| Oracle® Database Firewall管理ガイド リリース5.1 B66170-01 |
|
 前 |
 次 |
この章の内容は、次のとおりです。
この項の内容は、次のとおりです。
Oracle Database Firewallでは、2つのDatabase Firewallをレジリエント・ペアとして構成できるようにすることで、高可用性ソリューションを提供しています。通常の運用では、一方のユニット(プライマリ)が通常の操作をすべて実行するのに対して、他方のユニット(セカンダリ)はトラフィックを監視し、万一プライマリに障害が発生した場合にのみアラートを発行します。
通常、両方のデバイスはネットワークに接続しています。レジリエント・ペアの構成に必要なすべての設定は、Management Server管理コンソールから使用できます。
図4-1は、2つのDatabase Firewallをレジリエント・ペアとして使用する例を示しています。
図4-1 Oracle Database Firewallのレジリエント・ペアを使用した高可用性
高可用性は、Oracle Database Firewallがデータベース・アクティビティ・モニタリング・モードで構成されている場合にのみ使用できます。
オプションで、2つのOracle Database Firewall Management Serverをレジリエント・ペアとして構成することもできます。プライマリOracle Database Firewall Management Serverはすべてのタスクを実行し、セカンダリOracle Database Firewall Management Serverは制御を引き受ける準備を整えてスタンバイします。
Oracle Database Firewall Management Serverのレジリエント・ペアの主な利点は、プライマリOracle Database Firewall Management Serverに障害が発生した場合にレポートを生成し、システム・ステータスを監視し、構成設定を変更するための継続的なサービスを提供することです。
セカンダリOracle Database Firewall Management Serverは、構成設定をプライマリから自動的に取得します。2つのデバイス間での設定の整合性を保持するために、管理コンソールでは、プライマリOracle Database Firewall Management Serverからの構成設定の保存のみを許可しています。
|
注意: Oracle Database Firewallシステムでは、単一のManagement Server、または2つのManagement Serverをレジリエント・ペアとして使用することができます。 |
図4-2は、Database Firewallのレジリエント・ペアと、Management Serverのレジリエント・ペアを使用した高可用性の例を示しています。
図4-2 Management ServerとDatabase Firewallのレジリエント・ペアを使用した高可用性
Oracle Database Firewallを使用して、2つの強制ポイントのペアを作成できます。これは、2つのデータ・センターが存在する特定の高可用性アーキテクチャに役立ちます。詳細は、「強制ポイントのペアの作成」を参照してください。
レジリエント・ペアを使用する場合は、ネットワークを使用して、ペアの両方のデバイスが相互に通信できるようにすることが重要です。Oracle Database Firewallをプライマリとセカンダリの両方のOracle Database Firewall Management Serverと通信できるようにし、その逆方向にも通信できるようにする必要があります。
第3章「Database Firewall Management Serverの構成」では、Database Firewallのレジリエント・ペアを構成するために必要な手順も含めて、Oracle Database Firewallシステムを新規に設定する方法を説明しています。この項では、既存のシステムに高可用性を追加する場合に役立つ、Management Serverのレジリエント・ペアを作成するための固有の手順について説明します。
この項の内容は、次のとおりです。
Oracle Database Firewall Management Serverのレジリエント・ペアを設定する手順は、次のとおりです。
Management Serverソフトウェアが2つのサーバーでインストールおよび実行されていることを確認します。
Management Serverのレジリエント・ペアで管理する各Database Firewallについて、次の手順を実行します。
Database Firewallの管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「System」タブをクリックし、「System」メニューで「Management Server」をクリックします。
インストールされている1つ目のManagement ServerのIPアドレスおよび証明書を入力します。
「Add Second Management Server」を選択し、インストールされている2つ目のManagement ServerのIPアドレスおよび証明書を追加します。
ペアの各Management Serverについて、次の手順を実行します。
Management Serverの管理コンソールにログインします。
「System」タブをクリックし、「High Availability Pairing」セクションの「Change」をクリックします。
「Change Status」フィールドで、このManagement Serverがプライマリであるかセカンダリであるかを選択します。
パートナManagement ServerのIPアドレスおよび証明書を入力し、「Apply」をクリックします。
レジリエント・ペアのManagement Serverの両方に、管理対象の各Database Firewallをアプライアンスとして追加します。「ステップ3B: Management Serverへの各Oracle Database Firewallの追加」を参照してください。
Database Firewall Management Serverの高可用性設定を表示する手順は、次のとおりです。
Management Serverの管理コンソールで、「System」タブをクリックし、「System」メニューの「Status」をクリックします。
「Status」ページの「High Availability」セクションで、Management Serverの高可用性設定を表示します。
