使用 Oracle Exadata Database Service (Oracle Database@Azure) 部署 Oracle Key Vault

使用 Oracle Exadata Database Service 部署 Oracle Key Vault (Oracle Database@Azure)

Oracle Database@Azure 為客戶提供管理加密金鑰、Oracle 公事包、Java 金鑰存放區 (JKS)、Java Cryptography Extension Keystores (JCEKS) 以及證明資料檔案 (包括 SSH 私密金鑰) 的新選項，無論客戶在哪個雲端運作。

Oracle Key Vault 是一個容錯、持續可用且可高度擴展的金鑰管理系統，它是專門為高度合併的 Oracle 資料庫部署提供金鑰管理，例如 Oracle Database@Azure 上的 Oracle Exadata Database Service 。

雖然 Oracle 和 Azure 負責保護支援 Oracle Database@Azure 的基礎基礎架構，但客戶須負責在其應用程式和任何組態機制中導入必要的安全控制，以滿足其安全和合規要求。使用 Oracle Key Vault 搭配 Oracle Exadata Database Service (Oracle Database@Azure) 可為客戶提供下列優點：

容錯
高可用性
擴展性
安全
標準相容性

您可以使用 Oracle Key Vault 管理的安全物件包括加密金鑰、Oracle 公事包、Java 金鑰存放區 (JKS)、Java Cryptography Extension Keystores (JCEKS) 以及證明資料檔案。證明資料檔案可以包括 SSH 私密金鑰、用於遠端伺服器 (內部部署或任何雲端) 的公開金鑰認證，或用於自動執行定期排定之維護命令檔的資料庫帳戶密碼。Oracle Key Vault 已針對 Oracle Cloud Stack (資料庫、中介軟體、系統) 和進階安全通透資料加密 (TDE) 進行最佳化。此外，它符合業界標準的 OASIS 金鑰管理互通性通訊協定 (KMIP)，以與 KMIP 型用戶端相容。Oracle Key Vault 可與端點搭配使用，端點是電腦系統，例如資料庫伺服器、應用程式伺服器及其他資訊系統。端點必須註冊並註冊，才能與 Oracle Key Vault 通訊。註冊的端點可以上傳金鑰、與其他端點共用金鑰，然後下載這些金鑰以存取其資料。金鑰可用來存取加密的資料，而證明資料則用來向其他系統進行認證。對於代管一或多個 Oracle 資料庫的資料庫伺服器，每個 Oracle 資料庫至少都會有一個端點。Oracle Key Vault 透過以 RAC 或 Active Data Guard 、可插式資料庫 OCI GoldenGate 以及全球分散式 (分區) 資料庫來部署加密的資料庫，簡化日常作業。Oracle Key Vault 可使用 Oracle Data Pump 和可傳輸的表格空間 (Oracle Database 的主要功能) 協助移動加密的資料。

Before You Begin - 開始之前

若要利用此參考架構，需要下列項目：

Oracle Database@Azure，基礎架構即服務

存取 Azure 訂閱和目錄
存取 OCI 租用戶
Azure 和 OCI 雲端之間的作用中 Oracle Database@Azure 多雲端連結
在佈建之前，請確保有足夠的 Oracle Exadata Database Service 限制和 OCI 服務限制
1. 在 OCI 功能表中，按一下治理與管理。
2. 在租用戶管理底下，按一下限制、配額和用量。
3. 從服務下拉式清單中，選取資料庫。
規劃您的網路拓樸：
- 至少需要一個可與對應 OCI 虛擬雲端網路 (VCN) 配對的 Azure 虛擬網路 (VNet)
- 任何 Azure VNet 和 OCI VCN 的 CIDR 區塊不得重疊

Oracle Key Vault

從對應的 ISO 檔案存取建置於企業內部的 Oracle Key Vault 映像檔
Oracle Key Vault 安裝需求
需要設定 NTP

架構

此架構顯示如何在 Microsoft Azure 虛擬機器 (VM) 上部署 Oracle Key Vault ，作為 Oracle Database@Azure 中 Oracle Exadata Database Service 加密金鑰的安全長期外部金鑰管理儲存。

此架構圖說明 Azure 中建議的 Oracle Key Vault 多主叢集，為 Oracle Exadata Database Service 中的 Oracle Database (Oracle Database@Azure) 提供持續可用、極度可擴充且容錯的金鑰管理。

