Oracle ACFSの管理の理解
Oracle ACFSとファイル・アクセスおよび管理セキュリティ
Oracle ACFSでは、Linux環境用の従来のUNIXスタイルのファイル・アクセス制御クラス(ユーザー、グループ、その他)と、Windowsプラットフォーム用のファイル・アクセス制御リスト(ACL)を含むWindows Security Modelの両方をサポートしています。
Oracle ACFS管理アクションの大部分は、Linux環境のroot権限またはOracle ASM管理権限のいずれかを持つユーザーと、WindowsプラットフォームでWindows管理権限を持つユーザーによって実行されます。ファイルシステムの一般的なOracle ACFS情報には、どのシステム・ユーザーでもアクセスできます。
Oracle ACFS管理のサポートでは、多くの一般的なOracle ACFSファイルシステム管理タスク(マウント、アンマウント、ファイルシステムのチェック、ドライバのロード、ドライバのアンロードなど)がroot権限操作であるため、Oracle ASM管理者ロールはroot権限を持つユーザーに付与することをお薦めします。root権限を必要としないその他のOracle ACFSファイルシステムの権限操作は、Oracle ASM管理者によって実行できます。Oracle ASM管理者ロールをroot権限ユーザーに付与しない場合、Oracle ACFSファイルシステムへのアクセスは、norootsuid
およびnodev
マウント・オプションを使用して制限できます。
セキュリティ・インフラストラクチャ機能による密なアクセス制御がOracle ACFSファイルシステムに追加されます。
関連項目:
-
Oracle ACFSのセキュリティ・インフラストラクチャの詳細は、「Oracle ACFSセキュリティ」
-
Oracle ACFS暗号化の詳細は、「Oracle ACFS暗号化」
-
Oracle ASM権限の詳細は、「Oracle ASMの権限について」
-
Oracle ACFSの管理の詳細は、「コマンドライン・ツールによるOracle ACFSの管理」
Oracle ACFSの構成
グリッド・インフラストラクチャをインストールし、Oracle Clusterwareが使用可能になると、Oracle ASMコンフィギュレーション・アシスタント(ASMCA)を使用してOracle ASMインスタンスを起動し、Oracle ASMディスク・グループ、Oracle ADVMボリュームおよびOracle ACFSファイルシステムを作成できます。あるいは、SQL*PlusおよびASMCMDコマンドライン・ツールを使用して、Oracle ASMディスク・グループとOracle ADVMボリュームを作成できます。ファイルシステムは、オペレーティング・システム・コマンドライン・ツールを使用して作成できます。
Oracle ACFSファイルシステムは、Oracle ADVM動的ボリューム・ファイルの作成後に自動的に作成されるOracle ADVMベースのオペレーティング・システム・ストレージ・デバイスで構成されます。ボリューム・ファイルおよび関連のボリューム・デバイス・ファイルが作成されると、ファイルシステムを作成して、そのオペレーティング・システム・ストレージ・デバイスにバインドできます。Oracle ACFSファイルシステムは作成後にマウントでき、ファイルおよびファイルシステム操作を実行する認可されたユーザーやアプリケーションがアクセスできるようになります。
関連項目:
-
ファイルシステムの作成に必要な特定のアクションの例は、「Oracle ACFSシステムを管理するための基本手順」
-
ASMCAによるOracle ADVMファイルシステムの管理の詳細は、「Oracle ACFSおよびOracle ACFSを管理するためのASMCA GUIツール」
-
ファイルシステムを作成するOracle ACFSコマンドの詳細は、「コマンドライン・ツールによるOracle ACFSの管理」
-
データベースで使用するOracle Clusterwareリソースの構成の詳細は、「Oracle ClusterwareリソースとOracle ACFSの管理」
Oracle ClusterwareリソースとOracle ACFSの管理
Oracle Clusterwareリソースは、Oracle ACFSのすべての側面に対応します。リソースは、ボリュームの有効化と無効化、ドライバのロード、ファイルシステムのマウントとアンマウントの原因となります。
この項では、次の項目について説明します。
Oracle ACFSリソース・ベースの管理の概要
次に、Oracle ACFSリソース・ベースの管理の概要を示します。
-
Oracle ACFS、Oracle Kernel Services Driver(OKS)およびOracle ADVMドライバは、Oracle ASMインスタンスの起動時に動的にロードされます。
-
Oracle ACFS
このトライバは、すべてのOracle ACFSファイルおよびディレクトリ操作を処理します。
-
Oracle ADVM
このドライバは、ファイルシステムを作成するためにファイルシステムで使用されるOracle ADVMボリューム・ファイル用のブロック・デバイス・サービスを提供します。
-
Oracle Kernel Services Driver(OKS)
このドライバは、メモリー割当て、同期プリミティブおよび分散ロック・サービス用のポータブル・ドライバ・サービスをOracle ACFSおよびOracle ADVMに提供します。
ドライバは、単一リソース・セットとして管理されます。詳細は、「Oracle ACFSドライバ・リソース管理」および「Oracle ACFSドライバのコマンド」を参照してください。
-
-
ボリュームを作成する場合、Oracle ADVMでは、名前が
ora.
DISKGROUP
.
VOLUME
.advm
のリソースを作成します。このリソースは、通常、Oracle ASMからの透過的な高可用性コールによって管理されるため、ユーザー操作は必要ありません。ただし、ユーザーは、SRVCTLコマンド・インタフェースを使用したボリュームの開始および停止や、Oracle ASM再起動後のボリュームのデフォルト状態の制御が可能です。これは、特に、他のノード上のボリュームを操作する場合と同様、大規模なクラスタまたはOracle Flex ASMクラスタで役立ちます。さらに、Oracle Clusterwareスタックの他のリソースが依存性チェーンを維持する場合にOracle ADVMリソースを使用できます。依存性チェーンにより、プログラムの実行に必要なリソースが利用可能かどうかが確認されます。たとえば、リソースがOracle ADVMボリュームにバックアップしていたバックアップ・アプリケーションをモニタリングしていた場合、そのバックアップ・アプリケーションが、
START
およびSTOP
依存性リストでOracle ADVMボリューム・リソースを指定していることを確認するとします。Oracle ADVMボリューム・リソースによりボリュームが有効になるため、バックアップの開始前にボリュームが利用できるかどうかが確認されます。 -
Oracle ACFSファイルシステムは、Oracle ACFSまたはOracle Clusterwareコマンドライン・ツールを使用して手動でマウントまたはディスマウントされるか、Oracle Clusterwareリソース・アクションに基づいて自動的にマウントまたはディスマウントされます。
たとえば、Oracle Databaseホームのホストであるファイルシステムは、データベース・リソースで起動アクションを発行すると、データベース・ホーム・ファイルシステムにある依存Oracle ACFSがマウントされるように、関連付けられたOracle Databaseリソースの依存性リストで指定できます。
Oracle ACFSファイルシステム・リソースでは、次のアクションが提供されます。
-
MOUNT
START
操作時に、リソースは、そのリソースで構成されるパス上のファイルシステムをマウントします。Oracle ACFSファイルシステム・リソースでは、Oracle ASMスタックのすべてのコンポーネントがアクティブ(ボリューム・デバイス、ASM)である必要があるため、マウントを行う前にコンポーネントがアクティブであるかどうかが確認されます。 -
UNMOUNT
STOP
操作時に、リソースは、ファイルシステムのアンマウントを試行します。
-
-
Oracleでは、Oracle高可用性NFSに対して2種類のリソースを提供しています。詳細は、「Oracle Grid Infrastructure用の高可用性Network File Storage」を参照してください。
すべてのOracle Clusterwareリソースと同様に、これらのリソースは、基本となるデバイス、ファイルシステムまたはドライバをモニタリングすることで高可用性を実現し、オブジェクトが利用可能な状態を保つようにします。基礎となるオブジェクトが利用不可になる場合、各リソースは、基礎となるオブジェクトが再度利用可能になるようにします。
高可用性アクション
次に、高可用性リソースのアクションを示します。
-
Oracle ACFSリソース
このリソースは、ファイルシステムのアンマウントを試行します。アンマウントに成功すると、リソースは、ファイルシステムを再マウントして、ファイルシステムを再度利用可能な状態にします。アンマウント時にプロセスがファイルシステム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。
-
Oracle ADVMリソース
このリソースは、任意のボリューム・デバイスの無効化を試行して、そのボリューム・デバイスを再度有効にします。その時点で、構成されたOracle ACFSリソースはファイルシステムを再マウントできます。この期間にプロセスがボリューム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。
Oracle ACFSリソースの作成
Oracle ACFSリソースは次の方法で作成できます。
-
Oracle ASMコンフィギュレーション・アシスタント(ASMCA)には、最も頻度の高い機能を公開するGUIがあります。どのような場合でも、ファイルシステム・リソースの作成により、基本のファイルシステムがフォーマットされることはありません。リソースを開始しようとする場合、ユーザーは、手動で、またはASMCAを使用してファイルシステムをフォーマットする必要があります。
-
SRVCTLには、
filesystem
オブジェクトを介して、Oracle ACFSファイルシステム・リソースを作成するための柔軟性の高いコマンドライン・ユーティリティが用意されています。このメカニズムで作成されたOracle ACFSリソースは、サーバー・プールなどの全機能セットにアクセスできます。 -
acfsutil
コマンドにより、registry
オブジェクトを使用してOracle ACFSファイルシステム・リソースを作成する代替方法が提供されます。この方法で作成されたOracle ACFSリソースでは、アクセスできるオプションに制限があります。
SRVCTLコマンドとacfsutil
コマンドの違いは、次のとおりです。
-
SRVCTLで作成され、サーバー・プールまたはノード・リストを指定するOracle ACFSリソースは、そのノードのいずれかにのみマウントされます。(ノードローカル)
-
SRVCTLで作成されたOracle ACFSリソースは、Oracleサーバー・プールを利用できます。
-
acfsutil
コマンドで作成され、ノード・リストを指定するOracle ACFSリソースは、そのリストのノードすべてにマウントされます。(ノードローカル) -
acfsutil
コマンドで作成されたOracle ACFSリソースは、AUTOSTART
がALWAYS
に設定された状態で作成されます。 -
