使用 OCI 負載平衡器啟用 OCI HYOK 與 Thales CipherTrust Manager 以實現高可用性
簡介
在先前的教學課程中,我們探索了將 Thales CipherTrust Manager 與 Oracle Cloud Infrastructure (OCI) 整合,以啟用「保留您自己的金鑰 (HYOK)」功能,無論是否有 OCI API 閘道。雖然叢集化 CipherTrust 管理程式提供復原能力層級,但無法從網路角度確保準確的高可用性。
Thales CipherTrust Manager 不支援虛擬 IP 位址 (VIP 位址),可在節點之間進行無縫容錯移轉。
本教學課程介紹 OCI 負載平衡器,為 Thales CipherTrust Manager 執行處理提供高網路可用性,以解決此限制。透過將叢集化的 CipherTrust 管理程式置於 OCI 負載平衡器後方,即使發生節點故障或資料中心中斷,我們仍可確保 OCI 中外部金鑰管理服務的持續可用性和容錯能力。
本教學課程將引導您瞭解在 OCI 環境中部署此設定的架構、組態和考量。
目標
- 工作 1:複查現有的 OCI 和 Thales CipherTrust Manager HYOK 架構。
- 工作 2:建立 OCI 負載平衡器。
- 工作 3:將 OCI 負載平衡器與現有的 OCI API 閘道型 HYOK 部署整合。
- 工作 4:將 OCI 負載平衡器與沒有 OCI API 閘道的現有 HYOK 部署整合。
- 工作 5:檢閱所有 OCI 和 Thales CipherTrust Manager HYOK 架構,以提高 Thales CipherTrust Manager 的可用性。
工作 1:檢閱現有的 OCI 和 Thales CipherTrust Manager HYOK Architectures
將 OCI 負載平衡器導入架構之前,必須重新瀏覽現有的 OCI 和 Thales CipherTrust Manager HYOK 部署。在先前的導入中,我們涵蓋了兩種主要模式:
本節將簡要概述這兩項設計,並強調其優勢和限制,奠定 OCI Load Balancer 引進的基礎,以縮小可用性差距。
這兩種架構都仰賴叢集化多個 Thales CipherTrust Manager 以提供復原能力,但由於 Thales CipherTrust Manager 中沒有原生 VIP 位址支援,因此缺乏準確的網路層級高可用性。每個部署都有效地處理金鑰管理,但從網路路由和服務輔助功能角度引進潛在的單一失敗點。
在您開始之前,請確定您已備妥下列項目:
-
部署在不同可用性網域或容錯域 (和叢集) 中的兩個或多個 Thales CipherTrust Manager 執行處理。如需詳細資訊,請參閱在 OCI 中設定 2 個 Thales CipherTrust 雲端金鑰管理程式設備、在它們之間建立叢集,以及設定 One as a Certificate Authority 。
-
具備適當子網路的 VCN (專用或公用,視您的架構而定)。這是您將放置 OCI 負載平衡器的位置。
-
憑證 (如果您在 OCI 負載平衡器使用 SSL 終止)。這是我們將在此教學課程中解釋的內容。
工作 2:建立 OCI 負載平衡器
為了在網路層實現 Thales CipherTrust Manager 的高可用性,我們將 OCI Load Balancer 引進架構中。OCI Load Balancer 將會是單一且具彈性的存取點,透過智慧方式將內送要求分散至叢集化的 Thales CipherTrust Manager 節點。
此作業將提供可容納多個 Thales CipherTrust Manager 執行處理的 OCI 負載平衡器。無論您是否使用 OCI API 閘道,您都可以設定後端集、狀況檢查、SSL 終止 (如果適用) 以及針對 HYOK 部署量身打造的監聽器規則。
此 OCI Load Balancer 設定可確保即使其中一個 Thales CipherTrust Manager 節點無法使用,仍能確保金鑰管理服務持續連線,大幅提升您與 OCI 外部金鑰管理整合的可靠性和容錯能力。
-
登入 OCI 主控台,瀏覽至網路,然後按一下載入平衡器。
