セキュアなデプロイメントとセキュアでないデプロイメントの設定を選択できます。セキュアなデプロイメントでは、RESTful APIコールを発行し、証跡データをSSL/TLSを介してDistribution ServerとReceiver Server間で転送します。既存のウォレットと証明書を使用することも、新しいものを作成することもできます。
最初にSSL/TLSセキュリティ証明書を作成するときは、SSL/TLSセキュリティの環境変数が「環境変数の設定」のように設定されていることを確認します。
セキュアでないデプロイメントの場合は、RESTful APIコールがプレーンテキストHTTP上で発生し、Distribution ServerとReceiver Server間の送信がUDT、ogg://およびws://プロトコルを使用して実行されます。
ここでは、セキュアでないデプロイメントを構成する手順と、セキュアなデプロイメントを構成する前提条件とタスクについて説明します。
トピック:
デプロイメントの作成は、データの抽出とレプリケーションのプラットフォームを設定するプロセスの最初のタスクです。デプロイメントは、ソース・デプロイメントとターゲット・デプロイメントとして作成します。デプロイメントはService Managerで管理します。
Oracle GoldenGate MAのインストールを完了したら、Configuration Assistantウィザードを使用して最初のデプロイメントとそれ以降のデプロイメントを作成できます。
注意:
ホストごとにService Managerを1つ用意して、Oracle GoldenGateのリリースに伴うアップグレードとメンテナンスのタスクの重複を回避することをお薦めします。Configuration Assistantウィザードを使用して複数のデプロイメントをService Managerに追加でき、こうすることで同じService Managerを新しいリリースまたはパッチでアップグレードできるようになります。ソース・デプロイメントとターゲット・デプロイメントは、データ・レプリケーションの分散パスを設定するエンドポイントとして機能します。ターゲット・デプロイメントの作成方法はソース・デプロイメントと同じですが、データベース・ユーザーまたはデータベースが異なります。
UNIXまたはLinuxでは、OGG_HOME
ディレクトリで$OGG_HOME/bin/oggca.sh
プログラムを実行します。
Oracle GoldenGate Configuration Assistant (oggca)が起動します。デプロイメントを作成するたびに、このプログラムを実行します。
「Select Service Manager Options」ステップ:
既存のService Managerを使用するか、新しいService Managerを使用するかを選択します。2つのService Managerが実行している場合、いずれかがランダムに検出されてデプロイメントに関連付けられます。このため、ホストごとにService Managerを1つのみ使用することをお薦めします。
デプロイメントで使用するディレクトリを入力するか参照します。Oracle GoldenGateのインストール・ディレクトリは使用しないことをお薦めします。
サーバーのホスト名またはIPアドレスを入力します。
一意のポート番号を入力してService Managerに接続するか、URLで使用されるデフォルトを使用してService Managerに接続します。予約されていない制限なしのポートであることを確認します。サービスごとに異なるポート番号を使用する必要があります。
(オプション)手動での起動と停止を回避するためにサービスとして実行できるようにService Managerを登録できます。
1つのService Managerをサービス(デーモン)として実行するように選択できます。既存のService Managerがサービスとして登録されている場合に、サービスとして登録する新しいService Managerを選択すると、新しい方をサービスとして登録できないことを知らせるアラートが表示されます。他のすべてのService Managersは、デプロイメントのbin
ディレクトリにインストールされたスクリプトを使用して開始および停止できます。既存のService Managerをサービスとして登録することはできません。
(オプション)オプション「Integrate with XAG」を選択して、デプロイメントをOracle Database用のOracle Grid Infrastructureに登録することを選択できます。このオプションは、Service Managerをサービスとして実行しているときには使用できません。
「Configuration Options」ステップで、デプロイメントを追加または削除できます。
適切なオプションを選択します。
「Deployment Details」ステップ:
次の規則に従うデプロイメント名を入力します。
先頭に文字を使用する必要があります。
32文字以内の標準ASCII英数字文字列を使用できます。
拡張ASCII文字は使用できません。
使用できる特殊文字には、アンダースコア(_)、ハイフン(/)、ダッシュ(-)、ピリオド(.)が含まれます。
ServiceManagerは使用できません。
ggadmin
であることが必要です。Oracle GoldenGateのインストール(ホーム)ディレクトリを入力するか選択します。すでに$OGG_HOME
環境変数を設定していた場合には、そのディレクトリが自動的に移入されます。それ以外の場合、oggca.sh
スクリプトの親ディレクトリが使用されます。
「Next」をクリックします。
Select Deployment Directoriesページ:
デプロイメントのレジストリと構成ファイルを格納するデプロイメント・ディレクトリを入力するか選択します。デプロイメント・ディレクトリ名を入力すると、そのディレクトリが作成されます(存在していない場合)。デプロイメント・ディレクトリは$OGG_HOME
内に配置しないで、アップグレードしやすいように別のディレクトリを作成することをお薦めします。指定したデプロイメント・ディレクトリに基づいてその他のフィールドは自動的に移入されます。
