使用 Oracle Exadata Database Service 部署 Oracle Key Vault (Oracle Database@Google Cloud )

Oracle Key Vault 是一个容错、持续可用且高度可扩展的密钥管理系统，专为 Oracle 数据库部署提供密钥管理。在本例中，Oracle Database@Google Cloud 上的 Oracle Exadata Database Service 。Oracle Key Vault 支持客户安全地管理 Google Cloud 中 Oracle Database@Google Cloud 的安全对象，其中包括加密密钥、Oracle 钱包、Java 密钥库 (JKS)、Java 加密扩展密钥库 (JCEKS) 以及具有 SSH 私钥的身份证明文件等。

将 Oracle Key Vault 与 Oracle Exadata Database Service (Oracle Database@Google Cloud ) 结合使用，可为客户提供以下优势：

• 容错
• 高可用性
• 可扩展性
• 安全
• 符合标准

Oracle Key Vault 管理安全对象，包括加密密钥、Oracle 钱包、Java 密钥库 (JKS)、Java 加密扩展密钥库 (JCEKS) 和身份证明文件。身份证明文件可以包括 SSH 私有密钥，用于对远程服务器（内部部署或任何云）进行公钥验证，也可以包含数据库账户密码，以无人参与地执行定期安排的维护脚本。Oracle Key Vault 针对 Oracle Cloud Stack （数据库、中间件、系统）和高级安全透明数据加密 (TDE) 进行了优化。此外，它还符合行业标准 OASIS 密钥管理互操作性协议 (Key Management Interoperability Protocol，KMIP)，以便与基于 KMIP 的客户机兼容。

Oracle Key Vault 可用于端点，端点是计算机系统，例如数据库服务器、应用服务器和其他信息系统。必须注册和注册端点，才能与 Oracle Key Vault 通信。注册的端点可以上载密钥，与其他端点共享密钥，然后下载密钥来访问其数据。密钥用于访问加密数据，凭证用于向其他系统进行验证。对于托管一个或多个 Oracle 数据库的数据库服务器，每个 Oracle 数据库将至少有一个端点。

Oracle Key Vault 通过以 RAC 或活动数据卫士部署的加密数据库、可插入数据库、 OCI GoldenGate 加密线索文件以及全局分布式（分片）数据库、Oracle ZFS Storage Appliance 和 Oracle Zero Data Loss Recovery Appliance 简化日常操作。Oracle Key Vault 支持使用 Oracle Data Pump 和可传输表空间（这是 Oracle Database 的关键功能）移动加密数据。

虽然 Oracle 和 Google 负责保护支持 Oracle Key Vault 的底层基础设施，但客户有责任在其应用中实施所需的安全控制措施和任何配置机制，以满足其安全性和合规性要求。默认情况下，Oracle Key Vault 保留您自己的密钥。

使用须知

要利用此引用体系结构，需要以下各项：

Oracle Database@Google Cloud

• 访问 Google Cloud 订阅和目录
• 访问 OCI 租户
• Google Cloud 与 OCI 之间的主动 Oracle Database@Google Cloud 多云链接
• 在预配之前，请确保有足够的 Oracle Exadata Database Service 限制和 OCI 服务限制
  1. 在 OCI 菜单中，单击监管和管理。
  2. 在 Tenancy Management（租户管理）下，单击 Limits（限制）、Quotas and Usage（限额和使用情况）。
  3. 从服务下拉列表中，选择数据库。
• 规划网络拓扑：
  • 至少需要一个可与对应 OCI 虚拟云网络 (VCN) 配对的 Google Cloud 虚拟专用云 (Virtual Private Cloud，VPC)
  • 任何 Google Cloud 虚拟专用云 (Virtual Private Cloud，VPC) 和 OCI VCN 的 CIDR 块不得重叠

Oracle Key Vault

• 从相应的 ISO 文件访问本地构建的 Oracle Key Vault 映像
• Oracle Key Vault 安装要求
• 需要设置 NTP

体系结构

此架构展示了如何在 Google Cloud 虚拟机 (VM) 上部署 Oracle Key Vault ，作为 Oracle Database@Google Cloud 中 Oracle Exadata Database Service 加密密钥的安全长期外部密钥管理存储。

该架构图描述了 Google Cloud 中推荐的 Oracle Key Vault 多主集群，可为 Oracle Exadata Database Service (Oracle Database@Google Cloud ) 中的 Oracle Database 提供持续可用、高度可扩展和容错的密钥管理。

同一区域中的两个 Oracle Key Vault 节点形成读/写对，从而提供持续的读取可用性。这是因为当两个节点之一处于非运行状态时，其余节点将设置为只读受限模式。当读/写节点再次能够与其读/写对等方通信时，该节点将从只读限制模式恢复为读/写模式。四个节点（如体系结构图中所示）提供连续的读/写可用性。

