| Oracle® Automatic Storage Management管理者ガイド 11gリリース2 (11.2) B61035-04 |
|
 前 |
 次 |
この項では、コマンドライン・ユーティリティを使用してOracle ACFSファイルシステムを管理するときの基本手順の概要について説明します。
この項の例では、Linux環境システムで実行されるオペレーティング・システム・コマンドを示します。ASMCMDコマンドはボリュームを管理しますが、SQL*PLus、Oracle ASMコンフィギュレーション・アシスタント(ASMCA)およびOracle Enterprise Managerもボリュームの管理に使用できます。
この項の内容は次のとおりです。
ファイルシステムを作成し、検証するには、次の手順を実行します。
ASMCMD volcreateコマンドを使用してOracle ASMボリュームをマウントされているディスク・グループに作成します。
Oracle ADVMボリュームを含むディスク・グループの互換性パラメータCOMPATIBLE.ASMおよびCOMPATIBLE.ADVMは、11.2以上に設定する必要があります。Oracle ACFSの暗号化、レプリケーション、セキュリティおよびタグ付けを使用するには、ファイルシステムに作成したボリューム上のディスク・グループのASMおよびADVMの互換性属性が11.2.0.2に設定されていることが必要です。「ディスク・グループの互換性属性」を参照してください。
ASMCMDを起動してOracle ASMインスタンスに接続します。実行するには、OSASMオペレーティング・システム・グループのユーザーである必要があります。「Oracle ASMの権限について」を参照してください。
ディスク・グループ内でOracle ADVMボリューム・デバイスを構成する場合、Oracle Grid Infrastructureユーザー・ロールおよびOracle ASM管理者ロールをroot権限を持つユーザーに割り当てることをお薦めします。
ボリュームを作成するには、次のようにします。
ASMCMD [+] > volcreate -G data -s 10G volume1
Linuxプラットフォームでは、ボリューム名は11文字以下の英数字とし、先頭の文字はアルファベットにする必要があります。AIXプラットフォームでは、ボリューム名は23文字以下の英数字とし、先頭の文字はアルファベットにする必要があります。WindowsおよびSolarisプラットフォームでは、ボリューム名は30文字以下の英数字とし、先頭の文字はアルファベットにする必要があります。
Oracle ASMボリュームの作成時に、一意のOracle ADVM永続ディスク・グループ番号を含むボリューム・デバイス名が作成されます。ボリューム・デバイス・ファイルは、他のディスクまたは論理ボリュームと同じ方法で、ファイルシステムをマウントするために、またはアプリケーションで直接使用するために機能します。
volcreateコマンドの詳細は、「volcreate」を参照してください。
作成したボリュームのデバイス名を確認します。
ボリューム・デバイス名は、ASMCMD volinfoコマンドで、またはV$ASM_VOLUMEビューのVOLUME_DEVICE列から確認できます。
次に例を示します。
ASMCMD [+] > volinfo -G data volume1
Diskgroup Name: DATA
Volume Name: VOLUME1
Volume Device: /dev/asm/volume1-123
State: ENABLED
...
SQL> SELECT volume_name, volume_device FROM V$ASM_VOLUME
WHERE volume_name ='VOLUME1';
VOLUME_NAME VOLUME_DEVICE
----------------- --------------------------------------
VOLUME1 /dev/asm/volume1-123
volinfoコマンドの詳細は、「volinfo」を参照してください。
|
関連項目: V$ASM_VOLUMEビューの詳細は、『Oracle Databaseリファレンス』を参照してください。 |
Oracle ACFS mkfsコマンドを使用してファイルシステムを作成します。
ファイルシステムは、既存のボリューム・デバイスを使用して作成します。
次に例を示します。
$ /sbin/mkfs -t acfs /dev/asm/volume1-123 mkfs.acfs: version = 11.2.0.1.0.0 mkfs.acfs: on-disk version = 39.0 mkfs.acfs: volume = /dev/asm/volume1-123 mkfs.acfs: volume size = 10737418240 mkfs.acfs: Format complete.
「mkfs」(LinuxまたはUNIX)または「acfsformat」(Windows)を参照してください。root権限は必要ありません。ボリューム・デバイス・ファイルの所有者が、このコマンドを実行できます。
オプションで、acfsutil registryコマンドを使用してファイルシステムを登録します。
次に例を示します。
$ /sbin/acfsutil registry -a /dev/asm/volume1-123 /u01/app/acfsmounts/myacfs acfsutil registry: mount point /u01/app/acfsmounts/myacfs successfully added to Oracle Registry
「acfsutil registry」を参照してください。レジストリを変更するには、root権限またはasmadmin権限が必要です。WindowsのAdministrator権限は、Linuxのroot権限と同等です。
ファイルシステムの登録は任意です。クラスタ・マウント・レジストリにOracle ACFSファイルシステムを登録すると、ファイルシステムは、次のレジストリのチェック・アクション時に、レジストリ・エントリにリストされている各クラスタ・メンバーに自動的にマウントされます。この自動プロセスは30秒ごとに実行されるため、クラスタの各メンバーでファイルシステムを手動でマウントする必要はありません。
また、Oracle ACFSファイルシステムを登録すると、Oracle Clusterwareまたはシステムが再起動されるたびに、ファイルシステムは自動的にマウントされます。
|
注意: Oracle Grid Infrastructureのクラスタウェア構成では、srvctl add filesystemを実行してファイルシステムを自動マウントできます。この方法は、Oracle DatabaseホームをOracle ACFSファイルシステム上にインストールした場合に必須です。ただし、このファイルシステムは、レジストリに追加しないでください。サーバー制御ユーティリティ(SRVCTL)の詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』を参照してください。 |
詳細は、「Oracle ACFSマウント・レジストリについて」を参照してください。
|
注意: Oracle Restart構成、すなわち単一インスタンス(非クラスタ)環境の場合、ファイルシステムは自動的にマウントされません。 |
Oracle ACFS mountコマンドを使用してファイルシステムをマウントします。ファイルシステムは、登録前または登録後にマウントできます。ファイルシステムが登録されている場合は、ファイルシステムが自動的にマウントされるまで待つことができます。