デプロイメント・ディレクトリの名前や場所をデフォルトと変更してカスタマイズできます。
様々なデプロイメント要素のために異なるディレクトリを入力または選択します。
「Next」をクリックします。
Environment Variablesページ:
環境変数のリクエストされた値を入力します。フィールドをダブルクリックして編集します。環境変数フィールドで値をコピー・アンド・ペーストできます。値を入力するたびに[Tab]キーで移動するかフィールドの外部をクリックしてください。そうしないと値が保存されません。次のいずれかの環境変数を設定していた場合には、ディレクトリが自動的に移入されます。
データベースをインストールしたディレクトリ。
$OGG_HOME
、OUI、データベース・インストールおよびデータベース・ネットワーク(TNS_ADMIN
)のライブラリ・ディレクトリ。
/network/admin
で追加されたデータベースをインストールしたディレクトリ。
データベースの名前(SID)
これはシャーディングを有効にした場合のみ表示されます。デフォルトを使用するか、1200MB以上でプール・サイズの値を設定します。
さらに環境変数を追加してデプロイメントをカスタマイズしたり、変数を削除したりすることができます。たとえば、国際文字セットのデフォルトとして変数ENV_LC_ALL=zh_CN.UTF-8
を入力できます
「Next」をクリックします。
Administrator Accountページ:
Oracle GoldenGate MAユーザー・インタフェース(Service Manager、Administration Server、Distribution Server、Receiver ServerおよびPerformance Metrics Server)にサインインするために使用できるユーザー名とパスワードを入力します。Service Managerと関連するすべてのデプロイメントに指定したのと同じユーザー名とパスワードを指定してください。既存のService Managerを使用している場合は、それらのログイン資格証明を入力する必要があります。
「Next」をクリックします。
Security Optionsページ:
デプロイメントを保護するかどうかを選択できます。SSL/TLSセキュリティを有効にすることをお薦めします。デプロイメントでセキュリティを使用しない場合は、チェック・ボックスを選択解除します。ただし、Oracle GoldenGateシャーディング・サポートを構成している場合には、セキュリティを有効にする必要があります。
(オプション)クライアント・ウォレットの場所を指定して、証跡データをセキュアなデプロイメントに送信することができます。このオプションが役立つのは、ソース・デプロイメントのDistribution Serverがセキュアではなく、ターゲット・デプロイメントのReceiver Serverがセキュアな場合です。このケースでは、送信側はパブリック・アクセスに対応するように構成できますが、Receiver Serverでは認証と認可が必要です。これがPKIを使用して確立され他後で、受信したデータが適用されます。詳細は、「自己署名ルート証明書の作成」
および「Distribution Serverユーザー証明書の作成」を参照してください。サーバーについて、オプションを1つ選択してから、必須ファイルの場所を指定します。既存のウォレットを使用するときは、そのウォレットに適切な証明書がすでにインポートされている必要があります。証明書の使用を選択する場合は、対応するパス・フレーズを入力します。自己署名証明書を使用するときは、新しいOracle Walletが新しいデプロイメントに作成され、それらの証明書がインポートされます。証明書について、秘密鍵ファイルの場所とパス・フレーズを入力します。
クライアントについて、サーバーの場合と同様にオプションを1つ選択してから、必須ファイルの場所を指定します。
「Next」をクリックします。
(セキュリティが有効な場合) Advanced Security Settingsページ:
Oracle GoldenGateサービスとのセキュアな通信に使用される一連の暗号化アルゴリズムが表示されます。デフォルトの暗号スイートは次のとおりです。
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA
注意:
グレー表示でイタリックになっている暗号スイートは、現在ご使用のJRE環境ではサポートされていません。
矢印を使用して暗号スイートを追加または削除します。
上向き矢印と下向き矢印を使用して、暗号スイートの適用順序を変更します
注意:
RMTHOSTのTCP/IP暗号化オプションの詳細は、『Oracle Fusion Middleware Oracle GoldenGateリファレンス』のRMTHOSTに関する項を参照してください(シャーディングが有効な場合) Sharding Optionsページ:
使用するOracle GoldenGate Sharding Certificateを探してインポートします。証明書の識別名を入力します。これは、Oracle GoldenGate MAサービスにREST APIコールを発行する際に、自らを特定するためにデータベース・シャーディング・コードによって使用されます。
証明書の一意の名前を入力します。
「Next」をクリックします。
Port Settingsページ:
Administration Serverのポート番号を入力してから、そのフィールドを離れると、他のポート番号は昇順で移入されます。必要に応じて、各サーバーの一意のポートを入力することもできます。
Performance Metrics Serverを使用するには「Enable Monitoring」を選択します。
Performance Metrics Serverポートのフィールドの内側をクリックして、使用するポートの値を移入するか入力します。
注意:
パフォーマンスの監視のために、TCPおよびUDPに使用可能なポートを選択してください。デプロイメントの作成後に、TCPポートをService Managerコンソールから変更できます。PMSRVR
の詳細は、ENABLEMONITORING
