Oracle ACFSの管理の理解

この項では、Oracle ACFSの管理について説明します。内容は次のとおりです。

• Oracle ACFSとファイル・アクセスおよび管理セキュリティ

• Oracle ACFSとグリッド・インフラストラクチャのインストール

• Oracle ACFSの構成

• Oracle ClusterwareリソースとOracle ACFSの管理

• Oracle ACFSとディスマウントまたは停止操作

• Oracle ACFSセキュリティ

• Oracle ACFS暗号化

• Oracle ACFS圧縮

• Oracle ACFS監査

• Oracle ACFSレプリケーション

• Oracle ACFSタグ付け

• 監査、暗号化およびセキュリティとのレプリケーションの使用

• Oracle ACFSプラグイン

• Oracle ACFSアクセラレータ・ボリューム

• Oracle ACFS NAS Maximum Availability eXtensions

• クラスタ・ドメイン内のOracle ACFSリモート・サービス

Oracle ACFSとファイル・アクセスおよび管理セキュリティ

Oracle ACFSでは、Linux環境用の従来のUNIXスタイルのファイル・アクセス制御クラス(ユーザー、グループ、その他)と、Windowsプラットフォーム用のファイル・アクセス制御リスト(ACL)を含むWindows Security Modelの両方をサポートしています。

Oracle ACFS管理アクションの大部分は、Linux環境のroot権限またはOracle ASM管理権限のいずれかを持つユーザーと、WindowsプラットフォームでWindows管理権限を持つユーザーによって実行されます。ファイルシステムの一般的なOracle ACFS情報には、どのシステム・ユーザーでもアクセスできます。

Oracle ACFS管理のサポートでは、多くの一般的なOracle ACFSファイルシステム管理タスク(マウント、アンマウント、ファイルシステムのチェック、ドライバのロード、ドライバのアンロードなど)がroot権限操作であるため、Oracle ASM管理者ロールはroot権限を持つユーザーに付与することをお薦めします。root権限を必要としないその他のOracle ACFSファイルシステムの権限操作は、Oracle ASM管理者によって実行できます。Oracle ASM管理者ロールをroot権限ユーザーに付与しない場合、Oracle ACFSファイルシステムへのアクセスは、norootsuidおよびnodevマウント・オプションを使用して制限できます。

セキュリティ・インフラストラクチャ機能による密なアクセス制御がOracle ACFSファイルシステムに追加されます。

関連項目:

• Oracle ACFSのセキュリティ・インフラストラクチャの詳細は、「Oracle ACFSセキュリティ」

• Oracle ACFS暗号化の詳細は、「Oracle ACFS暗号化」

• Oracle ASM権限の詳細は、「Oracle ASMの権限について」

• Oracle ACFSの管理の詳細は、「コマンドライン・ツールによるOracle ACFSの管理」

Oracle ACFSとグリッド・インフラストラクチャのインストール

Oracle Grid Infrastructureには、Oracle Clusterware、Oracle ASM、Oracle ACFS、Oracle ADVMおよびドライバ・リソース・ソフトウェア・コンポーネントが含まれ、これらはOracle Universal Installation (OUI)ツールを使用してOracle Grid Infrastructureホームにインストールされます。

Oracle ACFSの構成

グリッド・インフラストラクチャをインストールし、Oracle Clusterwareが使用可能になると、Oracle ASMコンフィギュレーション・アシスタント(ASMCA)を使用してOracle ASMインスタンスを起動し、Oracle ASMディスク・グループ、Oracle ADVMボリュームおよびOracle ACFSファイルシステムを作成できます。あるいは、SQL*PlusおよびASMCMDコマンドライン・ツールを使用して、Oracle ASMディスク・グループとOracle ADVMボリュームを作成できます。ファイルシステムは、オペレーティング・システム・コマンドライン・ツールを使用して作成できます。

Oracle ACFSファイルシステムは、Oracle ADVM動的ボリューム・ファイルの作成後に自動的に作成されるOracle ADVMベースのオペレーティング・システム・ストレージ・デバイスで構成されます。ボリューム・ファイルおよび関連のボリューム・デバイス・ファイルが作成されると、ファイルシステムを作成して、そのオペレーティング・システム・ストレージ・デバイスにバインドできます。Oracle ACFSファイルシステムは作成後にマウントでき、ファイルおよびファイルシステム操作を実行する認可されたユーザーやアプリケーションがアクセスできるようになります。

関連項目:

• ファイルシステムの作成に必要な特定のアクションの例は、「Oracle ACFSシステムを管理するための基本手順」

• ASMCAによるOracle ADVMファイルシステムの管理の詳細は、「Oracle ACFSおよびOracle ACFSを管理するためのASMCA GUIツール」

• ファイルシステムを作成するOracle ACFSコマンドの詳細は、「コマンドライン・ツールによるOracle ACFSの管理」

• データベースで使用するOracle Clusterwareリソースの構成の詳細は、「Oracle ClusterwareリソースとOracle ACFSの管理」

Oracle ClusterwareリソースとOracle ACFSの管理

Oracle Clusterwareリソースは、Oracle ACFSのすべての側面に対応します。リソースは、ボリュームの有効化と無効化、ドライバのロード、ファイルシステムのマウントとアンマウントの原因となります。

この項では、次の項目について説明します。

• Oracle ACFSリソース・ベースの管理の概要

• 高可用性アクション

• Oracle ACFSリソースの作成

• ノードローカルまたはクラスタワイド・ファイルシステム

• Oracle ACFSリソースのモニタリング

• Oracle ACFSリソースの停止

• Oracle ACFSリソースの制限事項

Oracle ACFSリソース・ベースの管理の概要

次に、Oracle ACFSリソース・ベースの管理の概要を示します。

• Oracle ACFS、Oracle Kernel Services Driver(OKS)およびOracle ADVMドライバは、Oracle ASMインスタンスの起動時に動的にロードされます。

  • Oracle ACFS

    このトライバは、すべてのOracle ACFSファイルおよびディレクトリ操作を処理します。

  • Oracle ADVM

    このドライバは、ファイルシステムを作成するためにファイルシステムで使用されるOracle ADVMボリューム・ファイル用のブロック・デバイス・サービスを提供します。

  • Oracle Kernel Services Driver(OKS)

    このドライバは、メモリー割当て、同期プリミティブおよび分散ロック・サービス用のポータブル・ドライバ・サービスをOracle ACFSおよびOracle ADVMに提供します。

  ドライバは、単一リソース・セットとして管理されます。詳細は、「Oracle ACFSドライバ・リソース管理」および「Oracle ACFSドライバのコマンド」を参照してください。

• ボリュームを作成する場合、Oracle ADVMでは、名前がora.DISKGROUP.VOLUME.advmのリソースを作成します。このリソースは、通常、Oracle ASMからの透過的な高可用性コールによって管理されるため、ユーザー操作は必要ありません。ただし、ユーザーは、SRVCTLコマンド・インタフェースを使用したボリュームの開始および停止や、Oracle ASM再起動後のボリュームのデフォルト状態の制御が可能です。これは、特に、他のノード上のボリュームを操作する場合と同様、大規模なクラスタまたはOracle Flex ASMクラスタで役立ちます。

  さらに、Oracle Clusterwareスタックの他のリソースが依存性チェーンを維持する場合にOracle ADVMリソースを使用できます。依存性チェーンにより、プログラムの実行に必要なリソースが利用可能かどうかが確認されます。たとえば、リソースがOracle ADVMボリュームにバックアップしていたバックアップ・アプリケーションをモニタリングしていた場合、そのバックアップ・アプリケーションが、STARTおよびSTOP依存性リストでOracle ADVMボリューム・リソースを指定していることを確認するとします。Oracle ADVMボリューム・リソースによりボリュームが有効になるため、バックアップの開始前にボリュームが利用できるかどうかが確認されます。

• Oracle ACFSファイルシステムは、Oracle ACFSまたはOracle Clusterwareコマンドライン・ツールを使用して手動でマウントまたはディスマウントされるか、Oracle Clusterwareリソース・アクションに基づいて自動的にマウントまたはディスマウントされます。

  たとえば、Oracle Databaseホームのホストであるファイルシステムは、データベース・リソースで起動アクションを発行すると、データベース・ホーム・ファイルシステムにある依存Oracle ACFSがマウントされるように、関連付けられたOracle Databaseリソースの依存性リストで指定できます。

  Oracle ACFSファイルシステム・リソースでは、次のアクションが提供されます。

  • MOUNT

    START操作時に、リソースは、そのリソースで構成されるパス上のファイルシステムをマウントします。Oracle ACFSファイルシステム・リソースでは、Oracle ASMスタックのすべてのコンポーネントがアクティブ(ボリューム・デバイス、ASM)である必要があるため、マウントを行う前にコンポーネントがアクティブであるかどうかが確認されます。

  • UNMOUNT

    STOP操作時に、リソースは、ファイルシステムのアンマウントを試行します。

• Oracleでは、Oracle高可用性NFSに対して2種類のリソースを提供しています。詳細は、「Oracle Grid Infrastructure用の高可用性Network File Storage」を参照してください。

すべてのOracle Clusterwareリソースと同様に、これらのリソースは、基本となるデバイス、ファイルシステムまたはドライバをモニタリングすることで高可用性を実現し、オブジェクトが利用可能な状態を保つようにします。基礎となるオブジェクトが利用不可になる場合、各リソースは、基礎となるオブジェクトが再度利用可能になるようにします。

高可用性アクション

次に、高可用性リソースのアクションを示します。

• Oracle ACFSリソース

  このリソースは、ファイルシステムのアンマウントを試行します。アンマウントに成功すると、リソースは、ファイルシステムを再マウントして、ファイルシステムを再度利用可能な状態にします。アンマウント時にプロセスがファイルシステム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。

• Oracle ADVMリソース

  このリソースは、任意のボリューム・デバイスの無効化を試行して、そのボリューム・デバイスを再度有効にします。その時点で、構成されたOracle ACFSリソースはファイルシステムを再マウントできます。この期間にプロセスがボリューム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。

Oracle ACFSリソースの作成

Oracle ACFSリソースは次の方法で作成できます。

• Oracle ASMコンフィギュレーション・アシスタント(ASMCA)には、最も頻度の高い機能を公開するGUIがあります。どのような場合でも、ファイルシステム・リソースの作成により、基本のファイルシステムがフォーマットされることはありません。リソースを開始しようとする場合、ユーザーは、手動で、またはASMCAを使用してファイルシステムをフォーマットする必要があります。

• SRVCTLには、filesystemオブジェクトを介して、Oracle ACFSファイルシステム・リソースを作成するための柔軟性の高いコマンドライン・ユーティリティが用意されています。このメカニズムで作成されたOracle ACFSリソースは、サーバー・プールなどの全機能セットにアクセスできます。

• acfsutilコマンドにより、registryオブジェクトを使用してOracle ACFSファイルシステム・リソースを作成する代替方法が提供されます。この方法で作成されたOracle ACFSリソースでは、アクセスできるオプションに制限があります。

SRVCTLコマンドとacfsutilコマンドの違いは、次のとおりです。

• SRVCTLで作成され、サーバー・プールまたはノード・リストを指定するOracle ACFSリソースは、そのノードのいずれかにのみマウントされます。(ノードローカル)

• SRVCTLで作成されたOracle ACFSリソースは、Oracleサーバー・プールを利用できます。

• acfsutilコマンドで作成され、ノード・リストを指定するOracle ACFSリソースは、そのリストのノードすべてにマウントされます。(ノードローカル)

• acfsutilコマンドで作成されたOracle ACFSリソースは、AUTOSTARTがALWAYSに設定された状態で作成されます。

• SRVCTLで作成されたOracle ACFSリソースでは、高度なアプリケーションID機能を使用できます。この機能を使用すると、管理者が設定するリソース・タイプが有効になります。タイプの設定後、他のリソースはこのタイプによって決まるため、各ノードで依存性を実施するように様々なノードローカル・ファイルシステムを使用できます。簡単な例では、これにより、管理者は、クラスタの各ノードの/logディレクトリに異なるデバイスをマウントしたり、Apacheリソースを実行したりすることができます。Apacheリソースでは、個々のリソースを指定するのではなく、そのリソース依存性構造で新しいタイプを指定します。

• SRVCTLで作成されたOracle ACFSリソースは、AUTOSTARTパラメータを追加で指定できます。これらのパラメータを使用すると、スタックの起動時にリソースが開始することがなく、開始するリソースを常に強制したり、リソース(以前に実行していた場合)の開始のみを行うことができます。

• SRVCTLで作成されたOracle ACFSリソースでは、アクセラレータ・ボリュームなどの機能にアクセスできます。

SRVCTLコマンドとacfsutilコマンドの両方に共通する要素は、次のとおりです。

• ユーザー

  これは、リソースに影響を与える可能性のある追加ユーザーです。デフォルトでは、Oracle ACFSリソースを開始および停止するrootユーザーである必要があります。

