| Oracle® Key Vault管理者ガイド リリース12.2 BP11 E76998-09 |
|
 前 |
 次 |
Oracle Key Vaultは高可用性構成および自動バックアップに対応しているため、セキュリティ・オブジェクトへのアクセスの継続性、信頼性および安全性を高め、停止時間を最小化できます。
データ・センターが世界各地に地理的に分散している場合、データにオンデマンドでいつでも確実にアクセスできるようにする必要性が高くなります。業務上重大な操作を実行するユーザーには、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要となります。高可用性デプロイメントはこのような要件を満たします。
高可用性を実現するには、障害発生時にプライマリ・サーバーの機能を引き継ぐスタンバイ・サーバーを追加して冗長性を高めます。Oracle Key Vaultを高可用性構成でデプロイする主な理由は、シングル・ポイント障害の排除とサーバーの停止時間の短縮の2つとなり、スタンバイ・サーバーはこれらの実現に役立ちます。
親トピック: 高可用性、バックアップおよびリストア操作
高可用性のOracle Key Vaultデプロイメントは、プライマリおよびスタンバイと呼ばれる2台のKey Vaultピア・サーバーで構成されます。プライマリは、エンドポイントのリクエストにサービスを提供するアクティブなサーバーです。プライマリに障害が発生すると、スタンバイが後を引き継ぎます。
親トピック: 高可用性、バックアップおよびリストア操作
高可用性を構成するには、プライマリ・サーバーとスタンバイ・サーバーに相互のIPアドレスおよび証明書を指定し、これらをペアにします。プライマリ・サーバーとスタンバイ・サーバーをペアにしている間、一方をプライマリ・サーバーとして、もう一方をスタンバイとして選択できます。フェイルオーバー・タイムアウトを設定することで、スタンバイがプライマリとして引き継ぎを開始するタイミングが決まります。
前提条件:
プライマリ・システムとスタンバイ・システムのロールはメンテナンスや障害の際に入れ替わる可能性があるため、両方をできるだけ同じ状態に保つことをお薦めします。これには次の事項が含まれます。
Key Vaultソフトウェアのバージョン
ディスク・サイズ
RAMサイズ
両方のシステムのシステム・クロックを同期すること
高可用性が要求されるデプロイメントにおいては、プライマリ・サーバーとスタンバイ・サーバーの両方がエンドポイントによって認識されるように、Key Vaultにエンドポイントを追加する前に高可用性を構成することをお薦めします。スタンバイ・サーバーよりも前に追加したエンドポイントでは、そのエンドポイントを再エンロールしないかぎり、スタンバイ・サーバーを認識しません。エンドポイントを追加した後で高可用性を構成した場合は、以前にスタンドアロン・モードでプライマリ・サーバーおよびスタンバイ・サーバーにエンロールされたエンドポイントを再エンロールする必要があります。
高可用性環境でSNMPサポートを追加する場合は、プライマリ・サーバーとスタンバイ・サーバーをペアにする前に、両方のサーバーでSNMPを構成する必要があります。これは、すべてのリクエストがプライマリ・サーバーに転送され、管理コンソールからスタンバイ・サーバーにアクセスできなくなるためです。
高可用性構成でサード・パーティの証明書を使用する場合は、最初にプライマリ・サーバーおよびスタンバイ・サーバーに証明書をインストールし、次に、それらをペアにする必要があります。
永続性キャッシュを有効にすると、Oracle Key Vaultからのマスター・キーがプライマリとスタンバイで別々にキャッシュされます。プライマリとスタンバイの起動後に、両方でTDE操作を実行するようにしてください。また、永続性キャッシュ機能は、高可用性構成の間、およびスイッチオーバー操作やフェイルオーバー操作の間、エンドポイントでの操作を可能にします。
有効になっている場合、Oracle Key Vault 12.2.0.5.0以上の読取り専用制限モードにより、プライマリ・サーバーまたはスタンバイ・サーバーのどちらかが使用できない場合に、エンドポイントの操作の継続性が保証されます。また、読取り専用制限モードにより、プライマリ・サーバーまたはスタンバイ・サーバーのどちらかが停止した場合の、存続しているOracle Key Vaultサーバーの動作の統一性が保証されます。
高可用性構成には、プライマリ・サーバーとスタンバイ・サーバーが継続的に同期されるという特徴があります。プライマリ・サーバーとスタンバイ・サーバーの間で同期が失われると、2つのプライマリ・サーバーが同時にアクティブになるというスプリット・ブレイン・シナリオが発生する可能性があります。このようなシナリオでは、両方のサーバーが、最後の同期状態から分岐した新しいデータを記録します。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されたときに、2つのサーバー上の変更を調整できず、データ損失が発生する可能性があります。
高可用性を構成する際は、「Configure High Availability」ページで「Allow Read-Only Restricted Mode」ラジオ・ボタンを「Yes」または「No」に設定して、制限モードを有効または無効にすることができます。
読取り専用制限モードが有効になっていると、スタンバイ・サーバーが使用できない場合、プライマリ・サーバーは読取り専用制限モードになります。読取り専用制限モードでは、プライマリ・サーバーでキーの取得はできますが、キーの変更または新しいキーの追加はできません。これにより、エンドポイントは引き続きキーにアクセスでき、スプリット・ブレイン・シナリオによってキー・データまたはメタデータが失われることはありません。ただし、プライマリ・サーバーは引き続き監査レコードを書き込みますが、スタンバイ・サーバーでスプリット・ブレイン・シナリオが発生した場合にこのレコードが失われることがあります。
読取り専用制限モードが無効になっていると、スタンバイ・サーバーが使用できない場合、プライマリ・サーバーは使用できなくなり、新しいリクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはサーバーからキーを取得できません。永続マスター・キー・キャッシュ機能を使用して、エンドポイントの停止時間を回避できます。エンドポイントが任意の時点において1つのプライマリ・サーバーと通信できるようにすることで、データの整合性が確保されます。スプリット・ブレイン状況およびこのような状況に関連するデータ損失のリスクが回避されます。
