
- Acceso a una imagen de Oracle Key Vault, creada localmente a partir del archivo ISO correspondiente
- Requisitos de instalación de Oracle Key Vault
- Se requiere la configuración de NTP
Arquitectura
Esta arquitectura muestra cómo desplegar Oracle Key Vault en una máquina virtual (VM) de Google Cloud como almacenamiento seguro de gestión de claves externas a largo plazo para claves de cifrado de Oracle Exadata Database Service en Oracle Database@Google Cloud.
El diagrama de arquitectura muestra el cluster de varios maestros de Oracle Key Vault recomendado en Google Cloud para proporcionar una gestión de claves de disponibilidad continua, extremadamente escalable y tolerante a fallos para Oracle Database en Oracle Exadata Database Service (Oracle Database@Google Cloud).
Dos nodos de Oracle Key Vault en la misma zona forman un par de lectura/escritura, lo que proporciona disponibilidad de lectura continua. Esto se debe a que cuando uno de los dos nodos no es operativo, el nodo restante se establece en modo restringido de solo lectura. Cuando un nodo de lectura/escritura vuelve a poder comunicarse con su par de lectura/escritura, el nodo vuelve al modo de lectura/escritura desde el modo restringido de solo lectura. Cuatro nodos (como se muestra en el diagrama de arquitectura) proporcionan disponibilidad continua de lectura/escritura.
Oracle Key Vault se puede desplegar localmente, en OCI, Google Cloud, Microsoft Azure y Amazon Web Services, siempre que se pueda establecer la conectividad de red. También es posible ampliar los clusters de Oracle Key Vault (de la ubicación local a la nube o entre proveedores de nube), lo que proporciona la máxima flexibilidad de despliegue y disponibilidad local de las claves de cifrado. Oracle Key Vault proporciona la funcionalidad de "mantener su propia clave" lista para usar, sin necesidad de un dispositivo adicional y costoso de gestión de claves de terceros.
El siguiente diagrama ilustra esta arquitectura de referencia.
clave-almacén de datos-base de datos-google.zip
La arquitectura tiene los siguientes componentes:
- Región de Google Cloud
Las regiones de Google y OCI son áreas geográficas localizadas. Para Oracle Database@Google Cloud, una región de Google Cloud está conectada a una región de OCI. Una zona de Google Cloud está conectada a un dominio de disponibilidad en OCI. Se seleccionan los pares de regiones de Google Cloud y OCI para minimizar la distancia y la latencia.
- Zona de Google Cloud
Una zona es un centro de datos físicamente separado dentro de una región diseñada para estar disponible y tolerante a fallos. Las zonas están lo suficientemente cerca como para tener conexiones de baja latencia a otras zonas.
- Nube privada virtual de Google Cloud
La nube privada virtual (VPC) de Google Cloud es el componente fundamental de su red privada en Google Cloud. VPC permite que muchos tipos de recursos de Google Cloud, como las máquinas virtuales (VM) de Google, se comuniquen de forma segura entre sí, Internet y redes locales.
- Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service ofrece capacidades probadas de Oracle Database en una infraestructura de Oracle Exadata optimizada y específica en la nube pública. La automatización incorporada en la nube, la ampliación flexible de recursos, la seguridad y el rendimiento rápido para OLTP, los análisis en memoria y las cargas de trabajo convergentes de Oracle Database ayudan a simplificar la gestión y reducir los costos.
Exadata Cloud Infrastructure X9M incorpora más núcleos de CPU, mayor almacenamiento y un tejido de red más rápido a la nube pública. Los servidores de almacenamiento X9M de Exadata incluyen memoria RDMA (XRMEM) de Exadata, lo que crea un nivel adicional de almacenamiento y aumenta el rendimiento general del sistema. Exadata X9M combina XRMEM con algoritmos RDMA innovadores que omiten la red y la pila de E/S, eliminando costosas interrupciones de CPU y conmutadores de contexto.
Exadata Cloud Infrastructure X9M aumenta el rendimiento de su tejido de red interno de acceso directo a memoria remota activa-activa de 100 Gbps a través de Ethernet convergente (RoCE), lo que proporciona una interconexión más rápida que las generaciones anteriores con una latencia extremadamente baja entre todos los servidores de cálculo y almacenamiento.
- Oracle Database@Google Cloud
Oracle Database@Google Cloud es el servicio de Oracle Database (Oracle Exadata Database Service on Dedicated Infrastructure u Oracle Autonomous Database Serverless) que se ejecuta en Oracle Cloud Infrastructure (OCI), desplegado en centros de datos de Google Cloud. El servicio ofrece funciones y paridad de precios con OCI. Los usuarios adquieren el servicio en Google Cloud Marketplace.