Oracle Database Firewall Management Serverのプライマリからセカンダリへのステータスのスワッピングは、プライマリに障害が発生した場合に自動的に処理されるため、通常、手動でスワッピングする必要はありません。ただし、Management Serverのプライマリとセカンダリのスワッピングが、たとえばアップグレード処理などで必要になる場合があります。アップグレードの際、セカンダリ・サーバーでのアップグレードを実行するには、プライマリManagement ServerとセカンダリManagement Serverのスワッピングが必要になります。
Database Firewall Management Serverのプライマリとセカンダリをスワッピングする手順は、次のとおりです。
現行のプライマリManagement Serverの管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「High Availability Pairing」セクションで、「Change」をクリックします。
「Secondary」ボタンをクリックします。
この項では、Oracle Database Firewallのレジリエント・ペアの構成に必要な手順について説明します。これらの手順は、第3章の新規のOracle Database Firewallシステムの設定方法の説明に記載されていますが、既存のシステムに高可用性を追加する場合は、次に記載されている手順のサマリーを参照すると便利です。
この項の内容は、次のとおりです。
高可用性環境を構成する場合、対のDatabase Firewallに使用されるハードウェアの仕様が同一であることを確認してください。
Oracle Database Firewallのレジリエント・ペアを設定する手順は、次のとおりです。
現行のプライマリManagement Server(Management Serverが1つのみの場合はそのManagement Server)の管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Appliances」タブを選択し、「Resilience」メニューで「Create Resilient Pair」をクリックします。
「Primary」および「Secondary」メニューを使用して、2つのOracle Database Firewallを選択します。
次に示すように、「Appliances」ページの「Status」列に、どのOracle Database Firewallがプライマリで、どのOracle Database Firewallがセカンダリかが表示されます。ステータスは、ページが表示されるたびにリフレッシュされます。
「Unpair」をクリックすると、レジリエント・ペアから2つのデバイスが削除されます。
強制ポイントを設定する場合は、ペアのOracle Database Firewallが一緒にリストされ、単一のラジオ・ボタンが表示されます。
Oracle Database Firewallのプライマリからセカンダリへのステータスのスワッピングは、プライマリに障害が発生した場合に自動的に処理されるため、通常、手動でスワッピングする必要はありません。ただし、ソフトウェアの更新時など、変更が必要になる状況があります。
現行のプライマリManagement Serverの管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
「Appliances」タブを選択し、「Appliances」ページで「Swap」をクリックします。
一部の高可用性アーキテクチャでは、異なる場所にある2つのデータ・センターを使用し、各センターに1つずつローカル・データベースが設置されますが、クライアント・アプリケーションからは単一のデータベースとして見えます。このシナリオでは、管理コンソールで各データベースに個別の強制ポイントを設定し、2つの強制ポイントのペアを作成します。強制ポイントのペアを作成することで、ユーザー・ロール監査(第6章「ロール監査の構成および使用」を参照)およびストアド・プロシージャ監査(第5章「ストアド・プロシージャ監査の構成」を参照)で重複するレコードが表示されなくなり、ポリシーに対する変更を両方のデータベースに自動的に適用できます。
|
注意: 強制ポイントにはプライマリとセカンダリの概念はありません。両方の強制ポイントで同時に監視します。高可用の冗長性は、Oracle Database Firewallのレジリエント・ペア、および(オプションで)Oracle Database Firewall Management Serverのレジリエント・ペアを設定することでのみ実現されます。 |
2つの強制ポイントのペアを作成する手順は、次のとおりです。
現行のプライマリManagement Serverの管理コンソールにログインします。
詳細は、「管理コンソールへのログイン」を参照してください。
プライマリOracle Database Firewall Management Serverの管理コンソールで、「Monitoring」タブを選択します。
「Resilience」メニューで、「Create Pair」をクリックします。
「Primary」メニューと「Secondary」メニューを使用して、2つの強制ポイントを選択します。
注意: 選択した2つの強制ポイントは、同じ保護対象データベースを監視し、DAMモードで同じポリシーを使用する必要があります。
変更内容を保存します。
「Enforcement Points」ページで「Unpair」をクリックすると、2つの強制ポイントのペアを解除できます。
プライマリOracle Database Firewall Management Serverのみから通常の方法でアーカイブを実行することで、レジリエント・ペアのOracle Database Firewall Management ServerおよびOracle Database Firewallからデータをアーカイブできます。セカンダリOracle Database Firewall Management Serverは、構成およびSPA/URA監査データをプライマリから自動的に取得します。詳細は、「データのアーカイブ」を参照してください。
パッチ・アップデートによるOracle Database Firewallソフトウェアの更新では、データベースの監視および保護の中断が要求されることはありません。パッチ・インストールは、プライマリ・サーバーを常にオンラインのままにした状態で、レジリエント・ペアに対して実行できます。
レジリエント・ペアのOracle Database Firewallソフトウェアを更新する場合は、最初にセカンダリ・サーバーを更新し、プライマリ・サーバーとセカンダリ・サーバーをスワッピングした後、新しいセカンダリ・サーバーを更新してください。この処理の詳細は、『Oracle Database Firewallインストレーション・ガイド』を参照してください。