親トピック: Oracle Key Vaultの高可用性について
高可用性を構成する手順:
「Configure High Availability」ページのフィールドは次のとおりです。
Current Status: 現在のサーバーのIPアドレスとステータスを示します。
Fast Start Failover Threshold (in secs): サーバーが、障害が発生したピア・サーバーから後を引き継ぐまでの経過時間(秒単位)を示します。デフォルトは60秒です。
短時間の障害または断続的な障害時にフェイルオーバーしないようにするには、時間を長くします。
Configure this server as: サーバーをプライマリ・サーバーまたはスタンバイ・サーバーのどちらとして構成するかを示します。
Allow Read-Only Restricted Mode: 読取り専用制限モードのステータスを示します。デフォルトは「Yes」です。
有効にした場合、読取り専用制限モードにより、プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合に、エンドポイントの操作の継続性が保証されます
Current Server Certificate: サーバー証明書を示します。
図4-2 「Configure High Availability」ページ(スタンバイ・サーバー)
「Allow Read-Only Restricted Mode」フィールドで「Yes」が選択されていることを確認します。
注意:
必要でないかぎり、読取り専用制限モードを無効にしないでください。高可用性が読取り専用制限モードが無効な状態で設定されている場合は、Oracle Key Vaultを再インストールして再度構成することによって有効にする必要があります。「Reset」ボタンを使用すると、必要に応じて高可用性構成を削除できます。
standby.txtから次の情報をコピーし、プライマリ・サーバーの「Configure High Availability」ページに貼り付けます。IPアドレスをコピーして「Standby server IP address」フィールドに貼り付けます。
サーバー証明書をコピーして「Standby server certificate」フィールドに貼り付けます。
図4-4 「Configure High Availability」ページ(プライマリ・サーバー)
「Unpair」ボタンを使用すると、必要に応じてプライマリ・サーバーをスタンバイ・サーバーから切断できます。
「Switch Roles」ボタンを使用すると、必要に応じてプライマリ・サーバーとスタンバイ・サーバーのロールを切り替えることができます。その後、プライマリ・サーバーはスタンバイ・サーバーのロールを引き受ける一方、スタンバイ・サーバーは新しいプライマリ・サーバーのロールを引き受けます。
注意:
高可用性が構成されている場合、Webブラウザを使用してスタンバイ・サーバーにログインすることはできません。
高可用性を管理するには、Webブラウザを使用してプライマリ・サーバーにログインします。
注意:
高可用性を構成する際は、読取り専用制限モードが有効になっていることを確認してください。後でこれを有効にすると、スタンバイ・サーバーへのOracle Key Vaultアプライアンス・ソフトウェアの再インストールが必要となります。
高可用性を構成したら、プライマリ・サーバーでシステム時間を変更しないでください。システム時間を変更するとスタンバイ・サーバーが停止するため、高可用性構成の機能が中断されます。
親トピック: Oracle Key Vaultの高可用性について
高可用性構成では、プライマリ・サーバーとスタンバイ・サーバーのロールを切り替えることができます。これは、メンテナンス期間中、ソフトウェアをアップグレードしたり、パッチをインストールするためにサーバーを停止させる必要がある場合に役立ちます。
永続キャッシュが有効化されていて、永続キャッシュのタイムアウトが最適化されている場合、エンドポイントはスイッチオーバー中も動作を継続でき、エンドポイントの停止時間が最小限に抑えられます。
ロールを切り替えるには、次の手順に従います。
親トピック: Oracle Key Vaultの高可用性について
プライマリ・サーバーに障害が発生すると、フェイルオーバーが行われます。プライマリを使用できない場合、スタンバイ・サーバーがプライマリ・ロールを引き継ぎます。プライマリからスタンバイへの通信が途絶えてから、「Fast Start Failover Threshold」の値を超える時間が経過すると、プライマリが停止しているとみなされ、フェイルオーバー・プロセスが開始します。Key Vaultユーザー・インタフェースから「Fast Start Failover Threshold」フィールドの値をデフォルトの60秒とは異なる値に構成できます。障害が発生したサーバー(前のプライマリ)が復帰すると、ほとんどの場合、そのサーバーが自動的に新しいスタンバイ・サーバーになります。
プライマリ・サーバーの障害が永続する場合は、スタンバイ・サーバーがプライマリを引き継ぎます。この場合は、次の手順に従って、高可用性を手動操作でリストアする必要があります。
注意:
読取り専用制限モードが無効な場合、プライマリ・サーバーのフェイルオーバー・ステータスは一時停止状態になり、スタンバイ・サーバーはプライマリ・サーバーが復帰するまで無期限に待機します。これは、2つのプライマリ・サーバーが同時にアクティブになるというスプリット・ブレイン状況を回避することを想定した動作です。
読取り専用制限モードが有効な場合、プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生すると、動作中のピアは読取り専用制限モードになり、エンドポイントの操作の継続性が保証されます。
関連項目:
高可用性でのフェイルオーバー状況からのリカバリの詳細は、「高可用性モードでのフェイルオーバーの状況」を参照してください。
親トピック: Oracle Key Vaultの高可用性について
高可用性を無効化するには、プライマリ・サーバーとスタンバイ・サーバーのペアを解除します。ペアを解除すると、プライマリとスタンバイがスタンドアロン・モードで動作するようになります。エンドポイントから古いスタンバイ(新しいスタンドアロンOracle Key Vaultサーバー)に接続できないようにするには、その古いスタンバイをネットワークから除去する必要があります。