Oracle Database@Google Cloud integra tecnologías de Oracle Exadata Database Service, Oracle Real Application Clusters (Oracle RAC) y Oracle Data Guard en la plataforma de Google Cloud. Oracle Database@Google Cloud ofrece la misma baja latencia que otros servicios nativos de Google y satisface las cargas de trabajo esenciales y las necesidades de desarrollo nativo en la nube. Los usuarios gestionan el servicio en la consola de Google y con las herramientas de automatización de Google. El servicio se despliega en la nube privada virtual (VPC) de Google y se integra con el sistema de gestión de identidad y acceso de Google. Las métricas y los logs de auditoría de OCI y Oracle Database están disponibles de forma nativa en Google. El servicio requiere que los usuarios tengan un arrendamiento de Google y un arrendamiento de OCI.
- Almacén de claves
Oracle Key Vault almacena de forma segura claves de cifrado, carteras de Oracle, Java KeyStores, pares de claves SSH y otros secretos en un cluster escalable y tolerante a fallos que soporta el estándar KMIP de OASIS y se despliega en Oracle Cloud Infrastructure, Google Cloud, Microsoft Azure y Amazon Web Services, así como en entornos locales de hardware dedicado o máquinas virtuales.
Recomendaciones
- ISO de Oracle Key Vault
Para crear la solución adecuada de Oracle Key Vault, asegúrese de utilizar el último medio de instalación de Oracle Key Vault. Consulte más información sobre el enlace Oracle Software Delivery Cloud.
- Creación de imágenes de Oracle Key Vault
Para crear la imagen de Oracle Key Vault a partir de la ISO, hágalo en un sistema local con al menos 1 TB de almacenamiento con al menos 32 GB de RAM. Cree el disco duro virtual con el tamaño Fijo y con el formato VHD.
- Cluster de varios maestros
Despliegue Oracle Key Vault como un cluster de varios nodos para lograr la máxima disponibilidad y fiabilidad con pares de lectura/escritura de nodos de Oracle Key Vault.
El cluster de varios maestros de Oracle Key Vault se crea con un primer nodo y, a continuación, se pueden inducir nodos adicionales para formar finalmente un cluster de varios nodos con hasta 8 pares de lectura/escritura.
El nodo inicial está en modo restringido de solo lectura y no se pueden agregar datos críticos. Oracle recomienda desplegar un segundo nodo para formar un par de lectura/escritura con el primer nodo. Después de lo cual, el cluster se puede ampliar con pares de lectura/escritura para que se puedan agregar datos críticos y no críticos a los nodos de lectura/escritura. Los nodos de solo lectura pueden ayudar con el equilibrio de carga o la continuidad de las operaciones durante las operaciones de mantenimiento.
Consulte la documentación para obtener información sobre cómo un cluster de varios maestros afecta a los puntos finales, tanto en la forma en que se conecta un punto final como con restricciones.
Para despliegues grandes, instale al menos cuatro servidores de Oracle Key Vault. Los puntos finales se deben inscribir haciéndolos únicos y equilibrados en los cuatro servidores para garantizar una alta disponibilidad. Por ejemplo, si un centro de datos tiene 1.000 puntos finales de base de datos para registrar y tiene cuatro servidores de Oracle Key Vault para alojarlos, inscriba 250 puntos finales en cada uno de los cuatro servidores.
Asegúrese de que los relojes del sistema del host de punto final y el servidor de Oracle Key Vault estén sincronizados. Para el servidor de Oracle Key Vault, es necesario configurar el NTP.
- Par de lectura/escritura
Par de nodos que funciona con replicación síncrona bidireccional. El par de lectura/escritura se crea mediante el emparejamiento de un nuevo nodo con un nodo de solo lectura. Los datos se pueden actualizar, incluidos los datos de punto final y cartera, en cualquiera de los nodos mediante la consola de gestión de Oracle Key Vault o el software de cliente de Oracle Key Vault. Las actualizaciones se replican inmediatamente en el otro nodo del par. Las actualizaciones se replican de forma asíncrona en todos los demás nodos.
Un nodo puede ser miembro de, como máximo, un par síncrono bidireccional.
Un cluster de varios maestros requiere al menos un par de lectura/escritura para que esté completamente operativo. Puede tener un máximo de 8 pares de lectura/escritura.
