OKM が使用するクラスタ設計には、2 つ以上の KMA が必要です脚注 1 。この設計は、業務継続が中断されるリスクを小さくするのに役立ちます。
また、一部の設計および保護要件は、コンポーネントの回復を支援するために使用されます。
KMA のクラスタ化により、データベースエントリのレプリケーションと作業負荷の分散が可能になります。コンポーネントに突然障害が発生した場合も、簡単に交換して運用を復元できます。
暗号化およびアーカイブ戦略を設計するときの重要な設計ガイドラインは、どこかのサイトで生成された重要データは、別のサイトにレプリケートして保管することです。これについては、章 3, "データの回復"で説明されています。
この章では、OKM でコンポーネントを交換する場合の情報について説明します。
1 つ以上の KMA が動作し続けているかぎり、クラスタの残りに影響を与えることなく 1 つの KMA を回復させることができます。以降のセクションでは、1 つの KMA の復旧が必要なシナリオについて取り上げます。
ソフトウェアのアップグレードに修復や回復が当然のように伴うわけではありませんが、このアクション中、アップグレードが行われると KMA が休止することがあります。
アップグレードは、アクティブな暗号化エージェントを中断させずに実行できます。
新しいソフトウェアのダウンロードは、クラスタ内のすべての KMA で同時に実行できます。
新しいソフトウェアのアクティブ化には、KMA サーバーのリブートが必要です。
そのため、常に少なくとも 1 つの KMA がアクティブになるように、クラスタ内の KMA のリブートは時間を少しずらす必要があります。
各 KMA がオンラインステータスに戻ると、KMA がオフラインの間に行われたデータベース更新がレプリケートされ、クラスタ内のすべての KMA が再同期されます。
新しいソフトウェアがアクティブ化されるときなど、KMA が管理ネットワークから切断されると、クラスタ内の残りの KMA はその KMA への接続を試み続け、監査イベントログに通信エラーを報告します。
エージェントは、ネットワーク上のほかの KMA と通信し続けます。通常、これらは同じサービスネットワークに接続されたほかの KMA です。ただし、エージェントは管理ネットワークに接続されている可能性があるため、まず、それぞれ構成されたサイト内の KMA と連携しようとします。ただし、必要な場合は、クラスタ内で到達可能な任意の KMA に接続します。
KMA がネットワークに再接続すると、KMA が切断されていた間に行われたデータベース更新がレプリケートされ、クラスタ内のすべての KMA が再同期されます。
ハードウェア障害が発生した場合、まず KMA をクラスタから削除して、残りの KMA がその KMA との通信を試みないようにする必要があります。
KMA コンソールにアクセスできる場合は、KMA をリセットできます。リセット操作により、ユニットは出荷時のデフォルトに戻ります。この操作では、追加のセキュリティー予防対策としてサーバーのハードディスクを消去するオプションが提供されます。障害の発生したサーバーの廃棄は、顧客が処理します。
交換用の KMA サーバーは、Oracle Key Manager のシステムインストールと保守に関するマニュアル (PN E48395-01) の説明に従って構成およびクラスタに追加されます。
新しい KMA がクラスタに追加されると:
データベースがレプリケートされます。
クラスタ内の KMA が再同期されます。
新しい KMA がクラスタのアクティブなメンバーになります。
|
アカウント名: |
|||
|
セキュリティー管理者: |
|||
|
定足数メンバー: |
|||
|
サイトの場所: |
KMA S/N: |
KMA 名: |
KMA ファームウェアレベル: |
|
KMA IP アドレス: |
サービスネットワーク IP: |
||
|
OKM マネージャー IP: |
ELOM/ILOM IP: |
||
|
NTP|はい__いいえ__IP: |
DHCP|はい__いいえ__ |
||
|
ゲートウェイ|はい__いいえ__IP: |
DNS|はい__いいえ__IP: |
||
|
IPv6 はい__いいえ__ |
ドメイン: |
||
|
アドレス: |
ホスト名: |
||
|
KMA 番号: |
クラスタ内の KMA の数: |
||
|
KMA の場所: |
OKM マネージャーの場所: |
||
|
構成タイプ: |
SL8500 ライブラリ SL3000 ライブラリ SL500 ライブラリ 9310 ライブラリ L700/1400 ライブラリ |
テープドライブのタイプ: |
T10000A テープドライブ T10000B テープドライブ T10000C テープドライブ T10000D テープドライブ T9840D テープドライブ HP LTO テープドライブ IBM LTO テープドライブ |
|
サイトの場所: |
KMA S/N: |
KMA 名: |
KMA ファームウェアレベル: |
|
KMA IP アドレス: |
サービスネットワーク IP: |
||
|
OKM マネージャー IP: |
ELOM/ILOM IP: |
||
|
NTP|はい__いいえ__IP: |
DHCP|はい__いいえ__ |
||
|
ゲートウェイ|はい__いいえ__IP: |
DNS|はい__いいえ__IP: |
||
|
IPv6 はい__いいえ__ |
ドメイン: |
||
|
アドレス: |
ホスト名: |
||
|
KMA 番号: |
クラスタ内の KMA の数: |
||
|
KMA の場所: |
OKM マネージャーの場所: |
||
|
構成タイプ: |
SL8500 ライブラリ SL3000 ライブラリ SL500 ライブラリ 9310 ライブラリ L700/1400 ライブラリ |
テープドライブのタイプ: |
T10000A テープドライブ T10000B テープドライブ T10000C テープドライブ T10000D テープドライブ T9840D テープドライブ HP LTO テープドライブ IBM LTO テープドライブ |
脚注の凡例
脚注 1: 複数のサーバー: この標準構成から外れる場合は、OKM エンジニアリングおよびグローバルサポートサービスの同意を得る必要があります。