使用 Oracle Exadata Database Service (Oracle Database@Google Cloud) 部署 Oracle Key Vault

使用 Oracle Exadata Database Service 部署 Oracle Key Vault (Oracle Database@Google Cloud)

Oracle Key Vault 是一個容錯、持續可用且可高度擴展的金鑰管理系統，專門用來為 Oracle 資料庫部署提供金鑰管理。在此情況下，Oracle Database@Google Cloud 上的 Oracle Exadata Database Service 。Oracle Key Vault 可讓客戶在 Google Cloud 中安全地管理 Oracle Database@Google Cloud 的安全物件，包括加密金鑰、Oracle 公事包、Java Keystores (JKS)、Java Cryptography Extension Keystores (JCEKS) 以及含有 SSH 私密金鑰的證明資料檔案等。

使用 Oracle Key Vault 搭配 Oracle Exadata Database Service (Oracle Database@Google Cloud) 可為客戶提供下列優點：

容錯
高可用性
擴展性
安全
標準遵循

Oracle Key Vault 管理安全物件，包括加密金鑰、Oracle 公事包、Java Keystores (JKS)、Java Cryptography Extension Keystores (JCEKS) 以及證明資料檔案。證明資料檔案可以包括 SSH 私密金鑰、用於遠端伺服器 (內部部署或任何雲端) 的公開金鑰認證，或用於自動執行定期排定之維護命令檔的資料庫帳戶密碼。Oracle Key Vault 已針對 Oracle Cloud Stack (資料庫、中介軟體、系統) 和進階安全通透資料加密 (TDE) 進行最佳化。此外，它符合業界標準的 OASIS 金鑰管理互通性通訊協定 (KMIP)，以與 KMIP 型用戶端相容。

Oracle Key Vault 可與端點搭配使用，端點是電腦系統，例如資料庫伺服器、應用程式伺服器及其他資訊系統。端點必須註冊並註冊，才能與 Oracle Key Vault 通訊。註冊的端點可以上傳金鑰、與其他端點共用金鑰，然後下載這些金鑰以存取其資料。金鑰可用來存取加密的資料，而證明資料則用來向其他系統進行認證。對於代管一或多個 Oracle 資料庫的資料庫伺服器，每個 Oracle 資料庫至少都會有一個端點。

Oracle Key Vault 透過以 RAC 或 Active Data Guard 、可插式資料庫、 OCI GoldenGate 加密歷程檔以及全球分散式 (分區) 資料庫、Oracle ZFS Storage Appliance 及 Oracle Zero Data Loss Recovery Appliance 部署的加密資料庫，簡化日常作業。Oracle Key Vault 可使用 Oracle Data Pump 和可傳輸的表格空間 (Oracle Database 的主要功能) 協助移動加密的資料。

雖然 Oracle 和 Google 負責保護支援 Oracle Key Vault 的基礎基礎架構，但客戶必須負責在其應用程式與任何組態機制中實行必要的安全控制，以符合其安全與規範要求。依照預設，Oracle Key Vault 提供保留您自己的金鑰。

Before You Begin - 開始之前

若要利用此參考架構，需要下列項目：

Oracle Database@Google Cloud

存取 Google Cloud 訂閱和目錄
存取 OCI 租用戶
Google Cloud 與 OCI 之間的作用中 Oracle Database@Google Cloud 多雲端連結
在佈建之前，請確保有足夠的 Oracle Exadata Database Service 限制和 OCI 服務限制
1. 在 OCI 功能表中，按一下治理與管理。
2. 在租用戶管理底下，按一下限制、配額和用量。
3. 從服務下拉式清單中，選取資料庫。
規劃您的網路拓樸：
- 至少需要一個可與對應 OCI 虛擬雲端網路 (VCN) 配對的 Google Cloud 虛擬私有雲 (VPC)
- 任何 Google Cloud 虛擬私有雲 (VPC) 和 OCI VCN 的 CIDR 區塊不得重疊