只要可以建立网络连接，Oracle Key Vault 即可部署在本地、OCI、Google Cloud 、Microsoft Azure 和 Amazon Web Services 中。此外，您还可以扩展 Oracle Key Vault 集群（本地部署到云端或跨云提供商部署），从而充分提高加密密钥的部署灵活性和本地可用性。Oracle Key Vault 提供开箱即用的“持有自己的密钥”功能，无需额外的、昂贵的第三方密钥管理设备。

下图说明了此引用体系结构。

插图 key-vault-database-google-diagram.png 的说明

key-vault-database-google.zip

该体系结构具有以下组件：

• Google Cloud 区域

  Google 和 OCI 区域是本地化的地理区域。对于 Oracle Database@Google Cloud ，Google Cloud 区域连接到 OCI 区域。Google Cloud 中的区域连接到 OCI 中的可用性域。选择 Google Cloud 和 OCI 区域对以尽可能减少距离和延迟。

• Google Cloud 区域

  区域是一个区域中的物理上独立的数据中心，设计为具有容错功能。区域足够近，可以与其他区域建立低延迟连接。

• Google Cloud 虚拟私有云

  Google Cloud 虚拟私有云 (Virtual Private Cloud，VPC) 是 Google Cloud 中专用网络的基本构建块。VPC 支持多种类型的 Google Cloud 资源（例如 Google 虚拟机 (Virtual Machine，VM)）安全地相互通信，包括互联网和内部部署网络。

• 专用基础结构上的 Exadata 数据库服务

  Oracle Exadata Database Service 在公有云中专门构建、优化的 Oracle Exadata 基础设施上提供经过验证的 Oracle Database 功能。内置的云自动化、弹性资源扩展、安全性和快速性能，适用于 OLTP、内存中分析和融合 Oracle Database 工作负载，可帮助简化管理和降低成本。

  Exadata Cloud Infrastructure X9M 为公有云带来了更多的 CPU 核心、更高的存储和更快的网络结构。Exadata X9M 存储服务器包括 Exadata RDMA 内存 (XRMEM)，可创建额外的存储层，从而提高整体系统性能。Exadata X9M 将 XRMEM 与创新的 RDMA 算法相结合，可以绕过网络和 I/O 堆栈，从而消除昂贵的 CPU 中断和上下文切换。

  Exadata Cloud Infrastructure X9M 提高了 100 Gbps 主动 - 主动基于融合以太网 (RoCE) 的远程直接内存访问内部网络结构的吞吐量，使互连速度比前几代更快，所有计算和存储服务器之间的延迟都极低。

• Oracle Database@Google Cloud

  Oracle Database@Google Cloud 是部署在 Google Cloud 数据中心的 Oracle Database （Oracle Exadata Database Service on Dedicated Infrastructure 或 Oracle Autonomous Database Serverless ）上运行的 Oracle Cloud Infrastructure (OCI) 服务。该服务提供与 OCI 相同的功能和价格。用户可以在 Google Cloud 市场购买该服务。

  Oracle Database@Google Cloud 将 Oracle Exadata Database Service 、Oracle Real Application Clusters (Oracle RAC) 和 Oracle Data Guard 技术集成到 Google Cloud 平台中。Oracle Database@Google Cloud 提供与其他 Google 原生服务相同的低延迟，可满足关键任务工作负载和云原生开发需求。用户可以使用 Google 控制台和 Google 自动化工具来管理服务。该服务部署在 Google 虚拟私有云 (Virtual Private Cloud，VPC) 中，并与 Google 身份和访问管理系统集成。OCI 和 Oracle Database 指标和审计日志在 Google 中原生可用。该服务要求用户具有 Google 租户和 OCI 租户。

• 密钥 Vault

  Oracle Key Vault 可安全地将加密密钥、Oracle Wallets、Java KeyStores、SSH 密钥对和其他密钥存储在可扩展的容错集群中，该集群支持 OASIS KMIP 标准并在 Oracle Cloud Infrastructure 、Google Cloud 、Microsoft Azure 和 Amazon Web Services 以及本地部署的专用硬件或虚拟机中。

推荐

使用以下建议作为起点。 您的要求可能与此处描述的体系结构不同。

• Oracle Key Vault ISO

  要构建合适的 Oracle Key Vault 解决方案，请确保使用最新的 Oracle Key Vault 安装介质。有关 Oracle Software Delivery Cloud 链接，请参见“了解更多”。

• Oracle Key Vault 映像构建

  要从 ISO 构建 Oracle Key Vault 映像，请在至少具有 1 TB 存储且至少具有 32 GB RAM 的本地系统上执行此操作。以 Fixed 大小和 VHD 格式创建虚拟硬盘。

• 多主集群

  将 Oracle Key Vault 部署为多节点集群，通过 Oracle Key Vault 节点的读/写对实现高可用性和可靠性。

  使用第一个节点创建 Oracle Key Vault 多主集群，随后可以引入其他节点以最终形成多节点集群，最多可包含 8 个读/写对。

  初始节点处于只读受限模式，无法向其添加关键数据。Oracle 建议部署第二个节点以与第一个节点形成读/写对。之后，可以使用读/写对扩展群集，以便可以将关键数据和非关键数据添加到读/写节点。只读节点有助于在维护操作期间实现负载平衡或运行连续性。