• オプション

  これらは、リソースが開始している場合に、ファイルシステムのマウントに使用する必要があるマウント・オプションです。

ノードローカルまたはクラスタワイド・ファイルシステム

Oracle ACFSファイルシステム・リソースを作成すると、ノードローカル・ファイルシステムまたはクラスタワイド・ファイルシステムを作成できます。

• ノードローカル

  このファイルシステム・タイプは、マウントできるノード数に制限されます。SRVCTLコマンドとacfsutilコマンドのどちらで作成されるかに応じて、1つのノードのみ、ノードのサブセット、または構成されたすべてのノードにマウントできます。場合によっては、フル・クラスタ構成と同じように見えますが、新しいノードをクラスタに追加する場合、ファイルシステムは、許容されるノードのリストを変更しないと自動的にマウントされません。

• クラスタワイド

  このタイプのファイルシステムは、例外なく、クラスタのすべてのノードにマウントされます。新しいメンバーをクラスタに追加すると、ファイルシステムは、そのメンバー上で自動的に利用可能になります。このタイプのリソースは、Oracle DatabaseやOracle HANFSなどの特定の構成に必要です。

Oracle ACFSリソースのモニタリング

すべてのOracle Clusterwareリソースと同様に、Oracle ACFSリソースを使用すると、システムの状態をモニターできます。このモニタリングは、次のコマンドで行うことができます。

• SRVCTLコマンドの使用

  コマンドsrvctl status filesystemまたはsrvctl status volumeを実行すると、コマンドの出力によって、ファイルシステムがマウントされるか、ボリュームが有効になるか、どのノードがこれに当てはまるかが報告されます。

• CRSCTLコマンドの使用

  crsctl status resourceコマンドを実行すると、マウントされたファイルシステムまたは有効なボリュームのどちらかによって、利用可能なリソースごとにONLINEの状態が報告されます。OFFLINEの状態は、アンマウントされたファイルシステムまたは無効なボリュームのどちらかによって、利用不可のリソースごとに報告されます。追加のステータスは、この出力のSTATUSフィールドに表示されます。

Oracle ACFSリソースの停止

Oracle ACFSファイルシステム・リソースは、次の方法で停止できます。

• Oracle Clusterwareスタック全体を停止できます。Oracle Clusterwareスタックを停止すると、Oracle ACFSリソースはすべて自動的に停止します。

• 個々のリソースを停止するには、SRVCTL管理コマンドをOracle ACFSのファイル・システムまたはボリューム・オブジェクトとともに使用できます。停止しようとしているリソースに依存している他のリソースがある場合は、コマンドに-forceオプションが必要な場合があります。

• 手動アクション(ファイル・システムでのunmountの実行や、ASMCMDコマンドまたはSQL*Plusコマンドを使用した手動によるボリュームの停止など)を行うことができます。この場合、Oracle ACFSリソースは、OFFLINE状態に自動的に遷移します。

Oracle Grid Infrastructure以外のマウント・ポイントの使用により、一部の状況でカーネルでのボリュームのアンマウントおよび無効化ができない場合があります。次に例を示します。

• ネットワーク・ファイル・システム(NFS)

• Samba/共有インターネット・ファイル・システム(CIFS)

前述のいずれかの例に状況が当てはまる場合は、スタックの停止、ファイル・システムのアンマウント、またはボリュームの無効化を開始する前に、必ずこの機能の使用を中断してください。

また、一部のユーザー・スペース・プロセスおよびシステム・プロセスでは、Oracle Grid Infrastructureスタックがパッチ適用やアップグレード中に停止しないような方法で、ファイル・システムまたはボリューム・デバイスを使用する場合があります。この問題が発生した場合は、lsofコマンドとfuserコマンド(LinuxおよびUNIX)か、handleコマンドとwmicコマンド(Windows)を使用して、Oracle ACFSファイル・システムとOracle ADVMボリューム上でアクティブなプロセスを特定してください。これらのプロセスが確実にアクティブでなくなるようにするには、すべてのOracle ACFSファイル・システムまたはOracle ADVMボリュームをディスマウントし、Oracle Clusterwareの停止を発行します。このようにしないと、Oracle Clusterwareの停止時にOracle ACFSファイル・システムまたはOracle ADVMボリュームのアクティビティに関してエラーが発生する場合があり、Oracle Clusterwareの正常な停止を妨げることになります。

Oracle ACFSリソースの制限事項

Oracle ACFSには、リソースに関する次の制限事項があります。

• すべてのOracle ACFSリソースの作成には、root権限が必要です。

• すべてのOracle ACFSリソースの削除には、root権限が必要です。

• すべてのOracle ACFSファイルシステム・リソースの操作(リソースの開始や停止など)には、root権限が必要ですが、データベース・ユーザーなどの別のユーザーがそれらを操作できるように構成可能です。この場合、rootユーザーを使用してリソースを構成する必要があります。

• すべてのOracle ADVMボリューム・リソースでは、ASMADMINユーザーの操作が許可されます。

• すべてのOracle ACFSリソースは、Oracle RACモードでのみ利用可能です。Oracle ACFSリソースは、Oracle Restart構成でサポートされません。Oracle ACFSとOracle Restartの詳細は、「Oracle ACFSとOracle Restart」を参照してください。

Oracle ACFSとディスマウントまたは停止操作

Oracle ADVMボリューム・デバイス・ファイルで構成されたアクティブ・ファイルシステムは、Oracle ASMインスタンスが停止されるか、ディスク・グループがディスマウントされる前にディスマウントする必要があります。ファイルシステムがディスマウントされると、Oracle ASMファイルに対して使用中の参照はすべて削除され、関連ディスク・グループのディスマウントまたはインスタンスの停止が可能になります。

関連するOracle ACFSがアクティブであるときに、Oracle ASMインスタンスまたはディスク・グループが強制的に停止されるか、障害が発生すると、ファイルシステムはオフライン・エラー状態になります。ファイルシステムがOracle ADVMボリューム・ファイルに現在マウントされている場合は、それらのファイルシステムを先にディスマウントせずにOracle ASMインスタンスを終了するのに、SHUTDOWN ABORTコマンドを使用しないでください。使用すると、アプリケーションでIOエラーが発生し、Oracle ASMストレージの隔離前に、終了時点で書き込まれるOracle ACFSのユーザー・データおよびメタデータがストレージにフラッシュされない可能性があります。ファイルシステムのディスマウントが不可能な場合は、SHUTDOWN ABORT操作を発行する前に、2つのsync (1)コマンドを実行してキャッシュ済のファイルシステム・データおよびメタデータを永続ストレージにフラッシュする必要があります。

その後でオフライン・ファイルシステムにアクセスしようとすると、エラーが戻されます。その状態からファイルシステムをリカバリするには、Oracle ACFSファイルシステムのディスマウントと再マウントが必要です。1つのアクティブ・ファイルシステムをアンマウントするには、たとえオフラインのものであっても、そのファイルシステムを使用するすべてのアプリケーション(シェル参照を含む)を停止する必要があります。たとえば、ファイルシステム・ディレクトリへの前のディレクトリ変更(cd)です。Linuxのfuserまたはlsofコマンド、あるいはWindowsのhandleコマンドは、プロセスおよびオープン・ファイルに関する情報を表示します。

参照。詳細は、次を参照してください。

Oracle ACFSで使用するMicrosoft Handleユーティリティ

Oracle Clusterwareで管理されるOracle ACFS高可用性リソースの適切な操作を確実にするには、Microsoft Handleユーティリティをダウンロードし、Windows上のOracle Grid Infrastructureホームにインストールする必要があります。HandleユーティリティがOracle Grid Infrastructureホームに含まれていない場合、Oracle Clusterwareリソースが正常に停止しない可能性があります。

Microsoft社のWebサイトからMicrosoft Handleユーティリティをダウンロードできます。ユーティリティをダウンロードした後、HandleユーティリティをGrid Infrastructureホームの/binディレクトリに置いてください。Grid Infrastructureホームは、現在のセッションのPATH環境変数に必ず含めてください。

関連項目:

• Oracle ASMインスタンスの停止の詳細は、「Oracle ASMインスタンスの停止について」

• ディスク・グループのディスマウントの詳細は、「ディスク・グループのマウントおよびディスマウント」

• Microsoft Handleユーティリティの詳細およびダウンロード手順は、https://docs.microsoft.com/en-us/sysinternals/downloads/handle

Oracle ACFSセキュリティ

Oracle ACFSセキュリティは、Oracle ACFSファイルシステムにレルムベースのセキュリティを提供します。それにより、ファイルシステム・オブジェクトへのアクセスを決定する、ユーザーおよびグループ用のセキュリティ・ポリシーを指定するレルムを作成することができます。

このセキュリティ機能は、オペレーティング・システムが提供するアクセス制御の上の、より密なアクセス制御を提供します。Oracle ACFSセキュリティでは、暗号化機能を使用して、Oracle ACFSファイルシステムに保存されたレルム保護されたファイルの内容を保護することができます。

Oracle ACFSセキュリティはレルム、ルール、ルール・セット、コマンド・ルールを使用してセキュリティ・ポリシーを施行します。

• Oracle ACFSセキュリティ・レルムは、ユーザーまたはユーザーのグループによるアクセスに対しセキュリティ保護されるファイルまたはディレクトリのグループです。レルムは密なアクセス制御を適用するルールのグループを含むルール・セットにより定義されます。Oracle ACFSセキュリティ・レルムは暗号化を可能にするコンテナとしても使用できます。

• Oracle ACFSセキュリティ・ルールは、ルールが元にするシステム・パラメータに基づきtrueかfalseかを評価するブール式です。

• Oracle ACFSルール・セットはルールの集合です。ルール・セットは、そこに含まれるルールの評価に基づき、TRUEまたはFALSEに評価されます。

• Oracle ACFSコマンド・ルールはルール・セットへのファイルシステムの操作の関連付けです。たとえば、ルール・セットへのファイルシステムの作成、削除、または名前の変更操作の関連付けです。コマンド・ルールはOracle ACFSレルムと関連付けられます。

既存のオペレーティング・システム・ユーザーは最初のOracle ACFSセキュリティ管理者に指定され、既存のオペレーティング・システム・グループはセキュリティ管理者adminグループに指定される必要があります。セキュリティ管理者は指定されたセキュリティ・グループのメンバーである必要があります。追加のユーザーをセキュリティ管理者として指定することができます。Oracle ACFSセキュリティ管理者はレルムごとにOracle ACFSファイルシステムに対する暗号化を管理できます。Oracle ACFSセキュリティ管理者はセキュリティ・レルム・パスワードにより認証されます。ユーザーのオペレーティング・システム・パスワードではありません。

最初のセキュリティ管理者は、ルート・ユーザーが実行するacfsutil sec initコマンドによるOracle ACFSセキュリティの初期化中に作成されます。最初のセキュリティ管理者が作成されるときに、管理者にパスワードが割り当てられますが、これは管理者が変更できます。セキュリティ管理者がacfsutil secコマンドを実行するたびに、管理者はセキュリティ・パスワードを求められます。管理者のセキュリティ・レルム・パスワードは、セキュリティの初期化プロセス中に作成されるウォレットに保存されます。このウォレットは、Oracle Cluster Registry (OCR)に配置されます。

監査および診断データがOracle ACFSセキュリティ用に記録されます。ログ・ファイルには、実行したacfsutilコマンド、セキュリティまたはシステム管理者権限の使用、レルムの認可の確認障害などの実行時障害といった情報が含まれます。

レルム作成や暗号化の有効化などの監査イベントは、ファイルシステムで監査が有効になっていない場合のみ、これらのログ・ファイルに書き込まれます。監査が有効な場合、これらのイベントは監査証跡に書き込まれます。セキュリティおよび暗号化に関連する診断メッセージは、監査が有効であるかどうかにかかわらず、常にsec-hostname_fsid.logファイルに書き込まれます。

ログは次のファイルに書き込まれます。

• mount_point/.Security/realm/logs/sec-hostname_fsid.log

  このディレクトリはacfsutil sec prepareコマンドにより作成され、Oracle ACFSセキュリティにより保護されます。

• GRID_HOME/log/hostname/acfs/security/acfssec.log

  このファイルに記録されるメッセージは、acfsutil sec initなどの、特定のファイルシステムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。

アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name.bakに移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name.bakファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name.bakファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。

Oracle ACFSセキュリティは次のオブジェクトを認証されないアクセスから保護します。

• レルム保護されたディレクトリおよびユーザー・ファイル

  Oracle ACFSセキュリティにより保護されたファイルシステムに存在するディレクトリおよびファイル。

• Oracle ACFSセキュリティ・ディレクトリ(mount_point/.Security)およびその内容

  セキュリティ・ディレクトリには、プレーンテキスト形式のログ・ファイルとXML形式のセキュリティ・メタデータ・バックアップ・ファイルが含まれます。Oracle ACFSセキュリティにより生成されたログ・ファイルは、有効なOracle ACFSセキュリティ管理者のみがアクセスできます。