SRVCTLで作成されたOracle ACFSリソースでは、高度なアプリケーションID機能を使用できます。この機能を使用すると、管理者が設定するリソース・タイプが有効になります。タイプの設定後、他のリソースはこのタイプによって決まるため、各ノードで依存性を実施するように様々なノードローカル・ファイルシステムを使用できます。簡単な例では、これにより、管理者は、クラスタの各ノードの
/log
ディレクトリに異なるデバイスをマウントしたり、Apacheリソースを実行したりすることができます。Apacheリソースでは、個々のリソースを指定するのではなく、そのリソース依存性構造で新しいタイプを指定します。 -
SRVCTLで作成されたOracle ACFSリソースは、
AUTOSTART
パラメータを追加で指定できます。これらのパラメータを使用すると、スタックの起動時にリソースが開始することがなく、開始するリソースを常に強制したり、リソース(以前に実行していた場合)の開始のみを行うことができます。 -
SRVCTLで作成されたOracle ACFSリソースでは、アクセラレータ・ボリュームなどの機能にアクセスできます。
SRVCTLコマンドとacfsutil
コマンドの両方に共通する要素は、次のとおりです。
-
ユーザー
これは、リソースに影響を与える可能性のある追加ユーザーです。デフォルトでは、Oracle ACFSリソースを開始および停止する
root
ユーザーである必要があります。 -
オプション
これらは、リソースが開始している場合に、ファイルシステムのマウントに使用する必要があるマウント・オプションです。
ノードローカルまたはクラスタワイド・ファイルシステム
Oracle ACFSファイルシステム・リソースを作成すると、ノードローカル・ファイルシステムまたはクラスタワイド・ファイルシステムを作成できます。
-
ノードローカル
このファイルシステム・タイプは、マウントできるノード数に制限されます。SRVCTLコマンドと
acfsutil
コマンドのどちらで作成されるかに応じて、1つのノードのみ、ノードのサブセット、または構成されたすべてのノードにマウントできます。場合によっては、フル・クラスタ構成と同じように見えますが、新しいノードをクラスタに追加する場合、ファイルシステムは、許容されるノードのリストを変更しないと自動的にマウントされません。 -
クラスタワイド
このタイプのファイルシステムは、例外なく、クラスタのすべてのノードにマウントされます。新しいメンバーをクラスタに追加すると、ファイルシステムは、そのメンバー上で自動的に利用可能になります。このタイプのリソースは、Oracle DatabaseやOracle HANFSなどの特定の構成に必要です。
Oracle ACFSリソースのモニタリング
すべてのOracle Clusterwareリソースと同様に、Oracle ACFSリソースを使用すると、システムの状態をモニターできます。このモニタリングは、次のコマンドで行うことができます。
-
SRVCTLコマンドの使用
コマンド
srvctl
status
filesystem
またはsrvctl
status
volume
を実行すると、コマンドの出力によって、ファイルシステムがマウントされるか、ボリュームが有効になるか、どのノードがこれに当てはまるかが報告されます。 -
CRSCTLコマンドの使用
crsctl
status
resource
コマンドを実行すると、マウントされたファイルシステムまたは有効なボリュームのどちらかによって、利用可能なリソースごとにONLINE
の状態が報告されます。OFFLINE
の状態は、アンマウントされたファイルシステムまたは無効なボリュームのどちらかによって、利用不可のリソースごとに報告されます。追加のステータスは、この出力のSTATUS
フィールドに表示されます。
Oracle ACFSリソースの停止
Oracle ACFSファイルシステム・リソースは、次の方法で停止できます。
-
Oracle Clusterwareスタック全体を停止できます。Oracle Clusterwareスタックを停止すると、Oracle ACFSリソースはすべて自動的に停止します。
-
個々のリソースを停止するには、SRVCTL管理コマンドをOracle ACFSのファイル・システムまたはボリューム・オブジェクトとともに使用できます。停止しようとしているリソースに依存している他のリソースがある場合は、コマンドに
-force
オプションが必要な場合があります。 -
手動アクション(ファイル・システムでの
unmount
の実行や、ASMCMDコマンドまたはSQL*Plusコマンドを使用した手動によるボリュームの停止など)を行うことができます。この場合、Oracle ACFSリソースは、OFFLINE
状態に自動的に遷移します。
Oracle Grid Infrastructure以外のマウント・ポイントの使用により、一部の状況でカーネルでのボリュームのアンマウントおよび無効化ができない場合があります。次に例を示します。
-
ネットワーク・ファイル・システム(NFS)
-
Samba/共有インターネット・ファイル・システム(CIFS)
前述のいずれかの例に状況が当てはまる場合は、スタックの停止、ファイル・システムのアンマウント、またはボリュームの無効化を開始する前に、必ずこの機能の使用を中断してください。
また、一部のユーザー・スペース・プロセスおよびシステム・プロセスでは、Oracle Grid Infrastructureスタックがパッチ適用やアップグレード中に停止しないような方法で、ファイル・システムまたはボリューム・デバイスを使用する場合があります。この問題が発生した場合は、lsof
コマンドとfuser
コマンド(LinuxおよびUNIX)か、handle
コマンドとwmic
コマンド(Windows)を使用して、Oracle ACFSファイル・システムとOracle ADVMボリューム上でアクティブなプロセスを特定してください。これらのプロセスが確実にアクティブでなくなるようにするには、すべてのOracle ACFSファイル・システムまたはOracle ADVMボリュームをディスマウントし、Oracle Clusterwareの停止を発行します。このようにしないと、Oracle Clusterwareの停止時にOracle ACFSファイル・システムまたはOracle ADVMボリュームのアクティビティに関してエラーが発生する場合があり、Oracle Clusterwareの正常な停止を妨げることになります。
Oracle ACFSリソースの制限事項
Oracle ACFSには、リソースに関する次の制限事項があります。
-
すべてのOracle ACFSリソースの作成には、
root
権限が必要です。 -
すべてのOracle ACFSリソースの削除には、
root
権限が必要です。 -
すべてのOracle ACFSファイルシステム・リソースの操作(リソースの開始や停止など)には、
root
権限が必要ですが、データベース・ユーザーなどの別のユーザーがそれらを操作できるように構成可能です。この場合、root
ユーザーを使用してリソースを構成する必要があります。 -
すべてのOracle ADVMボリューム・リソースでは、
ASMADMIN
ユーザーの操作が許可されます。 -
すべてのOracle ACFSリソースは、Oracle RACモードでのみ利用可能です。Oracle ACFSリソースは、Oracle Restart構成でサポートされません。Oracle ACFSとOracle Restartの詳細は、「Oracle ACFSとOracle Restart」を参照してください。
Oracle ACFSとディスマウントまたは停止操作
Oracle ADVMボリューム・デバイス・ファイルで構成されたアクティブ・ファイルシステムは、Oracle ASMインスタンスが停止されるか、ディスク・グループがディスマウントされる前にディスマウントする必要があります。ファイルシステムがディスマウントされると、Oracle ASMファイルに対して使用中の参照はすべて削除され、関連ディスク・グループのディスマウントまたはインスタンスの停止が可能になります。
関連するOracle ACFSがアクティブであるときに、Oracle ASMインスタンスまたはディスク・グループが強制的に停止されるか、障害が発生すると、ファイルシステムはオフライン・エラー状態になります。ファイルシステムがOracle ADVMボリューム・ファイルに現在マウントされている場合は、それらのファイルシステムを先にディスマウントせずにOracle ASMインスタンスを終了するのに、SHUTDOWN
ABORT
コマンドを使用しないでください。使用すると、アプリケーションでIOエラーが発生し、Oracle ASMストレージの隔離前に、終了時点で書き込まれるOracle ACFSのユーザー・データおよびメタデータがストレージにフラッシュされない可能性があります。ファイルシステムのディスマウントが不可能な場合は、SHUTDOWN
ABORT
操作を発行する前に、2つのsync
(1)コマンドを実行してキャッシュ済のファイルシステム・データおよびメタデータを永続ストレージにフラッシュする必要があります。
その後でオフライン・ファイルシステムにアクセスしようとすると、エラーが戻されます。その状態からファイルシステムをリカバリするには、Oracle ACFSファイルシステムのディスマウントと再マウントが必要です。1つのアクティブ・ファイルシステムをアンマウントするには、たとえオフラインのものであっても、そのファイルシステムを使用するすべてのアプリケーション(シェル参照を含む)を停止する必要があります。たとえば、ファイルシステム・ディレクトリへの前のディレクトリ変更(cd
)です。Linuxのfuser
またはlsof
コマンド、あるいはWindowsのhandle
コマンドは、プロセスおよびオープン・ファイルに関する情報を表示します。
参照。詳細は、次を参照してください。
Oracle ACFSで使用するMicrosoft Handleユーティリティ
Oracle Clusterwareで管理されるOracle ACFS高可用性リソースの適切な操作を確実にするには、Microsoft Handle
ユーティリティをダウンロードし、Windows上のOracle Grid Infrastructureホームにインストールする必要があります。Handle
ユーティリティがOracle Grid Infrastructureホームに含まれていない場合、Oracle Clusterwareリソースが正常に停止しない可能性があります。
Microsoft社のWebサイトからMicrosoft Handle
ユーティリティをダウンロードできます。ユーティリティをダウンロードした後、HandleユーティリティをGrid Infrastructureホームの/bin
ディレクトリに置いてください。Grid Infrastructureホームは、現在のセッションのPATH
環境変数に必ず含めてください。
関連項目:
-
Oracle ASMインスタンスの停止の詳細は、「Oracle ASMインスタンスの停止について」
-
ディスク・グループのディスマウントの詳細は、「ディスク・グループのマウントおよびディスマウント」
-
Microsoft
Handle
ユーティリティの詳細およびダウンロード手順は、https://docs.microsoft.com/en-us/sysinternals/downloads/handle
Oracle ACFSセキュリティ
Oracle ACFSセキュリティは、Oracle ACFSファイルシステムにレルムベースのセキュリティを提供します。それにより、ファイルシステム・オブジェクトへのアクセスを決定する、ユーザーおよびグループ用のセキュリティ・ポリシーを指定するレルムを作成することができます。
このセキュリティ機能は、オペレーティング・システムが提供するアクセス制御の上の、より密なアクセス制御を提供します。Oracle ACFSセキュリティでは、暗号化機能を使用して、Oracle ACFSファイルシステムに保存されたレルム保護されたファイルの内容を保護することができます。
Oracle ACFSセキュリティはレルム、ルール、ルール・セット、コマンド・ルールを使用してセキュリティ・ポリシーを施行します。
-