高可用性を無効化するには、次のステップに従います。
親トピック: Oracle Key Vaultの高可用性について
Oracle Key Vaultを高可用性制限モードに構成できます。
親トピック: Oracle Key Vaultの高可用性について
高可用性読取り専用制限モードにより、プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合に、エンドポイントの操作の継続性が保証されます。
高可用性読取り専用制限モードは、Oracle Key Vault 12.2.0.5.0以降でサポートされます。
Oracle Key Vault 12.2.0.4.0では、計画外停止によってスタンバイ・サーバーがオフラインになった場合、エンドポイントはプライマリ・サーバーも使用できなくなりました。ただし、計画停止によってスタンバイ・サーバーがオフラインになった場合、エンドポイントは引き続きプライマリ・サーバーを使用できました。
Oracle Key Vault 12.2.0.5.0以降では、高可用性読取り専用制限モードをサポートしています。高可用性読取り専用制限モードにより、プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合に、エンドポイントの操作の継続性が保証されます。
計画外停止により、プライマリ・データベースまたはスタンバイ・サーバーがオフラインになった場合、エンドポイントは重要な操作を実行するために引き続き存続するピア・サーバーに接続できます。高可用性読取り専用制限モードにより、データをレプリケートする操作はブロックされます。データをレプリケートする操作が許可されるのは、プライマリ・サーバーとスタンバイ・サーバーの両方がオンラインに戻ったときであるため、クリティカル・データが失われることがなくなります。
高可用性Oracle Key Vaultデプロイメントでは、プライマリ・サーバーのデータをスタンバイ・サーバーにレプリケートすることで、単一障害点を排除します。読取り専用制限モードでは、監査レコードなどのクリティカルでないデータの生成は有効です。しかし、キーなどのクリティカル・データの生成は無効です。プライマリ・サーバーが停止した場合、スタンバイでの新しいクリティカル・データの生成は無効になります。逆の場合も同様です。スタンバイ・サーバーが停止している場合、プライマリ・サーバーでデータを変更または作成しようする操作は無効です。
読取り専用制限モードなしの高可用性デプロイメントでは、ほとんどのエンドポイント操作はブロックされます。エンドポイント操作では監査レコードが生成されますが、これはレプリケーションが必要なデータであり、操作の継続性が中断されるためです。
読取り専用制限モードを使用する利点は、次のとおりです。
プライマリ・サーバーまたはスタンバイ・サーバーがオフラインの場合に、エンドポイントの操作の継続性が保証されます。
プライマリ・サーバーまたはスタンバイ・サーバーがオフラインの場合に、対称的な動作が保証されます。
親トピック: 高可用性読取り専用制限モードについて
読取り専用モードなしで高可用性が構成されている場合、エンドポイント操作への影響は、発生した障害のタイプ(プライマリ障害、スタンバイ障害、プライマリ・サーバーとスタンバイ・サーバー間の通信を妨げるネットワーク障害)によって異なります。考えられるシナリオを次に示します。
プライマリ・サーバーの障害: スタンバイ・サーバーにフェイルオーバーされ、スタンバイ・サーバーは影響を受けるプライマリ・サーバーから後を引き継ぎます。これにより、Oracle Key Vaultサービスは動作し続けることができます。データ変更は、スタンバイ・サーバーにレプリケートできるようになるまで、プライマリ・サーバー上に保存されます。これにより、計画外停止が原因でプライマリ・サーバーがオフラインになった場合に、エンドポイントの操作の継続性が保証されます。
スタンバイ・サーバーの障害: スタンバイ・サーバーの障害と、プライマリ・サーバーとスタンバイ・サーバー間の通信を妨げるネットワーク障害を区別できないため、エンドポイントはプライマリ・サーバーを使用できなくなります。
電源の切断またはネットワーク接続の障害: プライマリ・サーバーおよびスタンバイ・サーバーは通信できません。スタンバイ・サーバーにフェイルオーバーされ、スタンバイ・サーバーはプライマリ・サーバーから後を引き継ぎます。スプリット・ブレイン・シナリオを回避するには、1つのサーバーのみがエンドポイントにサービスを提供できるようにします。
注意:
Oracle Key Vaultでスプリット・ブレイン・シナリオが発生するのは、プライマリ・サーバーに障害が発生し、スタンバイ・サーバーにフェイルオーバーされ、スタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐ場合です。これにより、プライマリ・サーバーとスタンバイ・サーバーがエンドポイントにサービスを提供できるようになり、新しいデータが作成されます。スプリット・ブレイン・シナリオでは、プライマリ・サーバーとスタンバイ・サーバーのデータは同期されなくなります。これがデータの損失や破損、および操作の継続性の喪失につながることがあります。スプリット・ブレイン・シナリオを回避するには、フェイルオーバーが行われた後、1つのサーバーのみがエンドポイントにサービスを提供するようにします。読取り専用モードなしの高可用性では、障害が発生すると、次のいずれかの状況がトリガーされます。
スプリット・ブレイン・シナリオを回避するために、エンドポイントの操作が一時的に中断されます。
スタンバイ・サーバーは新しいリクエストを受け入れ、障害が発生したプライマリ・サーバーとデータを同期することなく、新しいデータを生成します。プライマリ・サーバーがオンラインになるまでデータのレプリケーションは一時的に無効になるため、操作の継続性が保証されます
親トピック: 高可用性読取り専用制限モードについて
注意:
読取り専用制限モードが有効化された状態で高可用性を構成することをお薦めします。これがデフォルト・モードです。高可用性を構成する際は、「Configure High Availability」ページの「Allow Read-Only Restricted Mode」フィールドで「Yes」が選択されていることを確認してください。読取り専用制限モードにより、プライマリまたはスタンバイ・サーバーがオフラインの場合に、エンドポイントの操作の継続性と対称的な動作が保証されます。対称的な動作により、障害が発生したピア・サーバーからシームレスにオンライン・サーバーが後を引き継ぐことができ、中断なしでエンドポイントにサービスを提供し続けることができます。読取り専用制限モードを備えた高可用性フェイルオーバーの状況の詳細は、「ファイルオーバー状況(読取り専用制限モードあり)」を参照してください。
読取り専用制限モードでは、存続しているOracle Key Vaultサーバーが制限された機能で動作します。Oracle Key Vaultサーバー上でクリティカル・データを追加または変更するエンドポイント操作はブロックされます。ただし、データの取得に関するエンドポイント操作は許可されます。これにより、エンドポイント操作の継続性とデータの整合性が保証されます。ブロックされる操作と許可される操作の詳細は、「読取り専用の制限状態の機能」を参照してください。
読取り専用制限状態の詳細は、読取り専用制限モードの状態を参照してください。
注意:
読取り専用制限モードはスタンドアロン・サーバーには影響しません。親トピック: 高可用性読取り専用制限モードについて
読取り専用制限モードを使用するサーバーは、プライマリ・サーバー、スタンバイ・サーバーおよびネットワークの障害による影響を受けます。
親トピック: 高可用性読取り専用制限モード
ネットワークの障害またはスタンバイ・サーバーの障害後、読取り専用制限モードからインスタンスをリカバリするために、手動操作が必要になることがあります。存続するインスタンスをアンペアしてリセットし、新しいOracle Key Vaultサーバーを回復させて、新しいスタンバイとして、存続するサーバーとペアリングします。考えられるシナリオを次に示します。
プライマリ・サーバーの障害: 障害発生時のプライマリ・サーバーの動作状態によっては、プライマリ・サーバーは再起動され、一部の機能が使用可能になる場合があります。ただし、埋込みKey Vaultデータベースの破損によりリカバリできず、部分的な障害によりOracle Key Vaultインスタンスを回復させる必要が生じる場合があります。障害が発生したサーバーを20分以内にピア・サーバーと再ペアリングできない場合は、サーバーを再度インスタンス化する必要があります。
Oracle Key Vaultサーバーと通信しているエンドポイント・プロセスが、最後の既知のアクセス可能サーバーのIPアドレスを保持している場合でも、新しいKey Vaultサーバーが生成された場合はそのIPアドレスを特定する必要があります。エンドポイント・プロセスは、構成スクリプトでプライマリ・サーバーとして構成されたOracle Key Vaultサーバーとの通信を試みた後、レスポンスを待機してから、構成スクリプトでスタンバイ・サーバーとして構成されたサーバーへのアクセスを試みます。このレスポンス待機は、スタンバイOracle Key Vaultサーバーと通信する際に新しいプロセスで発生する不要な遅延です。停止時間を最小限に抑えるために、障害が発生したプライマリ・サーバーを回復させた後に、スイッチオーバーを開始することをお薦めします。
スタンバイ・サーバーの障害: スタンバイ・サーバーに障害が発生した場合、プライマリ・サーバーは読取り専用制限モードで実行されます。プライマリ・サーバーと自動的に再ペアリングされない場合は、スタンバイ・サーバーを回復させます。
電源の切断またはネットワーク接続の障害: ネットワーク障害が発生した場合、プライマリ・サーバーとスタンバイ・サーバーは通信できず、両方とも読取り専用制限モードになります。さらに、スタンバイ・サーバーはプライマリ・サーバーへのフェイルオーバーを試みます。プライマリ・サーバーとスタンバイ・サーバーの間で通信が再確立されると、古いプライマリ・サーバーは自動的に新しいスタンバイ・サーバーに変換されます。新しいプライマリ・サーバーのデータによって古いプライマリ・サーバーのデータが上書きされるため、古いプライマリ・サーバーの監査レコードは失われます。SYSLOG監査を有効にして、古いプライマリで上書きされた監査レコードを保存することをお薦めします。プライマリ・サーバー障害からのリカバリと同様に、リカバリ後にスイッチオーバーを行うことをお薦めします。また、スイッチオーバーする前に新しいエンドポイントを登録しないことをお薦めします。
フェイルオーバー後の高可用性のリストアの詳細は、「フェイルオーバー後の高可用性クラスタのリストア」を参照してください。
親トピック: 高可用性読取り専用制限モード
読取り専用制限モードでは、Oracle Key Vaultインスタンスは読取り専用制限モード状態になりますが、埋込みOracle Key Vaultデータベースは読取り専用制限モード状態になりません。読取り専用制限モードは、通常の機能と次のような違いがあります。
新しいデータを生成する操作はすべてブロックされます。既存のデータを取得する操作は許可されます。エンドポイント操作の監査レコードは、通常の操作と同様に生成されます。Oracle Key Vaultデータベースの内部システム操作は影響を受けません。アラートなどの機能は、正常に機能し続けます。
エンドポイントはOracle Key Vaultサーバーからキーを取得できます。エンドポイントは、新しいキーの作成または既存のカギの変更を行うことはできません。
管理者はOracle Key Vault管理コンソールにログインできます。エンドポイントまたはウォレットの作成、キーの削除、データを変更または削除する操作はブロックされます。
読取り専用制限モードで稼働するプライマリまたはスタンバイOracle Key Vaultサーバーのアンペアリングは許可されます。
バックアップ間のデータの不一致を回避するために、バックアップ操作はブロックされます。
表4-1 読取り専用制限モードで許可される操作とブロックされる操作
| 操作 | 許可またはブロック |
| Oracle Key Vaultへのログイン | 許可 |
| キャッシュからのキーの取得などのエンドポイント操作 | 許可 |
| データベース上でのキーのローテーションなど、データを追加、変更、削除するエンドポイント操作 | ブロック |
| SSHアクセスの有効化などのシステム操作 | 許可 |
| RESTサーバーの設定や仮想ウォレットの作成など、データを書き込むシステム操作 | ブロック |
| Oracle Key Vault管理コンソールへのアクセス | 許可 |