• Oracle ACFSセキュリティ・オブジェクト

  次のオブジェクトは、Oracle ACFSセキュリティを管理するのに使用されるセキュリティ・レルム、ルール、およびルール・セットです。

Oracle ACFSファイルシステムのセキュリティ・レルム内のファイルへのアクセスは、セキュリティ・レルムと、Linux上の権限(所有者、グループ、その他)およびWindows上のアクセス制御リスト(ACL)のような基礎となるオペレーティング・システムの権限の両方により認証される必要があります。レルム保護されたファイルへのそれぞれのアクセスは、まずセキュリティ・レルム認証でチェックされます。アクセスがセキュリティ・レルムにより認証されると、次にファイルへのアクセスが、基礎となるオペレーティング・システムのアクセス制御チェックにより確認されます。両方のチェックを通過すると、レルム保護されたファイルへのアクセスが許可されます。

Oracle ACFSセキュリティでの処理では次のことに注意してください。

• Oracle ACFSセキュリティはネットワーク上に送信されたデータは保護しません。

• レルム保護されたファイルのコピーは、そのコピーがレルム保護されたディレクトリで作成されないかぎり、レルム保護されません。

  viエディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルがレルム保護されたディレクトリに作成されると、レルムのセキュリティ・ポリシーが新しいファイルにも適用されます。新しいファイルがレルム保護されたディレクトリで作成されない場合は、新しいファイルはレルム保護されません。レルム保護されたファイルのコピーを計画している場合、親ディレクトリもセキュリティ・レルム保護されていることを確認する必要があります。

  セキュリティ・ポリシーはレルム保護されたディレクトリで作成された一時ファイルにも適用されます。

LinuxでOracle ACFSセキュリティ機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.2以上に設定されていることが必要です。WindowsでOracle ACFSセキュリティ機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.3以上に設定されていることが必要です。

Oracle ACFSファイルシステムのセキュリティ情報はV$ASM_ACFS_SECURITY_INFOビューに表示されます。

関連項目:

• Oracle ACFSの監査の詳細は、「Oracle ACFS監査」

• Oracle ACFSファイルシステムの準備の詳細は、「acfsutil sec prepare」

• ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」

• Oracle ACFSのセキュリティおよびスナップショットの詳細は、「Oracle ACFSスナップショットについて」

• V$ASM_ACFSビューの詳細は、「ビューを使用したOracle ACFS情報の表示」

• Oracle ACFSファイルシステムのセキュリティを構成するacfsutil secコマンドラインの機能の詳細は、「Oracle ACFSファイルシステムのセキュリティ保護」と「セキュリティ用のOracle ACFSコマンドライン・ツール」

• ASMCAを使用したOracle ACFSセキュリティの構成の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」

• OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。

Oracle ACFS暗号化

Oracle ACFS暗号化により、ディスクに保存されたデータ(保存データ)を暗号化できます。

暗号化機能は、Oracle ACFSファイルシステム内の暗号化された形式のデータを保護し、データの損失または盗用の場合にデータの認証されていない使用を防ぎます。暗号化されているファイルとされていないファイルは、同じOracle ACFSファイルシステムに共存できます。

暗号化機能には、システム管理者権限が必要なものがあります。この機能には、暗号化の開始、設定および再構成が含まれます。

システム管理者およびOracle ACFSセキュリティ管理者は暗号化の操作を開始できます。また、非特権ユーザーは自分が所有するファイルの暗号化を開始できます。

Oracle ACFS暗号化では、次の2つのタイプの暗号化キーを提供します。

• ファイル暗号化キー

  これはファイル用のキーで、ファイル内のデータを暗号化するのに使用されます。

• ボリューム暗号化キー

  これはファイルシステム用のキーで、ファイルの暗号化キーを暗号化するのに使用されます。

まず、暗号化キー・ストアを作成する必要があり、次にファイルシステム・レベルの暗号化パラメータを指定し、ディレクトリを識別する必要があります。ユーザーにファイル・データをアクセスするのに適切な特権があれば、ユーザーが暗号化されたファイルを読み取るのに追加の手順は必要ありません。

Oracle ACFS暗号化では、Oracle Cluster Registry (OCR)とOracle Key Vaultの両方をキー・ストアとしてサポートしています。OCRとOracle Key Vaultは両方とも、同じクラスタ内で使用できます。ただし、単一ファイルシステムでは、両方ではなくOCRまたはOracle Key Vaultのいずれかをキー・ストアとして使用します。Oracle Key Vaultは現在、Linux上のファイルシステムでのみ使用可能です。

OCRをキー・ストアとして使用している場合、暗号化鍵の作成または更新後にOCRをバックアップして、ファイルシステムのすべてのボリューム暗号化鍵(VEK)を含むOCRバックアップを作成する必要があります。

Oracle ACFS暗号化は、盗用やストレージ・メディアへの直接アクセスの脅威から、セカンダリ・ストレージに保存されたデータを保護します。データはセカンダリ・ストレージにプレーンテキストで書き込まれることはありません。物理ストレージが盗まれたとしても、保存されたデータは暗号化キーがなければアクセスできません。暗号化キーはプレーンテキストで保存されることはありません。キーは不明瞭化されるか、またはユーザーが指定したパスワードを使用して暗号化されます。

Oracle ACFSセキュリティ管理者はレルムごとに暗号化パラメータを管理できます。ファイルがレルム・セキュリティの下に配置されると、そのファイルではファイル・レベルの暗号化の操作はできません。レルム・セキュリティにより、所有者またはルート・ユーザーがファイルを開くことができる場合でも、ファイル・レベルの暗号化の操作はブロックされます。レルム保護されたファイルの暗号化は、完全にOracle ACFSセキュリティ管理者により管理され、セキュリティ・レルム・レベルでファイルの暗号化を有効および無効にすることができます。

ディレクトリがセキュリティ・レルムに追加されると、そのディレクトリで作成されたすべてのファイルは、レルムレベルの暗号化パラメータを継承します。ディレクトリまたはファイルシステムレベルのパラメータではありません。ファイルがその最後のセキュリティ・レルムから削除されると、そのファイルはファイルシステムレベルの暗号化状態と一致するように暗号化または復号化されます。ファイルがセキュリティ・レルム・パラメータで暗号化された場合、ファイルシステムレベルのパラメータと一致するように再暗号化されません。

システム管理者はファイルシステムまたはファイル・レベルで、レルム保護されたファイルをキー更新できません。すべてのレルム保護されたファイルが最新のボリューム暗号化キー(VEK)で確実に暗号化されるために、最初にすべてのレルムから暗号化を削除してから、暗号化を再度有効にします。このアクションはすべてのファイルを最新のVEKで再暗号化します。

監査および診断データがOracle ACFS暗号化用に記録されます。ログ・ファイルには、実行したacfsutilコマンド、セキュリティまたはシステム管理者権限の使用、実行時障害などの情報が含まれます。ログは次のファイルに書き込まれます。

• mount_point/.Security/encryption/logs/encr-hostname_fsid.log

  このディレクトリはacfsutil encr setコマンドにより作成され、セキュリティが有効な場合、Oracle ACFSセキュリティにより保護されます。

• GRID_HOME/log/hostname/acfs/security/acfssec.log

  このファイルに記録されるメッセージは、acfsutil encr initなどの、特定のファイルシステムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。

アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name.bakに移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name.bakファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name.bakファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。

Oracle ACFS暗号化での処理では次のことに注意してください。

• 暗号化されたファイルのコピーは、そのファイルのコピーが暗号化されたディレクトリで作成されないかぎり暗号化されません。

  viエディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルは、それが暗号化されたディレクトリで作成されないかぎり暗号化されません。暗号化されたファイルのコピーを計画している場合、親ディレクトリも暗号化されていることを確認する必要があります。

• Oracle ACFSでのデータベース・ファイルによる暗号化の使用は、サポートされていません。

• Oracle ACFS暗号化は、暗号化を使用しているファイルシステムのいずれかがOracle ACFSマウント・レジストリを使用してマウントされるように構成されている場合、パスワードで保護された(PKCS)ウォレットで使用できません。

• acfsutil encr on、acfsutil encr offコマンドおよびacfsutil encr rekeyコマンドは、128 MBを超えるファイルでサポートされません。128 MBを超えるファイルでのこれらのコマンドの操作は失敗し、結果として発生するエラー・メッセージに代替アクションが表示されます。

LinuxでOracle ACFS暗号化機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.2以上に設定されていることが必要です。次のような場合、LinuxではASMとADVMに対するディスク・グループの互換性属性は11.2.0.3以上に設定される必要があります。

• Oracle ASM 11gリリース2 (11.2.0.3)で初回時に暗号化を設定する場合。

• ソフトウェアのOracle ASM 11gリリース2 (11.2.0.3)へのアップグレードに伴って暗号化パラメータを変更、または新しいボリュームの暗号化キーを作成する必要がある場合。

WindowsでOracle ACFS暗号化機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.3以上に設定されていることが必要です。

Oracle ACFSファイルシステムの暗号化情報はV$ASM_ACFS_ENCRYPTION_INFOビューに表示されます。暗号化を構成し、暗号化されたOracle ACFSファイルシステムを管理するには、acfsutil encrコマンド機能とOracle ASMコンフィギュレーション・アシスタントを使用します。

関連項目:

• ボリューム暗号化鍵の変更と作成の詳細は、「acfsutil encr set」および「acfsutil encr rekey」

• ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」

• Oracle ACFSの暗号化およびスナップショットの詳細は、「Oracle ACFSスナップショットについて」

• V$ASM_ACFSビューの詳細は、「ビューを使用したOracle ACFS情報の表示」

• Oracle ACFSコマンドライン・ツールによる暗号化の管理の詳細は、「Oracle ACFSファイルシステムの暗号化」と「暗号化用のOracle ACFSコマンドライン・ツール」

• 暗号化機能でのOracle ASMCAの使用の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」

• Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』

Oracle ACFS圧縮

Oracle ACFS圧縮は、汎用ファイル用に指定されたOracle ACFSファイル・システムで有効になります。Oracle ACFS圧縮は、Oracle Databaseファイルではサポートされません。

キャッシュIO圧縮は、アプリケーションによってファイルに書き込まれた後に非同期で実行されます。ファイルシステムで圧縮を有効にすると、既存のファイルは圧縮されず、新規作成したファイルのみ圧縮されます。圧縮を無効にしても、圧縮済ファイルは解凍されません。圧縮済ファイルは圧縮単位に関連付けられ、圧縮アルゴリズムはこの単位に対して作用します。デフォルトの単位サイズは現在32Kです。lzoは、デフォルトの圧縮アルゴリズムであり、現在サポートされている唯一の圧縮アルゴリズムです。

acfsutil compressコマンドは、acfsutil compress onおよびacfsutil compress offによってファイルシステムの圧縮状態を設定およびリセットします。圧縮状態および圧縮操作の有効性を表示するには、acfsutil compress infoコマンドを使用します。acfsutil info fsコマンドおよびacfsutil info fileコマンドは、Oracle ACFS圧縮状態に関してレポートするよう拡張されています。

圧縮済ファイルは、未圧縮ファイルよりディスク領域の消費が少なくなります。しかし、そのファイルを使用するアプリケーションに対して、レポートされるサイズは未圧縮ファイル・サイズと等しく、小さい方の圧縮済サイズではありません。ls -lなどの一部のユーティリティは、ファイルの未圧縮サイズをレポートします。du、acfsutil compress info、acfsutil info fileなどのユーティリティは、圧縮済ファイルの実際のディスク割当てをレポートします。

Oracle ACFS圧縮について、次の点に注意してください。

• Oracle ACFS圧縮は、データベース・ファイルの保持を目的とするOracle ACFSファイル・システムではサポートされません。かわりに、Oracle Advanced Compressionを使用してください。

• 圧縮済ファイルでのループバック・マウントはサポートされません。これには、Oracle ACFSリモート・サービスでの使用を目的とするファイルが含まれます。ループバック・デバイスが圧縮済ファイルに関連付けられている場合、ループバック・デバイスに対する読取り操作および書込み操作は失敗します。

• 圧縮に対応しているOracle ACFSファイルシステムでは、ループバック・デバイスを未圧縮ファイルに関連付けることができます。

• Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)の場合、Oracle ACFS圧縮はLinuxおよびAIXでサポートされます。

• Oracle ACFS圧縮は、Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)以降で使用可能なOracle ACFSスナップショットベースのレプリケーションでのみサポートされます。

• ADVMディスク・グループ互換性を12.2以上に設定する必要があります。

関連項目:

• Oracle ACFS圧縮コマンドの詳細は、「圧縮用のOracle ACFSコマンドライン・ツール」

• acfsutil infoコマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」

Oracle ACFS監査

Oracle ACFS監査では、Oracle ACFSのセキュリティおよび暗号化に対する監査機能を提供します。この監査フレームワークでは、個々のノード上の各Oracle ACFSファイルシステム用に、個別の監査証跡を作成し、この監査ソースの管理および確認に関する義務の分離を強制します。