下圖說明此參照架構。

key-vault-database-azure-diagram.png 的描述如下

key-vault-database-azure-diagram.png 圖解描述

key-vault-database-azure-diagram-oracle.zip

只要可以建立網路連線，即可在內部部署、Azure 或任何其他雲端部署 Oracle Database@Azure 的 Oracle Key Vault 。也可以建立延伸的 Oracle Key Vault 叢集 (內部部署到雲端或跨雲端提供者)，讓您享有最高的部署彈性和加密金鑰的本機可用性。Oracle Key Vault 提供立即可用的「保留您自己的金鑰」功能，無須額外付費的第三方金鑰管理設備。

此架構具有下列元件：

Azure 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關，且遠距離可加以區分 (跨國家，甚至是大陸)。

Azure 區域是一個地理區域，其中一或多個實體 Azure 資料中心 (稱為可用性區域) 位於其中。區域與其他區域無關，且遠距離可加以區分 (跨國家，甚至是大陸)。

Azure 和 OCI 區域是本地化的地理區域。對於 Oracle Database@Azure ，Azure 區域已連線至 OCI 區域，其中 Azure 中的可用性區域 (AZ) 已連線至 OCI 中的可用性網域 (AD)。選取 Azure 和 OCI 區域組，將距離和延遲降到最低。
Azure 可用性區域
可用性區域是區域內實體獨立的資料中心，旨在提供並容錯。可用性區域接近時已足以與其他可用性區域建立低延遲連線。
Microsoft Azure 虛擬網路
Microsoft Azure Virtual Network (VNet) 是您 Azure 中專用網路的基礎建置區塊。VNet 可讓許多類型的 Azure 資源 (例如 Azure 虛擬機器 (VM) 安全地相互通訊、網際網路和內部部署網路。
Exadata Database Service on Dedicated Infrastructure
Oracle Exadata Database Service 在公有雲中針對特定用途建立且最佳化的 Oracle Exadata 基礎架構，提供備受肯定的 Oracle Database 功能。內建雲端自動化、彈性資源擴展、安全性和快速效能，適用於 OLTP、記憶體內分析和融合 Oracle Database 工作負載，有助於簡化管理並降低成本。

Exadata Cloud Infrastructure X9M 為公有雲提供更多 CPU 核心、更高的儲存以及更快的網路結構。Exadata X9M 儲存伺服器包括 Exadata RDMA 記憶體 (XRMEM)，可建立額外的儲存層，提升整體系統效能。Exadata X9M 結合了 XRMEM 與可略過網路和 I/O 堆疊的創新 RDMA 演算法，可避免昂貴的 CPU 中斷和相關資訊環境交換器。

Exadata Cloud Infrastructure X9M 透過融合式乙太網路 (RoCE) 內部網路結構提高了 100 Gbps 主動 - 主動式遠端直接記憶體存取傳輸量，讓所有運算伺服器和儲存伺服器之間享有極低延遲的互連速度。
Oracle Database@Azure
Oracle Database@Azure 是在 Oracle Cloud Infrastructure (OCI) 上執行的 Oracle Database 服務 (Oracle Exadata Database Service on Dedicated Infrastructure 或 Oracle Autonomous Database Serverless)，部署在 Microsoft Azure 資料中心。此服務提供 OCI 的功能和價格同等性。使用者在 Azure Marketplace 購買該服務。

Oracle Database@Azure 將 Oracle Exadata Database Service 、Oracle Real Application Clusters (Oracle RAC) 和 Oracle Data Guard 技術整合至 Azure 平台。Oracle Database@Azure 服務提供與其他 Azure 原生服務相同的低延遲，滿足關鍵任務工作負載和雲端原生開發需求。使用者可以在 Azure 主控台和 Azure 自動化工具上管理服務。此服務部署在 Azure Virtual Network (VNet) 中，並與 Azure 識別和存取管理系統整合。Azure 原生提供 OCI 和 Oracle Database 指標和稽核日誌。此服務需要使用者有 Azure 租用戶和 OCI 租用戶。
通透資料加密 (TDE)
Transparent Data Encryption (TDE) 以通透方式加密 Oracle Database 中的靜態資料。它會停止來自作業系統的未經授權嘗試存取儲存在檔案中的資料庫資料，而不會影響應用程式如何使用 SQL 來存取資料。TDE 已與 Oracle Database 完全整合，可以加密整個資料庫備份 (RMAN)、「資料汲取」匯出、整個應用程式表格空間，或特定機密資料欄。加密的資料無論是在表格空間儲存體檔案、暫時表格空間、還原表格空間，或是其他檔案 (例如重做日誌) 中，都會保留在資料庫中的加密狀態。
金鑰保存庫
Oracle Key Vault 可安全地將加密金鑰、Oracle 公事包、Java KeyStores、SSH 金鑰組和其他加密密碼儲存在可擴展的容錯叢集中，這些叢集支援 OASIS KMIP 標準並部署在 Oracle Cloud Infrastructure 、Microsoft Azure 和 Amazon Web Services ，以及位於專用硬體或虛擬機器上的內部部署環境。

