今天有朋友問(wèn)到1）DG環(huán)境下的秘鑰管理需要注意什么，2）秘鑰管理對(duì)DG的日志同步有影響嗎？

對(duì)于2）的回答是明確的，沒(méi)有影響。秘鑰的管理和DG的redo log shipping完全是兩套機(jī)制。在最新版的Oracle Key Vault常見(jiàn)問(wèn)題提到，Key Vault對(duì)于加密的性能沒(méi)有影響，對(duì)于DG就更沒(méi)有影響了。

對(duì)于1），我們先來(lái)看一下文檔8.2.1 About Using Transparent Data Encryption with Oracle Data Guard是如何說(shuō)的：

對(duì)于軟件密鑰庫(kù)(是指秘鑰和數(shù)據(jù)庫(kù)軟件在一起，即Wallet方式)和外部密鑰庫(kù)(是指秘鑰在數(shù)據(jù)庫(kù)軟件的外部，即Key Vault方式)，Oracle Data Guard 支持透明數(shù)據(jù)加密 (TDE)。

如果主數(shù)據(jù)庫(kù)使用 TDE，則 Data Guard 配置中的每個(gè)備用數(shù)據(jù)庫(kù)都必須擁有主數(shù)據(jù)庫(kù)的加密密鑰存儲(chǔ)的副本。 如果您在主數(shù)據(jù)庫(kù)中重置 TDE 主加密密鑰，則必須將包含 TDE 主加密密鑰的密鑰庫(kù)從主數(shù)據(jù)庫(kù)復(fù)制到每個(gè)備用數(shù)據(jù)庫(kù)。

請(qǐng)注意以下事項(xiàng)：

• 使用基于錢(qián)包的 TDE 重新生成密鑰操作將導(dǎo)致備用數(shù)據(jù)庫(kù)上的托管恢復(fù)進(jìn)程 (MRP) 失敗，因?yàn)樾碌?TDE 主加密密鑰尚不可用。 為了避免此問(wèn)題，請(qǐng)?jiān)谥鲾?shù)據(jù)庫(kù)上使用 ADMINISTER KEY MANAGEMENT CREATE KEY 語(yǔ)句將新的 TDE 主加密密鑰插入錢(qián)包。 將錢(qián)包復(fù)制到備用數(shù)據(jù)庫(kù)，然后在主數(shù)據(jù)庫(kù)上執(zhí)行 ADMINISTER KEY MANAGEMENT USE KEY 語(yǔ)句。
• 當(dāng)數(shù)據(jù)傳輸?shù)絺溆脭?shù)據(jù)庫(kù)時(shí)，日志文件中的加密數(shù)據(jù)仍保持加密狀態(tài)。 加密數(shù)據(jù)在傳輸過(guò)程中也保持加密狀態(tài)。

Oracle 12c Oracle Advanced Security 透明數(shù)據(jù)加密最佳實(shí)踐中文白皮書(shū)中有一節(jié)專門(mén)提到了DG和Wallet結(jié)合的注意事項(xiàng)。不過(guò)這里面沒(méi)有包含Key Vault的內(nèi)容。

此外，Oracle中國(guó)網(wǎng)址提供了Oracle Key Vault的中文介紹，簡(jiǎn)明扼要，列舉了Key Vault的適用場(chǎng)景和主要優(yōu)點(diǎn)，建議看一下。

總之，在DG環(huán)境下，秘鑰管理更建議用Key Vault而非Wallet，因?yàn)檫\(yùn)維更簡(jiǎn)單，更安全，更高可用，更易擴(kuò)展。

要知道，加密密鑰對(duì)于Oracle數(shù)據(jù)庫(kù)是至關(guān)重要的，秘鑰丟了就意味著數(shù)據(jù)丟了，這可跟家里的保險(xiǎn)柜有備用鑰匙，可以找原廠開(kāi)鎖不一樣。