Oracle Key Vault

存取 Oracle Key Vault 映像檔，此映像檔是從對應的 ISO 檔案建立在內部部署
Oracle Key Vault 安裝需求
需要設定 NTP

架構

此架構顯示如何在 Google Cloud 虛擬機器 (VM) 上部署 Oracle Key Vault ，作為 Oracle Database@Google Cloud 中 Oracle Exadata Database Service 加密金鑰的安全長期外部金鑰管理儲存。

此架構圖說明 Google Cloud 中建議的 Oracle Key Vault 多主叢集，為 Oracle Exadata Database Service 中的 Oracle Database (Oracle Database@Google Cloud) 提供持續可用、極度可擴充且容錯的金鑰管理。

相同區域中的兩個 Oracle Key Vault 節點會形成讀取 / 寫入組，以提供持續的讀取可用性。這是因為當兩個節點的其中一個為非作業時，其餘節點會設為唯讀限制模式。當讀取 / 寫入節點再次能夠與其讀取 / 寫入對等體通訊時，節點就會從唯讀限制模式回復成讀 / 寫入模式。四個節點 (如架構圖所示) 提供持續的讀取 / 寫入可用性。

只要可以建立網路連線，就可以在內部部署、OCI、Google Cloud 、Microsoft Azure 和 Amazon Web Services 部署 Oracle Key Vault 。也可以建立延伸的 Oracle Key Vault 叢集 (內部部署到雲端或跨雲端提供者)，讓您享有最高的部署彈性和加密金鑰的本機可用性。Oracle Key Vault 提供立即可用的「保留您自己的金鑰」功能，無須額外付費的第三方金鑰管理設備。

下圖說明此參考架構。

以下是 key-vault-database-google-diagram.png 的描述

key-vault-database-google-diagram.png 圖解描述

金鑰保存庫資料庫 google.zip

架構具有下列元件：

Google Cloud 區域
Google 和 OCI 區域是本地化的地理區域。對於 Oracle Database@Google Cloud ，Google Cloud 區域會連線至 OCI 區域。Google Cloud 中的區域會連線至 OCI 中的可用性網域。選取 Google Cloud 和 OCI 區域配對，將距離和延遲降到最低。
Google Cloud 區域
區域是區域內的實體獨立資料中心，專為可用且容錯而設計。區域已經接近，可與其他區域建立低延遲連線。
Google Cloud 虛擬私人雲端
Google Cloud 虛擬私有雲端 (VPC) 是您在 Google Cloud 中私人網路的基礎構建區塊。VPC 讓許多類型的 Google Cloud 資源 (例如 Google 虛擬機器 (VM) 能夠安全地相互通訊、網際網路和內部部署網路。
專用基礎架構上的 Exadata 資料庫服務
Oracle Exadata Database Service 在公有雲中針對特定用途建置、最佳化 Oracle Exadata 基礎架構，提供備受肯定的 Oracle Database 功能。內建雲端自動化、彈性資源擴展、安全性和快速效能，適用於 OLTP、記憶體內分析和融合式 Oracle Database 工作負載，有助於簡化管理並降低成本。

Exadata Cloud Infrastructure X9M 為公有雲帶來更多 CPU 核心、更高的儲存空間和更快的網路結構。Exadata X9M 儲存伺服器包括 Exadata RDMA 記憶體 (XRMEM)，可建立額外的儲存層，提升整體系統效能。Exadata X9M 將 XRMEM 與可略過網路和 I/O 堆疊的創新 RDMA 演算法結合在一起，免除昂貴的 CPU 中斷和上下文切換。

Exadata Cloud Infrastructure X9M 透過融合式乙太網路 (RoCE) 內部網路結構提高其 100 Gbps 主動 - 主動式遠端直接記憶體存取的傳輸量，比前一代在所有運算和儲存伺服器之間提供極低延遲的相互連線速度。
Oracle Database@Google Cloud
Oracle Database@Google Cloud is the Oracle Database service (Oracle Exadata Database Service on Dedicated Infrastructure or Oracle Autonomous Database Serverless) running on Oracle Cloud Infrastructure (OCI), deployed in Google Cloud data centers.此服務提供 OCI 的功能和價格同等性。使用者在 Google Cloud Marketplace 購買此服務。