監査ソースは、Oracle ACFSセキュリティおよびOracle ACFS暗号化などのイベントのソースです。監査証跡は、監査レコードが書き込まれるログです。

この項では、次の項目について説明します。

• Oracle ACFS監査について

• 監査証跡ファイル

• ファイル・アクセス・イベント

• 権限使用イベント

• 評価結果イベント

Oracle ACFS監査について

Oracle ACFSセキュリティと暗号化は両方とも監査ソースで、これらのソースは、Oracle ACFS監査マネージャによって、有効化および無効化できます。これらのソースは、Oracle ACFSセキュリティおよび暗号化コマンドの実行結果として、イベントを生成します。

Oracle ACFSセキュリティ管理者は、セキュリティ違反および認可も監査できるようにレルム・レベルで監査を有効化できるとともに、セキュリティ管理者によって実行されたすべてのイベントを監査するためにセキュリティに関する監査を有効化できます。Oracle ACFSレルム・セキュリティ監査を使用する前に、Oracle ACFSセキュリティ・ソースを有効化する必要があります。

すべてのコマンド・ルールに対してすべての認可および違反を監査するレルム監査ポリシーを設定すると、監査証跡がすぐに最大サイズまで増加することがあります。管理者は、要件に対して監査レベルを慎重に調整し、冗長な監査出力を生成している監査ポリシーが、監査証跡と監査証跡バックアップ・ファイルのアクティブな監視および管理(アーカイブやパージなど)をさらに必要としていることに注意する必要があります。

ファイルシステム監査ソースの生成とともに、Oracle ACFS監査では、ファイングレインの監査ポリシーを、レルムごとに個別に設定できます。Oracle ACFS監査機能では、Oracle Audit Vault and Database FirewallにデータをインポートするAudit Vaultコレクタ用のインフラストラクチャが提供されます。このコレクタは、Oracle ACFSとは別で、Oracle ACFS監査データをAudit Vault Serverにインポートする手段として機能します。

監査ソースの構成および管理用の職責は、Oracle ACFS監査マネージャとOracle ACFS監査者のロールに分かれます。システム管理者には、Oracle ACFS監査マネージャとOracle ACFS監査者のオペレーティング・システム(OS)グループに対してユーザーを追加および削除する権限があります。

Oracle ACFS監査マネージャは、監査ソースのコンテンツにアクセスでき、監査データを読み取ることができます。ただし、監査マネージャは、監査ソースを変更することはできません。Oracle ACFS監査マネージャのセットは、クラスタ間で同じです。

Oracle ACFS監査者は、監査ソースのコンテンツの表示および分析を担当し、たとえば、分析およびアーカイブされたレコードや、安全にパージできるレコードを、Oracle ACFS監査マネージャに示します。Oracle ACFS監査者は、監査ソースのコンテンツへのアクセス権限を持つ、システム上のユーザーのみである必要があります。Oracle ACFS監査者には、監査レコードを削除またはパージするために必要な権限はありません。Oracle ACFS監査者のセットは、クラスタ間で同じです。

監査アーカイブ・プロセスでは、監査証跡ログ・ファイル(.log)を監査証跡バックアップ・ファイル(.log.bak)に名前を変更し、Audit Vault ServerによってインポートできるXMLファイルを生成します。この場合、Audit Vault Serverでは、監査者として、監査証跡ディレクトリおよび機能への読取りアクセス権限のみ付与されます。XMLファイルのデータをAudit Vault Serverにインポートした後で、監査者機能では、監査証跡バックアップ・ファイルにreadとマークし、監査マネージャは、パージを実行して、監査証跡バックアップ・ファイルおよびXMLファイルを削除できます。

Oracle ACFSファイルシステムの監査を構成するには、acfsutil audit initコマンドを実行して、Oracle ACFSの監査を初期化してから、acfsutil audit enableを実行し、指定したファイルシステムでOracle ACFS暗号化またはセキュリティの監査を有効にします。

関連項目:

• acfsutil auditコマンドの詳細は、「監査用のOracle ACFSコマンドライン・ツール」

• acfsutil sec realm audit enableコマンドとacfsutil sec realm audit disableコマンドを使用して、Oracle ACFSセキュリティ・レルムで特定のコマンドに対する監査を有効化または無効化する方法の詳細は、「セキュリティ用のOracle ACFSコマンドライン・ツール」

• Oracle ACFSの監査に関連するビューの詳細は、「Oracle ACFS情報を表示するビュー」

• Audit Vault Serverの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。

• OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。

監査証跡ファイル

監査証跡ファイルは、一連の監査レコードで構成されます。各監査レコードは、1つのイベントを表します。監査証跡ファイルは、mount_point/.Security/auditディレクトリにあります。

Oracle ACFS監査で生成される監査証跡ファイルは、次に対して使用可能になることが想定されています。

• テキスト表示ツールを使用した、Oracle ACFS監査者による手動確認

• Oracle Audit Vault and Database Firewallへのインポート

• 監査ソースを解析およびインポートできるサード・パーティ製品

監査証跡ファイルは、監査レコードで構成されます。監査レコードには複数の異なるタイプがあり、それぞれが一意のイベントのタイプを表し、イベントの診断に関連する様々な情報が含まれます。イベントのタイプは、次のとおりです。

• ファイル・アクセス・イベント

• 権限使用イベント

• 評価結果イベント

監査証跡ファイルに入力された監査レコード・フィールドの組合せは、イベント・タイプによって異なります。

各レコードは、フィールドの名前と値のセットとして監査証跡ファイルに書き込まれます。レコードのタイプに応じて、フィールドの数およびタイプが異なります。フィールドは、名前と値のペアで構成され、field name:valueの形式で、最後に改行文字が続きます。

監査証跡ファイルに指定できる監査レコード・フィールドについて、次のリストで説明します。丸カッコで囲まれた文字列は、監査証跡ログ・ファイルに表示されるフィールド名です。

• タイムスタンプ(Timestamp): イベントが発生した時間で、常にUTCで指定されます。タイムスタンプの形式は、MM/DD/YYYY HH:MM:SS UTCです。

• イベント・コード(Event): イベントのタイプを識別するコード。評価結果コードのリストは、「ファイル・アクセス・イベント」および「権限使用イベント」を参照してください。

• ソース(Source): Oracle ACFS

• ユーザー識別(User): イベントをトリガーしたユーザー。これは、LinuxプラットフォームではユーザーIDで、WindowsではユーザーSIDです。

• グループ識別(Group): イベントをトリガーしたユーザーのプライマリ・グループ。これは、Linuxプラットフォームではユーザーのプライマリ・グループのIDで、Windowsではユーザーのプライマリ・グループのSIDです。

• プロセス識別(Process): 現在のプロセスID。

• ホスト名(Host): イベントを記録したホスト。

• アプリケーション名(Application): 現在のプロセス用のアプリケーション名。

• レルム名(Realm): 違反したレルム、または、認可され、ファイルを保護しているレルムの名前。

• ファイル名(File): ユーザーがアクセスしていたファイル名。

• 評価結果(Evaluation Result): このフィールドには、実行されたコマンドの結果に関する情報が含まれます。評価結果コードのリストは、「評価結果イベント」を参照してください。

• ファイルシステムID (FileSystem-ID):

• メッセージ(Message): メッセージ・フィールドには、実行されたコマンドに関する情報およびその結果が含まれています。

例11-1に、監査証跡ファイルの例を示します。

例11-1 監査証跡ファイルの例

Timestamp: 06/08/12 11:00:37:616 UTC
Event: ACFS_AUDIT_READ_OP
Source: Oracle_ACFS
User: 0
Group: 0
Process: 1234
Host: slc01hug
Application: cat
Realm: MedicalDataRealm
File: f2.txt
Evaluation Result: ACFS_AUDIT_REALM_VIOLATION
FileSystem-ID: 1079529531
Message: Realm authorization failed for file ops READ

Timestamp: 06/08/12 11:00:37:616 UTC
Event: ACFS_AUDIT_WRITE_OP
Source: Oracle_ACFS
User: 102
Group: 102
Process: 4567
Host: slc01hug
Application: vi
Realm: PayrollRealm,SecuredFiles
File: f2.txt
Evaluation Result: ACFS_AUDIT_REALM_AUTH
FileSystem-ID: 1079529531
Message: Realm authorization succeeded for file ops WRITE

Timestamp: 06/08/12 10:42:20:977 UTC
Event: ACFS_SEC_PREPARE
Source: Oracle_ACFS
User: 507867
Group: 8500
Process: 603
Host: slc01hug
Application: acfsutil.bin
Evaluation Result: ACFS_CMD_SUCCESS
FileSystem-ID: 1079529531
Message: acfsutil sec prepare: ACFS-10627: Mount point '/mnt' is now
prepared for security operations.

ファイル・アクセス・イベント

ファイル・アクセス・イベントには、レルムの認可と違反の両方のレコードが含まれます。これらのイベントは、類似した構造をすべてのイベントと共有しますが、イベント・コードは異なります。評価結果(Evaluation Result)フィールドには、ACFS_AUDIT_REALM_VIOLATIONまたはACFS_AUDIT_REALM_AUTHのいずれかを指定できます。

ファイル・アクセス・イベント用に指定できるイベント・コード(Event)は、次のとおりです。

• ACFS_AUDIT_APPENDFILE_OP

• ACFS_AUDIT_CHGRP_OP

• ACFS_AUDIT_CHMOD_OP

• ACFS_AUDIT_CHOWN_OP

• ACFS_AUDIT_CREATEFILE_OP

• ACFS_AUDIT_DELETEFILE_OP

• ACFS_AUDIT_EXTEND_OP

• ACFS_AUDIT_GET_EXTATTR_OP

• ACFS_AUDIT_LINKFILE_OP

• ACFS_AUDIT_MKDIR_OP

• ACFS_AUDIT_MMAPREAD_OP

• ACFS_AUDIT_MMAPWRITE_OP

• ACFS_AUDIT_MUTABLE_OP

• ACFS_AUDIT_OPENFILE_OP

• ACFS_AUDIT_OVERWRITE_OP

• ACFS_AUDIT_READ_OP

• ACFS_AUDIT_READDIR_OP

• ACFS_AUDIT_RENAME_OP

• ACFS_AUDIT_RMDIR_OP

• ACFS_AUDIT_SET_EXTATTR_OP

• ACFS_AUDIT_SYMLINK_OP

• ACFS_AUDIT_TRUNCATE_OP

• ACFS_AUDIT_WRITE_OP

権限使用イベント

権限使用イベントには、セキュリティ管理者またはシステム管理者が実行するセキュリティ・コマンド、およびシステム管理者またはファイル所有者が実行する暗号化コマンドがあります。

ACFS_AUDIT_INIT、ACFS_SEC_INITおよびACFS_ENCR_INITイベントは、Oracle Grid Infrastructureホームにあるグローバル・ログに書き込まれます。

権限使用イベント用に指定できるイベント・コード(Event)は、次のとおりです。

• ACFS_AUDIT_ARCHIVE

• ACFS_AUDIT_DISABLE

• ACFS_AUDIT_ENABLE

• ACFS_AUDIT_INIT

• ACFS_AUDIT_PURGE

• ACFS_AUDIT_READ

• ACFS_ENCR_FILE_OFF

• ACFS_ENCR_FILE_ON

• ACFS_ENCR_FILE_REKEY

• ACFS_ENCR_FS_OFF

• ACFS_ENCR_FS_ON

• ACFS_ENCR_INIT

• ACFS_ENCR_SET

• ACFS_ENCR_SET_UNDO

• ACFS_ENCR_VOL_REKEY

• ACFS_ENCR_WALLET_STORE

• ACFS_REALM_AUDIT_DISABLE

• ACFS_REALM_EDIT_ENCR

• ACFS_REALM_AUDIT_ENABLE

• ACFS_SEC_LOAD

• ACFS_SEC_PREPARE

• ACFS_SEC_PREPARE_UNDO

• ACFS_SEC_REALM_ADD

• ACFS_SEC_REALM_CLONE

• ACFS_SEC_REALM_CREATE

• ACFS_SEC_REALM_DELETE

• ACFS_SEC_REALM_DESTROY

• ACFS_SEC_RULE_CREATE

• ACFS_SEC_RULE_DESTROY

• ACFS_SEC_RULE_EDIT

• ACFS_SEC_RULESET_CREATE

• ACFS_SEC_RULESET_DESTROY

• ACFS_SEC_RULESET_EDIT

• ACFS_SEC_SAVE

評価結果イベント

評価結果イベント・コードは、コマンドの実行ステータスに関する情報を提供します。

評価結果イベント・コードには、次のいずれかを指定できます。

• ACFS_AUDIT_REALM_VIOLATION - コマンドを実行しているユーザーには、コマンドを実行するための適切なレルム・アクセス権限がありません。