Oracle ACFSセキュリティ・レルムは、ユーザーまたはユーザーのグループによるアクセスに対しセキュリティ保護されるファイルまたはディレクトリのグループです。レルムは密なアクセス制御を適用するルールのグループを含むルール・セットにより定義されます。Oracle ACFSセキュリティ・レルムは暗号化を可能にするコンテナとしても使用できます。
-
Oracle ACFSセキュリティ・ルールは、ルールが元にするシステム・パラメータに基づきtrueかfalseかを評価するブール式です。
-
Oracle ACFSルール・セットはルールの集合です。ルール・セットは、そこに含まれるルールの評価に基づき、
TRUE
またはFALSE
に評価されます。 -
Oracle ACFSコマンド・ルールはルール・セットへのファイルシステムの操作の関連付けです。たとえば、ルール・セットへのファイルシステムの作成、削除、または名前の変更操作の関連付けです。コマンド・ルールはOracle ACFSレルムと関連付けられます。
既存のオペレーティング・システム・ユーザーは最初のOracle ACFSセキュリティ管理者に指定され、既存のオペレーティング・システム・グループはセキュリティ管理者admin
グループに指定される必要があります。セキュリティ管理者は指定されたセキュリティ・グループのメンバーである必要があります。追加のユーザーをセキュリティ管理者として指定することができます。Oracle ACFSセキュリティ管理者はレルムごとにOracle ACFSファイルシステムに対する暗号化を管理できます。Oracle ACFSセキュリティ管理者はセキュリティ・レルム・パスワードにより認証されます。ユーザーのオペレーティング・システム・パスワードではありません。
最初のセキュリティ管理者は、ルート・ユーザーが実行するacfsutil
sec
init
コマンドによるOracle ACFSセキュリティの初期化中に作成されます。最初のセキュリティ管理者が作成されるときに、管理者にパスワードが割り当てられますが、これは管理者が変更できます。セキュリティ管理者がacfsutil
sec
コマンドを実行するたびに、管理者はセキュリティ・パスワードを求められます。管理者のセキュリティ・レルム・パスワードは、セキュリティの初期化プロセス中に作成されるウォレットに保存されます。このウォレットは、Oracle Cluster Registry (OCR)に配置されます。
監査および診断データがOracle ACFSセキュリティ用に記録されます。ログ・ファイルには、実行したacfsutil
コマンド、セキュリティまたはシステム管理者権限の使用、レルムの認可の確認障害などの実行時障害といった情報が含まれます。
レルム作成や暗号化の有効化などの監査イベントは、ファイルシステムで監査が有効になっていない場合のみ、これらのログ・ファイルに書き込まれます。監査が有効な場合、これらのイベントは監査証跡に書き込まれます。セキュリティおよび暗号化に関連する診断メッセージは、監査が有効であるかどうかにかかわらず、常にsec-hostname_fsid
.log
ファイルに書き込まれます。
ログは次のファイルに書き込まれます。
-
mount_point
/.Security
/realm/logs/sec-
hostname_fsid
.log
このディレクトリは
acfsutil
sec
prepare
コマンドにより作成され、Oracle ACFSセキュリティにより保護されます。 -
GRID_HOME
/log/
hostname
/acfs/security/acfssec.log
このファイルに記録されるメッセージは、
acfsutil
sec
init
などの、特定のファイルシステムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。
アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name
.bak
に移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name
.bak
ファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name
.bak
ファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。
Oracle ACFSセキュリティは次のオブジェクトを認証されないアクセスから保護します。
-
レルム保護されたディレクトリおよびユーザー・ファイル
Oracle ACFSセキュリティにより保護されたファイルシステムに存在するディレクトリおよびファイル。
-
Oracle ACFSセキュリティ・ディレクトリ(
mount_point
/.Security
)およびその内容セキュリティ・ディレクトリには、プレーンテキスト形式のログ・ファイルとXML形式のセキュリティ・メタデータ・バックアップ・ファイルが含まれます。Oracle ACFSセキュリティにより生成されたログ・ファイルは、有効なOracle ACFSセキュリティ管理者のみがアクセスできます。
-
Oracle ACFSセキュリティ・オブジェクト
次のオブジェクトは、Oracle ACFSセキュリティを管理するのに使用されるセキュリティ・レルム、ルール、およびルール・セットです。
Oracle ACFSファイルシステムのセキュリティ・レルム内のファイルへのアクセスは、セキュリティ・レルムと、Linux上の権限(所有者、グループ、その他)およびWindows上のアクセス制御リスト(ACL)のような基礎となるオペレーティング・システムの権限の両方により認証される必要があります。レルム保護されたファイルへのそれぞれのアクセスは、まずセキュリティ・レルム認証でチェックされます。アクセスがセキュリティ・レルムにより認証されると、次にファイルへのアクセスが、基礎となるオペレーティング・システムのアクセス制御チェックにより確認されます。両方のチェックを通過すると、レルム保護されたファイルへのアクセスが許可されます。
Oracle ACFSセキュリティでの処理では次のことに注意してください。
-
Oracle ACFSセキュリティはネットワーク上に送信されたデータは保護しません。
-
レルム保護されたファイルのコピーは、そのコピーがレルム保護されたディレクトリで作成されないかぎり、レルム保護されません。
vi
エディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルがレルム保護されたディレクトリに作成されると、レルムのセキュリティ・ポリシーが新しいファイルにも適用されます。新しいファイルがレルム保護されたディレクトリで作成されない場合は、新しいファイルはレルム保護されません。レルム保護されたファイルのコピーを計画している場合、親ディレクトリもセキュリティ・レルム保護されていることを確認する必要があります。セキュリティ・ポリシーはレルム保護されたディレクトリで作成された一時ファイルにも適用されます。
LinuxでOracle ACFSセキュリティ機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。WindowsでOracle ACFSセキュリティ機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.3
以上に設定されていることが必要です。
Oracle ACFSファイルシステムのセキュリティ情報はV$ASM_ACFS_SECURITY_INFO
ビューに表示されます。
関連項目:
-
Oracle ACFSの監査の詳細は、「Oracle ACFS監査」
-
Oracle ACFSファイルシステムの準備の詳細は、「acfsutil sec prepare」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
Oracle ACFSのセキュリティおよびスナップショットの詳細は、「Oracle ACFSスナップショットについて」
-
V$ASM_ACFS
ビューの詳細は、「ビューを使用したOracle ACFS情報の表示」 -
Oracle ACFSファイルシステムのセキュリティを構成する
acfsutil
sec
コマンドラインの機能の詳細は、「Oracle ACFSファイルシステムのセキュリティ保護」と「セキュリティ用のOracle ACFSコマンドライン・ツール」 -
ASMCAを使用したOracle ACFSセキュリティの構成の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」
-
OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。
Oracle ACFS暗号化
Oracle ACFS暗号化により、ディスクに保存されたデータ(保存データ)を暗号化できます。
暗号化機能は、Oracle ACFSファイルシステム内の暗号化された形式のデータを保護し、データの損失または盗用の場合にデータの認証されていない使用を防ぎます。暗号化されているファイルとされていないファイルは、同じOracle ACFSファイルシステムに共存できます。
暗号化機能には、システム管理者権限が必要なものがあります。この機能には、暗号化の開始、設定および再構成が含まれます。
システム管理者およびOracle ACFSセキュリティ管理者は暗号化の操作を開始できます。また、非特権ユーザーは自分が所有するファイルの暗号化を開始できます。
Oracle ACFS暗号化では、次の2つのタイプの暗号化キーを提供します。
-
ファイル暗号化キー
これはファイル用のキーで、ファイル内のデータを暗号化するのに使用されます。
-
ボリューム暗号化キー
これはファイルシステム用のキーで、ファイルの暗号化キーを暗号化するのに使用されます。
まず、暗号化キー・ストアを作成する必要があり、次にファイルシステム・レベルの暗号化パラメータを指定し、ディレクトリを識別する必要があります。ユーザーにファイル・データをアクセスするのに適切な特権があれば、ユーザーが暗号化されたファイルを読み取るのに追加の手順は必要ありません。
Oracle ACFS暗号化では、Oracle Cluster Registry (OCR)とOracle Key Vaultの両方をキー・ストアとしてサポートしています。OCRとOracle Key Vaultは両方とも、同じクラスタ内で使用できます。ただし、単一ファイルシステムでは、両方ではなくOCRまたはOracle Key Vaultのいずれかをキー・ストアとして使用します。Oracle Key Vaultは現在、Linux上のファイルシステムでのみ使用可能です。
OCRをキー・ストアとして使用している場合、暗号化鍵の作成または更新後にOCRをバックアップして、ファイルシステムのすべてのボリューム暗号化鍵(VEK)を含むOCRバックアップを作成する必要があります。
Oracle ACFS暗号化は、盗用やストレージ・メディアへの直接アクセスの脅威から、セカンダリ・ストレージに保存されたデータを保護します。データはセカンダリ・ストレージにプレーンテキストで書き込まれることはありません。物理ストレージが盗まれたとしても、保存されたデータは暗号化キーがなければアクセスできません。暗号化キーはプレーンテキストで保存されることはありません。キーは不明瞭化されるか、またはユーザーが指定したパスワードを使用して暗号化されます。
Oracle ACFSセキュリティ管理者はレルムごとに暗号化パラメータを管理できます。ファイルがレルム・セキュリティの下に配置されると、そのファイルではファイル・レベルの暗号化の操作はできません。レルム・セキュリティにより、所有者またはルート・ユーザーがファイルを開くことができる場合でも、ファイル・レベルの暗号化の操作はブロックされます。レルム保護されたファイルの暗号化は、完全にOracle ACFSセキュリティ管理者により管理され、セキュリティ・レルム・レベルでファイルの暗号化を有効および無効にすることができます。