# /bin/mount -t acfs /dev/asm/volume1-123 /u01/app/acfsmounts/myacfs
「mount」(LinuxまたはUNIX)または「acfsmountvol」(Windows)を参照してください。mountコマンドを実行するにはroot権限が、acfsmountvolコマンドを実行するにはWindowsのAdministrator権限が必要です。
ファイルシステムをマウントしたら、適切なユーザーに権限を設定してファイルシステムにアクセスできるようします。次に例を示します。
# chown -R oracle:dba /u01/app/acfsmounts/myacfs
ファイルシステムにテスト・ファイルを作成します。
テスト・ファイルを作成するユーザーは、ファイルシステムにアクセスするユーザーです。このテストでは、適切なユーザーがファイルシステムへの書込みを実行できることを確認します。
次に例を示します。
$ echo "Oracle ACFS File System" > /u01/app/acfsmounts/myacfs/myfile
ファイルシステムで作成したテスト・ファイルの内容をリストします。
次に例を示します。
$ cat /u01/app/acfsmounts/myacfs/myfile Oracle ACFS File System
ノードがクラスタの一部である場合、ノード2で次の手順を実行して、ノード1で作成したテスト・ファイルを表示します。
|
注意: ファイルシステムがOracle ACFSマウント・レジストリに登録されている場合、手順1から3を省略できます。 |
ノード1で以前に作成して有効にしたボリュームを有効にします。
ASMCMDを起動してOracle ASMインスタンスに接続します。実行するには、OSASMオペレーティング・システム・グループのユーザーである必要があります。「Oracle ASMの権限について」を参照してください。
次に例を示します。
ASMCMD [+] > volenable -G data volume1
「volenable」を参照してください。
ノード1で作成したボリュームに関する情報を表示します。
次に例を示します。
ASMCMD [+] > volinfo -G data volume1
「volinfo」を参照してください。
Oracle ACFS mountコマンドを使用してファイルシステムをマウントします。
次に例を示します。
# /bin/mount -t acfs /dev/asm/volume1-123 /u01/app/acfsmounts/myacfs
「mount」(LinuxまたはUNIX)または「acfsmountvol」(Windows)を参照してください。mountコマンドを実行するにはroot権限が、acfsmountvolコマンドを実行するにはWindowsのAdministrator権限が必要です。
ファイルシステムをマウントしたら、適切なユーザーに権限を設定してアクセスできるようにします。
ファイルシステムで以前に作成したテスト・ファイルの内容をリストします。
次に例を示します。
$ cat /u01/app/acfsmounts/myacfs/myfile Oracle ACFS File System
内容は、以前にノード1で作成したファイルと一致する必要があります。
ノード1でスナップショットを作成し、検証するには、次のようにします。
ノード1で作成した新しいファイルシステムのスナップショットを作成します。
次に例を示します。
$ /sbin/acfsutil snap create mysnapshot_20090725 /u01/app/acfsmounts/myacfs
「acfsutil snap create」を参照してください。
ファイルシステム内のテスト・ファイルを更新し、スナップショットと異なるものにします。
次に例を示します。
$ echo "Modifying a file in Oracle ACFS File System" > /u01/app/acfsmounts/myacfs/myfile
テスト・ファイルの内容と、テスト・ファイルのスナップショット・ビューをリストします。
次に例を示します。
$ cat /u01/app/acfsmounts/myacfs/myfile $ cat /u01/app/acfsmounts/myacfs/.ACFS/snaps/mysnapshot_20090725/myfile
テスト・ファイルの内容とスナップショットは異なります。ノード1がクラスタ内にある場合は、ノード2で同じリスト操作を実行できます。
Oracle Enterprise Managerを使用してスナップショットを管理するには、「Oracle Enterprise ManagerによるOracle ACFSスナップショットの管理」を参照してください。
この項では、LinuxでのOracle ACFSファイルシステムのセキュリティを管理するための基本操作について説明します。
この項のシナリオでは、Oracle ACFSセキュリティを使用して、メンテナンス期間中にメンテナンス・ユーザーだけが診療履歴ファイルにアクセスできるようにする方法を示します。また、Oracle ACFS暗号化も同じファイルシステムで有効になっています。
この項のシナリオでは、ファイルシステムでOracle ACFSレプリケーションの使用は計画していないものとします。レプリケーションとともにOracle ACFSセキュリティを使用することはできません。
ファイルシステム用に作成したボリューム上のディスク・グループのASMおよびADVMの互換性属性は11.2.0.3に設定されています。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。
セキュリティを管理するための基本手順は次のとおりです。
Oracle ACFSのセキュリティを初期化します。
acfsutil sec initコマンドを実行して、セキュリティ資格証明用のストレージを構成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者およびオペレーティング・システム・セキュリティ・グループとして識別します。セキュリティ管理者はオペレーティング・システム・グループに属する必要があります。このコマンドは、他のセキュリティ・コマンドの前に実行する必要があり、実行するにはrootまたはWindowsのAdministrator権限が必要です。
acfsutil sec initコマンドは、1度実行して各クラスタのOracle ACFSセキュリティを設定すれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイルシステムで共通です。
たとえば、次のコマンドで1つのクラスタに対するセキュリティを初期化し、最初のセキュリティ管理者(medHistAdmin1)を作成します。
# /sbin/acfsutil sec init -u medHistAdmin1 -g medHistAdminGrp
medHistAdmin1セキュリティ管理者はオペレーティング・システム・グループmedHistAdminGrpに属する必要があります。このグループはセキュリティ管理者用のセキュリティ・グループとして識別されます。
rootユーザーまたはWindows Administratorユーザーはこのコマンドを実行するときに、最初のセキュリティ管理者に一時的なセキュリティ・パスワードを割り当てます。最初のセキュリティ管理者はacfsutil sec admin passwordコマンドを使用して一時パスワードを変更する必要があります。有効なパスワードの形式は、「acfsutil sec init」を参照してください。