• ACFS_AUDIT_REALM_AUTH - レルム評価の結果を示します。

• ACFS_AUDIT_MGR_PRIV - 監査マネージャ権限が必要ですが、ユーザーには付与されていません。

• ACFS_AUDITOR_PRIV - 監査者権限が必要ですが、ユーザーには付与されていません。

• ACFS_CMD_SUCCESS - コマンドは、タスクの実行に成功しました。

• ACFS_CMD_FAILURE - コマンドは、タスクの実行に失敗しました。

• ACFS_ENCR_WALLET_AUTH_FAIL - 暗号化ウォレットのオープン時に、システム管理者が不正なパスワードを指定しています。

• ACFS_INSUFFICIENT_PRIV - ファイル所有者またはシステム管理者権限のいずれかが必要ですが、ユーザーには付与されていません。

• ACFS_SEC_ADMIN_PRIV - セキュリティ管理者権限が必要ですが、ユーザーはセキュリティ管理者ではありません。

• ACFS_SEC_ADMIN_AUTH_FAIL - 有効なセキュリティ管理者は、Oracle ACFSセキュリティ管理パスワードを使用した適切な認証に失敗しました。

• ACFS_SYS_ADMIN_PRIV - システム管理者権限が必要ですが、ユーザーには付与されていません。

Oracle ACFSレプリケーション

Oracle ACFSスナップショットベースのレプリケーションにより、ネットワーク経由でのOracle ACFSファイルシステムのリモート・サイトへのレプリケーションが可能になり、ファイルシステムに対する障害時リカバリ機能が提供されます。

Oracle ACFSレプリケーションでは、マウントされたファイル・システム、またはマウントされたファイル・システムのスナップショットをレプリケーション・ストレージ・ロケーションとして指定できます。Oracle ACFSレプリケーション関係のソースOracle ACFSロケーションはプライマリ・ロケーションと呼ばれます。Oracle ACFSレプリケーション関係のターゲットOracle ACFSロケーションはスタンバイ・ロケーションと呼ばれます。

注意:

• Oracle ACFSレプリケーション機能は、各プライマリ・ロケーションの1つのスタンバイ・ロケーションのみをサポートします。

• スタンバイ・ロケーションは、レプリケーションがアクティブであるかぎり、読取り専用です。スタンバイの読取り-書込みスナップショットを作成できます。

• Linux、SolarisまたはAIXを実行しているプライマリ・サイトは、それらのオペレーティング・システムのいずれかを実行しているスタンバイ・サイトにレプリケートできます。Windowsを実行しているプライマリ・サイトは、Windowsを実行しているスタンバイ・サイトにのみレプリケートできます。

• プライマリ・サイトおよびスタンバイ・サイトでは、同じバージョンのOracle Grid Infrastructureソフトウェアが実行中である必要があります。サイトをアップグレードする場合、最初にスタンバイ・サイトを更新します。

• Oracle ACFSレプリケーションは、Oracle Restartでサポートされていません。

• Oracle Key Vaultキーストアは、レプリケーション・ロケーションを含むスタンバイ・ファイル・システムではサポートされません。

• レプリケーション・ロケーションを含むプライマリ・ファイル・システムでは、Oracle ACFS暗号化を元に戻せません。

  アクティブなスナップショットを保持するファイルシステムでは、暗号化を元に戻せません。アクティブ・レプリケーション・ロケーションを含むプライマリ・ファイル・システムで暗号化を元に戻す場合は、まずレプリケーションを終了します。レプリケーションが停止したら、暗号化を元に戻してレプリケーションを再開します。

サイトはプライマリ・ロケーションとスタンバイ・ロケーションの両方をホストできます。たとえば、クラスタ・サイトAおよびBがある場合、サイトAにホストされたプライマリ・ファイル・システムは、サイトBのスタンバイ・スナップショットにレプリケートできます。同様に、サイトBにホストされたプライマリ・スナップショットは、サイトAのスタンバイ・ファイル・システムにレプリケートできます。ただし、Oracle ACFSファイル・システムまたはスナップショットは、同時にプライマリおよびスタンバイのロケーションとして使用できません。

Oracle ACFSスナップショットベースのレプリケーションは、プライマリ・ロケーションのスナップショットを記録することで機能します。最初のスナップショットがスタンバイ・ロケーションに転送された後、プライマリの連続するスナップショット間の変更をスタンバイ・ロケーションに転送することで、レプリケーションは続行します。このようなレプリケーション操作は、常時モード(前の操作が完了するとすぐに新しい操作を開始できる)で実行することも、固定間隔で実行されるようにスケジュールすることもできます。このレプリケーション・ソリューションは、本来非同期です。

Oracle ACFSレプリケーションでは、最初にプライマリ・サイトでスナップショット機能を使用して、最初のスナップショットのコンテンツと、その後に2つの指定されたスナップショット間の差異をともに外部化します。その結果は、スナップショット複製ストリームと呼ばれます。次に、レプリケーション・プロセスでは、スタンバイ・サイトでスナップショット機能を使用して、このストリームをスタンバイ・ロケーションに適用し、プライマリ・ロケーションの複製を作成します。

プライマリでは、連続するスナップショットを比較することでレプリケーションが機能するため、プライマリをホストするサイトに、各スナップショットに記録されるプライマリのバージョンの他、現行プライマリのコンテンツも格納するための使用可能なディスク領域が十分にあることが重要です。さらに、必要なスナップショットを作成するのに十分な領域が常にある必要があります。各レプリケーション・スナップショットは、不要になると削除されます。

スタンバイでは、各レプリケーション操作の最後にバックアップ・スナップショットが作成されます。このスナップショットは、スタンバイの最新の一貫性のあるコンテンツを記録し、現行のレプリケーション操作時に永続的な機能停止が発生した場合にそれらのコンテンツのリカバリに使用できます。各バックアップ・スナップショットは、次のレプリケーション操作が完了すると削除されるため、常にバックアップ・スナップショットを作成できる必要があります。さらに、スナップショットで取得されたスタンバイのバージョンおよび現行スタンバイのコンテンツ用にも十分な領域が存在する必要があります。

プライマリ・ファイルシステムおよびスタンバイ・ファイルシステムでディスク領域が不足していないことを確認する必要があります。いずれかのファイル・システムで、使用可能なストレージが不足する場合は、ファイル・システムを拡張するか、ファイル・システムのファイルまたは存在する任意の読取り-書込みスナップショットを削除して領域を解放する必要があります。自動サイズ変更を構成して、領域不足を回避することもできます。

プライマリ・ファイルシステムが領域不足になり、ファイルを削除することで領域を解放することにした場合は、レプリケートされていないファイルのみを削除する必要があります。レプリケートされたファイルは、スタンバイ・ファイルシステムに転送されるまでスナップショットに格納されていて、削除されません。レプリケーションによって作成されていないOracle ACFSスナップショットは削除できます。

Oracle ACFSレプリケーションでは、sshユーティリティをプライマリ・クラスタとスタンバイ・クラスタ間のトランスポートとして使用します。sshの自動使用を有効にするために、レプリケーションでは2種類の鍵を構成する必要があります。これらの鍵は、レプリケーションが実行可能になっている各ノードで使用できる必要があります。

• それぞれのクラスタの各ノードでは、システム管理者ユーザー(Windows以外のシステムではrootユーザー、WindowsではローカルSYSTEM)に、他のクラスタのノードごとに格納されているホスト鍵が必要です。

• それぞれのクラスタの各ノードでは、指定された非特権ユーザー(適用ユーザー)には、そのノードで適用ユーザーとしてログインする権限を与えられたrootまたはローカルSYSTEM用に格納された公開鍵が必要です。通常、この公開鍵は、他のクラスタのノードのroot(またはローカルSYSTEM)用の公開鍵と秘密鍵のペアの一部として定義されます。

プライマリ・ホストで実行されているレプリケーションは、ホスト鍵を使用してデータを送信しているスタンバイ・ホストを認証できる必要があるため、これらの鍵が必要です。また、プライマリ・ホストで実行されているレプリケーションでは、ユーザー鍵を使用してスタンバイ・ホストに適用ユーザーとしてログインし、スタンバイ・ロケーションを更新できる必要があります。さらに、レプリケーションでは、プライマリおよびスタンバイで実行されているロールを入れ替えることができます。このロール・リバーサル操作を正常に実行するためには、プライマリ・ホストとスタンバイ・ホストで同じタイプのssh鍵が構成されている必要があります。詳細は、「Oracle ACFSレプリケーションで使用するためのsshの構成」を参照してください。

sshは、Windowsではネイティブには提供されません。必要な鍵およびその構成方法の詳細と、Windowsでのsshのインストールおよび構成の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」を参照してください。

ファイル・システムまたはスナップショットでレプリケーションを使用する前に、次のことを確認してください。

• プライマリ・ロケーションとスタンバイ・ロケーション間のレプリケーションをサポートするのに十分なネットワーク・バンド幅があること。

• プライマリ・ロケーションおよびスタンバイ・ロケーションをホストするサイトの構成により、スタンバイ・ファイル・システムがプライマリ・ロケーションでの変更速度についていくことができること。

• ssh用のホスト鍵およびユーザー鍵が適切に構成されていること。

Oracle ACFSファイル・システムまたはスナップショットのディレクトリおよびファイルには、ファイル・システム内でレプリケートする特定のオブジェクトを選択できるようにタグを付けることができます。

特定のロケーションをレプリケートする前に、プライマリ・ロケーションをホストしているサイト、スタンバイ・ロケーションをホストしているサイト、レプリケートするファイル・システム、ロケーションでのファイル・システムのマウント・ポイント、およびタグのリストなどの必要情報を特定するために、レプリケーション構成を作成する必要があります。

プライマリ・サイトおよびスタンバイ・サイトでは、2つのロケーションで使用中のすべてのuidsおよびgidsを含め、同じユーザー構成とグループ構成を共有する必要があります。レプリケーションが有効になっている各スタンバイ・ノードで、前述の適用ユーザーを構成する必要があります。このユーザーはOracle ASM管理グループのメンバーである必要があります。

Oracle ACFSレプリケーションには、元のプライマリ・ロケーションとスタンバイ・ロケーションのロールの入れ替えを可能にする、レプリケーションのロール・リバーサル機能が用意されています。acfsutil repl reverseコマンドを使用して、元のプライマリを新しいスタンバイに変更し、元のスタンバイを新しいプライマリに変更できます。ロール・リバーサル機能は、レプリケーションを拡張して追加のディザスタ・リカバリ機能を提供します。

Oracle ACFSレプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASMおよびADVMのディスク・グループ互換性属性が12.2以上に設定されている必要があります。Oracle ACFSロール・リバーサル・レプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASMおよびADVMのディスク・グループ互換性属性が18.0以上に設定されている必要があります。

Oracle ACFSレプリケーションをSolaris Sparcハードウェアを使用するには、システムをSolaris 10 Update 8以降で実行中である必要があります。

レプリケーションを構成し、レプリケートされたOracle ACFSロケーションを管理するにはacfsutil replコマンドライン機能を使用します。

Oracle ACFSにおけるデータベース・ファイルでのOracle ACFSレプリケーションの使用は、Oracle ASM 18cおよびOracle ASM 12c、リリース2 (12.2.0.1)でサポートされています。

関連項目:

• Oracle ACFSレプリケーションと他のOracle ACFS機能の併用の詳細は、「監査、暗号化およびセキュリティとのレプリケーションの使用」

• Oracle ACFSファイルシステムのサイズ変更の詳細は、「acfsutil size」

• タグ付けの詳細は、「Oracle ACFSタグ付け」

• Oracle ASMのユーザー権限の詳細は、「Oracle ASMの権限について」

• Oracle ACFS acfsutilコマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」

• ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」

• acfsutil replコマンドライン機能を使用してレプリケーションを構成し、レプリケートされたOracle ACFSファイルシステムを管理する方法の詳細は、「Oracle ACFSファイルシステムのレプリケーション」と「レプリケーション用のOracle ACFSコマンドライン・ツール」

• 既存のOracle ACFSレプリケーション環境を、リリース12.2.0.1で導入されたスナップショットベースのレプリケーションに変換する方法の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」

• ネットワークのチューニングについては、Oracle Technology Network上のMAAリンクのドキュメントを参照してください。

  • http://www.oracle.com/technetwork/database/features/availability/maa-096107.html

  • ネットワークの調整に関連する情報は、Data Guard REDO転送&ネットワーク構成に関するペーパーにあります

  .