Oracle Database@Google Cloud 將 Oracle Exadata Database Service 、Oracle Real Application Clusters (Oracle RAC) 及 Oracle Data Guard 技術整合至 Google Cloud 平台。Oracle Database@Google Cloud 提供與其他 Google 原生服務相同的低延遲，並符合關鍵任務工作負載和雲端原生開發需求。使用者可以在 Google 主控台和 Google 自動化工具管理服務。此服務部署在 Google 虛擬私有雲端 (VPC) 中，並與 Google 識別和存取管理系統整合。Google 原生提供 OCI 和 Oracle Database 指標和稽核日誌。此服務需要使用者擁有 Google 租用戶和 OCI 租用戶。
金鑰保存庫
Oracle Key Vault 會安全地將加密金鑰、Oracle 公事包、Java KeyStores、SSH 金鑰組和其他加密密碼儲存在可擴展的容錯叢集中，該叢集支援 OASIS KMIP 標準並部署在 Oracle Cloud Infrastructure 、Google Cloud 、Microsoft Azure 和 Amazon Web Services ，以及內部部署於專用硬體或虛擬機器上。

建議

使用下列建議作為起點。您的需求可能與此處所述的架構不同。

Oracle Key Vault ISO
若要建立正確的 Oracle Key Vault 解決方案，請務必使用最新的 Oracle Key Vault 安裝媒體。如需 Oracle Software Delivery Cloud 連結的詳細資訊，請參閱「深入瞭解」。
Oracle Key Vault 映像檔建立
若要從 ISO 建立 Oracle Key Vault 映像檔，請在具有至少 1 TB 儲存空間且 RAM 至少為 32 GB 的本機系統上執行。以固定大小和 VHD 格式建立虛擬硬碟。
多主叢集
將 Oracle Key Vault 部署為多節點叢集，透過讀取 / 寫入的 Oracle Key Vault 節點組，實現最高的可用性和可靠性。

Oracle Key Vault 多主叢集是使用第一個節點建立的，接著可以引入其他節點，最終形成多節點叢集，最多可達 8 個讀取 / 寫入組。

初始節點處於唯讀限制模式，且無法將重要資料新增至該節點。Oracle 建議部署第二個節點，以形成第一個節點的讀取 / 寫入組。在此之後，叢集可以使用讀取 / 寫入組展開，以便將重要和非重要資料都新增至讀取 / 寫入節點。唯讀節點有助於在維護作業期間進行負載平衡或作業連續性。

請參閱文件，以瞭解多重主要叢集如何影響端點 (無論是端點連線還是有限制)。

若為大型部署，請至少安裝四部 Oracle Key Vault 伺服器。端點應註冊為獨特且平衡的四個伺服器，以確保高可用性。例如，如果資料中心有 1,000 個資料庫端點要註冊，而您有 4 個 Oracle Key Vault 伺服器可容納它們，則請在這 4 個伺服器中分別註冊 250 個端點。

確定端點主機和 Oracle Key Vault 伺服器的系統時鐘已同步。對於 Oracle Key Vault 伺服器，必須設定 NTP。
讀取 / 寫入配對
一組與雙向同步複製搭配運作的節點。讀取 / 寫入組是藉由將新節點與唯讀節點配對所建立。您可以使用 Oracle Key Vault 管理主控台或 Oracle Key Vault 從屬端軟體，在任一節點中更新資料 (包括端點和公事包資料)。更新會立即複製到配對中的其他節點。更新會以非同步方式複製到所有其他節點。

節點最多只能是一個雙向同步配對的成員。

多主叢集需要至少一個讀取 / 寫入組才能完全運作。最多可有 8 個讀取 / 寫入組。
Oracle Key Vault 讀取 / 寫入節點
讀取 / 寫入節點是可使用 Oracle Key Vault 或端點軟體新增或更新重要資料的節點。