$ /sbin/acfsutil sec admin password
すべてのacfsutil secコマンド(acfsutil sec init以外)はOracle ACFSセキュリティ管理者により実行する必要があり、管理者は各コマンドの実行時にセキュリティ管理者のパスワードを求められることに注意してください。
|
注意: セキュリティ管理者のパスワードを求められる場合、次のテキストが表示されます。Realm management password
要求されるパスワードはOracle ACFSセキュリティ管理者のパスワードであり、ユーザーのオペレーティング・システム・パスワードではありません。 |
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイルシステムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
詳細は、「acfsutil sec init」および「acfsutil sec admin password」を参照してください。
必要に応じて、セキュリティ管理者を追加します。
最初のセキュリティ管理者は、acfsutil sec admin addコマンドを使用して、Oracle ACFSセキュリティを管理するセキュリティ管理者を追加できます。
たとえば、新しいセキュリティ管理者medHistAdmin2を追加します。
$ /sbin/acfsutil sec admin add medHistAdmin2
medHistAdmin2ユーザーはacfsutil sec initコマンドでセキュリティ管理者グループとして識別されるオペレーティング・システム・グループ(medHistAdminGrp)に属している必要があります。
medHistAdmin2セキュリティ管理者はacfsutil sec admin passwordコマンドを使用して、割り当てられた一時的なセキュリティ・パスワードを変更する必要があります。medHistAdmin2管理者は新しいセキュリティ管理者を追加できます。
詳細は、「acfsutil sec admin add」および「acfsutil sec admin password」を参照してください。
セキュリティ用にOracle ACFSファイルシステムを準備します。
セキュリティ・レルムを追加する前に、acfsutil sec prepareをOracle ACFSファイルシステムで実行します。
たとえば、Oracle ACFSセキュリティ用に、/acfsmounts/acfs1にマウントされたOracle ACFSファイルシステムを準備します。
$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1
デフォルトで、このコマンドの実行後に、セキュリティがファイルシステムで有効になります。acfsutil sec disableまたはacfsutil sec enableコマンドを使用して、セキュリティを明示的に無効または有効にできます。詳細は、「acfsutil sec disable」および「acfsutil sec enable」を参照してください。
このコマンドは自動的にSYSTEM_BackupOperatorsなどのセキュリティ・レルムを作成します。管理者はSYSTEM_BackupOperatorsレルムにユーザーを追加できます。このレルムはOracle ACFSファイルシステムにレルム保護されたファイルのバックアップを作成できる権限をユーザーに与えます。
詳細は、「acfsutil sec prepare」を参照してください。
このファイルシステムの暗号化を有効にします。
ファイルシステムの暗号化はオプションですが、このシナリオでは有効にします。
まず、acfsutil encr initコマンドを実行して、暗号化を初期化し、暗号化キーに必要なストレージを作成します。このコマンドは暗号化を設定するクラスタごとに1度実行する必要があります。
たとえば、次のコマンドはクラスタの暗号化を初期化します。
# /sbin/acfsutil encr init
このコマンドは、他の暗号化コマンドの前に実行する必要があり、実行するにはroot権限または管理者権限が必要です。詳細は、「acfsutil encr init」を参照してください。
次に、acfsutil encr setコマンドを実行してOracle ACFSファイルシステムの暗号化を設定します。
たとえば、次のコマンドでは、/acfsmounts/acfs1ディレクトリにマウントされているファイルシステムの暗号化を設定します。
# /sbin/acfsutil encr set -m /acfsmounts/acfs1/
acfsutil encr setコマンドは、acfsutil encr initコマンドで構成済のキー・ストアに格納されるボリューム暗号化キーを透過的に生成します。このコマンドを実行するにはroot権限または管理者権限が必要です。
詳細は、「acfsutil encr init」および「acfsutil acfsutil encr set」を参照してください。
ファイルシステムにセキュリティ・レルムを作成します。
acfsutil sec realm createコマンドを実行してファイルシステムのセキュリティ・レルムを作成します。
たとえば、medHistRealmという名前のセキュリティ・レルムを作成します。これには診療記録ファイルが含まれ、レルム内のすべてのファイルは暗号化されています。
$ /sbin/acfsutil sec realm create medHistRealm -m /acfsmounts/acfs1/
-e on -a AES -k 128
-eオプションは、レルム内のすべてのファイルがAESアルゴリズムで暗号化され、キーの長さが128ビットに設定されることを指定します。ファイルシステムは最初にacfsutil encr initおよびacfsutil encr setコマンドを使用して暗号化用に準備される必要があります。acfsutil sec realm createの-kオプションには、acfsutil encr setコマンドで入力したのと同じ値を入力する必要はないことに注意してください。
詳細は、「acfsutil sec realm create」を参照してください。
セキュリティ・ルールを作成します。
acfsutil sec rule createコマンドを実行して、セキュリティ・レルムのファイルおよびディレクトリへのアクセスを決定するルールを作成します。
たとえば、medMaintenanceユーザーがファイルのメンテナンスのために、午後10時から午前2時の間に診療記録にアクセスできるルールを作成します。
$ /sbin/acfsutil sec rule create medHistRule1a –m /acfsmounts/acfs1/
–t time 22:00:00,02:00:00 –o ALLOW
$ /sbin/acfsutil sec rule create medHistRule1b –m /acfsmounts/acfs1/
–t username medMaintenance –o ALLOW
acfsutil sec rule editコマンドを使用してルールを編集できます。
詳細は、「acfsutil sec rule create」および「acfsutil sec rule edit」を参照してください。
セキュリティ・ルール・セットを作成し、ルール・セットにルールを追加します。
acfsutil sec ruleset createコマンドを実行して、ルールを追加可能なルール・セットを作成します。
たとえば、medHistRealmセキュリティ・レルムのファイルおよびディレクトリでの操作のルールが含まれるmedRuleSet1という名前のルール・セットを作成します。