Oracle ACFSタグ付け

Oracle ACFSタグ付けは共通の名前付け属性をファイルのグループに割り当てます。

Oracle ACFSレプリケーションはこのタグを使用して、別のリモート・クラスタ・サイトへのレプリケーション用にユニークなタグ名のファイルを選択することができます。タグ付けオプションにより、Oracle ACFSファイルシステム全体をレプリケートする必要がなくなります。

Oracle ACFSは拡張属性を使用してタグ付けを実装します。編集ツールやバックアップ・ユーティリティの中には、デフォルトで元のファイルの拡張属性を保持しないものがあり、特定のスイッチを設定する必要があります。次のリストに、Oracle ACFSタグ名が元のファイルで保存されるようにするための、共通のユーティリティに対する必要な要件とスイッチ設定を示します。

• cpコマンドでは、タグ名を保存するためのフラグが必要です。

  Linuxにcoreutilsライブラリ(バージョンcoreutils-5.97-23.el5_4.1.src.rpmまたはcoreutils-5.97-23.el5_4.2.x86_64.rpm以降)をインストールして、--preserve=xattrスイッチを使用して拡張属性の保存をサポートするcpコマンドと、スイッチを使用せずに拡張属性の保存をサポートするmvコマンドのバージョンをインストールします。

  cpは、シンボリック・リンク・ファイルに割り当てられたタグ名を保存しません。

  ファイルおよびディレクトリ上にタグ名を保存するために必要なcpスイッチは、次のとおりです。

  • Linux: --preserve=xattr

  • Solaris: -@

  • AIX: -U

  • Windows: スイッチは不要です。

• cpioファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。

  ファイルおよびディレクトリ上にタグ名を保存するために必要なcpioスイッチは、次のとおりです。

  • Linux: cpioはタグ名を保存しません。

  • Solaris: -@は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。

  • AIX: -Uは、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。

  • Windows: 使用できません。

• emacsでは、backup-by-copyingオプションが非nil値に設定され、バックアップ・コピーではなく元のファイル名のタグ名が保存されます。このオプションは.emacsファイルに追加される必要があります。

• paxファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。

  ファイルおよびディレクトリ上にタグ名を保存するために必要なpaxスイッチは、次のとおりです。

  • Linux: paxはタグ名を保存しません。

  • Solaris: -@は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。

  • AIX: -Uは、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。

  • Windows: 使用できません。

• rsyncファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。

  ファイルおよびディレクトリ上にタグ名を保存するために必要なrsyncスイッチは、次のとおりです。

  • Linux: -X -lは、ファイルおよびディレクトリのタグ名の保存のために必要ですが、これらのスイッチは、シンボリック・リンク・ファイルのタグ名を保存しません。

  • Solaris: rsyncはタグ名を保存しません。

  • AIX: 使用できません。

  • Windows: 使用できません。

• tarバックアップ・ユーティリティでは、ファイル上でタグ名を保存するために、コマンドラインでフラグを設定できます。ただし、tarは、シンボリック・リンク・ファイルに割り当てられたタグ名を保持しません。

  Windowsでのtarバックアップ・ユーティリティでは、拡張属性を保存するためのスイッチが存在しないので、現在、タグ名の保持はサポートされません。

  ファイルおよびディレクトリ上にタグ名を保存するために必要なtarスイッチは、次のとおりです。

  • Linux: --xattrs

  • Solaris: -@

  • AIX: -U

  • Windows: tarはタグ名を保存しません。

• vimまたはviエディタでは、ファイルのバックアップ・コピーを作成し、元のファイルを上書きするために、.vimrc (Linux)または_vimrc (Windows)ファイルに、set bkc=yesオプションが必要です。これは元のファイルのタグ名を保存します。

LinuxでOracle ACFSタグ付け機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.2以上に設定されていることが必要です。WindowsでOracle ACFSタグ付け機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が11.2.0.3以上に設定されていることが必要です。SolarisまたはAIXでOracle ACFSタグ付け機能を使用するには、ASMおよびADVMのディスク・グループの互換性属性が12.1以上に設定されていることが必要です。

関連項目:

• ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」

• acfsutil tagコマンドライン機能を使用してタグ付けを構成し、タグ付けされたOracle ACFSファイルシステムを管理する方法の詳細は、「Oracle ACFSファイルシステムのタグ付け」と「タグ付け用のOracle ACFSコマンドライン・ツール」

• Oracle ACFSタグ付けのアプリケーション・プログラミング・インタフェース(API)の詳細は、「Oracle ACFSタグ付けの汎用アプリケーション・プログラミング・インタフェース」

監査、暗号化およびセキュリティとのレプリケーションの使用

監査、暗号化、およびレルムベースのセキュリティ機能は、レプリケーションが構成されているOracle ACFSファイルシステムで有効にできます。レプリケートされたスタンバイ・ファイルシステムは、プライマリ・ファイルシステムと同じ監査、セキュリティまたは暗号化ポリシーで保護されます。このレプリケートされた環境では、プライマリおよびスタンバイ・ファイルシステムの両方が12.1以上のインストールである必要があります。Oracle ACFSレプリケーションの詳細は、「Oracle ACFSレプリケーション」を参照してください。

確実にレプリケーションに成功するには、スタンバイ・ファイルシステムは、監査、暗号化またはセキュリティ・メタデータがない汎用ファイルシステムである必要があります。Oracle ACFSでは、セキュリティまたは暗号化を一度設定し、後でセキュリティまたは暗号化を削除したスタンバイ・ファイルシステムの使用はサポートされていません。Oracle ACFS監査、暗号化およびセキュリティ用に満たす必要がある追加の条件は、この項でリストされています。

Oracle ACFSの監査されたファイルシステムの場合、次のことに注意してください。

• 監査が有効化されたファイルシステムをレプリケートする前、またはレプリケートされたファイルシステムを監査する前に、スタンバイ・ファイルシステムで監査を初期化する必要があります。

• プライマリ・ファイルシステムに存在する監査ポリシーはスタンバイ・ファイルシステムにレプリケートされ、プライマリ・ファイルシステムで実行されたポリシー・アクションはスタンバイ・ファイルシステムで設定されます。

• スタンバイ・ファイルシステムに監査証跡の2つのセットが存在します。プライマリ・ファイルシステムの証跡は、通常のファイルとしてスタンバイ・ファイルシステムにレプリケートされます。ファイル・システム・アクティビティはスタンバイ・ファイルシステムでイベントを生成し、それがスタンバイ・ファイルシステムの監査証跡に記録されます。監査証跡名にはホスト名とFSIDの両方が含まれているため、監査証跡名は2つの証跡のセットを区別するのに役立ちます。

Oracle ACFSの暗号化されたファイルシステムの場合、次のことに注意してください。

• プライマリ・ファイルシステムで暗号化されたファイルは、同じキーと暗号化パラメータ(アルゴリズムおよびキーの長さ)を持つスタンバイ・ファイルシステムで暗号化されたまです。

• プライマリ・ファイルシステムで行われた暗号化操作(オン、オフおよびキー更新)は、スタンバイ・ファイルシステムでリプレイされます。

• ファイルシステムのレプリケートの前または後に、暗号化を有効にできます。どちらの場合でも、一方が存在しない場合、スタンバイ・ファイルシステムでacfsutil encr initが実行されないため、暗号化ウォレットがスタンバイ・ファイルシステムに透過的に作成されます。

• パスワードで保護されたウォレットは、スタンバイ・ファイルシステムでサポートされません。スタンバイ・ファイルシステムとして使用するサイトにPKCSウォレットがすでに存在する場合、管理者は、acfsutil keystore migrateコマンドを使用して、すべてのキーをSSOウォレットに転送する必要があります。

Oracle ACFSのセキュリティ保護されたファイルシステムの場合、次のことに注意してください。

• セキュリティが有効化されたファイルシステムをレプリケートする前に、スタンバイ・ファイルシステムをセキュリティ用に初期化する必要があります。

• ルール、ルールセットおよびレルムはスタンバイ・ファイルシステムにレプリケートされ、同じポリシーがスタンバイ・ファイルシステムに存在します。ポリシーおよびファイルの保護の観点から、スタンバイ・ファイルシステムはまったく同じです。

• セキュリティが有効化されたファイルシステムでレプリケーションを有効化することも、レプリケートされたファイルシステムでセキュリティを有効化することもできます。セキュリティの準備の一部として、セキュリティはスタンバイ・ファイルシステムでも有効化されます。

• ファイルシステムにセキュリティとレプリケーションを一緒に持っている場合、追加のユーザー操作や手順は必要ありません。

• スタンバイ・ファイルシステムに、セキュリティ管理者やセキュリティ管理者グループの別のセットを設定できます。

Oracle ACFSプラグイン

Oracle ACFSプラグイン機能によって、ユーザー領域アプリケーションは、オペレーティング・システム環境からジャストインタイムのOracle ACFSファイルおよびOracle ADVMボリュームのメトリックを収集できます。

アプリケーションは、Oracle ACFSプラグイン・インフラストラクチャを使用して、Oracle ACFSファイルシステムおよびボリュームの詳細データを含めるように一般アプリケーション・ファイル・メトリック・インタフェースを拡張する、カスタマイズされたソリューションを作成できます。

Oracle ACFSプラグイン機能は、スタンドアロン・ホストにマウントされた個々のOracle ACFSファイルシステム上で、またはOracle ACFSファイルシステムがマウントされているOracleグリッド・クラスタの1つ以上のノード上で、有効化できます。この機能では、ノードローカル・プラグインが有効化されたOracle ACFSファイルシステムと、Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェース(API)を使用した関連するユーザー領域アプリケーション・モジュールとの間で、メッセージ通信を行うことができます。

プラグイン・メッセージAPIでは、メッセージ配信モデルおよび複数のメッセージ・ペイロード・タイプのポーリングとポスティングの両方がサポートされています。

関連項目:

• Oracle ACFSのプラグイン・コマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」

• Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェースの詳細は、「Oracle ACFSプラグインの汎用アプリケーション・プログラミング・インタフェース」

Oracle ACFSアクセラレータ・ボリューム

アクセラレータ・ボリュームを使用すると、Oracle ACFSメタデータへのアクセスおよび更新にかかる時間が短縮され、パフォーマンスが向上する可能性があります。アクセラレータ・ボリュームは、プライマリ・ボリュームのストレージよりも大幅に高速なストレージを使用してディスク・グループに作成する必要があります。たとえば、Solid State Disk (SSD)を使用できます。Oracle ADVMボリュームは、ASMCMD volcreateコマンドを使用して作成されます。volcreateコマンドの詳細は、「volcreate」を参照してください。

アクセラレータ・ボリュームの推奨サイズは、ワークロードによって決まります。特に、多数のエクステントがあるファイルに役に立ちます(特にそのエクステント・メタデータが頻繁に更新される場合)。acfsutil info fileコマンドを使用して、ファイルのエクステントに関するレポートを表示できます。通常、データベース・ファイルには多数のエクステントがあり、Oracle ACFSスナップショットが使用中の場合、エクステント・メタデータは頻繁に更新されます。アクセラレータによって大きな恩恵を受けるワークロードは、圧縮されたファイルシステムです。

Oracle ACFSで重要なメタデータに対してアクセラレータの領域を割り当てられない場合、そのメタデータはかわりにプライマリ・ボリュームに格納されます。メタデータの更新頻度によっては、パフォーマンスに対して過度の影響を及ぼす可能性があります。高速メタデータと同じトランザクションに低速メタデータが書き込まれると、低速メタデータによって操作全体のパフォーマンスが低下します。

アクセラレータの推奨開始サイズは、ファイルシステム・サイズの少なくとも0.6%です。データベース・ワークロードの複数のポイント・イン・タイムを表す多くのスナップショットが使用中である場合、スナップショット当たり0.4%加算することをお薦めします。たとえば、5個のスナップショットがあるファイルシステムでは、サイズがプライマリ・ボリューム・サイズの2.6%であるアクセラレータが必要です。acfsutil sizeを構成して、アクセラレータを必要に応じてプライマリ・ボリュームとともに自動的に拡張することができます。アクセラレータは、64 MB単位で増加します。アクセラレータ・ボリュームの最小サイズは256 Mです。mkfsは、初期アクセラレータ・サイズがプライマリ・ボリューム・サイズの0.4%以上であることを必要とします。

アクセラレータ・ボリュームは、mkfsコマンドで指定されたプライマリ・ボリュームにリンクされます。ファイルシステムをマウントする際、プライマリ・ボリュームのみを指定します。アクセラレータ・ボリュームを含むファイルシステムをマウントした後になんらかの理由でそのボリュームがアクセス不可になった場合、ファイルシステムはオフラインになります。Oracle ACFSファイルシステムに関連付けることができるストレージ・アクセラレータ・ボリュームは1つだけです。アクセラレータ・ボリュームがファイルシステムに関連付けられた後、そのボリュームとファイルシステムの関連付けを解除できません。

アクセラレータ・ボリュームは、mkfsコマンドの-aオプションを使用してLinux環境に作成できます。-aオプションを使用するには、COMPATIBLE.ADVMの値が12.2以上である必要があります。mkfsコマンドの詳細は、「mkfs」を参照してください。

Oracle ACFS NAS Maximum Availability eXtensions

Oracle ACFS NAS Maximum Availability eXtensions (Oracle ACFS NAS MAX)は、NFSやSMBなどの一般的なNASプロトコルに高可用性拡張機能を提供する一連の拡張機能です。