| 新規データを追加したり既存のデータを変更する、すべての管理者操作およびエンドポイント操作 | ブロック |
| バックアップ操作 | ブロック |
読取り専用制限モードでは、Oracle Key Vaultサーバー上で新規データを生成したり既存データを変更する操作を実行しようとすると、「Key Vault Server in Read-Only Restricted Mode」エラーが表示されます
Javaキーストアにウォレットをアップロードしようとすると、ソースJavaキーストアのパスワードを求めるメッセージが表示されます。パスワードを入力すると、「Key Vault Server in Read-Only Restricted Mode」エラーが表示されます。
親トピック: 高可用性読取り専用制限モード
高可用性を構成すると、読取り専用制限モードはデフォルトで有効になります。
注意:
読取り専用制限モードが有効化された状態で高可用性を構成することをお薦めします。注意:
読取り専用制限モードはスタンドアロン・サーバーには影響しません。親トピック: 高可用性読取り専用制限モード
高可用性を構成すると、読取り専用制限モードはデフォルトで有効になります。
注意:
読取り専用制限モードが有効化された状態で高可用性を構成することをお薦めします。高可用性を構成する際は、必要な場合を除き、読取り専用制限モードを無効にしないでください。注意:
読取り専用制限モードはスタンドアロン・サーバーには影響しません。親トピック: 高可用性読取り専用制限モード
次に、操作の継続性を確保し、Oracle Key Vaultの停止を最小限に抑えるためのベスト・プラクティスを示します。
TDE対応エンドポイント・データベースで、ハードウェア・セキュリティ・モジュール(HSM)の自動ログインを構成します。ハードウェア・セキュリティ・モジュール(HSM)の自動ログインの構成の詳細は、『Oracle Database Advanced Securityガイド』の自動ログイン・ハードウェア・セキュリティ・モジュールの構成に関する項を参照してください。
バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。
高可用性Oracle Key Vaultデプロイメントで取り専用制限モードが有効化されていることを確認します。
「Configure High Availability」ページの「Fast Start Failover Threshold」フィールドの時間を、一時的なネットワーク中断によって不要なフェイルオーバーが発生しない値に設定します。
読取り専用制限モードで監査レコードを取得するように、Syslog監査を構成します。
プライマリ・サーバーを回復する場合には元のプライマリ・サーバーにスイッチオーバーします。
親トピック: 高可用性読取り専用制限モード
Oracle Key Vaultには、障害時リカバリを目的として、Key Vaultデータをバックアップおよびリストアする機能が用意されています。
停止時間を短縮し、予期しないデータ損失やシステム障害からリカバリできるように、定期的にデータをバックアップすることをお薦めします。新規または既存のOracle Key Vaultアプライアンスをバックアップからリストアできます。
親トピック: 高可用性、バックアップおよびリストア操作
Key Vaultには、障害時リカバリを目的として、Key Vaultに格納して管理しているセキュリティ・オブジェクトをバックアップおよびリストアする機能が用意されています。
バックアップおよびリストア操作は、Key Vault管理コンソールから実行できます。Key Vaultデータをバックアップおよびリストアするには、システム管理権限を持っているユーザーである必要があります。バックアップは、定期的な間隔でスケジューリングして、指定した時間に自動的に実行できます。オンデマンドで実行して、現在のシステムのスナップショットを保存することもできます。
Key Vaultデータのバックアップは定期的に実行することをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して新規または既存のKey Vaultサーバーをリストアし、最小限の停止時間とデータ損失で完全稼働させることができます。
Key Vaultでは、セキュア・コピー・プロトコル(SCP)を使用してすべてのバックアップ対象データが暗号化されてから、バックアップ先にコピーされます。このため、バックアップ先でSCPがサポートされていることを確認する必要があります。
Key Vaultデータをバックアップする最初のステップは、データのコピーおよび格納先となるバックアップ先を作成することです。
バックアップ先を追加する主な理由は、Key Vaultサーバー以外の場所にバックアップ・データを確保することです。これにより、Key Vaultサーバーまたはハードウェアで致命的な障害が発生した場合に、関連するすべてのデータを確実にリカバリできます。
通常は、自分がアクセス権を持つ別のサーバーまたはコンピュータ・システムをバックアップ先として指定します。バックアップ先は追加、削除および変更できます。
バックアップ操作では、選択したバックアップ先にOracle Key Vaultデータがコピーされます。データは必要になるまでバックアップ先に格納しておきます。
Key Vaultでは、ローカルとリモートの2つのタイプのバックアップ先を使用できます。ローカル・バックアップ先はKey Vaultサーバー自体に存在し、リモート・バックアップ先は外部の別のサーバーまたはコンピュータ・システムに存在します。可用性を高めるために、複数のバックアップ先を作成できます。
バックアップ先は次のいずれかです。
ローカル
ローカル・バックアップ先LOCALは最初から存在するものであり、削除できません。
LOCALへのバックアップは、最新状態のKey Vaultを保存するのに役立ちます。これらのバックアップはKey Vaultに格納されるため、高可用性デプロイメントでフェイルオーバーやスイッチオーバーを実行すると失われます。したがって、フェイルオーバーやスイッチオーバーなどの操作を実行する前に、リモート宛先にデータをバックアップすることをお薦めします。
LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。バックアップの詳細は、Key Vaultの2つのタイプのバックアップを参照してください。
リモート