$ /sbin/acfsutil sec ruleset create medRuleSet1 –m /acfsmounts/acfs1/
medRuleSet1ルール・セットにルールを追加します。
$ /sbin/acfsutil sec ruleset edit medRuleSet1 –m /acfsmounts/acfs1/
-a medHistRule1a,medHistRule1b -o ALL_TRUE
ALL_TRUEオプションはデフォルトのアクションですが、各ルール・セットの両方のルールがtrueでなければならないことを強調するためにここに追加しています。
詳細は、「acfsutil sec ruleset create」および「acfsutil sec ruleset edit」を参照してください。
セキュリティ・レルムにオブジェクトを追加します。
acfsutil sec realm addコマンドを実行して、コマンド・ルール、ルール・セットおよびファイルなどのオブジェクトをセキュリティ・レルムに追加します。
たとえば、medRuleSet1ルール・セットおよび/acfsmounts/acfs1/medicalrecordsディレクトリ内のすべてのファイルをmedHistRealmに追加します。
$ /sbin/acfsutil sec realm add medHistRealm –m /acfsmounts/acfs1/
-l ALL:medRuleSet1
–f -r /acfsmounts/acfs1/medicalrecords
ルール・セットをレルムに追加するときには、ALL:medRuleSet1などのコマンド・ルールが使用されます。各コマンド・ルールには1つのルール・セットしか含めることはできません。コマンド・ルールのリストを表示するには、acfsutil sec infoと-cオプションを使用します。「acfsutil sec info」を参照してください。
バックアップ・オペレータを、acfsutil sec prepareコマンドで自動的に作成されたSYSTEM_BackupOperatorsセキュリティ・レルムに追加します。
$ /sbin/acfsutil sec realm add SYSTEM_BackupOperators –m /acfsmounts/acfs1/
-G sysBackupGrp
sysBackupGrpオペレーティング・システム・グループに属するユーザーは、Oracle ACFSファイルシステムのレルム保護されたファイルのバックアップを作成できるようになります。
詳細は、「acfsutil sec realm add」および「acfsutil sec realm delete」を参照してください。
セキュリティ情報を表示します。
acfsutil sec infoコマンドを実行してセキュリティ・レルムの情報を作成します。たとえば、medHistRealmレルムのセキュリティ情報を表示します。
$ /sbin/acfsutil sec info -m /acfsmounts/acfs1/ –n medHistRealm
ファイルまたはディレクトリが属するセキュリティ・レルムを表示するには、acfsutil sec info fileコマンドを実行します。次に例を示します。
$ /sbin/acfsutil sec info file -m /acfsmounts/acfs1/
/acfsmounts/acfs1/medicalrecords
詳細は、「acfsutil sec info」および「acfsutil sec info file」を参照してください。
セキュリティ・メタデータをバックアップとして保存します。
acfsutil sec saveコマンドを実行して、ファイルシステムのセキュリティ・メタデータを保存します。
たとえば、/acfsmounts/acfs1ファイルシステムのセキュリティ・メタデータをacfs1_backup.xmlファイルに保存します。
$ /sbin/acfsutil sec save –m /acfsmounts/acfs1
–p acfs1_backup.xml
acfs1_backup.xmlセキュリティ・メタデータのバックアップ・ファイルが/acfsmounts/acfs1/.Security/backup/ディレクトリに保存されます。保存されたXMLファイルは、acfsutil sec loadコマンドを使用してロードできます。
詳細は、「acfsutil sec save」および「acfsutil sec load」を参照してください。
acfsutil sec batchコマンドを使用して、バッチ・ファイルでいくつかのacfsutil secコマンドを実行できます。たとえば、acfsutil sec ruleおよびacfsutil sec rulesetコマンドのグループを含むバッチ・ファイルを作成できます。詳細は、「acfsutil sec batch」を参照してください。
Oracle ACFSセキュリティの監査および診断データがログ・ファイルに保存されます。ログ・ファイルを含む、Oracle ACFSセキュリティの詳細は、「Oracle ACFSセキュリティ」を参照してください。
この項では、LinuxでOracle ACFSファイルシステムの暗号化を管理するための基本操作について説明します。この項の例は、Oracle ACFSファイルシステムで診療履歴ファイルが暗号化されているシナリオを示します。
この項の手順では、Oracle ACFSセキュリティがファイルシステムに構成されていないことを前提としていますが、Oracle ACFSセキュリティと暗号化の両方を同じファイルシステムで使用できます。セキュリティと暗号化の両方を使用する場合は、ファイルシステムを含むクラスタで、暗号化とセキュリティの両方を初期化する必要があります。ファイルシステムでセキュリティを初期化してから、Oracle ACFSセキュリティ管理者はacfsutil secコマンドを実行して、ファイルシステムの暗号化を有効にします。暗号化を伴うセキュリティの設定の詳細は、「Oracle ACFSファイルシステムのセキュリティ保護」を参照してください。
この項の手順では、ファイルシステムでOracle ACFSレプリケーションの使用は計画していないものとします。レプリケーションとともにOracle ACFS暗号化を使用することはできません。
acfsutil encr setおよびacfsutil encr rekey -vコマンドは、暗号化キー・ストアを変更するため、これらのコマンドを実行した後にOracle Cluster Registry(OCR)をバックアップし、ファイルシステムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを保持する必要があります。
ファイルシステム用に作成したボリューム上のディスク・グループのASMおよびADVMの互換性属性は11.2.0.3に設定されています。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。
暗号化を管理するための基本手順は次のとおりです。
暗号化を初期化します。
acfsutil encr initコマンドを実行して、暗号化を初期化し、暗号化キーに必要なストレージを作成します。このコマンドは暗号化を設定するクラスタごとに1度実行する必要があります。
たとえば、次のコマンドはクラスタの暗号化を初期化します。
# /sbin/acfsutil encr init
このコマンドは、他の暗号化コマンドの前に実行する必要があり、実行するにはroot権限または管理者権限が必要です。
詳細は、「acfsutil encr init」を参照してください。