これらの拡張機能を使用する際、問題のプロトコルは高可用性モードで実行されており、プロトコルはOracle RACクラスタ内のノード間を移動できます。この機能は、特定プロトコルのシングル・ポイント障害に対処する手段であるため、クラスタのノードが1つ以上使用できる場合、プロトコルは使用可能です。高可用性だけでなく、拡張機能により、一般的なNASプロトコルおよびOracle ACFSスタックとの統合が実現するため、管理者はインフラストラクチャを追加作成しなくても、このようなプロトコルを簡単に利用できます。Oracle ACFS NAS Maximum Availability eXtensions機能により、値が既存のOS NASプロトコル実装に追加されますが、置き換わることはありません。

Oracle ACFS高可用性ネットワーク・ファイルシステム

Oracle Grid Infrastructure用の高可用性ネットワーク・ファイルシステム(HANFS)では、高可用性仮想IP (HAVIP)でNFSエクスポートを公開し、Oracle Clusterwareエージェントを使用してVIPおよびNFSエクスポートが常にオンラインであることを確認することによって、NFS v2、v3またはv4でエクスポートされたパスの連続したサービスが提供されます。ベースのNFSはファイル・ロックをサポートしていますが、HANFSはNFSファイル・ロックをサポートしていません。

注意:

• この機能は、ホスト・コンピュータで使用可能な、稼働中のNFSサーバー構成に依存します。Oracle ACFSのNFSエクスポート機能を使用する前に、NFSサーバーを構成する必要があります。

• この機能は、Windowsでは使用できません。

• この機能は、Oracle Restart構成ではサポートされていません。

• HAVIPは少なくとも1つのファイルシステムのエクポートのリソースが作成されるまで起動しません。

Oracle Grid Infrastructure用の高可用性NFSを設定するには、次の手順を実行します。

1. 新しいHAVIPリソースを追加および登録します。

   次に例を示します。

   # srvctl add havip -id hrexports -address my_havip_name 
   

   たとえば、my_havip_nameはVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイルシステムのマウント時に、クライアント・システムにより使用されます。

   srvctl add havipの最初の処理では、次のことを確認します。

   • 使用するアドレスが動的ではなく、静的であること。

   • DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。

   • ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。

   • 名前が使用中ではないこと。

   SRVCTLは、idを使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.networkのnetworkリソース(指定されている場合)が存在することを確認します。この手順の後で、SRVCTLは、ora.id.havipの名前で、タイプora.havip.typeのhavipを追加します。この例では、名前はora.hrexports.havipです。

   次のSRVCTLでは、active dispersionなどのHAVIP起動依存性を変更し、停止依存性を設定し、description属性(指定されている場合)が適切に設定されていることを確認します。

2. Oracle ACFSの共有ファイルシステムを作成します。

   Oracle Grid Infrastructure用の高可用性NFSは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイルシステムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイルシステムは、サポートされていません。高可用性NFSは、Oracle ACFS以外のファイルシステムではサポートされていません。

3. Oracle ACFSファイルシステムを登録します。

   次に例を示します。

   $ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \
     -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
   

4. Oracle ACFSファイルシステムのエクスポート・リソースを作成します。

   次に例を示します。

   # srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1
   

   ファイルシステムのエクスポート・リソースを作成してから、手順1で作成したHAVIPを起動し、srvctl start havipコマンドを使用してファイルシステムをエクスポートします。

   基礎となるOracle ACFSファイルシステムのFSIDおよび一意の識別子を利用して、NFSマウント・オプションFSIDがエクスポート・オプションに追加されます。このFSIDオプションによって、ノード間の信頼できるフェイルオーバーが提供され、スナップショットのマウントの使用が可能になります。

   構成されたエクスポートのデフォルトのマウント・オプションおよびエクスポート・オプションは、NFSサーバーのデフォルトになります。

   完全修飾された相対パスは、絶対パスに変換されます。完全修飾されていない相対パスは、エクスポート・パスとして受け入れられません。

   VIPは、使用可能なファイルシステムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この分散は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。

   注意:

   エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。

   HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。

   HAVIPの実行中に停止されたエクスポートを使用しているクライアントでは、NFSエラーestaleが発生し、ファイルシステムをディスマウントおよび再マウントする必要があります。

   HANFSによってエクスポートされたファイルシステムをクライアントにマウントする際、次のCLIENTマウント・オプションをお薦めします。

   hard,intr,retrans=10000

NFSロックが設定されたOracle ACFS HANFS

Oracle ACFS HANFSでは、NFSロックが設定されたHANFS NFS v4がサポートされるようになりました。この機能は、特定のオペレーティング・システム(OS)のプラットフォームでのみ使用できます。この機能をアクティブにするには、Oracle Grid Infrastructureソフトウェアのインストール後に追加の手順を実行する必要があります。このような手順を完了して初めて、クラスタのOS NFSサーバー機能がOracle Clusterwareスタックによって管理されます。さらに、特定のOS NFS構成ファイルの場所がデフォルトの場所から、指定したOracle ACFSファイルシステムに移動されます。

一般的なタスクには、次のようなものがあります。

• アクティブ化: acfshanfs addnode

• アンインストール: acfshanfs uninstall

• インストール・ステータスの確認: acfshanfs installed

• このプラットフォームがサポートされているかどうかの確認: acfshanfs supported

HANFS v4ロック機能をアクティブにする際、次のコマンドを各ノードで実行する必要があります。

# grid_home/bin/acfshanfs addnode -nfsv4lock -volume volume_device

ボリュームは、Oracle ACFSファイルシステムでフォーマットされ、指定のOracle ACFSクラスタウェアのマウント・ポイントにマウントされます。たとえば、Linuxでは次のようになります。

/dev/asm/nfs-81 on /var/lib/nfs type acfs (rw)

Oracle ADVMボリュームに対する制限には、次のようなものがあります。

• この新しいOracle ADVMボリュームについて、既存のOracle ACFSリソースがないこと。

• このOracle ADVMボリュームにOracle ACFSファイルシステムが存在しないこと。

• このOracle ADVMボリュームがクラスタ内のどこでも使用されていないこと。

Oracle HANFS v4ロック機能がアクティブの場合、通常のHANFSの操作とは異なります。次のような違いがあります。

• OS NFSサーバーは、ora.netstorageserviceリソースによるOracle Clusterwareの制御下にあります。Oracle Clusterwareスタックを起動および停止すると、OS NFSサーバーも起動および停止します。

• このリソースには、Oracle ACFSファイルシステムへの依存性があります: ora.data_hostname.nfs.acfs

  hostnameは、Oracle HANFSロックの設定が実行されている最初のノードのホスト名です。

• Oracle HANFSのみを使用して、Oracle RACクラスタからNFSファイルシステムをエクスポートする必要があります。NFSサーバーは構成され、Oracle RACクラスタ中を移動させられます。NFSサーバーが代替クラスタ・ノードに移動した場合、Oracle HANFSによってエクスポートされたファイルシステムのみがアクセス可能です。

• ロックが初期化されると、Oracle HANFSエクスポートがクラスタ全体に分散される非ロック・モードとは異なり、Oracle HANFSエクスポートは1つのノードからしか実行されません。

• クライアント・ノードでは、NFS v4をNFSバージョンとして指定してファイルシステムをマウントします。これにより、サーバーがNFS v3にデフォルト設定されず、NFS v4ロック機能のサポートが可能になります。

高可用性ロックをアクティブにすると、ロックが設定されたHANFSの制御は、この項で前述したのと同様です。

高可用性SMBが設定されたOracle ACFS HANFS

Oracle ACFSでは、以前のMicrosoft実装ではCIFS (共通インターネット・ファイルシステム)とも呼ばれた高可用性Samba (SMB)がサポートされます。このプロトコルは、Microsoftサーバーおよびアクティブ・ディレクトリ・ドメインとインタフェースをとるために一般的に使用され、様々なオペレーティング・システム(OS)の実装でサポートされています。しかし、Oracle ACFS高可用性SMBでは、Microsoft SMB実装またはSambaが必要です。

次の点に注意してください。

• Sambaは、www.samba.orgから入手できます。

• 高可用性SMBを利用しようとする前に、ホストOSでSambaまたはSMBが適切に構成されていることを確認します。

• 高可用性SMBは、Oracle Restartモードではサポートされません。

• HAVIPリソースを追加したら、SMBエクスポート・リソースも追加する必要があります。そうしないと、HAVIPリソースは起動しません。

• 最高のパフォーマンスと最良の結果を得るためには、サーバーとクライアントの両方で必ずSMB3を使用します。次の点に注意してください。

  • 最新バージョンのSamba (v4以上)を使用します。

  • 最新のMicrosoft OSバージョン(2012以上)を使用します。SMBバージョンを確認するには、Powershell cmdlet Get-SmbConnectionコマンドを使用します。

  • 旧バージョンのSMBでは、ストレージ障害後にクライアントはSMBエクスポートを再マウントする必要があります。

• HANFSと同様、コマンドラインにオプションを指定することもでき、オプションはホスト・オペレーティング・システムに渡されます。適切なエラー・メッセージが返されます。SRVCTLコマンドにオプションを指定しない場合、次のデフォルトのオプションが適用されます。

  • Windows: 全員にREADアクセス権

  • Linux、SolarisおよびAIX: 読取り専用、ブラウズ可能 = True

• サポートされているオプション・セットは次のとおりです。

  • Windows: net.exeコマンドでサポートされているオプション。

  • Linux、SolarisまたはAIX: Samba構成スタンザでサポートされているオプション。

Oracle Grid Infrastructure用の高可用性SMBを設定するには、次の手順を実行します。

1. 新しいHAVIPリソースを追加および登録します。

   次に例を示します。

   # srvctl add havip -id hrexports -address my_havip_name 
   

   たとえば、my_havip_nameはVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイルシステムのマウント時に、クライアント・システムにより使用されます。

   srvctl add havipの最初の処理では、次のことを確認します。

   • 使用するアドレスが動的ではなく、静的であること。

   • DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。

   • ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。

   • 名前が使用中ではないこと。

   SRVCTLは、idを使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.networkのnetworkリソース(指定されている場合)が存在することを確認します。この手順の後で、SRVCTLは、ora.id.havipの名前で、タイプora.havip.typeのhavipを追加します。この例では、名前はora.hrexports.havipです。

   次のSRVCTLでは、active dispersionなどのHAVIP起動依存性を変更し、停止依存性を設定し、description属性(指定されている場合)が適切に設定されていることを確認します。

2. Oracle ACFSの共有ファイルシステムを作成します。

   Oracle Grid Infrastructure用の高可用性SMBは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイルシステムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイルシステムはサポートされていません。高可用性NFSは、Oracle ACFS以外のファイルシステムではサポートされていません。

3. Oracle ACFSファイルシステムを登録します。

   次に例を示します。

   $ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \
     -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
   

4. Oracle ACFSファイルシステムのエクスポート・リソースを作成します。

   次に例を示します。

   # srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1 –type SMB

   ファイルシステムのエクスポート・リソースを作成してから、手順1で作成したHAVIPを起動し、srvctl start havipコマンドを使用してファイルシステムをエクスポートします。

   リソースの起動時に、Oracle ACFSエクスポート・リソースではSamba構成ファイルを作成するか(Linux、Solaris、AIX)、net.exeバイナリを実行してファイルシステムをエクスポートします。

   VIPは、使用可能なファイルシステムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この動作は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。

   注意:

   • エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。

   • HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。

関連項目:

• Oracle ACFSファイルシステムの作成の詳細は、「Oracle ACFSファイルシステムの作成」

• srvctl add filesystemコマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』

• Oracle Clusterwareリソースの詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』

• これらのSRVCTLコマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』

クラスタ・ドメイン内のOracle ACFSリモート・サービス

Oracle ACFSは、接続されたローカル・ストレージがないOracle Databaseメンバー・クラスタ(間接ストレージ・メンバー・クラスタ)上で、ネイティブOracle ACFS機能のOracle ACFSリモート・サービスを提供します。Oracleドメイン・サービス・クラスタ(DSC)でOracle ACFSのデプロイメントを使用することにより、Oracle ACFSリモート・サービスをOracleアプリケーション・クラスタとOracle Databaseメンバー・クラスタの両方に使用して、柔軟でファイル・システムをベースとしたアプリケーションおよびデータベースのデプロイメントを可能にできます。

Oracle ACFSリモート・サービスでサポートされるシステム

Oracle ACFSリモート・サービスを使用するOracle Databaseメンバー・クラスタの要件は次のとおりです。

• Oracle ACFSリモート・サービスには、トランスポート構成のためにOpen-iSCSI iSCSIイニシエータが必要です。Open-iSCSIの最新リリースをお薦めします。

• Oracle ACFSリモート・サービスではLinuxのみがサポートされます。サポートされているバージョンは、RedHat Enterprise Linux6および7と、Oracle Linux6および7です。