を参照してください。Metrics Serverで使用するデータストアの種類を選択します(デフォルトのBerkeley Database (BDB)データストアまたはOpen LDAP Lighting Memory-Mapped Database (LMDB))。
BDBおよびLMDBは、インメモリーかつディスク常駐のデータベースです。Performance Metrics Serverは、そのデータストアを使用してすべてのメトリック情報を格納します。BDBの詳細は、Oracle Berkeley DB 12cリリース1を参照してください。LMDBの詳細は、http://www.lmdb.tech/doc/を参照してください
「Next」をクリックします。
注意:
oggca
ユーティリティでは、入力したポートが現在使用中かどうかは検証されません。このため、それらのポートが空いており他のプロセスに再割り当てされないことを手動で確認する必要があります。
レプリケーション設定の実行に使用するOracle GoldenGateのデフォルト・スキーマを入力します。たとえば、ggadminです。
「Next」をクリックします。
Summaryページ:
続行する前に、デプロイメント構成の設定の詳細を確認します。
(オプション)構成情報をレスポンス・ファイルに保存できます。このファイルを入力として使用して、コマンドラインからインストーラを実行し、他のシステムで成功した構成の結果を複製します。このファイルを編集することも、提供されているテンプレートから新しいファイルを作成することもできます。
注意:
レスポンス・ファイルに保存するとき、セキュリティの理由から管理者パスワードは保存されません。他のシステムで使用するためにレスポンス・ファイルを再利用する場合は、レスポンス・ファイルを編集してパスワードを入力する必要があります。
「Finish」をクリックして、デプロイメントを作成します。
「Next」をクリックします。
Configure Deploymentページ:
デプロイメントの作成と構成の進捗状況が表示されます。
Service Managerがサービスとして登録されている場合は、サービスを登録するスクリプトの実行方法がポップアップに表示されます。Configuration Assistantによって、これらのスクリプトが実行されたことが確認されます。実行しなかった場合は、続行するかどうかを尋ねられます。「Yes」をクリックすると、構成が正常に完了します。「No」をクリックすると一時的な失敗ステータスが設定され、「Retry」をクリックするとスクリプトが実行されます。
スクリプトが実行された後で「Ok」をクリックして続行します。
「Next」をクリックします。
「Finish」ページ:
「Close」をクリックしてConfiguration Assistantを閉じます。
デプロイメントに関連付けられたユーザーをAdministration Serverから追加できます。
各デプロイメントには独自のユーザー・リストがあり、Administration Serverからユーザーを追加するときに、そのデプロイメントにユーザーを追加します。Service Managerでサービスを管理できるユーザーは、インストール時に管理ユーザーとして追加されたユーザーのみです。次の手順を実行して、ユーザーを追加できます。
プラス記号をクリックします。
一意のユーザー名を入力します。
次のいずれかのロールを選択します。
サーバーでホストされるリソースを表示できます。 これには、パフォーマンスのモニター、レポートのリクエスト、リソース構成の表示が含まれます
Userロールの権限に加えて、サーバーでホストされるリソースの作成、更新、破棄、開始、一時停止および停止を行うことができます
UserおよびOperatorロールの権限に加えて、セキュリティ関連の構成とプロファイルを除いたすべてのサービスを管理できます。
セキュリティ関連のオブジェクトを管理し、セキュリティ関連のサービス・リクエストを呼び出すことができます。このロールにはすべての権限があります。
ユーザーを説明する情報を入力します。
パスワードを2回入力して確認します。パスワードにはユーザー名を含めることができます。
「Submit」をクリックします。
ユーザーが登録されます
ユーザーは変更できません。ユーザーを削除してから追加し直す必要があります。
セキュア・モードでは、管理コールやデータ・トランスポートを含むOracle GoldeGate SAとの通信は、SSL/TLS証明書を使用して保護されます。証明書は購入することもテスト目的で自ら作成することもできます。
既存のルート証明書を適用するか、OGG_HOME/bin
ディレクトリのorapki
を使用できます。『Oracle Databaseセキュリティ・ガイド』のorapkiユーティリティに関する項を参照してください。
orapki
を使用してルート証明書を作成する方法を次の例で示します。
本番環境に移行する前に、Oracle GoldenGate SA実装にセキュリティ証明書の明確なガイドラインがあることを確認する必要があります。ただし、テスト目的の場合はサーバー証明書を作成できます。
OGG_HOME/bin
ディレクトリ内のorapki
を使用します。orapki
の詳細は、『Oracle Databaseセキュリティ・ガイド』のorapkiユーティリティに関する項を参照してください。root_ca
という名前のルート証明書を使用してサーバー証明書を作成する方法の例です。また、servername
は、Oracle GoldenGateをインストールした実際のサーバー名で置き換えてください。SSL/TLSで保護されたターゲットOracle GoldenGate MAデプロイメントにデータをレプリケートするには、Distribution Serverのクライアント証明書を含むウォレットを作成する必要があります。この証明書はルート証明書によっても署名されます。これによって共通のトラスト・ポイントが提供されます。サーバーは、同じルート証明書で署名されたすべての証明書をサーバーの証明書認証と見なすためです。
OGG_HOME/bin
ディレクトリ内のorapki
を使用します。orapki
の詳細は、『Oracle Databaseセキュリティ・ガイド』のorapkiユーティリティに関する項を参照してください。