暗号化パラメータを設定します。
acfsutil encr setコマンドを実行し、Oracle ACFSファイルシステム全体の暗号化パラメータを設定します。
たとえば、次のコマンドでは、/acfsmounts/acfs1ディレクトリにマウントされているファイルシステムに対し、AES暗号化アルゴリズムと、ファイルのキー長を128に設定します。
# /sbin/acfsutil encr set -a AES -k 128 -m /acfsmounts/acfs1/
acfsutil encr setコマンドも、acfsutil encr initコマンドで構成済のキー・ストアに格納されるボリューム暗号化キーを透過的に生成します。
このコマンドを実行するにはroot権限または管理者権限が必要です。
詳細は、「acfsutil encr set」を参照してください。
暗号化を有効にします。
acfsutil encr onコマンドを実行し、ディレクトリおよびファイルの暗号化を有効にします。
たとえば、次のコマンドでは、/acfsmounts/acfs1/medicalrecordsディレクトリのすべてのファイルで再帰的な暗号化を有効にします。
# /sbin/acfsutil encr on -r /acfsmounts/acfs1/medicalrecords
-m /acfsmounts/acfs1/
/acfsmounts/acfs1/medicalrecordsディレクトリ内のファイルにアクセスするための適切な権限のあるユーザーは、復号化されたファイルを読み取ることができます。
このコマンドは、管理者またはファイルの所有者が実行できます。
詳細は、「acfsutil encr on」を参照してください。
暗号化情報を表示します。
acfsutil encr infoコマンドを実行し、ディレクトリおよびファイルの暗号化の情報を表示します。
# /sbin/acfsutil encr info -m /acfsmounts/acfs1/
-r /acfsmounts/acfs1/medicalrecords
このコマンドは、管理者またはファイルの所有者が実行できます。
詳細は、「acfsutil encr info」を参照してください。
Oracle ACFS暗号化の監査および診断データがログ・ファイルに保存されます。ログ・ファイルを含む、Oracle ACFS暗号化の詳細は、「Oracle ACFS暗号化」を参照してください。
この項では、LinuxでOracle ACFSファイルシステムのディレクトリおよびファイルのタグ付けを管理するための基本操作について説明します。
ファイルシステム用に作成したボリューム上のディスク・グループのASMおよびADVMの互換性属性は11.2.0.3に設定されています。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。
Oracle ACFSは拡張属性を使用してタグ付けを実装します。拡張機能の使用にはいくつかの要件があります。「Oracle ACFSタグ付け」を参照してください。
タグ付けを管理するための手順は次のとおりです。
ディレクトリおよびファイルのタグ名を指定します。
acfsutil tag setコマンドを実行してディレクトリおよびファイルにタグを設定します。このタグを使用してレプリケートするオブジェクトを指定できます。
たとえば、/acfsmounts/repl_data/filmsディレクトリのサブディレクトリ内のファイルにcomedyおよびdramaタグを追加します。
$ /sbin/acfsutil tag set -r comedy /acfsmounts/repl_data/films/comedies $ /sbin/acfsutil tag set -r drama /acfsmounts/repl_data/films/dramas $ /sbin/acfsutil tag set -r drama /acfsmounts/repl_data/films/mysteries
この例では、dramaタグが意図的に2回使用され、そのタグが後の手順で変更されます。
このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
詳細は、「acfsutil tag set」を参照してください。
タグ情報を表示します。
acfsutil tag infoコマンドを実行してOracle ACFSファイルシステムのディレクトリまたはファイルのタグ名を表示します。タグのないファイルは表示されません。
たとえば、/acfsmounts/repl_data/filmsディレクトリ内のファイルのタグ情報を表示します。
$ /sbin/acfsutil tag info -r /acfsmounts/repl_data/films
/acfsmounts/repl_data/filmsディレクトリ内のdramaタグの付けられたファイルのタグ情報を表示します。
$ /sbin/acfsutil tag info -t drama -r /acfsmounts/repl_data/films
このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
詳細は、「acfsutil tag info」を参照してください。
必要な場合、タグ名を削除および変更します。
acfsutil tag unsetコマンドを実行してディレクトリまたはファイルのタグを削除します。たとえば、/acfsmounts/repl_data/filmsディレクトリのmysteriesサブディレクトリに別のタグを適用するために、そのサブディレクトリ内のファイルのdramaタグの設定を解除します。
$ /sbin/acfsutil tag unset -r drama /acfsmounts/repl_data/films/mysteries
/acfsmounts/repl_data/filmsディレクトリのmysteriesサブディレクトリ内のファイルにmysteryタグを追加します。
$ /sbin/acfsutil tag set -r mystery /acfsmounts/repl_data/films/mysteries
このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
詳細は、「acfsutil tag unset」を参照してください。
Oracle ACFSファイルシステムのタグ付けの詳細は、「Oracle ACFSタグ付け」を参照してください。
この項では、LinuxでOracle ACFSファイルシステムのレプリケーションを管理するための操作について説明します。
この項の手順では、ファイルシステムでOracle ACFSセキュリティおよび暗号化の使用は計画していないものとします。セキュリティおよび暗号化とともにOracle ACFSレプリケーションを使用することはできません。
プライマリおよびスタンバイ・ファイルシステムに作成したボリューム上のディスク・グループのASMおよびADVMの互換性属性が11.2.0.3に設定されていることが必要です。ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」を参照してください。
レプリケーションを管理するための手順は次のとおりです。
プライマリおよびスタンバイ・ファイルシステムをホストしているサイト上でレプリケーションに必要なストレージ容量を決定します。プライマリ・ファイルシステムには、ファイルシステムをマウントする各ノードにつき最低4 GB必要です。スタンバイ・ファイルシステムには最低4GB必要です。これは、レプリケートされているデータ量およびプライマリ・ファイルシステムから送信されたレプリケーション・ログに必要なスペースには適切なサイズです。