  请参阅文档以了解多主集群如何影响端点，包括端点连接方式和限制。

  对于大型部署，请至少安装四台 Oracle Key Vault 服务器。端点应通过在四个服务器之间保持独特和平衡来注册，以确保高可用性。例如，如果数据中心有 1,000 个要注册的数据库端点，并且您有四台 Oracle Key Vault 服务器来容纳它们，则在四个服务器中每个服务器注册 250 个端点。

  确保端点主机和 Oracle Key Vault 服务器的系统时钟同步。对于 Oracle Key Vault 服务器，需要设置 NTP。

• 读/写对

  使用双向同步复制操作的一对节点。通过将新节点与只读节点配对来创建读/写对。可以使用 Oracle Key Vault 管理控制台或 Oracle Key Vault 客户端软件在任一节点中更新数据，包括端点和 wallet 数据。更新将立即复制到对中的其他节点。更新将异步复制到所有其他节点。

  节点最多可以是一个双向同步对的成员。

  多主群集需要至少一个读/写对才能完全正常运行。它最多可以有 8 个读/写对。

• Oracle Key Vault 读/写节点

  读/写节点是可使用 Oracle Key Vault 或端点软件添加或更新关键数据的节点。

  添加或更新的关键数据可以是密钥、Wallet 内容和证书等数据。

  Oracle Key Vault 读/写节点始终成对存在。读/写对中的每个节点都可以接受对关键和非关键数据的更新，这些更新会立即复制到对的其他成员，即读/写对等点。读/写对等方是群集中一个且仅一个读/写对的特定成员。读/写对等点之间存在双向同步复制。复制到不是给定节点的读/写对等节点的所有节点是异步的。

  一个节点最多可以是一个读/写对的成员。一个节点只能有一个读/写对等方。节点在感应过程中成为读/写对的成员，因此成为读/写节点。删除读/写对等节点时，读/写节点将恢复为只读节点，此时可以形成新的读/写对。

  当读/写节点可以成功复制到读/写对等节点以及两个对等节点均处于活动状态时，读/写节点将以读/写模式运行。当读/写节点无法复制到读/写对等节点或禁用读/写对等节点时，读/写节点将暂时置于只读受限模式。

• 创建多主集群

  通过将单个 Oracle Key Vault 服务器转换为初始节点来创建多主集群。

  此 Oracle Key Vault 服务器将集群数据植入，并将服务器转换为第一个群集节点（称为初始节点）。

  将 Oracle Key Vault 服务器转换为多主集群的初始节点后，可以向集群中添加所需不同类型的节点。当引入其他 Oracle Key Vault 服务器并将其添加为读/写节点或简单只读节点时，将扩展集群。

注意事项

部署此引用体系结构时，请考虑以下几点。

• 性能

  为了获得最佳性能和负载平衡，请添加更多读/写对。

  可以向集群中添加多个只读节点，但为了获得最佳性能和负载平衡，必须有更多的读/写对才能防止集群过载。

  Oracle Key Vault 多主集群要求至少一个读/写对才能完全正常运行。它最多可以有八个读/写对。

• 可用性

  多节点集群可为 Oracle Key Vault 环境提供高可用性、灾难恢复、负载分配和地理分布。它提供了一种机制来创建 Oracle Key Vault 节点的读/写对，从而提高可用性和可靠性。

  初始化群集后，最多可以再添加 15 个节点（读/写对或只读节点），从而扩展群集。多主集群至少可以包含两个节点，最多可以包含 16 个节点。

  您可以向集群中添加只读 Oracle Key Vault 节点，以便为需要 Oracle 钱包、加密密钥、Java 密钥库、证书、身份证明文件和其他对象的端点提供更高的可用性。

浏览更多

详细了解如何使用 Oracle Key Vault 在 Oracle Database@Google Cloud 中管理加密。

查看以下附加资源：

• Oracle Key Vault Administrator's Guide 中的 Creating Oracle Key Vault Image in Google Cloud
• Oracle Database@Azure
• Oracle Key Vault 概念
• Oracle Key Vault Administrator's Guide 中的 Enrolling and Upgrading Endpoints for Oracle Key Vault
• Oracle Key Vault Administrator's Guide 中的 Oracle Key Vault General System Administration
• Oracle Software Delivery Cloud
• 使用 REST 自动化将基于文件的透明数据加密迁移到 Oracle Key Vault （适用于 Oracle Exadata Database Service on Dedicated Infrastructure ）
• 面向 Oracle Cloud Infrastructure 的精心设计框架

确认

• 授权者：Suzanne Holliday, Anwar Belayachi, Peter Wahl, Julien Silverston
• 贡献者：Wei Han, Leo Alvarado

更改日志

此日志列出了重大更改：

2025 年 1 月 16 日

更新了体系结构图并添加了该图的可下载版本。