ディレクトリがセキュリティ・レルムに追加されると、そのディレクトリで作成されたすべてのファイルは、レルムレベルの暗号化パラメータを継承します。ディレクトリまたはファイルシステムレベルのパラメータではありません。ファイルがその最後のセキュリティ・レルムから削除されると、そのファイルはファイルシステムレベルの暗号化状態と一致するように暗号化または復号化されます。ファイルがセキュリティ・レルム・パラメータで暗号化された場合、ファイルシステムレベルのパラメータと一致するように再暗号化されません。
システム管理者はファイルシステムまたはファイル・レベルで、レルム保護されたファイルをキー更新できません。すべてのレルム保護されたファイルが最新のボリューム暗号化キー(VEK)で確実に暗号化されるために、最初にすべてのレルムから暗号化を削除してから、暗号化を再度有効にします。このアクションはすべてのファイルを最新のVEKで再暗号化します。
監査および診断データがOracle ACFS暗号化用に記録されます。ログ・ファイルには、実行したacfsutil
コマンド、セキュリティまたはシステム管理者権限の使用、実行時障害などの情報が含まれます。ログは次のファイルに書き込まれます。
-
mount_point
/.Security
/encryption/logs/encr-
hostname_fsid
.log
このディレクトリは
acfsutil
encr
set
コマンドにより作成され、セキュリティが有効な場合、Oracle ACFSセキュリティにより保護されます。 -
GRID_HOME
/log/
hostname
/acfs/security/acfssec.log
このファイルに記録されるメッセージは、
acfsutil
encr
init
などの、特定のファイルシステムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。
アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name
.bak
に移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name
.bak
ファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name
.bak
ファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。
Oracle ACFS暗号化での処理では次のことに注意してください。
-
暗号化されたファイルのコピーは、そのファイルのコピーが暗号化されたディレクトリで作成されないかぎり暗号化されません。
vi
エディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルは、それが暗号化されたディレクトリで作成されないかぎり暗号化されません。暗号化されたファイルのコピーを計画している場合、親ディレクトリも暗号化されていることを確認する必要があります。 -
Oracle ACFSでのデータベース・ファイルによる暗号化の使用は、サポートされていません。
-
Oracle ACFS暗号化は、暗号化を使用しているファイルシステムのいずれかがOracle ACFSマウント・レジストリを使用してマウントされるように構成されている場合、パスワードで保護された(PKCS)ウォレットで使用できません。
-
acfsutil
encr
on
、acfsutil
encr
off
コマンドおよびacfsutil
encr
rekey
コマンドは、128 MBを超えるファイルでサポートされません。128 MBを超えるファイルでのこれらのコマンドの操作は失敗し、結果として発生するエラー・メッセージに代替アクションが表示されます。
LinuxでOracle ACFS暗号化機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。次のような場合、LinuxではASM
とADVM
に対するディスク・グループの互換性属性は11.2.0.3
以上に設定される必要があります。
-
Oracle ASM 11gリリース2 (11.2.0.3)で初回時に暗号化を設定する場合。
-
ソフトウェアのOracle ASM 11gリリース2 (11.2.0.3)へのアップグレードに伴って暗号化パラメータを変更、または新しいボリュームの暗号化キーを作成する必要がある場合。
WindowsでOracle ACFS暗号化機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.3
以上に設定されていることが必要です。
Oracle ACFSファイルシステムの暗号化情報はV$ASM_ACFS_ENCRYPTION_INFO
ビューに表示されます。暗号化を構成し、暗号化されたOracle ACFSファイルシステムを管理するには、acfsutil
encr
コマンド機能とOracle ASMコンフィギュレーション・アシスタントを使用します。
関連項目:
-
ボリューム暗号化鍵の変更と作成の詳細は、「acfsutil encr set」および「acfsutil encr rekey」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
Oracle ACFSの暗号化およびスナップショットの詳細は、「Oracle ACFSスナップショットについて」
-
V$ASM_ACFS
ビューの詳細は、「ビューを使用したOracle ACFS情報の表示」 -
Oracle ACFSコマンドライン・ツールによる暗号化の管理の詳細は、「Oracle ACFSファイルシステムの暗号化」と「暗号化用のOracle ACFSコマンドライン・ツール」
-
暗号化機能でのOracle ASMCAの使用の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」
-
Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』
Oracle ACFS圧縮
Oracle ACFS圧縮は、汎用ファイル用に指定されたOracle ACFSファイル・システムで有効になります。Oracle ACFS圧縮は、Oracle Databaseファイルではサポートされません。
キャッシュIO圧縮は、アプリケーションによってファイルに書き込まれた後に非同期で実行されます。ファイルシステムで圧縮を有効にすると、既存のファイルは圧縮されず、新規作成したファイルのみ圧縮されます。圧縮を無効にしても、圧縮済ファイルは解凍されません。圧縮済ファイルは圧縮単位に関連付けられ、圧縮アルゴリズムはこの単位に対して作用します。デフォルトの単位サイズは現在32Kです。lzo
は、デフォルトの圧縮アルゴリズムであり、現在サポートされている唯一の圧縮アルゴリズムです。
acfsutil
compress
コマンドは、acfsutil
compress
on
およびacfsutil
compress
off
によってファイルシステムの圧縮状態を設定およびリセットします。圧縮状態および圧縮操作の有効性を表示するには、acfsutil
compress
info
コマンドを使用します。acfsutil
info
fs
コマンドおよびacfsutil
info
file
コマンドは、Oracle ACFS圧縮状態に関してレポートするよう拡張されています。
圧縮済ファイルは、未圧縮ファイルよりディスク領域の消費が少なくなります。しかし、そのファイルを使用するアプリケーションに対して、レポートされるサイズは未圧縮ファイル・サイズと等しく、小さい方の圧縮済サイズではありません。ls
-l
などの一部のユーティリティは、ファイルの未圧縮サイズをレポートします。du
、acfsutil
compress
info
、acfsutil
info
file
などのユーティリティは、圧縮済ファイルの実際のディスク割当てをレポートします。
Oracle ACFS圧縮について、次の点に注意してください。
-
Oracle ACFS圧縮は、データベース・ファイルの保持を目的とするOracle ACFSファイル・システムではサポートされません。かわりに、Oracle Advanced Compressionを使用してください。
-
圧縮済ファイルでのループバック・マウントはサポートされません。これには、Oracle ACFSリモート・サービスでの使用を目的とするファイルが含まれます。ループバック・デバイスが圧縮済ファイルに関連付けられている場合、ループバック・デバイスに対する読取り操作および書込み操作は失敗します。
-
圧縮に対応しているOracle ACFSファイルシステムでは、ループバック・デバイスを未圧縮ファイルに関連付けることができます。
-
Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)の場合、Oracle ACFS圧縮はLinuxおよびAIXでサポートされます。
-
Oracle ACFS圧縮は、Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)以降で使用可能なOracle ACFSスナップショットベースのレプリケーションでのみサポートされます。
-
ADVMディスク・グループ互換性を
12.2
以上に設定する必要があります。
関連項目:
-
Oracle ACFS圧縮コマンドの詳細は、「圧縮用のOracle ACFSコマンドライン・ツール」
-
acfsutil
info
コマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」
Oracle ACFS監査
Oracle ACFS監査では、Oracle ACFSのセキュリティおよび暗号化に対する監査機能を提供します。この監査フレームワークでは、個々のノード上の各Oracle ACFSファイルシステム用に、個別の監査証跡を作成し、この監査ソースの管理および確認に関する義務の分離を強制します。
監査ソースは、Oracle ACFSセキュリティおよびOracle ACFS暗号化などのイベントのソースです。監査証跡は、監査レコードが書き込まれるログです。
この項では、次の項目について説明します。
Oracle ACFS監査について
Oracle ACFSセキュリティと暗号化は両方とも監査ソースで、これらのソースは、Oracle ACFS監査マネージャによって、有効化および無効化できます。これらのソースは、Oracle ACFSセキュリティおよび暗号化コマンドの実行結果として、イベントを生成します。
Oracle ACFSセキュリティ管理者は、セキュリティ違反および認可も監査できるようにレルム・レベルで監査を有効化できるとともに、セキュリティ管理者によって実行されたすべてのイベントを監査するためにセキュリティに関する監査を有効化できます。Oracle ACFSレルム・セキュリティ監査を使用する前に、Oracle ACFSセキュリティ・ソースを有効化する必要があります。
すべてのコマンド・ルールに対してすべての認可および違反を監査するレルム監査ポリシーを設定すると、監査証跡がすぐに最大サイズまで増加することがあります。管理者は、要件に対して監査レベルを慎重に調整し、冗長な監査出力を生成している監査ポリシーが、監査証跡と監査証跡バックアップ・ファイルのアクティブな監視および管理(アーカイブやパージなど)をさらに必要としていることに注意する必要があります。
ファイルシステム監査ソースの生成とともに、Oracle ACFS監査では、ファイングレインの監査ポリシーを、レルムごとに個別に設定できます。Oracle ACFS監査機能では、Oracle Audit Vault and Database FirewallにデータをインポートするAudit Vaultコレクタ用のインフラストラクチャが提供されます。このコレクタは、Oracle ACFSとは別で、Oracle ACFS監査データをAudit Vault Serverにインポートする手段として機能します。
監査ソースの構成および管理用の職責は、Oracle ACFS監査マネージャとOracle ACFS監査者のロールに分かれます。システム管理者には、Oracle ACFS監査マネージャとOracle ACFS監査者のオペレーティング・システム(OS)グループに対してユーザーを追加および削除する権限があります。