プライマリ・ファイルシステムに必要なレプリケーションに関連するストレージを計算し、同じサイズ要件をスタンバイ・ファイルシステムに使用します。Oracle ACFSタグ付けを使用してプライマリ・ファイルシステムのファイルのサブセットのみをレプリケートする場合、スタンバイ・ファイルシステムのサイズ要件は、プライマリ・ファイルシステムのそのサブセットに比例します。
acfsutil info fsコマンドを、ノードのプライマリ・ファイルシステムへの変更の量と変更速度を表示するためにプライマリ・ファイルシステムがマウントされているノード上で-s intervalオプションで実行します。変更の量には、プライマリ・ファイルシステムへのすべてのユーザーとメタデータの変更が含まれます。この量は、ファイルシステムへの変更を記録するときに生成されるレプリケーション・ログのサイズとほぼ同じです。変更は、適用されるために送信されるまで、スタンバイにプライマリ・ファイルシステム内の特別ディレクトリに保持されるレプリケーション・ログと呼ばれる一時ファイルに保存されます。レプリケーション・ログに含まれる変更がスタンバイ・ファイルシステムに正しく適用されたという確認が受信された後、プライマリ・ファイルシステム上のレプリケーション・ログが削除されます。
レプリケーション・ログに必要な追加のストレージ容量を見積もるには、次のことを決定します。
スタンバイ・ファイルシステムをホストしているサイトへアクセスしているときに、プライマリ・ファイルシステムをホストしているサイトでネットワーク接続の問題やスローダウンが発生する可能性のある時間間隔。
スタンバイ・ファイルシステムをホストしているサイトがメンテナンスのためにオフラインになる可能性のある時間間隔。
これらの時間間隔は、記憶領域での変更の量と変更速度の計算で使用されます。プライマリ・ファイルシステムがスタンバイ・ファイルシステムにレプリケーション・ログを通常の速度で送信できなくなる、またはスタンバイ・ファイルシステムがメンテナンス中でアクセスできなくなる時間間隔を明らかにする必要があります。レプリケーション・ログは、プライマリ・ファイルシステムをホストしているサイトで累積し、最終的にそのサイトが領域不足になる原因となることがあります。
次のシナリオでは、t = 60分が、使用環境における、スタンバイ・ファイルシステムをホストしているサイトのメンテナンスまたはネットワーク障害の妥当な時間間隔だと仮定します。
acfsutil info fs -s 900をプライマリ・ファイルシステムで実行し、24時間の平均の変更速度を15分(900秒)間隔で収集します。t/4 (60/4) はサンプリング間隔の値であることに注意してください。重要なピークが欠落する可能性があるため、時間間隔にはt/2の値を超えないようにします。
$ /sbin/acfsutil info fs -s 900 /acfsmounts/repl_data
この出力を使用して、平均の変更速度、ピークの変更速度、ピークの持続時間を決定できます。しかし、このコマンドが表示する情報は、コマンドが実行するノードについてのみです。ファイルシステムでの合計の変更の量を収集するには、ファイルシステムを変更しているそれぞれのノードでコマンドを実行する必要があります。サポートするノードの最大数は8だということに注意してください。
次の式では追加で必要なストレージ容量を見積もります。
Extra storage capacity to hold replication logs =
(Number-nodes-on-primary * 1GB) + P
ここで、Pは、acfsutil info fs –s 出力によって報告された時間tにすべてのノードから生成された変化のピーク量です。
例では、60分で発生する変化の合計を求めるために、4つの15分間隔からの変化を合計する必要があります。最大変化量が発生した1つの時間を使用することを選択できますが、最悪のシナリオに備えて一緒に発生しない場合でも上位4つの15分間隔を選択することができます。
プライマリ・ファイルシステムを変更中の4つのノードがあって、測定された間隔中、60分間に報告されたピーク変更量は、すべてのノードで約20GBと仮定します。ストレージ容量の式を使用すると、プライマリ・ファイルシステムをホストしている各サイトには、24GBの余分なストレージ容量がレプリケーション・ログのストレージ用に必要です。
Extra storage capacity to hold replication logs = (4 * 1GB per node) + 20GB maximum change per hour = 24GB of extra storage capacity
次にネットワークの転送速度が、監視中に確認された変更速度以上かどうかをチェックします。前例で、時間ごとに変更されたデータ20GBのピークは、約5.5MB/secのピーク変更速度と同等です。この変更速度を保持するには、既存のネットワーク・ワークロードにマイナスの影響を与えることなく、ネットワークが少なくとも毎秒このデータ量を確実に転送できることを確認する必要があります。
現在の実際のネットワークの転送速度を見積もるには、ネットワーク使用が低いときに、プライマリ・ファイルシステムから目的のスタンバイ・ファイルシステムへ1GBのファイルをFTP転送するのに必要な時間を計算します。たとえば、1GBのファイルを30秒で転送する場合、現在のFTP速度は1秒当たり33MB(1000MB/30秒 = 33MB/秒)です。転送固有のさまざまな遅延のため、計画している目的については、測定されたFTP転送速度を20%減らし、ノードにつき5%追加する必要があります。
4つのノードの前例で、計画に使用されるFTP転送速度は次のとおりです。
33 MB/sec * (1 – (0.2) – (4 * 0.05)) = 33 * (0.6) = ~20MB/sec
ピークの変更速度は5.5MB/秒だけであるため、例ではネットワークでこの追加ワークロードを処理できることが予想されます。ただし、ネットワークの容量がすで十分活用されて閉じている場合、このファイルシステムとワークロードのレプリケーションを実装する前にネットワークの容量の増加を検討する場合があります。
さらに、ネットワーク問題によってプライマリ・ファイルシステムがレプリケーション・ログをスタンバイ・ファイルシステムに送信することが回避されたあとで、レプリケーションが追い付くのに十分なネットワーク容量を確保します。
詳細は、「acfsutil info fs」を参照してください。
タグ、ユーザー名およびサービス名を設定します。
Oracle ACFSファイルシステムでレプリケーションを開始するには、まず次の手順を実行します。
プライマリおよびスタンバイ・ファイルシステムをホストしているサイトが、Oracle ASMおよびDBA管理者としてリモートOracle ASMインスタンスに接続するのに使用する、ユーザー名とパスワードを決定します。ファイルシステムがマウントしているすべてのノードはこのユーザー名とパスワードをサポートする必要があります。ユーザーにはSYSASMおよびSYSDBA権限が必要です。次に例を示します。
SQL> CREATE USER primary_admin IDENTIFIED BY primary_passwd; SQL> GRANT sysasm,sysdba TO primary_admin;
Oracleウォレットもセキュリティ資格証明を管理するのに使用できます。
|
関連項目:
|
レプリケートするファイルシステムの一意のサービス名を決定します。