-
按一下建立負載平衡器。
-
請輸入下列資訊。
- 名稱:輸入描述性名稱 (例如,
Load_Balancer_for_CCKM)。 - 類型:根據您的使用案例選取 private 或 public 。
- VCN 和子網路:選取 OCI 負載平衡器將部署在正確區間中的 VCN 和子網路。
- 按下一步。
- 原則:選取加權循環。
- 將選取後端伺服器留白,稍後將會設定這些伺服器。
- 狀況檢查原則:目前選取連接埠為
80的 HTTP,我們將於稍後變更。
- 後端集名稱:輸入描述性名稱 (例如,
CTM_Appliances)。 - 按下一步。
- 監聽器名稱:輸入描述性名稱 (例如,
LISTENER)。 - 監聽器流量類型與連接埠: TCP 與連接埠
80將於稍後變更。 - 按下一步。
- 將所有記錄日誌設定值保留為預設值。
- 按下一步。
- 名稱:輸入描述性名稱 (例如,
-
複查提供的資訊,然後按一下送出。
-
請注意,將會建立 OCI 負載平衡器。幾分鐘後,它會顯示作用中。
-
按一下監聽器 (Listeners) ,即可複查需要編輯的監聽器。
-
按一下後端集即可複查需要編輯的後端集。另請注意,狀況會顯示為未完成。這是因為我們仍然需要將 Thales CipherTrust Manager 後端伺服器新增至該組。
-
我們需要先新增憑證,再使用 SSL 設定監聽器和後端集。若要新增,請導覽至憑證和加密,然後按一下新增憑證。
-
請確定已為 OCI 負載平衡器建立有效的已簽署憑證和私密金鑰。
若要建立憑證簽署要求 (CSR),並使用 Thales CipherTrust Manager 與其本機 CA 簽署憑證,請參閱 Create a CSR for the Thales CCKM Appliances and Sign by the CA 。
-
此外,請確定您有根 CA (搭售品已就緒)。
-
在新增憑證中,輸入下列資訊。
- 憑證名稱:輸入描述性名稱 (例如,
LB-CTM-CERT)。 - 選取貼上 SSL 證書。
- SSL 憑證:貼上已簽署的 SSL 憑證。
- 選取指定 CA 證書。
- 選取貼上 CA 證明。
- CA 憑證:貼上 CA (組合) 憑證。
- 選取指定私密鍵。
- 選取貼上私人金鑰。
- 私密金鑰:貼上私人金鑰。
- 按一下新增憑證。
- 憑證名稱:輸入描述性名稱 (例如,
-
請注意,系統會接受送出的工作要求,然後按一下檢視所有工作要求。
-
請注意,要求已成功。
-
瀏覽至憑證和加密方法,並請注意已新增此憑證。
-
導覽至後端集,按一下三個點以開啟所建立後端集的功能表,然後按一下編輯。
-
在編輯後端集中,輸入下列資訊。
- 選取使用 SSL 以啟用 SSL。
- 憑證資源:選取負載平衡器管理的憑證。
- 選取憑證名稱。
- 按一下儲存變更。
-
按一下關閉。
-
瀏覽至監聽器,按一下這三個點以開啟所建立後端集的功能表,然後按一下編輯。
-
在編輯監聽器中,輸入下列資訊:
- 協定:選取 TCP 。
- 連接埠:選取 443 。
- 選取使用 SSL 。
- 憑證資源:選取負載平衡器管理的憑證。
- 選取憑證名稱。
- 按一下儲存變更。
-
按一下關閉。
-
請注意,監聽器現在正在監聽 TCP 連接埠
443。
-
瀏覽至後端集,並注意狀況仍未完成。這是因為我們尚未將任何伺服器新增為此集合的後端。
-
按一下三個點即可開啟所建立後端集的功能表,然後按一下更新狀況檢查。
-
在更新健全度檢查中,輸入下列資訊。
- 協定:選取 TCP 。
- 連接埠:選取 443 。
- 按一下儲存變更。
-
按一下關閉。
-
按一下先前建立的後端集。
-
按一下後端,然後按一下新增後端。
-
在新增後端中,輸入下列資訊。
- 後端類型:選取 IP 位址。
- 新增下列後端 (CTM 的 IP 位址):
- CTM 1 (毫秒)
- IP 位址:輸入
10.111.10.32。 - 連接埠:選取 443 。
- 加權:選取 1 。
- IP 位址:輸入
- CTM 2 (阿什)
- IP 位址:輸入
10.222.10.111。 - 連接埠:選取 443 。
- 加權:選取 2 。
- IP 位址:輸入
- CTM 1 (毫秒)
- 按一下新增。
-