Oracle ACFS監査マネージャは、監査ソースのコンテンツにアクセスでき、監査データを読み取ることができます。ただし、監査マネージャは、監査ソースを変更することはできません。Oracle ACFS監査マネージャのセットは、クラスタ間で同じです。
Oracle ACFS監査者は、監査ソースのコンテンツの表示および分析を担当し、たとえば、分析およびアーカイブされたレコードや、安全にパージできるレコードを、Oracle ACFS監査マネージャに示します。Oracle ACFS監査者は、監査ソースのコンテンツへのアクセス権限を持つ、システム上のユーザーのみである必要があります。Oracle ACFS監査者には、監査レコードを削除またはパージするために必要な権限はありません。Oracle ACFS監査者のセットは、クラスタ間で同じです。
監査アーカイブ・プロセスでは、監査証跡ログ・ファイル(.log)を監査証跡バックアップ・ファイル(.log.bak)に名前を変更し、Audit Vault ServerによってインポートできるXMLファイルを生成します。この場合、Audit Vault Serverでは、監査者として、監査証跡ディレクトリおよび機能への読取りアクセス権限のみ付与されます。XMLファイルのデータをAudit Vault Serverにインポートした後で、監査者機能では、監査証跡バックアップ・ファイルにread
とマークし、監査マネージャは、パージを実行して、監査証跡バックアップ・ファイルおよびXMLファイルを削除できます。
Oracle ACFSファイルシステムの監査を構成するには、acfsutil
audit
init
コマンドを実行して、Oracle ACFSの監査を初期化してから、acfsutil
audit
enable
を実行し、指定したファイルシステムでOracle ACFS暗号化またはセキュリティの監査を有効にします。
関連項目:
-
acfsutil
audit
コマンドの詳細は、「監査用のOracle ACFSコマンドライン・ツール」 -
acfsutil
sec
realm
audit
enable
コマンドとacfsutil
sec
realm
audit
disable
コマンドを使用して、Oracle ACFSセキュリティ・レルムで特定のコマンドに対する監査を有効化または無効化する方法の詳細は、「セキュリティ用のOracle ACFSコマンドライン・ツール」 -
Oracle ACFSの監査に関連するビューの詳細は、「Oracle ACFS情報を表示するビュー」
-
Audit Vault Serverの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
-
OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。
監査証跡ファイル
監査証跡ファイルは、一連の監査レコードで構成されます。各監査レコードは、1つのイベントを表します。監査証跡ファイルは、mount_point
/.Security/audit
ディレクトリにあります。
Oracle ACFS監査で生成される監査証跡ファイルは、次に対して使用可能になることが想定されています。
-
テキスト表示ツールを使用した、Oracle ACFS監査者による手動確認
-
Oracle Audit Vault and Database Firewallへのインポート
-
監査ソースを解析およびインポートできるサード・パーティ製品
監査証跡ファイルは、監査レコードで構成されます。監査レコードには複数の異なるタイプがあり、それぞれが一意のイベントのタイプを表し、イベントの診断に関連する様々な情報が含まれます。イベントのタイプは、次のとおりです。
監査証跡ファイルに入力された監査レコード・フィールドの組合せは、イベント・タイプによって異なります。
各レコードは、フィールドの名前と値のセットとして監査証跡ファイルに書き込まれます。レコードのタイプに応じて、フィールドの数およびタイプが異なります。フィールドは、名前と値のペアで構成され、field name:valueの形式で、最後に改行文字が続きます。
監査証跡ファイルに指定できる監査レコード・フィールドについて、次のリストで説明します。丸カッコで囲まれた文字列は、監査証跡ログ・ファイルに表示されるフィールド名です。
-
タイムスタンプ(
Timestamp
): イベントが発生した時間で、常にUTCで指定されます。タイムスタンプの形式は、MM/DD/YYYY HH:MM:SS UTC
です。 -
イベント・コード(
Event
): イベントのタイプを識別するコード。評価結果コードのリストは、「ファイル・アクセス・イベント」および「権限使用イベント」を参照してください。 -
ソース(
Source
):Oracle ACFS
-
ユーザー識別(
User
): イベントをトリガーしたユーザー。これは、LinuxプラットフォームではユーザーIDで、WindowsではユーザーSIDです。 -
グループ識別(
Group
): イベントをトリガーしたユーザーのプライマリ・グループ。これは、Linuxプラットフォームではユーザーのプライマリ・グループのIDで、Windowsではユーザーのプライマリ・グループのSIDです。 -
プロセス識別(
Process
): 現在のプロセスID。 -
ホスト名(
Host
): イベントを記録したホスト。 -
アプリケーション名(
Application
): 現在のプロセス用のアプリケーション名。 -
レルム名(
Realm
): 違反したレルム、または、認可され、ファイルを保護しているレルムの名前。 -
ファイル名(
File
): ユーザーがアクセスしていたファイル名。 -
評価結果(
Evaluation
Result
): このフィールドには、実行されたコマンドの結果に関する情報が含まれます。評価結果コードのリストは、「評価結果イベント」を参照してください。 -
ファイルシステムID (
FileSystem-ID
): -
メッセージ(
Message
): メッセージ・フィールドには、実行されたコマンドに関する情報およびその結果が含まれています。
例11-1に、監査証跡ファイルの例を示します。
例11-1 監査証跡ファイルの例
Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_READ_OP Source: Oracle_ACFS User: 0 Group: 0 Process: 1234 Host: slc01hug Application: cat Realm: MedicalDataRealm File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_VIOLATION FileSystem-ID: 1079529531 Message: Realm authorization failed for file ops READ Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_WRITE_OP Source: Oracle_ACFS User: 102 Group: 102 Process: 4567 Host: slc01hug Application: vi Realm: PayrollRealm,SecuredFiles File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_AUTH FileSystem-ID: 1079529531 Message: Realm authorization succeeded for file ops WRITE Timestamp: 06/08/12 10:42:20:977 UTC Event: ACFS_SEC_PREPARE Source: Oracle_ACFS User: 507867 Group: 8500 Process: 603 Host: slc01hug Application: acfsutil.bin Evaluation Result: ACFS_CMD_SUCCESS FileSystem-ID: 1079529531 Message: acfsutil sec prepare: ACFS-10627: Mount point '/mnt' is now prepared for security operations.
ファイル・アクセス・イベント
ファイル・アクセス・イベントには、レルムの認可と違反の両方のレコードが含まれます。これらのイベントは、類似した構造をすべてのイベントと共有しますが、イベント・コードは異なります。評価結果(Evaluation
Result
)フィールドには、ACFS_AUDIT_REALM_VIOLATION
またはACFS_AUDIT_REALM_AUTH
のいずれかを指定できます。
ファイル・アクセス・イベント用に指定できるイベント・コード(Event
)は、次のとおりです。
-
ACFS_AUDIT_APPENDFILE_OP
-
ACFS_AUDIT_CHGRP_OP
-
ACFS_AUDIT_CHMOD_OP
-
ACFS_AUDIT_CHOWN_OP
-
ACFS_AUDIT_CREATEFILE_OP
-
ACFS_AUDIT_DELETEFILE_OP
-
ACFS_AUDIT_EXTEND_OP
-
ACFS_AUDIT_GET_EXTATTR_OP
-
ACFS_AUDIT_LINKFILE_OP
-
ACFS_AUDIT_MKDIR_OP
-
ACFS_AUDIT_MMAPREAD_OP
-
ACFS_AUDIT_MMAPWRITE_OP
-
ACFS_AUDIT_MUTABLE_OP
-
ACFS_AUDIT_OPENFILE_OP
-
ACFS_AUDIT_OVERWRITE_OP
-
ACFS_AUDIT_READ_OP
-
ACFS_AUDIT_READDIR_OP
-
ACFS_AUDIT_RENAME_OP
-
ACFS_AUDIT_RMDIR_OP
-
ACFS_AUDIT_SET_EXTATTR_OP
-
ACFS_AUDIT_SYMLINK_OP
-
ACFS_AUDIT_TRUNCATE_OP
-
ACFS_AUDIT_WRITE_OP
権限使用イベント
権限使用イベントには、セキュリティ管理者またはシステム管理者が実行するセキュリティ・コマンド、およびシステム管理者またはファイル所有者が実行する暗号化コマンドがあります。
ACFS_AUDIT_INIT
、ACFS_SEC_INIT
およびACFS_ENCR_INIT
イベントは、Oracle Grid Infrastructureホームにあるグローバル・ログに書き込まれます。
権限使用イベント用に指定できるイベント・コード(Event
)は、次のとおりです。
-
ACFS_AUDIT_ARCHIVE
-
ACFS_AUDIT_DISABLE
-
ACFS_AUDIT_ENABLE
-
ACFS_AUDIT_INIT
-
ACFS_AUDIT_PURGE
-
ACFS_AUDIT_READ
-
ACFS_ENCR_FILE_OFF
-
ACFS_ENCR_FILE_ON
-
ACFS_ENCR_FILE_REKEY
-
ACFS_ENCR_FS_OFF
-
ACFS_ENCR_FS_ON
-
ACFS_ENCR_INIT
-
ACFS_ENCR_SET
-
ACFS_ENCR_SET_UNDO
-
ACFS_ENCR_VOL_REKEY
-
ACFS_ENCR_WALLET_STORE
-
ACFS_REALM_AUDIT_DISABLE
-
ACFS_REALM_EDIT_ENCR
-
ACFS_REALM_AUDIT_ENABLE
-
ACFS_SEC_LOAD
-
ACFS_SEC_PREPARE
-
ACFS_SEC_PREPARE_UNDO
-
ACFS_SEC_REALM_ADD
-
ACFS_SEC_REALM_CLONE
-
ACFS_SEC_REALM_CREATE
-
ACFS_SEC_REALM_DELETE
-
ACFS_SEC_REALM_DESTROY
-