新增或更新的重要資料可以是金鑰、公事包內容和憑證等資料。

Oracle Key Vault 讀取 / 寫入節點一律存在成對。讀取 / 寫入組中的每個節點都可以接受重要和非重要資料的更新，而且這些更新會立即複製到配對的其他成員 (讀取 / 寫入對等)。讀取 / 寫入對等體是叢集中只有一個、讀取 / 寫入對的特定成員。讀取 / 寫入對等體之間存在雙向同步複製。複製到非指定節點之讀取 / 寫入對等體的所有節點都是非同步的。

節點最多可以是一個讀取 / 寫入組的成員。一個節點只能有一個讀取 / 寫入對等節點。在歸納過程中，節點會成為讀取 / 寫入組的成員，因此會成為讀取 / 寫入節點。當讀取 / 寫入對等節點被刪除時，讀取 / 寫入節點會回復成唯讀節點，此時它就可以形成新的讀取 / 寫入配對。

讀取 / 寫入節點可順利複製到其讀取 / 寫入對等體，以及兩個對等體均為作用中時，會以讀取 / 寫入模式運作。當讀取 / 寫入節點無法複製到其讀取 / 寫入對等節點，或當其讀取 / 寫入對等節點被停用時，就會暫時設為唯讀限制模式。
建立多重主要叢集
多主叢集的建立方式是將單一 Oracle Key Vault 伺服器轉換成初始節點。

此 Oracle Key Vault 伺服器會植入叢集資料，並將伺服器轉換成第一個叢集節點 (稱為起始節點)。

將 Oracle Key Vault 伺服器轉換成多重主叢集的起始節點之後，即可將需要的不同類型節點新增至叢集。當其他 Oracle Key Vault 伺服器被歸納並新增為讀取 / 寫入節點，或新增為簡單唯讀節點時，就會擴充叢集。

注意事項

建置此參照架構時，請考量下列各點。

效能
若要取得最佳效能和負載平衡，請新增更多讀取 / 寫入配對。

您可以將多個唯讀節點新增至叢集，但為了達到最佳效能和負載平衡，您必須擁有更多的讀取 / 寫入組，以防止叢集超載。

Oracle Key Vault 多主叢集至少需要一個讀取 / 寫入組才能完全運作。最多可有 8 個讀取 / 寫入組。
使用狀態
多節點叢集提供 Oracle Key Vault 環境的高可用性、災害復原、負載分配以及地理分佈。它提供建立 Oracle Key Vault 節點之讀取 / 寫入組的機制，以達到最大可用性與可靠性。

初始化叢集之後，您最多可以再新增 15 個節點 (作為讀取 / 寫入組或唯讀節點) 來擴充叢集。多主叢集可包含至少兩個節點，最多 16 個節點。

您可以將唯讀的 Oracle Key Vault 節點新增至叢集，為需要 Oracle 公事包、加密金鑰、Java 金鑰存放區、憑證、證明資料檔案及其他物件的端點提供更高的可用性。

探索更多

深入瞭解如何使用 Oracle Key Vault 在 Oracle Database@Google Cloud 中管理加密。

複查這些額外資源：

Oracle Key Vault Administrator's Guide 中的 Creating Oracle Key Vault Image in Google Cloud
Oracle Database@Azure
Oracle Key Vault 概念
Oracle Key Vault Administrator's Guide 中的 Enrolling and Upgrading Endpoints for Oracle Key Vault
Oracle Key Vault Administrator's Guide 中的 Oracle Key Vault General System Administration
Oracle Software Delivery Cloud
使用 REST 自動化將檔案式通透資料加密移轉至 Oracle Exadata Database Service on Dedicated Infrastructure 的 Oracle Key Vault
Oracle Cloud Infrastructure 的封存良好的架構

確認

授權者：Suzanne Holliday, Anwar Belayachi, Peter Wahl, Julien Silverston
提供者：Wei Han, Leo Alvarado

變更日誌

此日誌列出重大變更：

2025 年 1 月 16 日

已更新架構圖並新增可下載的圖表版本。