- Nodos de lectura/escritura de Oracle Key Vault
Un nodo de lectura/escritura es un nodo en el que se pueden agregar o actualizar datos críticos mediante el software de punto final o Oracle Key Vault.
Los datos críticos que se agregan o actualizan pueden ser datos como claves, contenido de cartera y certificados.
Los nodos de lectura/escritura de Oracle Key Vault siempre existen en pares. Cada nodo del par de lectura/escritura puede aceptar actualizaciones de datos críticos y no críticos, y estas actualizaciones se replican inmediatamente en el otro miembro del par, el par de lectura/escritura. Un par de lectura/escritura es el miembro específico de un solo par de lectura/escritura en el cluster. Hay replicación síncrona bidireccional entre pares de lectura y escritura. La replicación en todos los nodos que no son un par de lectura/escritura de un nodo determinado es asíncrona.
Un nodo puede ser miembro de, como máximo, un par de lectura/escritura. Un nodo solo puede tener un par de lectura/escritura. Un nodo se convierte en miembro de un par de lectura/escritura y, por lo tanto, en un nodo de lectura/escritura durante el proceso de inducción. Un nodo de lectura/escritura vuelve a ser un nodo de solo lectura cuando se suprime su par de lectura/escritura, momento en el que puede formar un nuevo par de lectura/escritura.
Un nodo de lectura/escritura funciona en modo de lectura/escritura cuando se puede replicar correctamente en su par de lectura/escritura y cuando ambos pares están activos. Un nodo de lectura/escritura se coloca temporalmente en modo restringido de solo lectura cuando no puede replicarse en su par de lectura/escritura o cuando su par de lectura/escritura está desactivado.
- Creación de un cluster de varios maestros
Para crear un cluster de varios maestros, se convierte un único servidor de Oracle Key Vault en el nodo inicial.
Este servidor de Oracle Key Vault introduce los datos del cluster y convierte el servidor en el primer nodo del cluster, que se denomina nodo inicial.
Después de que el servidor de Oracle Key Vault se haya convertido en el nodo inicial del cluster de varios maestros, se pueden agregar al cluster los diferentes tipos de nodos que necesite. El cluster se amplía cuando se inducen servidores de Oracle Key Vault adicionales y se agregan como nodos de lectura/escritura o como nodos de solo lectura simples.
Consideraciones
Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.
- Rendimiento
Para obtener un rendimiento y equilibrio de carga óptimos, agregue más pares de lectura/escritura.
Se pueden agregar varios nodos de solo lectura a un cluster, pero para un rendimiento y equilibrio de carga óptimos, debe tener más pares de lectura/escritura para evitar que se sobrecargue el cluster.
El cluster de varios maestros de Oracle Key Vault necesita al menos un par de lectura/escritura para que esté completamente operativo. Puede tener un máximo de ocho pares de lectura/escritura.
- Disponibilidad
El cluster de varios nodos proporciona alta disponibilidad, recuperación ante desastres, distribución de carga y distribución geográfica a un entorno de Oracle Key Vault. Proporciona un mecanismo para crear pares de lectura/escritura de nodos de Oracle Key Vault para una máxima disponibilidad y fiabilidad.
Después de inicializar el cluster, puede ampliarlo agregando hasta 15 nodos más, ya sea como pares de lectura/escritura o nodos de solo lectura. Un cluster de varios maestros puede contener un mínimo de dos nodos y un máximo de 16 nodos.
Puede agregar nodos de Oracle Key Vault de solo lectura al cluster para proporcionar una disponibilidad aún mayor a los puntos finales que necesitan carteras de Oracle, claves de cifrado, almacenes de claves Java, certificados, archivos de credenciales y otros objetos.
Explorar más
Obtén más información sobre la gestión del cifrado en Oracle Database@Google Cloud con Oracle Key Vault.
Revise estos recursos adicionales:
- Creación de imágenes de Oracle Key Vault en Google Cloud en la Guía del administrador de Oracle Key Vault
- Oracle Database@Azure
- Conceptos de Oracle Key Vault
- Inscripción y actualización de puntos finales para Oracle Key Vault en la Guía del administrador de Oracle Key Vault
- Administración general del sistema Oracle Key Vault en la Guía del administrador de Oracle Key Vault
- Oracle Software Delivery Cloud
- Migración de cifrado de datos transparente basado en archivos a Oracle Key Vault para Oracle Exadata Database Service on Dedicated Infrastructure mediante automatización a través de REST
- Marco bien diseñado para Oracle Cloud Infrastructure