請注意,狀況會顯示為嚴重。對 Thales CipherTrust Manager 伺服器執行狀況檢查可能需要一分鐘的時間。
-
請注意,狀況現在會變更為確定。現在,回到後端集總覽。
-
請注意,後端集的整體狀況也是確定。現在,回到 OCI 負載平衡器總覽。
-
請注意,OCI 負載平衡器為作用中狀態、整體狀況為確定,負載平衡器則為 IP 位址。
請務必建立負載平衡器的 DNS 記錄。我們已在 OCI VCN 中的專用 DNS 監聽器中建立 A 記錄。
工作 3:將 OCI 負載平衡器整合至現有的 OCI API 閘道型 HYOK 部署
在這項任務中,我們將將 OCI Load Balancer 整合至現有的 OCI API Gateway 型 HYOK 部署,確保順暢且高可用性的架構。
在此架構中,我們結合 OCI API Gateway 和 OCI Load Balancer 的優勢,透過 Thales CipherTrust Manager 提升 OCI HYOK 整合的可靠性和安全性。
OCI API Gateway 持續作為安全的公開進入點、強制驗證、授權和路由原則。OCI 負載平衡器會在多個 CipherTrust Manager 節點之間分配要求,確保網路層的高可用性和容錯能力。
此分層設計透過 OCI API Gateway 維護安全的存取模型。它透過 OCI 負載平衡器導入彈性後端,以解決 Thales CipherTrust Manager 中缺少原生 VIP 位址的支援。
-
瀏覽至下列教學課程中建立的 OCI API 閘道:使用具備 OCI API 閘道的 Thales CipherTrust Manager 設定 OCI 保留您自己的金鑰。
-
導覽至部署,然後按一下部署。
-
按一下編輯。
-
按一下路由。
-
請注意, URL 指向
ctm1.oci-thales.labFQDN,即 AMS CTM。
-
將 URL 變更為現在指向
lb-ctm.oci-thales.labFQDN,這是我們剛建立的 OCI 負載平衡器,然後按下一步,然後務必儲存變更。
下圖顯示 OCI API 閘道和 OCI 負載平衡器已整合至架構的端對端流量。
工作 4:將 OCI 負載平衡器整合至現有負載平衡器,但不整合 OCI API 閘道型 HYOK 部署
在這項任務中,您將瞭解如何在 OCI HYOK 部署中設定並使用 OCI Load Balancer 作為 Thales CipherTrust Manager 的唯一存取點,實現清晰、高效能和高可用性架構。
在此架構中,我們移除 OCI API 閘道,並將 OCI 負載平衡器直接放置在 Thales CipherTrust Manager 叢集之前,藉此簡化部署。此方法適用於不需要公用存取的專用整合,目標是確保在安全的內部網路中提供高可用性。
透過 OCI Load Balancer 路由要求,我們可以在多個 Thales CipherTrust Manager 節點上分配流量,同時維持階段作業抗逆力和容錯移轉功能,即使發生節點或可用性網域故障也一樣。此設定處理 Thales CipherTrust Manager 缺乏原生 VIP 位址支援的關鍵限制,而 OCI API Gateway 原則與認證流程則不具複雜性。
請依照下列教學課程中所列的作業進行:使用不含 OCI API 閘道的 Thales CipherTrust Manager 設定 OCI 保留您自己的金鑰。但現在,所有 (AMS) CTM1 IP 位址都已變更為負載平衡器 IP 位址。
- OCI Integration 應用程式資源應用程式。
- CTM1 外部保存庫端點 URL 主機名稱。當 CTM 在叢集中時,此變更也會同步至 (ASH) CTM2。
- OCI 專用端點 (OCI 外部金鑰管理服務將會使用該端點)。
這是 OCI 與 Thales CipherTrust Manager 整合 (HYOK) 的詳細整合流程,路徑中只有 OCI Load Balancer。
下圖顯示只將 OCI 負載平衡器整合至架構的端對端流量。
工作 5:檢閱所有 OCI 和 Thales CipherTrust Manager HYOK 架構,以高可用性 Thales CipherTrust Manager