建議

使用下列建議作為起點。您的需求可能與此處描述的架構不同。

Oracle Key Vault ISO
若要建立正確的 Oracle Key Vault 解決方案，請務必使用最新的 Oracle Key Vault 安裝媒體。請參閱「深入瞭解 Oracle Software Delivery Cloud 」連結。
建立 Oracle Key Vault 映像檔
若要從 ISO 建置 Oracle Key Vault 映像檔，請在具有至少 1 TB 儲存空間且 RAM 至少為 32 GB 的本機系統上執行。將虛擬硬碟建立為固定大小且格式為 VHD 。
多節點叢集
將 Oracle Key Vault 部署為多節點叢集，以便透過讀寫成對的 Oracle Key Vault 節點達到最高的可用性與可靠性。

Oracle Key Vault 多主叢集是使用第一個節點建立的，後續還可引入其他節點，最終形成最多 8 個讀寫組的多節點叢集。

初始節點處於唯讀限制模式，且無法將重要資料新增至該節點。Oracle 建議部署第二個節點，以形成與第一個節點的讀寫組。在此之後，叢集可以使用讀寫組展開，以便將重要和非重要資料都新增至讀寫節點。唯讀節點有助於在維護作業期間進行負載平衡或作業連續性。

請參閱文件以瞭解多主叢集如何影響端點 (無論端點連線方式或受到限制)。

若為大型部署，請至少安裝四部 Oracle Key Vault 伺服器。端點應註冊為獨特且平衡的四個伺服器，以確保高可用性。例如，如果資料中心有 1,000 個資料庫端點要註冊，而您有 4 個 Oracle Key Vault 伺服器可容納它們，則請在這 4 個伺服器中分別註冊 250 個端點。

確定端點主機和 Oracle Key Vault 伺服器的系統時鐘已同步。對於 Oracle Key Vault 伺服器，必須設定 NTP。

注意事項

建置此參照架構時，請考量下列各點。

效能
若要獲得最佳效能和負載平衡，請增加更多讀寫組。

您可以將多個唯讀節點新增至叢集，但為了達到最佳效能和負載平衡，您必須擁有更多的讀寫組，以防止叢集超載。

Oracle Key Vault 多主叢集至少需要一個可完全運作的讀寫組。最多可有 8 個讀寫組。
使用狀態
多節點叢集提供 Oracle Key Vault 環境的高可用性、災害復原、負載分配以及地理分佈。它提供建立 Oracle Key Vault 節點之讀寫組的機制，以達到最大可用性與可靠性。

初始化叢集之後，您最多可以再新增 15 個節點 (讀寫組或唯讀節點) 來擴充叢集。多主叢集可包含至少兩個節點，最多 16 個節點。

您可以將唯讀的 Oracle Key Vault 節點新增至叢集，為需要 Oracle 公事包、加密金鑰、Java 金鑰存放區、憑證、證明資料檔案及其他物件的端點提供更高的可用性。

探索更多

深入瞭解如何在 Oracle Database@Azure 中使用 Oracle Key Vault 管理加密。

複查下列其他資源：

Oracle Key Vault Administrator's Guide 中的 Creating Oracle Key Vault Image in Microsoft Azure
Oracle Cloud Infrastructure 的最佳做法架構
Oracle Database@Azure，基礎架構即服務
Oracle Key Vault 概念
Oracle Key Vault Administrator's Guide 中的 Enrolling and Upgrading Endpoints for Oracle Key Vault
Oracle Key Vault Administrator's Guide 中的 Oracle Key Vault General System Administration
Oracle Software Delivery Cloud
瞭解適用於 Oracle Database@Azure 的 Oracle Maximum Availability Architecture
使用 Oracle Zero Downtime Migration 移轉至 Oracle Database@Azure
將以檔案為基礎的 TDE 移轉至 ExaDB-D 的 OKV (透過 REST 自動化)

認可

作者：Anwar Belayachi, Peter Wahl, Suzanne Holliday
貢獻者：Leo Alvarado, Wei Han, John Sulyok