リモート・バックアップ先は外部サーバーに存在し、障害時リカバリの目的で地理的に分散させることができます。
外部サーバー上の各バックアップ先には、Key Vaultによりバックアップ先に保持されるバックアップ・カタログ・ファイル(okvbackup.mgr)が関連付けられます。ファイルokvbackup.mgr は、実行されたバックアップをカタログ化したものであり、データをリストアする際に使用されます。
注意:
別のKey Vaultアプライアンスをリモート・バックアップ先として使用することはできません。注意:
バックアップ・カタログ・ファイルを削除または変更すると、Oracle Key Vaultでバックアップを検索できなくなることがあります。したがって、このファイルは削除または変更しないでください。
異なるKey Vaultサーバーのバックアップ先として、同一のリモート・バックアップ先を構成しないでください。これは、異なるKey Vaultサーバーから同時にバックアップが行われると、互いのカタログ・ファイルが上書きされ、Key Vaultで正しくバックアップを特定できなくなるためです。
親トピック: Key Vaultデータのバックアップ
リモート・バックアップ先を作成するには、ユーザー・アカウント、外部サーバー上の一意の既存のディレクトリ場所、および認証方式(パスワード・ベースまたはキー・ベース)を入力する必要があります。この情報は、Oracle Key Vaultでリモート・サーバーとのセキュアな接続を確立するために必要になります。
「System Backup」ページが表示されます。このページには、スケジューリングされたバックアップおよび最後に実行された10件のバックアップの詳細が示されます。
「Manage Backup Destinations」ページには、Key Vaultに最初から用意されているローカル・バックアップ先と独自に構成したリモート宛先が表示されます。
「Create Backup Destination」ページが表示されます。
親トピック: Key Vaultデータのバックアップ
バックアップ先が作成された後は、SCPポート番号とユーザー・アカウントの詳細のみを変更できます。その他の設定は変更できません。
バックアップ先の編集可能設定を変更する手順:
Port: 外部サーバー上でSCPを実行するために使用されるデフォルトのポート番号を変更します。
Username: リモート・サーバー上のユーザー・アカウントのユーザー名を入力します。「Destination Path」で指定したパスは変更できないため、このディレクトリに対する書込み権限が新規ユーザーにあることを確認してください。
Authentication Method: 次のいずれかです。
Password Authentication
「Username」フィールドに入力したユーザー・アカウントのパスワード。
キー・ベースの認証
表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。
親トピック: Key Vaultデータのバックアップ
リモート・バックアップ先を削除して、その宛先サーバーへの今後のバックアップを中止できます。宛先サーバー上の既存のバックアップはそのまま残ります。
リモート・バックアップ先を削除する手順:
ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。
親トピック: Key Vaultデータのバックアップ
時間およびバックアップ先を指定して、Key Vaultでバックアップをスケジュールできます。スケジュールした時間になると、バックアップ・プロセスが開始され、システム・バックアップ(バックアップ先に格納されるファイル)が生成されます。バックアップが完了する旅に、1つのバックアップ・ファイルが生成されます。
別のバックアップの進行中はバックアップを開始できません。ニーズの変化に応じて、バックアップのスケジュールを変更できます。バックアップの進行中も、Key Vaultの操作は続行できます。
システムを再起動すると、進行中のバックアップが終了します。システムの再起動が必要な場合は、同じタイミングでスケジューリングされたバックアップを取り消して、再起動後にシステムをバックアップすることができます。
Oracle Key Vaultでは、2つのタイプのバックアップをスケジュールできます。
1回限りのバックアップ
1回限りのバックアップは、Key Vaultシステムのフル・バックアップを作成します。そのような1回限りのバックアップを複数一緒にスケジューリングすることができます。
Key Vaultの構成を大きく変更する場合は、障害が発生してリカバリが必要になったときに備え、事前に1回限りのローカル・バックアップを実行してください。
LOCAL宛先には、最新の1回限りのバックアップのみ格納できます。LOCALへの1回限りのバックアップが完了すると、以前のバックアップは削除されます。
定期バックアップ
定期バックアップでは、指定した頻度で定期的にバックアップを作成します。このプロセスでは、最初にKey Vaultシステムのフル・バックアップが作成され、それがアクティブ状態になります。バックアップの状態の詳細は、Key Vaultのスケジュール済バックアップの状態を参照してください。それ以降は、定期的な間隔が経過すると、累積増分バックアップが開始されます。この累積増分バックアップには、最新のフル・バックアップ以降の変更が保持されます。前回のフル・バックアップから7日後に、別のフル・バックアップが作成されます。
たとえば、バックアップ期間が1日1回の場合、7回ごとにフル・バックアップが行われます。バックアップ期間が8日ごとの場合、すべてのバックアップがフル・バックアップです。バックアップ期間が12時間の場合、累積バックアップが13回行われてから、フル・バックアップが行われます。
データ損失を最小にするために、定期バックアップは期間1日以上でスケジューリングしておくことをお薦めします。
LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。
累積増分バックアップは、フル・バックアップより高速です。常に、定期バックアップは1つのみスケジューリングできます。
親トピック: バックアップ・スケジュールのタイプと状態について
スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。
ACTIVE
バックアップがスケジュールされており、指定された開始時間または期間に処理されます。