ACFS_SEC_RULE_CREATE
-
ACFS_SEC_RULE_DESTROY
-
ACFS_SEC_RULE_EDIT
-
ACFS_SEC_RULESET_CREATE
-
ACFS_SEC_RULESET_DESTROY
-
ACFS_SEC_RULESET_EDIT
-
ACFS_SEC_SAVE
評価結果イベント
評価結果イベント・コードは、コマンドの実行ステータスに関する情報を提供します。
評価結果イベント・コードには、次のいずれかを指定できます。
-
ACFS_AUDIT_REALM_VIOLATION
- コマンドを実行しているユーザーには、コマンドを実行するための適切なレルム・アクセス権限がありません。 -
ACFS_AUDIT_REALM_AUTH
- レルム評価の結果を示します。 -
ACFS_AUDIT_MGR_PRIV
- 監査マネージャ権限が必要ですが、ユーザーには付与されていません。 -
ACFS_AUDITOR_PRIV
- 監査者権限が必要ですが、ユーザーには付与されていません。 -
ACFS_CMD_SUCCESS
- コマンドは、タスクの実行に成功しました。 -
ACFS_CMD_FAILURE
- コマンドは、タスクの実行に失敗しました。 -
ACFS_ENCR_WALLET_AUTH_FAIL
- 暗号化ウォレットのオープン時に、システム管理者が不正なパスワードを指定しています。 -
ACFS_INSUFFICIENT_PRIV
- ファイル所有者またはシステム管理者権限のいずれかが必要ですが、ユーザーには付与されていません。 -
ACFS_SEC_ADMIN_PRIV
- セキュリティ管理者権限が必要ですが、ユーザーはセキュリティ管理者ではありません。 -
ACFS_SEC_ADMIN_AUTH_FAIL
- 有効なセキュリティ管理者は、Oracle ACFSセキュリティ管理パスワードを使用した適切な認証に失敗しました。 -
ACFS_SYS_ADMIN_PRIV
- システム管理者権限が必要ですが、ユーザーには付与されていません。
Oracle ACFSレプリケーション
Oracle ACFSスナップショットベースのレプリケーションにより、ネットワーク経由でのOracle ACFSファイルシステムのリモート・サイトへのレプリケーションが可能になり、ファイルシステムに対する障害時リカバリ機能が提供されます。
Oracle ACFSレプリケーションでは、マウントされたファイル・システム、またはマウントされたファイル・システムのスナップショットをレプリケーション・ストレージ・ロケーションとして指定できます。Oracle ACFSレプリケーション関係のソースOracle ACFSロケーションはプライマリ・ロケーションと呼ばれます。Oracle ACFSレプリケーション関係のターゲットOracle ACFSロケーションはスタンバイ・ロケーションと呼ばれます。
注意:
-
Oracle ACFSレプリケーション機能は、各プライマリ・ロケーションの1つのスタンバイ・ロケーションのみをサポートします。
-
スタンバイ・ロケーションは、レプリケーションがアクティブであるかぎり、読取り専用です。スタンバイの読取り-書込みスナップショットを作成できます。
-
Linux、SolarisまたはAIXを実行しているプライマリ・サイトは、それらのオペレーティング・システムのいずれかを実行しているスタンバイ・サイトにレプリケートできます。Windowsを実行しているプライマリ・サイトは、Windowsを実行しているスタンバイ・サイトにのみレプリケートできます。
-
プライマリ・サイトおよびスタンバイ・サイトでは、同じバージョンのOracle Grid Infrastructureソフトウェアが実行中である必要があります。サイトをアップグレードする場合、最初にスタンバイ・サイトを更新します。
-
Oracle ACFSレプリケーションは、Oracle Restartでサポートされていません。
-
Oracle Key Vaultキーストアは、レプリケーション・ロケーションを含むスタンバイ・ファイル・システムではサポートされません。
-
レプリケーション・ロケーションを含むプライマリ・ファイル・システムでは、Oracle ACFS暗号化を元に戻せません。
アクティブなスナップショットを保持するファイルシステムでは、暗号化を元に戻せません。アクティブ・レプリケーション・ロケーションを含むプライマリ・ファイル・システムで暗号化を元に戻す場合は、まずレプリケーションを終了します。レプリケーションが停止したら、暗号化を元に戻してレプリケーションを再開します。
サイトはプライマリ・ロケーションとスタンバイ・ロケーションの両方をホストできます。たとえば、クラスタ・サイトA
およびB
がある場合、サイトA
にホストされたプライマリ・ファイル・システムは、サイトB
のスタンバイ・スナップショットにレプリケートできます。同様に、サイトB
にホストされたプライマリ・スナップショットは、サイトA
のスタンバイ・ファイル・システムにレプリケートできます。ただし、Oracle ACFSファイル・システムまたはスナップショットは、同時にプライマリおよびスタンバイのロケーションとして使用できません。
Oracle ACFSスナップショットベースのレプリケーションは、プライマリ・ロケーションのスナップショットを記録することで機能します。最初のスナップショットがスタンバイ・ロケーションに転送された後、プライマリの連続するスナップショット間の変更をスタンバイ・ロケーションに転送することで、レプリケーションは続行します。このようなレプリケーション操作は、常時モード(前の操作が完了するとすぐに新しい操作を開始できる)で実行することも、固定間隔で実行されるようにスケジュールすることもできます。このレプリケーション・ソリューションは、本来非同期です。
Oracle ACFSレプリケーションでは、最初にプライマリ・サイトでスナップショット機能を使用して、最初のスナップショットのコンテンツと、その後に2つの指定されたスナップショット間の差異をともに外部化します。その結果は、スナップショット複製ストリームと呼ばれます。次に、レプリケーション・プロセスでは、スタンバイ・サイトでスナップショット機能を使用して、このストリームをスタンバイ・ロケーションに適用し、プライマリ・ロケーションの複製を作成します。
プライマリでは、連続するスナップショットを比較することでレプリケーションが機能するため、プライマリをホストするサイトに、各スナップショットに記録されるプライマリのバージョンの他、現行プライマリのコンテンツも格納するための使用可能なディスク領域が十分にあることが重要です。さらに、必要なスナップショットを作成するのに十分な領域が常にある必要があります。各レプリケーション・スナップショットは、不要になると削除されます。
スタンバイでは、各レプリケーション操作の最後にバックアップ・スナップショットが作成されます。このスナップショットは、スタンバイの最新の一貫性のあるコンテンツを記録し、現行のレプリケーション操作時に永続的な機能停止が発生した場合にそれらのコンテンツのリカバリに使用できます。各バックアップ・スナップショットは、次のレプリケーション操作が完了すると削除されるため、常にバックアップ・スナップショットを作成できる必要があります。さらに、スナップショットで取得されたスタンバイのバージョンおよび現行スタンバイのコンテンツ用にも十分な領域が存在する必要があります。
プライマリ・ファイルシステムおよびスタンバイ・ファイルシステムでディスク領域が不足していないことを確認する必要があります。いずれかのファイル・システムで、使用可能なストレージが不足する場合は、ファイル・システムを拡張するか、ファイル・システムのファイルまたは存在する任意の読取り-書込みスナップショットを削除して領域を解放する必要があります。自動サイズ変更を構成して、領域不足を回避することもできます。
プライマリ・ファイルシステムが領域不足になり、ファイルを削除することで領域を解放することにした場合は、レプリケートされていないファイルのみを削除する必要があります。レプリケートされたファイルは、スタンバイ・ファイルシステムに転送されるまでスナップショットに格納されていて、削除されません。レプリケーションによって作成されていないOracle ACFSスナップショットは削除できます。
Oracle ACFSレプリケーションでは、ssh
ユーティリティをプライマリ・クラスタとスタンバイ・クラスタ間のトランスポートとして使用します。ssh
の自動使用を有効にするために、レプリケーションでは2種類の鍵を構成する必要があります。これらの鍵は、レプリケーションが実行可能になっている各ノードで使用できる必要があります。
-
それぞれのクラスタの各ノードでは、システム管理者ユーザー(Windows以外のシステムではrootユーザー、Windowsではローカル
SYSTEM
)に、他のクラスタのノードごとに格納されているホスト鍵が必要です。 -
それぞれのクラスタの各ノードでは、指定された非特権ユーザー(適用ユーザー)には、そのノードで適用ユーザーとしてログインする権限を与えられたrootまたはローカル
SYSTEM
用に格納された公開鍵が必要です。通常、この公開鍵は、他のクラスタのノードのroot(またはローカルSYSTEM
)用の公開鍵と秘密鍵のペアの一部として定義されます。
プライマリ・ホストで実行されているレプリケーションは、ホスト鍵を使用してデータを送信しているスタンバイ・ホストを認証できる必要があるため、これらの鍵が必要です。また、プライマリ・ホストで実行されているレプリケーションでは、ユーザー鍵を使用してスタンバイ・ホストに適用ユーザーとしてログインし、スタンバイ・ロケーションを更新できる必要があります。さらに、レプリケーションでは、プライマリおよびスタンバイで実行されているロールを入れ替えることができます。このロール・リバーサル操作を正常に実行するためには、プライマリ・ホストとスタンバイ・ホストで同じタイプのssh
鍵が構成されている必要があります。詳細は、「Oracle ACFSレプリケーションで使用するためのsshの構成」を参照してください。
ssh
は、Windowsではネイティブには提供されません。必要な鍵およびその構成方法の詳細と、Windowsでのssh
のインストールおよび構成の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」を参照してください。
ファイル・システムまたはスナップショットでレプリケーションを使用する前に、次のことを確認してください。
-
プライマリ・ロケーションとスタンバイ・ロケーション間のレプリケーションをサポートするのに十分なネットワーク・バンド幅があること。
-
プライマリ・ロケーションおよびスタンバイ・ロケーションをホストするサイトの構成により、スタンバイ・ファイル・システムがプライマリ・ロケーションでの変更速度についていくことができること。
-
ssh
用のホスト鍵およびユーザー鍵が適切に構成されていること。
Oracle ACFSファイル・システムまたはスナップショットのディレクトリおよびファイルには、ファイル・システム内でレプリケートする特定のオブジェクトを選択できるようにタグを付けることができます。
特定のロケーションをレプリケートする前に、プライマリ・ロケーションをホストしているサイト、スタンバイ・ロケーションをホストしているサイト、レプリケートするファイル・システム、ロケーションでのファイル・システムのマウント・ポイント、およびタグのリストなどの必要情報を特定するために、レプリケーション構成を作成する必要があります。
プライマリ・サイトおよびスタンバイ・サイトでは、2つのロケーションで使用中のすべてのuids
およびgids
を含め、同じユーザー構成とグループ構成を共有する必要があります。レプリケーションが有効になっている各スタンバイ・ノードで、前述の適用ユーザーを構成する必要があります。このユーザーはOracle ASM管理グループのメンバーである必要があります。
Oracle ACFSレプリケーションには、元のプライマリ・ロケーションとスタンバイ・ロケーションのロールの入れ替えを可能にする、レプリケーションのロール・リバーサル機能が用意されています。acfsutil