プライマリおよびスタンバイ・ファイルシステムが耐障害のために異なるクラスタにある場合は、プライマリおよびスタンバイ・ファイルシステムのサービス名が同一になることがあります。ただし、テスト構成などで両方のファイルシステムが同じノードにマウントされている場合は、プライマリおよびスタンバイ・ファイルシステムには一意のサービス名を使用する必要があります。プライマリおよびスタンバイ・ファイルシステムに一意のサービス名を使用するには、レプリケーションの初期化で-cオプションを使用する必要があります。サービス名は、最大128バイトに制限されています。
|
注意:
|
このサービス名を使用して、リモート・サイトに接続するプライマリおよびスタンバイ・ファイルシステムをホストしているサイト上にネット・サービスのエイリアスを作成します。このエイリアスと、ユーザー名およびパスワードは、レプリケーションの初期化コマンドで接続文字列として使用されます。
たとえば、次にプライマリおよびスタンバイ・ファイルシステムをホストしているサイトのネット・サービス・エイリアスを使用した接続記述子の例を示します。
primary_repl_site=(DESCRIPTION= (ADDRESS=(PROTOCOL=tcp)(HOST=primary1.example.com)(PORT=1521)) (ADDRESS=(PROTOCOL=tcp)(HOST=primary2.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=primary_service))) standby_repl_site=(DESCRIPTION= (ADDRESS=(PROTOCOL=tcp)(HOST=standby1.example.com)(PORT=1521)) (CONNECT_DATA=(SERVICE_NAME=standby_service)))
単一クライアント・アクセス名(SCAN) VIPを使用してレプリケーションを実行する場合、Oracle ASMインスタンスでREMOTE_LISTENER初期化パラメータを更新する必要があります。初期化ファイルまたはALTER SYSTEM SQL文でパラメータを更新できます。
次に例を示します。
SQL> ALTER SYSTEM SET remote_listener='SCAN_NAME:1521' sid='*' scope=both;
|
関連項目: 接続記述子の詳細は、『Oracle Database Net Services管理者ガイド』を参照してください。 |
オプションで、ディレクトリおよびファイルにタグを設定して、Oracle ACFSファイルシステム内で選択したファイルだけをレプリケートするようにします。レプリケートが開始されてからファイルにタグを追加することもできます。ファイルにタグ付けする手順の詳細は、「Oracle ACFSファイルシステムのタグ付け」を参照してください。
スタンバイ・ファイルシステムをホストしているサイトを構成します。
Oracle ACFSファイルシステムをレプリケートする前に、次の手順を実行して、スタンバイ・ファイルシステムをホストしているサイトを構成します。
レプリケートされたファイルおよびプライマリ・ファイルシステムからの関連するレプリケーション・ログを保持するのに十分なサイズの新しいファイルシステムを作成します。たとえば、/standby/repl_dataです。
1つのノードのみにファイルシステムをマウントします。
acfsutil repl init standbyコマンドを実行します。このコマンドがなんらかの理由で中断した場合、ユーザーはファイルシステムを再作成し、それを1つのノードのみにマウントして、コマンドを再実行する必要があります。このコマンドには次の構成情報が必要です。
プライマリ・ファイルシステムをホストしているサイトに接続するのに使用する接続文字列。次に例を示します。
primary_admin/primary_passwd@primary_repl_site
primary_adminユーザーには、SYSASMおよびSYSDBA権限が必要です。
スタンバイ・ファイルシステムがプライマリ・ファイルシステムとは異なるサービス名を使用している場合、-cオプションを使用します。このオプションは、スタンバイ・ファイルシステムのサービス名を指定します。次に例を示します。
standby_repl_service
スタンバイ・ファイルシステムのマウント・ポイント。次に例を示します。
/standby/repl_data
たとえば、次のacfsutil repl init standbyコマンドを、スタンバイ・ファイルシステムをホストしているサイトで実行します。
$ /sbin/acfsutil repl init standby
-p primary_admin/primary_passwd@primary_repl_site
-c standby_repl_service /standby/repl_data
acfsutil repl init standbyコマンドを実行するにはroot権限またはシステム管理者権限が必要です。
詳細は、「acfsutil repl init」を参照してください。
プライマリ・ファイルシステムをホストしているサイトを構成します。
スタンバイ・ファイルシステムの設定後、プライマリ・ファイルシステムをホストしているサイトを構成し、次の手順を実行してレプリケーションを開始します。
acfsutil repl init primaryコマンドを実行します。このコマンドには次の構成情報が必要です。
スタンバイ・ファイルシステムをホストしているサイトに接続するのに使用する接続文字列。次に例を示します。
standby_admin/standby_passwd@standby_repl_site
standby_adminユーザーには、SYSASMおよびSYSDBA権限が必要です。
プライマリ・ファイルシステムのマウント・ポイント。たとえば、/acfsmounts/repl_dataです。
プライマリ・ファイルシステムがスタンバイ・ファイルシステムとは異なるサービス名を使用している場合、-cオプションを使用します。このオプションは、プライマリ・ファイルシステムをホストしているサイト上のサービス名を指定します。次に例を示します。
primary_repl_service
スタンバイ・ファイルシステムをホストしているサイト上のマウント・ポイントが、プライマリ・ファイルシステムをホストしているサイト上のマウント・ポイントと異なる場合、-m standby_mount_pointオプションを使用して、スタンバイ・ファイルシステム上のマウント・ポイントを指定します。次に例を示します。
-m /standby/repl_data
たとえば、次のacfsutil repl init primaryコマンドを、プライマリ・ファイルシステムをホストしているサイトで実行します。
$ /sbin/acfsutil repl init primary
-s standby_admin/standby_passwd@standby_repl_site
-m /standby/repl_data -c primary_repl_service
/acfsmounts/repl_data
acfsutil repl init primaryコマンドを実行するにはroot権限またはシステム管理者権限が必要です。
詳細は、「acfsutil repl init」を参照してください。
ファイルシステムのレプリケーションに関する情報を監視します。
acfsutil repl infoコマンドは、プライマリまたはスタンバイ・ファイルシステムで処理中のレプリケーションの状態に関する情報を表示します。
たとえば、次のacfsutil repl infoコマンドを、プライマリ・ファイルシステムをホストしているサイトで実行して、構成情報を表示します。
$ /sbin/acfsutil repl info -c -v /acfsmounts/repl_data
