使用 Oracle Exadata Database Service 部署 Oracle Key Vault (Oracle Database@Azure)

使用 Oracle Exadata Database Service (Oracle Database@Azure ) 部署 Oracle Key Vault

Oracle Database@Azure 为客户提供了用于管理加密密钥、Oracle 钱包、Java 密钥库 (JKS)、Java 加密扩展密钥库 (JCEKS) 和凭证文件的新选项，这些文件包括 SSH 私钥，而不管它们在哪个云中运行。

Oracle Key Vault 是一个容错、持续可用且高度可扩展的密钥管理系统，旨在为高度整合的 Oracle 数据库部署（例如 Oracle Database@Azure 上的 Oracle Exadata Database Service ）提供密钥管理。

虽然 Oracle 和 Azure 负责保护支持 Oracle Database@Azure 的底层基础设施，但客户负责在其应用中实施所需的安全控制以及满足其安全性和合规性要求的任何配置机制。将 Oracle Key Vault 与 Oracle Exadata Database Service (Oracle Database@Azure ) 结合使用，可为客户提供以下优势：

容错
高可用性
可扩展性
安全
符合标准

您可以使用 Oracle Key Vault 管理的安全对象包括加密密钥、Oracle 钱包、Java 密钥库 (JKS)、Java 加密扩展密钥库 (JCEKS) 和身份证明文件。身份证明文件可以包括 SSH 私有密钥，用于对远程服务器（内部部署或任何云）进行公钥验证，也可以包含数据库账户密码，以无人参与地执行定期安排的维护脚本。Oracle Key Vault 针对 Oracle Cloud Stack （数据库、中间件、系统）和高级安全透明数据加密 (TDE) 进行了优化。此外，它还符合行业标准 OASIS 密钥管理互操作性协议 (Key Management Interoperability Protocol，KMIP)，以便与基于 KMIP 的客户机兼容。Oracle Key Vault 可用于端点，端点是计算机系统，例如数据库服务器、应用服务器和其他信息系统。必须注册和注册端点，才能与 Oracle Key Vault 通信。注册的端点可以上载密钥，与其他端点共享密钥，然后下载密钥来访问其数据。密钥用于访问加密数据，凭证用于向其他系统进行验证。对于托管一个或多个 Oracle 数据库的数据库服务器，每个 Oracle 数据库将至少有一个端点。Oracle Key Vault 通过部署为 RAC 的加密数据库、部署为 Active Data Guard 的可插入数据库、 OCI GoldenGate 以及全局分布式（分片）数据库，简化日常操作。Oracle Key Vault 支持使用 Oracle Data Pump 和可传输表空间（这是 Oracle Database 的关键功能）移动加密数据。

使用须知

要利用此引用体系结构，需要以下各项：

Oracle Database@Azure

访问 Azure 订阅和目录
访问 OCI 租户
Azure 云与 OCI 云之间的主动 Oracle Database@Azure 多云链接
在预配之前，请确保有足够的 Oracle Exadata Database Service 限制和 OCI 服务限制
1. 在 OCI 菜单中，单击监管和管理。
2. 在 Tenancy Management（租户管理）下，单击 Limits（限制）、Quotas and Usage（限额和使用情况）。
3. 从服务下拉列表中，选择数据库。
规划网络拓扑：
- 至少需要一个可与对应 OCI 虚拟云网络 (VCN) 配对的 Azure 虚拟网络 (VNet)
- 任何 Azure VNet 和 OCI VCN 的 CIDR 块不得重叠

Oracle Key Vault

从相应的 ISO 文件访问内部部署的 Oracle Key Vault 映像
Oracle Key Vault 安装要求
需要设置 NTP

体系结构

此架构展示了如何在 Microsoft Azure 虚拟机 (VM) 上部署 Oracle Key Vault ，作为 Oracle Database@Azure 中 Oracle Exadata Database Service 加密密钥的安全长期外部密钥管理存储。

该架构图描述了 Azure 中推荐的 Oracle Key Vault 多主集群，用于为 Oracle Exadata Database Service (Oracle Database@Azure ) 中的 Oracle Database 提供持续可用、可扩展且容错的密钥管理。

下图说明了此参考体系结构。

下面介绍了 key-vault-database-azure-diagram.png

插图 key-vault-database-azure-diagram.png 的说明

key-vault-database-azure-diagram-oracle.zip

Oracle Key Vault for Oracle Database@Azure 可部署在本地、Azure 或任何其他云中，只要可以建立网络连接即可。此外，您还可以扩展 Oracle Key Vault 集群（本地部署到云端或跨云提供商部署），从而充分提高加密密钥的部署灵活性和本地可用性。Oracle Key Vault 提供开箱即用的“持有自己的密钥”功能，无需额外的、昂贵的第三方密钥管理设备。

该体系结构具有以下组成部分：

Azure 区域
Oracle Cloud Infrastructure 区域是一个本地化的地理区域，其中包含一个或多个称为可用性域的数据中心。区域独立于其他区域，远距离可以区分它们（跨国家甚至大陆）。

