今天有朋友問到1）DG環(huán)境下的秘鑰管理需要注意什么，2）秘鑰管理對DG的日志同步有影響嗎？

對于2）的回答是明確的，沒有影響。秘鑰的管理和DG的redo log shipping完全是兩套機制。在最新版的Oracle Key Vault常見問題提到，Key Vault對于加密的性能沒有影響，對于DG就更沒有影響了。

對于1），我們先來看一下文檔8.2.1 About Using Transparent Data Encryption with Oracle Data Guard是如何說的：

對于軟件密鑰庫(是指秘鑰和數(shù)據(jù)庫軟件在一起，即Wallet方式)和外部密鑰庫(是指秘鑰在數(shù)據(jù)庫軟件的外部，即Key Vault方式)，Oracle Data Guard 支持透明數(shù)據(jù)加密 (TDE)。

如果主數(shù)據(jù)庫使用 TDE，則 Data Guard 配置中的每個備用數(shù)據(jù)庫都必須擁有主數(shù)據(jù)庫的加密密鑰存儲的副本。 如果您在主數(shù)據(jù)庫中重置 TDE 主加密密鑰，則必須將包含 TDE 主加密密鑰的密鑰庫從主數(shù)據(jù)庫復(fù)制到每個備用數(shù)據(jù)庫。

請注意以下事項：

• 使用基于錢包的 TDE 重新生成密鑰操作將導(dǎo)致備用數(shù)據(jù)庫上的托管恢復(fù)進程 (MRP) 失敗，因為新的 TDE 主加密密鑰尚不可用。 為了避免此問題，請在主數(shù)據(jù)庫上使用 ADMINISTER KEY MANAGEMENT CREATE KEY 語句將新的 TDE 主加密密鑰插入錢包。 將錢包復(fù)制到備用數(shù)據(jù)庫，然后在主數(shù)據(jù)庫上執(zhí)行 ADMINISTER KEY MANAGEMENT USE KEY 語句。
• 當(dāng)數(shù)據(jù)傳輸?shù)絺溆脭?shù)據(jù)庫時，日志文件中的加密數(shù)據(jù)仍保持加密狀態(tài)。 加密數(shù)據(jù)在傳輸過程中也保持加密狀態(tài)。

Oracle 12c Oracle Advanced Security 透明數(shù)據(jù)加密最佳實踐中文白皮書中有一節(jié)專門提到了DG和Wallet結(jié)合的注意事項。不過這里面沒有包含Key Vault的內(nèi)容。

此外，Oracle中國網(wǎng)址提供了Oracle Key Vault的中文介紹，簡明扼要，列舉了Key Vault的適用場景和主要優(yōu)點，建議看一下。

總之，在DG環(huán)境下，秘鑰管理更建議用Key Vault而非Wallet，因為運維更簡單，更安全，更高可用，更易擴展。

要知道，加密密鑰對于Oracle數(shù)據(jù)庫是至關(guān)重要的，秘鑰丟了就意味著數(shù)據(jù)丟了，這可跟家里的保險柜有備用鑰匙，可以找原廠開鎖不一樣。