ONGOING
バックアップが進行中です。
DONE
バックアップが完了しています。
PAUSED
今後のバックアップはすべて保留になり、開始時間を過ぎても開始されません。明示的に再開すると、開始されます。
状態をアクティブから一時停止に変更したり、元に戻すことができます。次の状況では、スケジューリング済バックアップを一時停止状態に入れます。
Key Vaultとリモート宛先の間の通信が切断された場合
リモート宛先が停止している場合
バックアップを遅延させる場合
完了しなかったスケジューリング済バックアップは削除できます。
親トピック: バックアップ・スケジュールのタイプと状態について
バックアップ先および時間を指定して、Key Vaultバックアップをスケジュールできます。このステップを実行する前に、使用するバックアップ先を作成しておく必要があることに注意してください。バックアップ・スケジュールは、変化に対応するために、変更または削除できます。
ローカルまたはリモートのバックアップ先に対して1回限りのバックアップまたは定期バックアップをスケジューリングすることもできます。1回限りのバックアップを開始する場合は、時間を設定せずに即時に開始できます。
バックアップをスケジューリングする手順:
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、左側のサイドバーで「System Backup」を選択します。
「System Backup」ページが表示されます。
「Backup」をクリックします。
「Backup」ページが表示されます。
「Name」フィールドにバックアップの名前を入力します。
カレンダ・アイコンをクリックし、「Start Time」を選択します。
「Destination」のリストからバックアップ先を選択します。
「Type」で「ONE-TIME」または「PERIODIC」を選択します。
「Backup」ページは、1回限りのバックアップと定期バックアップで同じです。定期バックアップの場合は、「Days」、「Hours」および「Mins」フィールドが追加で表示されます。これらのフィールドに値を入力する必要があります。
「Schedule」をクリックします。
「System Backup」ページが表示され、「Scheduled Backup(s)」にスケジュール済バックアップがリストされます。
1回限りのバックアップを即時に開始する手順:
親トピック: Key Vaultバックアップのスケジュールおよび管理
進行中のバックアップのスケジュールは変更できません。バックアップ・スケジュールを変更するには、状態がアクティブまたは一時停止中である必要があります。
「Backup」ページが表示されます。
親トピック: Key Vaultバックアップのスケジュールおよび管理
親トピック: Key Vaultバックアップのスケジュールおよび管理
高可用性デプロイメントでは、バックアップはプライマリ・サーバーで実行されることに注意してください。スタンバイの状態はプライマリと同期されるため、スタンバイをバックアップする必要はありません。
高可用性デプロイメントでフェイルオーバーまたはスイッチオーバーを実行する場合は、次のことを考慮してください。
フェイルオーバーまたは高可用性スイッチオーバーがあった場合、進行中のバックアップはすべて終了します。LOCALへのバックアップはOracle Key Vaultアプライアンス専用なので、フェイルオーバーまたはスイッチオーバーの後にプライマリ・アプライアンスのローカル・バックアップは利用できません。
パスワード認証でスケジューリングされているバックアップは、フェイルオーバーまたはスイッチオーバーの後、通常どおり開始されます。
キー・ベースの認証を使用するリモート・バックアップは、宛先上で公開キーを更新する必要があります。そうしないと新しいプライマリ・システムに表示されるものと一致しません。
親トピック: Key Vaultバックアップのスケジュールおよび管理
Oracle Key Vaultでは、ユーザーとシステムのデータをリストアできるユーザーを制御するために、リカバリ・パスフレーズを使用します。
バックアップをリストアするには、バックアップが開始された時点のOracle Key Vaultリカバリ・パスフレーズを使用します。これは、たとえバックアップの完了後にリカバリ・パスフレーズが変更された場合も必要です。常に最新のリカバリ・パスフレーズによって保護されているバックアップのコピーが確実に存在するようにするには、リカバリ・パスフレーズが変更されるたびに新しいバックアップを作成することをお薦めします。
関連項目:
リカバリ・パスフレーズとその使用方法の詳細は、緊急時のシステム・リカバリのプロセスを参照してください。
親トピック: Key Vaultバックアップのスケジュールおよび管理
リモート・バックアップ先のKey Vaultデータを新規または既存のKey Vaultサーバーにリストアして、停止時間およびデータ損失を最小化できます。リストア・プロセスでは、ルート・ユーザーおよびサポート・ユーザーのパスワードを除き、新規サーバー上のすべてのデータが置き換えられます。サーバー上でスケジュール済バックアップが進行中の場合は、そのサーバーにデータをリストアできなくなります。
注意:
Key Vaultデータをサーバーにリストアする前に、サーバーのスケジュールされたすべてのバックアップが完了していることを確認する必要があります。
Key Vaultサーバーにデータをリストアすると、サーバー上のデータがバックアップのデータに置き換えられます。最後のバックアップ以降に行われた変更はすべて失われます。
バックアップの有効期限は最大1年です。1年より古いバックアップはリストアできません。
バックアップからデータをリストアするには、バックアップの時点で有効だったリカバリ・パスフレーズが必要です。Key Vaultをインストールしてからリカバリ・パスフレーズを変更していない場合は、インストール後に作成したリカバリ・パスフレーズを使用する必要があります。
Key Vaultにデータをリストアする場合は、設定とリストアの2つのステップを実行します。
次のようにして設定作業を進めます。
Oracle Key Vaultアプライアンスをインストールします。
バックアップ先を設定します。
次のようにしてOracle Key Vaultアプライアンスをリストアします。
リモートまたはローカルのバックアップ先から使用するバックアップを指定します。
リカバリ・パスフレーズを指定して、リストア・プロセスを開始します。