Oracle ACFSリモート・サービスでのDSCの要件は次のとおりです。

• Oracle ACFSリモート・サービスでは、Oracle Linux7およびRedHat Linux7のみがサポートされます。

• Oracle ACFSリモート・サービスには、カーネルのUEK3、UEK4、またはそれ以降のバージョンが必要です。

• Oracle ACFSリモート・サービスには、少なくとも次のパッケージの最小バージョンが必要です。

  • python-2.7.5-34.0.1.el7.x86_64

  • python-rtslib-2.1.fb57-3.el7.noarch

  • python-configshell-1.1.fb18-1.el7.noarch

  • targetcli-2.1.fb41-3.el7.noarch

  • python-six-1.9.0-2.el7.noarch

acfsremote supportedコマンドを実行して、現在のシステムがOracle ACFSリモート・サービスでサポートされているかどうかを判断できます。

Oracle ACFSリモート・サービスの設定およびベスト・プラクティス

Oracle ACFSリモート・サービスの設定には次の項目が含まれます。

1. トランスポートの作成

   Oracle Databaseメンバー・クラスタがエクスポートにアクセスできる方法を提供するために、DSCにトランスポートを作成します。Oracle ACFSリモート・サービスは、iSCSIトランスポートをサポートしており、エクスポートを作成して特定のメンバー・クラスタ・ノード・イニシエータ(IQN)にiSCSIターゲットを割り当て、その指定したメンバー・クラスタ・ノードのみへのアクセスを提供します。

   すべてのOracle Databaseメンバー・クラスタが、独自の分離されたトランスポートを持つようにします。これは、VLANまたは複数のネットワークの使用により実現できます。この設定により、iSCSIネットワークと同様に、トランスポート・ネットワーク上のネットワーク・アクティビティが分離されます。完全な冗長性のためには、メンバー・クラスタごとに複数のトランスポートを構成して、トランスポート・リンク障害を軽減できるようにする必要があります。さらに、各Oracle Databaseメンバー・クラスタの複数のトランスポートによりマルチパス化が可能になります。Oracle Databaseメンバー・クラスタは、単一のトランスポートを共有するよう構成できます。advmutil transportコマンドは、分離を強制しないことに注意してください。

2. リポジトリの作成

   Oracle ACFSリモート・サービスで使用されるストレージ用のリポジトリをDSCに作成します。このリポジトリは、単一のOracle ACFSファイル・システムとして開始されます。最適な設定のためには、Oracle ACFSリモート・サービスで使用する、別個のOracle ASMフレックス冗長性ディスク・グループを作成します。このグループは、Oracle Databaseメンバー・クラスタごとに1つの高冗長性Oracle ADVMボリュームと1つの標準冗長性ボリュームを含んでいる必要があります。この構成は、分離、管理、および領域効率の間のトレードオフを表します。この設定では、リポジトリはボリューム・レベルで他のメンバー・クラスタから分離されており、管理するディスク・グループは1つのみです。メンバー・クラスタごとに1つのディスク・グループを使用することで、さらなる分離を実現できます。領域効率性を達成するには、標準ボリュームと高冗長性ボリュームの両方を使用して、重要なファイルを高冗長性ボリュームに格納できるようにします。

   ボリュームを作成した後、Oracle ACFSファイル・システムを使用してそれらをフォーマットします。次に、srvctl add filesystemを実行して、スタックの起動時にファイル・システムを自動マウントするよう登録します。自動マウントにより、スタックが開始されるとすぐにリポジトリが使用可能になるため、Oracle Databaseメンバー・クラスタはそれらのストレージを使用できます。リポジトリで自動サイズ変更を構成できます。これにより、Oracle ACFSファイル・システムで領域が不足した場合、ファイル・システムのサイズ変更が行われます。自動サイズ変更が有効な場合、1つのメンバー・クラスタが、使用可能なディスク・グループ・スペースすべてを使用しないようにしてください。

   ASMCA GUIツールを使用して、Oracle ADVMボリュームを管理するための手順を実行できます。

3. エクスポートの作成

   Domain Services Cluster (DSC)でadvmutil exportコマンドを実行して、DSCのリポジトリにエクスポートを作成します。メンバー・クラスタが実行されている場合、メンバー・クラスタは新しいエクスポートを選択します。メンバー・クラスタ上でOracle Clusterwareスタックが実行されていないか、メンバー・クラスタが起動されていない場合、メンバー・クラスタは、Oracle Clusterwareスタックが次回開始されたときに新規エクスポートを検出して使用します。これは通常、メンバー・クラスタの起動時に発生します。ターゲットがエクスポートされた方法によっては、エクスポートがメンバー・クラスタにボリュームとして表示されるまでに数分かかる場合があります。エクスポートは、ドメイン・サービス・クラスタ上でエクスポートが格納されている、基礎となるOracle ACFSリモート・サービス・リポジトリと同じ冗長性保護レベル(高、標準、外部)をメンバー・クラスタ上に反映します。

Oracle ACFSリモート・サービスのパフォーマンス・チューニング

Oracle ACFSリモート・サービスのパフォーマンス・チューニングには次のことが含まれます。

• Oracle ACFSリモート・サービスではiSCSIが標準トランスポートとして使用されるため、iSCSIに必要な、サイト固有の適用可能な任意のチューニングを環境で使用できます。通常、これには標準のプライベート・トランスポート・ネットワークが含まれ、そのネットワーク上のホストの数を制限します。Oracle ACFSリモート・サービスは、構成しているOracle ACFSリモート・サービスのコンポーネントをエクスポートするときに、各エクスポートに対してより長いタイムアウトとより大きなキュー深度を有効にします。

• Oracle ACFSリモート・サービスのストレージを統合する際には、システムのチューニングに関する検討事項を考慮に入れる必要があります。

  • 事実上、複数のクライアント・メンバー・クラスタのIOをDSCに集約しており、DSCはこれらのメンバー・クラスタのストレージ・アレイとして機能します。DSCのストレージ設定で、接続されているすべてのメンバー・クラスタの集約ロードを処理できることを確実にします。

  • DSCには、接続されているすべてのクライアントにサービスを提供するために適切なネットワーク・バンド幅が必要です。iSCSIのチューニングとともに、メンバー・クラスタのすべての要求を処理するための追加のネットワーク・バンド幅を提供するためにネットワーク・タップが必要な場合があります。

  • iSCSIのIOサービスではCPUが使用されるため、CPUの空き容量が十分あることを最優先で確認するようにしてください。通常、Oracle ACFSリモート・サービスにサービスを提供するDSCは、他のアクティビティに対して最小の処理ロードを実行する必要があり、他のクラスタのニーズに対応するユーティリティ・クラスタとみなす必要があります。

Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点

Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点は次のとおりです。

ドメイン・サービス・クラスタで、Oracle ACFSリモート・サービスは1つの新しいリソース・タイプを有効にします。このタイプは、HAVIPのバリアントであるtransport_vipタイプです。このリソースにより、iSCSIトランスポートVIPをDSCに移動できます。複数のOracle Databaseメンバー・クラスタ・トランスポートが1つのVIPを共有できますが、この方法はお薦めできません。複数のトランスポートのVIPを使用している場合、それらは、単一ノード上のネットワークのオーバーロードを減らすために、クラスタ全体に広がろうとします。トランスポートVIPが作成されると、そのトランスポートVIPは、ネットワーク、およびストレージ・リポジトリをホストしているOracle ACFSリソースに対する依存関係を持ちます。その後のストレージ・リポジトリの作成では、この新しいリポジトリを含めるように、この依存関係が変更されます。この変更により、クラスタ・サービスの再配置およびリカバリ時の可用性のために、リポジトリとトランスポートVIPの連携が確保されます。トランスポートVIPは、advmutil transportを使用して自動的に作成および削除されますが、srvctl * havipコマンドを使用して表示および管理できます。

間接ストレージ・メンバー・クラスタで、Oracle ACFSリモート・サービスは4つの新規リソース、ora.acfsrm、ora.ccmb、ora.acfsremote、およびora.acfsrdを提供します。これらのリソースは連携して、メンバー・クラスタでOracle ACFSリモート・サービスを管理します。これらのリソースのステータスは、srvctl * acfsrappsコマンドを使用して表示できます。メンバー・クラスタ上にはボリューム・リソースはありません。ボリュームの高可用性はOracle ACFSリモート・サービスの機能セットによって管理されるため、Oracle ACFSリソースはADVMボリューム・リソースへの依存性を持ちません。かわりに、Oracle ACFSリソースは新しいリソースへの依存性を持っています。Oracle ACFSリソースは、srvctl * filesystemコマンドを使用して作成されます。

Oracle ACFSリモート・サービスをサポートするコマンド

「クラスタ・ドメイン内のOracle ACFS用のOracle ACFSコマンドライン・ツール」で説明されているOracle ACFSコマンドに加え、次のコマンドもOracle ACFSリモート・サービスの機能をサポートしています。

• acfsutil compat

  Oracle ACFSは、主にディスク・グループの互換性設定を使用して、有効にする機能を決定します。間接ストレージ・メンバー・クラスタには、この互換性設定を制御するための関連付けられたディスク・グループがありません。各ファイル・システムは、acfsutil compatコマンドを使用してそれらの機能を制御します。acfsutil compatの詳細は、「acfsutil compat get」および「acfsutil compat set」を参照してください。

• acfsutil info file

  Oracle ACFSリモート・サービスで使用するよう構成されているファイルに対してacfsutil info fileを実行しているときに、追加のファイル属性Remoteがこのファイルに表示されます。この属性は、そのファイルをOracle ACFSリモート・サービスで使用されているファイルとして識別し、ファイルが構成解除されるまでは、標準のファイル・システム・コマンドを使用した切捨て、属性の変更、および削除などの一部のアクションは許可されません。このアクションにより、このファイルを使用したメンバー・クラスタへのサービスの中断が防止されます。acfsutil info fileの詳細は、「acfsutil info file」を参照してください。

• acfsutil info storage

  Oracle Databaseメンバー・クラスタで実行されている場合、acfsutil info storageは、ドメイン・サービス・クラスタ(DSC)のディスク・グループおよびファイル・システムに関する情報を表示しません。メンバー・クラスタ自体に関する情報のみが表示されます。DSCは複数のメンバー・クラスタにサービスを提供しているため、このアクションにより、過剰な情報共有が防止されます。acfsutil info storageの詳細は、「acfsutil info storage」を参照してください。

• crsctl create member_cluster_configuration

  crsctl create member_cluster_configurationコマンドでacfsオプションを使用できます。acfsオプションは、Oracle ACFSリモート・サービスでメンバー・クラスタを作成するために必要です。

例11-2既存のメンバー・クラスタへのOracle ACFSリモート・サービスの追加

次の例で、Oracle ACFSリモート・サービスが既存のOracle Databaseメンバー・クラスタに追加されます。コマンドは、Oracle Databaseメンバー・クラスタ(MC)またはドメイン・サービス・クラスタ(DSC)のGrid Infrastructureホームから実行されます。

1. DSCで、Oracle ACFSをメンバー・クラスタ資格証明ファイルに追加します。

   #/bin/crsctl create member_cluster_configuration mc3 -file /tmp/mc3.xml -member_type database -domain_services asm_storage indirect acfs
   
   ORA-15365: member cluster 'mc3' already configured
   MGTCA-1149 : member cluster 'mc3' already exists.
   TFA-00516 This client is already registered in receiver
   --------------------------------------------------------------------------------
   ASM GIMR TFA ACFS RHP GNS
   ========================================================
   YES YES  YES YES  NO  NO

2. DSCで、メンバー・クラスタ資格証明ファイルをメンバー・クラスタにコピーします。

3. MCで、Oracle ACFSリモート・サービスのアクセスのためのOCRを設定します。

   #/sbin/acfsutil cluster credential -s grid_user:asm_group
   #/sbin/acfsutil cluster credential –s grid2:oinstall
   #/sbin/acfsutil cluster credential -i my_credential_file

   my_credential_fileは、手順1で更新され、手順2でDSCからメンバー・クラスタにコピーされた資格証明ファイルです。

4. MCで、rootとして次のコマンドを実行して操作を完了します。

   #/bin/srvctl add acfsrapps
   #/bin/srvctl start acfsrapps
   #/bin/srvctl status acfsrapps
   
   Oracle ACFS client cluster node membership and barrier resource is enabled.
   Oracle ACFS client cluster node membership and barrier resource is running on nodes nshga2603.
   Oracle ACFS acfsremote resource is enabled.
   Oracle ACFS acfsremote resource is running on nodes nshga2603.
   Oracle ACFS rolling migration resource is enabled.
   Oracle ACFS rolling migration resource is running on nodes nshga2603.

関連項目:

• クラスタ・ドメイン内のOracle ACFSについて

• クラスタ・ドメイン内のOracle ACFS用のOracle ACFSコマンドライン・ツール

• ASMCMDメンバー・クラスタ管理コマンド

• Oracle Flex ASMの管理

• CRSCTLコマンドの詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』を参照してください。