repl
reverse
コマンドを使用して、元のプライマリを新しいスタンバイに変更し、元のスタンバイを新しいプライマリに変更できます。ロール・リバーサル機能は、レプリケーションを拡張して追加のディザスタ・リカバリ機能を提供します。
Oracle ACFSレプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASM
およびADVM
のディスク・グループ互換性属性が12.2
以上に設定されている必要があります。Oracle ACFSロール・リバーサル・レプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASM
およびADVM
のディスク・グループ互換性属性が18.0
以上に設定されている必要があります。
Oracle ACFSレプリケーションをSolaris Sparcハードウェアを使用するには、システムをSolaris 10 Update 8以降で実行中である必要があります。
レプリケーションを構成し、レプリケートされたOracle ACFSロケーションを管理するにはacfsutil
repl
コマンドライン機能を使用します。
Oracle ACFSにおけるデータベース・ファイルでのOracle ACFSレプリケーションの使用は、Oracle ASM 18cおよびOracle ASM 12c、リリース2 (12.2.0.1)でサポートされています。
関連項目:
-
Oracle ACFSレプリケーションと他のOracle ACFS機能の併用の詳細は、「監査、暗号化およびセキュリティとのレプリケーションの使用」
-
Oracle ACFSファイルシステムのサイズ変更の詳細は、「acfsutil size」
-
タグ付けの詳細は、「Oracle ACFSタグ付け」
-
Oracle ASMのユーザー権限の詳細は、「Oracle ASMの権限について」
-
Oracle ACFS
acfsutil
コマンドの実行の詳細は、「Oracle ACFSコマンドライン・ツールの使用について」 -
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
acfsutil
repl
コマンドライン機能を使用してレプリケーションを構成し、レプリケートされたOracle ACFSファイルシステムを管理する方法の詳細は、「Oracle ACFSファイルシステムのレプリケーション」と「レプリケーション用のOracle ACFSコマンドライン・ツール」 -
既存のOracle ACFSレプリケーション環境を、リリース12.2.0.1で導入されたスナップショットベースのレプリケーションに変換する方法の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」
-
ネットワークのチューニングについては、Oracle Technology Network上のMAAリンクのドキュメントを参照してください。
-
http://www.oracle.com/technetwork/database/features/availability/maa-096107.html
-
ネットワークの調整に関連する情報は、Data Guard REDO転送&ネットワーク構成に関するペーパーにあります
-
Oracle ACFSタグ付け
Oracle ACFSタグ付けは共通の名前付け属性をファイルのグループに割り当てます。
Oracle ACFSレプリケーションはこのタグを使用して、別のリモート・クラスタ・サイトへのレプリケーション用にユニークなタグ名のファイルを選択することができます。タグ付けオプションにより、Oracle ACFSファイルシステム全体をレプリケートする必要がなくなります。
Oracle ACFSは拡張属性を使用してタグ付けを実装します。編集ツールやバックアップ・ユーティリティの中には、デフォルトで元のファイルの拡張属性を保持しないものがあり、特定のスイッチを設定する必要があります。次のリストに、Oracle ACFSタグ名が元のファイルで保存されるようにするための、共通のユーティリティに対する必要な要件とスイッチ設定を示します。
-
cp
コマンドでは、タグ名を保存するためのフラグが必要です。Linuxに
coreutils
ライブラリ(バージョンcoreutils-5.97-23.el5_4.1.src.rpm
またはcoreutils-5.97-23.el5_4.2.x86_64.rpm
以降)をインストールして、--preserve=xattr
スイッチを使用して拡張属性の保存をサポートするcp
コマンドと、スイッチを使用せずに拡張属性の保存をサポートするmv
コマンドのバージョンをインストールします。cp
は、シンボリック・リンク・ファイルに割り当てられたタグ名を保存しません。ファイルおよびディレクトリ上にタグ名を保存するために必要な
cp
スイッチは、次のとおりです。-
Linux:
--preserve=xattr
-
Solaris:
-@
-
AIX:
-U
-
Windows: スイッチは不要です。
-
-
cpio
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
cpio
スイッチは、次のとおりです。-
Linux:
cpio
はタグ名を保存しません。 -
Solaris:
-@
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
AIX:
-U
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Windows: 使用できません。
-
-
emacs
では、backup-by-copying
オプションが非nil値に設定され、バックアップ・コピーではなく元のファイル名のタグ名が保存されます。このオプションは.emacs
ファイルに追加される必要があります。 -
pax
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
pax
スイッチは、次のとおりです。-
Linux:
pax
はタグ名を保存しません。 -
Solaris:
-@
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
AIX:
-U
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Windows: 使用できません。
-
-
rsync
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
rsync
スイッチは、次のとおりです。-
Linux:
-X
-l
は、ファイルおよびディレクトリのタグ名の保存のために必要ですが、これらのスイッチは、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Solaris:
rsync
はタグ名を保存しません。 -
AIX: 使用できません。
-
Windows: 使用できません。
-
-
tar
バックアップ・ユーティリティでは、ファイル上でタグ名を保存するために、コマンドラインでフラグを設定できます。ただし、tar
は、シンボリック・リンク・ファイルに割り当てられたタグ名を保持しません。Windowsでの
tar
バックアップ・ユーティリティでは、拡張属性を保存するためのスイッチが存在しないので、現在、タグ名の保持はサポートされません。ファイルおよびディレクトリ上にタグ名を保存するために必要な
tar
スイッチは、次のとおりです。-
Linux:
--xattrs
-
Solaris:
-@
-
AIX:
-U
-
Windows:
tar
はタグ名を保存しません。
-
-
vim
またはvi
エディタでは、ファイルのバックアップ・コピーを作成し、元のファイルを上書きするために、.vimrc
(Linux)または_vimrc
(Windows)ファイルに、set bkc=yes
オプションが必要です。これは元のファイルのタグ名を保存します。
LinuxでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。WindowsでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.3
以上に設定されていることが必要です。SolarisまたはAIXでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が12.1
以上に設定されていることが必要です。
関連項目:
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
acfsutil
tag
コマンドライン機能を使用してタグ付けを構成し、タグ付けされたOracle ACFSファイルシステムを管理する方法の詳細は、「Oracle ACFSファイルシステムのタグ付け」と「タグ付け用のOracle ACFSコマンドライン・ツール」 -
Oracle ACFSタグ付けのアプリケーション・プログラミング・インタフェース(API)の詳細は、「Oracle ACFSタグ付けの汎用アプリケーション・プログラミング・インタフェース」
監査、暗号化およびセキュリティとのレプリケーションの使用
監査、暗号化、およびレルムベースのセキュリティ機能は、レプリケーションが構成されているOracle ACFSファイルシステムで有効にできます。レプリケートされたスタンバイ・ファイルシステムは、プライマリ・ファイルシステムと同じ監査、セキュリティまたは暗号化ポリシーで保護されます。このレプリケートされた環境では、プライマリおよびスタンバイ・ファイルシステムの両方が12.1以上のインストールである必要があります。Oracle ACFSレプリケーションの詳細は、「Oracle ACFSレプリケーション」を参照してください。
確実にレプリケーションに成功するには、スタンバイ・ファイルシステムは、監査、暗号化またはセキュリティ・メタデータがない汎用ファイルシステムである必要があります。Oracle ACFSでは、セキュリティまたは暗号化を一度設定し、後でセキュリティまたは暗号化を削除したスタンバイ・ファイルシステムの使用はサポートされていません。Oracle ACFS監査、暗号化およびセキュリティ用に満たす必要がある追加の条件は、この項でリストされています。
Oracle ACFSの監査されたファイルシステムの場合、次のことに注意してください。
-
監査が有効化されたファイルシステムをレプリケートする前、またはレプリケートされたファイルシステムを監査する前に、スタンバイ・ファイルシステムで監査を初期化する必要があります。
-
プライマリ・ファイルシステムに存在する監査ポリシーはスタンバイ・ファイルシステムにレプリケートされ、プライマリ・ファイルシステムで実行されたポリシー・アクションはスタンバイ・ファイルシステムで設定されます。
-
スタンバイ・ファイルシステムに監査証跡の2つのセットが存在します。プライマリ・ファイルシステムの証跡は、通常のファイルとしてスタンバイ・ファイルシステムにレプリケートされます。ファイル・システム・アクティビティはスタンバイ・ファイルシステムでイベントを生成し、それがスタンバイ・ファイルシステムの監査証跡に記録されます。監査証跡名にはホスト名とFSIDの両方が含まれているため、監査証跡名は2つの証跡のセットを区別するのに役立ちます。
Oracle ACFSの暗号化されたファイルシステムの場合、次のことに注意してください。
-
プライマリ・ファイルシステムで暗号化されたファイルは、同じキーと暗号化パラメータ(アルゴリズムおよびキーの長さ)を持つスタンバイ・ファイルシステムで暗号化されたまです。
-
プライマリ・ファイルシステムで行われた暗号化操作(オン、オフおよびキー更新)は、スタンバイ・ファイルシステムでリプレイされます。
-
ファイルシステムのレプリケートの前または後に、暗号化を有効にできます。どちらの場合でも、一方が存在しない場合、スタンバイ・ファイルシステムで
acfsutil
encr
init