このコマンドを実行するには、システム管理者またはOracle ASM管理者権限が必要です。
詳細は、「acfsutil repl info」を参照してください。
レプリケーション・バックグラウンド・プロセスを管理します。
acfsutil repl bgコマンドを実行してレプリケーション・バックグラウンド・プロセスを開始、停止、または情報を取得します。
たとえば、次の例では、/acfsmounts/repl_dataファイルシステムのレプリケーション・プロセスの情報を表示します。
$ /sbin/acfsutil repl bg info /acfsmounts/repl_data
acfsutil repl bg infoコマンドを実行するには、システム管理者またはOracle ASM管理者権限が必要です。
詳細は、「acfsutil repl bg」を参照してください。
必要な場合にのみレプリケーションを一時的に停止します。
acfsutil repl pauseコマンドを実行して、レプリケーションを一時停止します。できるだけ早くacfsutil repl resumeコマンドを実行して、レプリケーションを再開する必要があります。
たとえば、次のコマンドでは、/acfsmounts/repl_dataファイルシステムのレプリケーションを一時停止します。
$ /sbin/acfsutil repl pause /acfsmounts/repl_data
次のコマンドでは、/acfsmounts/repl_dataファイルシステムのレプリケーションを再開します。
$ /sbin/acfsutil repl resume /acfsmounts/repl_data
このコマンドを実行するには、システム管理者またはOracle ASM管理者権限が必要です。
詳細は、「acfsutil repl pause」および「acfsutil repl resume」を参照してください。
|
注意: Oracle ACFSファイルシステムで、dfは内部メタデータに加えてユーザー・ファイルおよびディレクトリの領域使用量を報告します。duはユーザー・ファイルおよびディレクトリの領域使用量のみを報告します。ボリュームのサイズおよびノード数により、内部メタデータはさまざまなサイズで割り当てられます。さらに、レプリケーションが有効な場合、内部レプリケーション・ログが各ノードに割り当てられ、レプリケーション・ログをユーザー領域デーモンに公開してスタンバイに転送する前に、ファイルシステムへの変更を報告するのに使用されます。 |
Oracle ACFSファイルシステムのレプリケーションの詳細は、「Oracle ACFSレプリケーション」を参照してください。
この項では、ファイルシステムを登録解除またはディスマウントする操作と、ボリュームを無効にする操作について説明します。この項の内容は次のとおりです。
Oracle ACFSファイルシステムを自動的にマウントしない場合は、ファイルシステムを登録解除できます。
次に例を示します。
$ /sbin/acfsutil registry -d /u01/app/acfsmounts/myacfs
ファイルシステムを登録解除すると、Oracle Clusterwareまたはシステムの再起動後は、ファイルシステムを明示的にマウントする必要があります。
レジストリの詳細は、「Oracle ACFSマウント・レジストリについて」を参照してください。acfsutil registryの詳細は、「acfsutil registry」を参照してください。
ファイルシステムを登録解除せずに、あるいはファイルシステムがマウントされているボリュームを無効化せずに、ファイルシステムをディスマウントできます。
たとえば、ファイルシステムをディスマウントし、fsckを実行してファイルシステムをチェックできます。
# /bin/umount /u01/app/acfsmounts/myacfs # /sbin/fsck -a -v -y -t acfs /dev/asm/volume1-123
ファイルシステムは、ディスマウント後、明示的にマウントする必要があります。
Linuxシステムではumountを、Windowsシステムではacfsdismountを使用します。ファイルシステムをディスマウントするコマンドの詳細は、「umount」または「acfsdismount」を参照してください。
Linuxシステムではfsckを、Windowsシステムではacfschkdskを使用してファイルシステムをチェックします。ファイルシステムをチェックするコマンドの詳細は、「fsck」または「acfschkdsk」を参照してください。
ボリュームを無効にするには、まずボリュームがマウントされているファイルシステムをディスマウントする必要があります。
次に例を示します。
# /bin/umount /u01/app/acfsmounts/myacfs
ファイルシステムをディスマウントしたら、ボリュームを無効にしてボリューム・デバイス・ファイルを削除できます。
次に例を示します。
ASMCMD> voldisable -G data volume1
ファイルシステムをディスマウントしてボリュームを無効にしても、ファイルシステム内のデータは破棄されません。ボリュームを有効にしてファイルシステムをマウントすると、既存のデータにアクセスできます。voldisableおよびvolenableの詳細は、「voldisable」および「volenable」を参照してください。
ボリュームおよびOracle ACFSファイルシステムを永続的に削除するには、次の手順を実行します。次の手順により、ファイルシステム内のデータは破棄されます。
acfsutil registry -dを使用してファイルシステムを登録解除します。
次に例を示します。
$ /sbin/acfsutil registry -d /oracle/acfsmounts/acfs1 acfsutil registry: successfully removed ACFS mount point /oracle/acfsmounts/acfs1 from Oracle Registry
acfsutil registryの実行の詳細は、「acfsutil registry」を参照してください。
ファイルシステムをディスマウントします。
次に例を示します。
# /bin/umount /oracle/acfsmounts/acfs1
クラスタのすべてのノードでファイルシステムをディスマウントする必要があります。
Linuxシステムではumountを、Windowsシステムではacfsdismountを使用します。umountまたはacfsdismountの実行の詳細は、「umount」または「acfsdismount」を参照してください。
acfsutil rmfsを使用してファイルシステムを削除します。
後続の手順でボリュームを削除しない場合は、この手順を実行してファイルシステムを削除する必要があります。それ以外の場合は、ボリュームを削除するとファイルシステムは削除されます。
次に例を示します。
$ /sbin/acfsutil rmfs /dev/asm/volume1-123
acfsutil rmfsの実行の詳細は、「acfsutil rmfs」を参照してください。
必要に応じて、ASMCMD voldisableコマンドを使用してボリュームを無効にできます。
次に例を示します。
ASMCMD> voldisable -G data volume1
voldisableの実行の詳細は、「voldisable」を参照してください。
ASMCMD voldeleteコマンドを使用してボリュームを削除します。
次に例を示します。
ASMCMD> voldelete -G data volume1
voldeleteの実行の詳細は、「voldelete」を参照してください。