注意:
リカバリ・パスフレーズは「インストール後タスクの実行」で作成しました
親トピック: Oracle Key Vaultデータのリストア
高可用性デプロイメントでデータをKey Vaultにリストアする場合は、次の点を考慮する必要があります。
プライマリとスタンバイの両方が失われた場合にのみリストアします。
バックアップがプライマリから行われた場合でも、バックアップのリストア先はスタンドアロンのKey Vaultアプライアンスのみにする必要があります。
リストア操作によって、Key Vaultアプライアンスがバックアップで置き換えられます。これにより、一部のデータが失われる場合があります。エンドポイント・データベースをリストアすることが必要になる場合があります。
プライマリ・ノードから取得したバックアップをリストアする場合は、スタンバイ・サーバーを廃棄(または再インストール)して、新規スタンバイを構成する必要があります。
スタンバイ・サーバーがプライマリを引き継いだ場合は、バックアップのデータを新規スタンバイ・サーバーにリストアする必要はありません。新規スタンバイ・サーバーを構成すると、正常なプライマリと自動的に同期されます。
親トピック: Oracle Key Vaultデータのリストア
バックアップの時点でインストールされたサード・パーティの証明書は、このバックアップから別のアプライアンスをリストアするときにはコピーされません。新規アプライアンスでサード・パーティの証明書を使用するには、証明書を再インストールすることが必要となります。
関連項目:
親トピック: Oracle Key Vaultデータのリストア
Oracle Key Vaultアプライアンスをリストアすると、システム状態は、バックアップが作成された時点まで戻されます。
したがって、バックアップが作成された後に加えられた変更は、リストアしたシステムには存在しません。たとえば、あるユーザーのパスワードがバックアップ操作後に変更された場合、リストアしたシステムで新しいパスワードを使用することはできません。リストアしたシステムのパスワードは、バックアップが作成されたときに有効だったものになります。
注意:
また、リストアを実行すると、リカバリ・パスフレーズもバックアップ中に有効だったものに変更されます。
必要に応じて、ユーザー・パスワードを変更し、バックアップ後に作成されるエンドポイントをエンロールし、その他、同様の変更を行ってください。リストア後には、すべてが正しく構成されていることを確認してください。
リストアしたバックアップが正しいという確信を持てない場合、別のものをリストアできます。別のバックアップをリストアするには、まずリストア済のOracle Key Vault自体にあるこのバックアップのリモート宛先を構成してから、リストア・プロセスを開始します。Oracle Key Vaultアプライアンスを再インストールする必要はありません。
アプライアンスがリストアされ、機能するようになったら、引き続きKey Vaultデータを新規または以前のリモート宛先にバックアップできます。
バックアップの古さに応じて、リストアされたサーバーではエンドポイント、セキュリティ・オブジェクト、およびリストア済のバックアップが行われた後に加えられたその他の変更が失われます。失われたエンドポイントのエンロール、失われたセキュリティ・オブジェクトのアップロード、またはより最近のバックアップをリストアすることが必要になる可能性があります。また、リストア操作後にユーザーのパスワードを変更することをお薦めします。
親トピック: Oracle Key Vaultデータのリストア
次のベスト・プラクティスは、バックアップを最新に保ち、停止時間とデータ損失を最小化して致命的な障害からリカバリできるようにするために役立ちます。
バックアップの時点のリカバリ・パスフレーズは、バックアップからデータをリストアするときに必要になるため、すぐに利用できるようにしておきます。
リカバリ・パスフレーズを変更するときには、常にデータをバックアップします。
高可用性デプロイメントでは少なくとも1つのリモート・バックアップ先を作成してください。ローカル・バックアップはKey Vaultサーバー自体に存在するため、フェイルオーバーやスイッチオーバーが発生すると失われます。
リモート・バックアップ先の使用を中止する場合でも、そのバックアップ先に関連付けられているバックアップ・カタログ・ファイルを削除しないでください。該当するサーバーのバックアップからリストアすることが必要になった場合に、バックアップ・カタログ・ファイルが必要になります。
複数のバックアップ先に同じリモート・サーバーを使用する場合は、ディレクトリを固有にし、各バックアップ先に個別のバックアップ・カタログ・ファイルが関連付けられるようにします。このようにしないと、その後のバックアップ中にバックアップ・カタログ・ファイルが上書きされ、使用できなくなります。
データをリストアする前に、スケジュールされたすべてのバックアップが完了していることを確認します。
リモート・バックアップ先を正常に作成する手順:
リモート・バックアップ先として使用されているサーバーが稼働していることを確認します。
バックアップ先として使用する予定のリモート・サーバーとKey Vaultの間の接続を確立します。
バックアップ先として指定したリモート・サーバーでセキュア・コピー・プロトコル(SCP)がサポートされていることを確認します。
Key Vaultにバックアップ先を作成する前に、リモート・サーバーでユーザー・アカウントの資格証明を検証します。
バックアップ先ディレクトリへの書込み権限があることを確認します。
複数のサーバーに複数のリモート・バックアップ先を作成し、冗長性を確保します。
複数のバックアップ先に同じリモート・サーバーを使用する場合は、バックアップ先ディレクトリが固有になるようにします。前のバックアップが後のバックアップで上書きされないようにするために、このようにする必要があります。
期間1日で定期バックアップをスケジューリングします。これにより、1週間に1つのフル・バックアップが保持されます。
7日ごとに1回限りのバックアップを実行します。
システム変更の前に、ローカルの1回限りのバックアップを実行します。このバックアップは、リストア・ポイントとして使用できます。
Key Vaultサーバー・ソフトウェアのアップグレードの前後にバックアップを行います。
アップグレードが終了するたびにバックアップ先を変更します。可能な場合、バックアップ先を再利用しないでください。