Azure 区域是一个地理区域，其中包含一个或多个物理 Azure 数据中心（称为可用性区域）。区域独立于其他区域，远距离可以区分它们（跨国家甚至大陆）。

Azure 和 OCI 区域是本地化的地理区域。对于 Oracle Database@Azure ，Azure 区域连接到 OCI 区域，Azure 中的可用性区域 (AZ) 连接到 OCI 中的可用性域 (Availability Domain，AD)。选择 Azure 和 OCI 区域对以最大程度地减少距离和延迟。
Azure 可用性区域
可用性区域是区域中物理上独立的数据中心，其设计为可用且具有容错能力。可用性区域足够接近，以实现与其他可用性区域的低延迟连接。
Microsoft Azure 虚拟网络
Microsoft Azure 虚拟网络 (VNet) 是 Azure 中专用网络的基本构建块。VNet 支持多种类型的 Azure 资源，例如 Azure 虚拟机 (Virtual Machine，VM)，以安全地相互通信、互联网和内部部署网络。
Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service 在公有云中经过优化的专用 Oracle Exadata 基础设施上提供经过验证的 Oracle Database 功能。针对 OLTP、内存中分析和融合 Oracle Database 工作负载的内置云自动化、弹性资源扩展、安全性和快速性能可帮助您简化管理并降低成本。

Exadata Cloud Infrastructure X9M 为公有云带来了更多 CPU 核心、更高的存储空间和更快的网络结构。Exadata X9M 存储服务器包括 Exadata RDMA 内存 (XRMEM)，可创建额外的存储层，从而提高整体系统性能。Exadata X9M 将 XRMEM 与创新的 RDMA 算法相结合，绕过网络和 I/O 堆栈，消除了昂贵的 CPU 中断和上下文切换。

Exadata 云基础设施 X9M 提高了 100 Gbps 主动 - 主动基于融合以太网的远程直接内存访问 (RoCE) 内部网络结构的吞吐量，实现了比前几代更快的互连，在所有计算服务器和存储服务器之间具有极低的延迟。
Oracle Database@Azure
Oracle Database@Azure 是在部署在 Microsoft Azure 数据中心的 Oracle Cloud Infrastructure (OCI) 上运行的 Oracle Database 服务（Oracle Exadata Database Service on Dedicated Infrastructure 或 Oracle Autonomous Database Serverless ）。该服务提供与 OCI 相同的功能和价格。用户在 Azure Marketplace 上购买服务。

Oracle Database@Azure 将 Oracle Exadata Database Service 、Oracle Real Application Clusters (Oracle RAC) 和 Oracle Data Guard 技术集成到 Azure 平台中。Oracle Database@Azure 服务提供与其他 Azure 原生服务相同的低延迟，可满足关键任务工作负载和云原生开发需求。用户通过 Azure 控制台和 Azure 自动化工具管理服务。该服务部署在 Azure 虚拟网络 (VNet) 中，并与 Azure 身份和访问管理系统集成。OCI 和 Oracle Database 指标和审计日志在 Azure 中原生提供。该服务要求用户具有 Azure 租户和 OCI 租户。
透明数据加密 (TDE)
透明数据加密 (Transparent Data Encryption，TDE) 可透明地加密 Oracle Database 中的静态数据。它会阻止操作系统未经授权的访问存储在文件中的数据库数据的尝试，而不会影响应用程序使用 SQL 访问数据的方式。TDE 与 Oracle Database 完全集成，可以加密整个数据库备份 (RMAN)、数据泵导出、整个应用程序表空间或特定敏感列。加密的数据在数据库中保持加密状态，无论是在表空间存储文件、临时表空间、还原表空间中，还是在重做日志等其他文件中。
Key Vault
Oracle Key Vault 可安全地将加密密钥、Oracle Wallets、Java KeyStores、SSH 密钥对和其他密钥存储在可扩展的容错集群中，该集群支持 OASIS KMIP 标准并在 Oracle Cloud Infrastructure 、Microsoft Azure 和 Amazon Web Services 以及本地部署在专用硬件或虚拟机上。

注意事项

部署此引用体系结构时，请考虑以下几点。

性能
要实现最佳性能和负载平衡，请添加更多读写对。

可以向集群中添加多个只读节点，但为了获得最佳性能和负载平衡，必须具有更多读写对才能防止集群过载。

Oracle Key Vault 多主集群要求至少一个读写对才能完全正常运行。它最多可以有八个读写对。
可用性
多节点集群可为 Oracle Key Vault 环境提供高可用性、灾难恢复、负载分配和地理分布。它提供了一种机制来创建 Oracle Key Vault 节点的读写对，从而提高可用性和可靠性。

初始化群集后，最多可以再添加 15 个节点（读写对或只读节点），从而扩展群集。多主集群至少可以包含两个节点，最多可以包含 16 个节点。

您可以向集群中添加只读 Oracle Key Vault 节点，以便为需要 Oracle 钱包、加密密钥、Java 密钥库、证书、身份证明文件和其他对象的端点提供更高的可用性。

浏览更多

详细了解如何使用 Oracle Key Vault 在 Oracle Database@Azure 中管理加密。

查看以下附加资源：

Oracle Key Vault Administrator's Guide 中的 Creating Oracle Key Vault Image in Microsoft Azure
Oracle Cloud Infrastructure 优秀实践框架
Oracle Database@Azure
Oracle Key Vault 概念
Oracle Key Vault Administrator's Guide 中的 Enrolling and Upgrading Endpoints for Oracle Key Vault
Oracle Key Vault Administrator's Guide 中的 Oracle Key Vault General System Administration
Oracle Software Delivery Cloud
了解适用于 Oracle Database@Azure 的 Oracle Maximum Availability Architecture
通过 Oracle Zero Downtime Migration 迁移到 Oracle Database@Azure
使用通过 REST 的自动化将基于文件的 TDE 迁移到 OKV for ExaDB-D

确认

授权者：Anwar Belayachi, Peter Wahl, Suzanne Holliday
贡献者：Leo Alvarado, Wei Han, John Sulyok