在 OCI 中部署 Thales CipherTrust Manager for Hold Your Own Key (HYOK) 時,並沒有一體適用的方法。您可以根據網路拓樸、安全需求及可用的基礎架構 (無論是雲端式或內部部署),使用多種架構選項來實現彈性、高可用性的部署。
本節提供整合 Thales CipherTrust Manager 與 OCI HYOK 之所有支援架構模式的合併概要,重點在於高可用性。其中包括下列項目的組合:
- 單一或雙重資料中心部署。
- 使用 OCI API 閘道。
- 使用 OCI 負載平衡器。
- 使用內部部署或資料中心代管的負載平衡器,不論是否有高可用性。
每個架構都具有複雜性、容錯移轉功能和控制的優點和權衡。無論您是在執行完全雲端原生設定、在混合環境營運,還是利用資料中心的舊有負載平衡器,都有適合的模型。
涵蓋的架構包括:
| 架構 # | 描述 |
|---|---|
| 1 | 單一資料中心的 CTM – 沒有 OCI API 閘道或 OCI 負載平衡器的基本設定 |
| 2 | 使用 OCI API Gateway 在單一資料中心的 CTM – 外部存取,無 HA |
| 3 | 兩個資料中心的 CTM 搭配 OCI API 閘道和 OCI 負載平衡器 – 完整 HA 解決方案 |
| 4 | 兩個資料中心內具有 OCI API 閘道和內部部署負載平衡器 (無 HA) 的 CTM – 部分韌性 |
| 5 | 兩個資料中心內具有 OCI API Gateway 和內部部署負載平衡器 (HA) 的 CTM – HA 由外部管理 |
| 6 | 使用 OCI API Gateway 和內部部署負載平衡器 (無 HA) 在單一資料中心的 CTM – 容錯移轉有限 |
| 7 | 兩個資料中心內只有 OCI Load Balancer 的 CTM – 內部存取、不含 OCI API Gateway 的完整網路層級 HA |
此概要可協助您比較並選取最符合技術和營運需求的架構。
-
架構 1:下列圖解顯示沒有 OCI API 閘道的端對端流量,且未將負載平衡整合至架構。
-
架構 2:下列圖解顯示只有 OCI API 閘道的端對端流量,且未將負載平衡整合至架構。
-
架構 3:下圖顯示 OCI API 閘道和 OCI 負載平衡器整合至架構的端對端流量。
-
架構 4、5 及 6:下圖顯示 OCI API Gateway 的端對端流量,以及整合至架構的內部部署負載平衡器。
-
架構 7:下圖顯示只有 OCI 負載平衡器整合至架構的端對端流量。
結論
確保 Oracle Cloud Infrastructure (OCI) HYOK 部署中 Thales CipherTrust Manager 的高可用性,對於維護安全、不中斷存取客戶管理的加密金鑰至關重要。叢集化 CipherTrust 管理程式提供復原能力時,不足以符合網路層次的高可用性需求。
本教學課程示範 OCI 負載平衡器如何結合 OCI API 閘道或作為內部存取的獨立解決方案來關閉該差距。我們還審視了多個實際架構模式,包括利用內部部署負載平衡器的混合模型,協助您選擇符合基礎架構策略和可用性目標的設計。
透過仔細整合 OCI 的網路服務與 Thales CipherTrust Manager,企業可以建立彈性且安全的外部金鑰管理解決方案,以支援企業級合規性和營運連續性。
確認
- 作者 - Iwan Hoogendoorn (雲端網路黑帶)
其他學習資源
在 docs.oracle.com/learn 上探索其他實驗室,或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外,請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。
如需產品文件,請造訪 Oracle Help Center 。
Enable OCI HYOK with Thales CipherTrust Manager Using OCI Load Balancer for High Availability
G40058-01
Copyright ©2025, Oracle and/or its affiliates.