が実行されないため、暗号化ウォレットがスタンバイ・ファイルシステムに透過的に作成されます。 -
パスワードで保護されたウォレットは、スタンバイ・ファイルシステムでサポートされません。スタンバイ・ファイルシステムとして使用するサイトにPKCSウォレットがすでに存在する場合、管理者は、
acfsutil
keystore
migrate
コマンドを使用して、すべてのキーをSSOウォレットに転送する必要があります。
Oracle ACFSのセキュリティ保護されたファイルシステムの場合、次のことに注意してください。
-
セキュリティが有効化されたファイルシステムをレプリケートする前に、スタンバイ・ファイルシステムをセキュリティ用に初期化する必要があります。
-
ルール、ルールセットおよびレルムはスタンバイ・ファイルシステムにレプリケートされ、同じポリシーがスタンバイ・ファイルシステムに存在します。ポリシーおよびファイルの保護の観点から、スタンバイ・ファイルシステムはまったく同じです。
-
セキュリティが有効化されたファイルシステムでレプリケーションを有効化することも、レプリケートされたファイルシステムでセキュリティを有効化することもできます。セキュリティの準備の一部として、セキュリティはスタンバイ・ファイルシステムでも有効化されます。
-
ファイルシステムにセキュリティとレプリケーションを一緒に持っている場合、追加のユーザー操作や手順は必要ありません。
-
スタンバイ・ファイルシステムに、セキュリティ管理者やセキュリティ管理者グループの別のセットを設定できます。
Oracle ACFSプラグイン
Oracle ACFSプラグイン機能によって、ユーザー領域アプリケーションは、オペレーティング・システム環境からジャストインタイムのOracle ACFSファイルおよびOracle ADVMボリュームのメトリックを収集できます。
アプリケーションは、Oracle ACFSプラグイン・インフラストラクチャを使用して、Oracle ACFSファイルシステムおよびボリュームの詳細データを含めるように一般アプリケーション・ファイル・メトリック・インタフェースを拡張する、カスタマイズされたソリューションを作成できます。
Oracle ACFSプラグイン機能は、スタンドアロン・ホストにマウントされた個々のOracle ACFSファイルシステム上で、またはOracle ACFSファイルシステムがマウントされているOracleグリッド・クラスタの1つ以上のノード上で、有効化できます。この機能では、ノードローカル・プラグインが有効化されたOracle ACFSファイルシステムと、Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェース(API)を使用した関連するユーザー領域アプリケーション・モジュールとの間で、メッセージ通信を行うことができます。
プラグイン・メッセージAPIでは、メッセージ配信モデルおよび複数のメッセージ・ペイロード・タイプのポーリングとポスティングの両方がサポートされています。
関連項目:
-
Oracle ACFSのプラグイン・コマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」
-
Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェースの詳細は、「Oracle ACFSプラグインの汎用アプリケーション・プログラミング・インタフェース」
Oracle ACFSアクセラレータ・ボリューム
アクセラレータ・ボリュームを使用すると、Oracle ACFSメタデータへのアクセスおよび更新にかかる時間が短縮され、パフォーマンスが向上する可能性があります。アクセラレータ・ボリュームは、プライマリ・ボリュームのストレージよりも大幅に高速なストレージを使用してディスク・グループに作成する必要があります。たとえば、Solid State Disk (SSD)を使用できます。Oracle ADVMボリュームは、ASMCMD volcreate
コマンドを使用して作成されます。volcreate
コマンドの詳細は、「volcreate」を参照してください。
アクセラレータ・ボリュームの推奨サイズは、ワークロードによって決まります。特に、多数のエクステントがあるファイルに役に立ちます(特にそのエクステント・メタデータが頻繁に更新される場合)。acfsutil
info
file
コマンドを使用して、ファイルのエクステントに関するレポートを表示できます。通常、データベース・ファイルには多数のエクステントがあり、Oracle ACFSスナップショットが使用中の場合、エクステント・メタデータは頻繁に更新されます。アクセラレータによって大きな恩恵を受けるワークロードは、圧縮されたファイルシステムです。
Oracle ACFSで重要なメタデータに対してアクセラレータの領域を割り当てられない場合、そのメタデータはかわりにプライマリ・ボリュームに格納されます。メタデータの更新頻度によっては、パフォーマンスに対して過度の影響を及ぼす可能性があります。高速メタデータと同じトランザクションに低速メタデータが書き込まれると、低速メタデータによって操作全体のパフォーマンスが低下します。
アクセラレータの推奨開始サイズは、ファイルシステム・サイズの少なくとも0.6%です。データベース・ワークロードの複数のポイント・イン・タイムを表す多くのスナップショットが使用中である場合、スナップショット当たり0.4%加算することをお薦めします。たとえば、5個のスナップショットがあるファイルシステムでは、サイズがプライマリ・ボリューム・サイズの2.6%であるアクセラレータが必要です。acfsutil
size
を構成して、アクセラレータを必要に応じてプライマリ・ボリュームとともに自動的に拡張することができます。アクセラレータは、64 MB単位で増加します。アクセラレータ・ボリュームの最小サイズは256 Mです。mkfs
は、初期アクセラレータ・サイズがプライマリ・ボリューム・サイズの0.4%以上であることを必要とします。
アクセラレータ・ボリュームは、mkfs
コマンドで指定されたプライマリ・ボリュームにリンクされます。ファイルシステムをマウントする際、プライマリ・ボリュームのみを指定します。アクセラレータ・ボリュームを含むファイルシステムをマウントした後になんらかの理由でそのボリュームがアクセス不可になった場合、ファイルシステムはオフラインになります。Oracle ACFSファイルシステムに関連付けることができるストレージ・アクセラレータ・ボリュームは1つだけです。アクセラレータ・ボリュームがファイルシステムに関連付けられた後、そのボリュームとファイルシステムの関連付けを解除できません。
アクセラレータ・ボリュームは、mkfs
コマンドの-a
オプションを使用してLinux環境に作成できます。-a
オプションを使用するには、COMPATIBLE.ADVM
の値が12.2
以上である必要があります。mkfs
コマンドの詳細は、「mkfs」を参照してください。
Oracle ACFS NAS Maximum Availability eXtensions
Oracle ACFS NAS Maximum Availability eXtensions (Oracle ACFS NAS MAX)は、NFSやSMBなどの一般的なNASプロトコルに高可用性拡張機能を提供する一連の拡張機能です。
これらの拡張機能を使用する際、問題のプロトコルは高可用性モードで実行されており、プロトコルはOracle RACクラスタ内のノード間を移動できます。この機能は、特定プロトコルのシングル・ポイント障害に対処する手段であるため、クラスタのノードが1つ以上使用できる場合、プロトコルは使用可能です。高可用性だけでなく、拡張機能により、一般的なNASプロトコルおよびOracle ACFSスタックとの統合が実現するため、管理者はインフラストラクチャを追加作成しなくても、このようなプロトコルを簡単に利用できます。Oracle ACFS NAS Maximum Availability eXtensions機能により、値が既存のOS NASプロトコル実装に追加されますが、置き換わることはありません。
Oracle ACFS高可用性ネットワーク・ファイルシステム
Oracle Grid Infrastructure用の高可用性ネットワーク・ファイルシステム(HANFS)では、高可用性仮想IP (HAVIP)でNFSエクスポートを公開し、Oracle Clusterwareエージェントを使用してVIPおよびNFSエクスポートが常にオンラインであることを確認することによって、NFS v2、v3またはv4でエクスポートされたパスの連続したサービスが提供されます。ベースのNFSはファイル・ロックをサポートしていますが、HANFSはNFSファイル・ロックをサポートしていません。
注意:
-
この機能は、ホスト・コンピュータで使用可能な、稼働中のNFSサーバー構成に依存します。Oracle ACFSのNFSエクスポート機能を使用する前に、NFSサーバーを構成する必要があります。
-
この機能は、Windowsでは使用できません。
-
この機能は、Oracle Restart構成ではサポートされていません。
-
HAVIPは少なくとも1つのファイルシステムのエクポートのリソースが作成されるまで起動しません。
Oracle Grid Infrastructure用の高可用性NFSを設定するには、次の手順を実行します。
-
新しいHAVIPリソースを追加および登録します。
次に例を示します。
# srvctl add havip -id hrexports -address my_havip_name
たとえば、
my_havip_name
はVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイルシステムのマウント時に、クライアント・システムにより使用されます。srvctl
add
havip
の最初の処理では、次のことを確認します。-
使用するアドレスが動的ではなく、静的であること。
-
DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。
-
ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。
-
名前が使用中ではないこと。
SRVCTLは、
id
を使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.network
のnetwork
リソース(指定されている場合)が存在することを確認します。この手順の後で、SRVCTLは、ora.
id
.havip
の名前で、タイプora.havip.type
のhavip
を追加します。この例では、名前はora.
hrexports
.havip
です。次のSRVCTLでは、
active
dispersion
などのHAVIP起動依存性を変更し、停止依存性を設定し、description
属性(指定されている場合)が適切に設定されていることを確認します。 -
-
Oracle ACFSの共有ファイルシステムを作成します。
Oracle Grid Infrastructure用の高可用性NFSは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイルシステムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイルシステムは、サポートされていません。高可用性NFSは、Oracle ACFS以外のファイルシステムではサポートされていません。
-
Oracle ACFSファイルシステムを登録します。
次に例を示します。
$ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \ -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
-
Oracle ACFSファイルシステムのエクスポート・リソースを作成します。
次に例を示します。
# srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1
ファイルシステムのエクスポート・リソースを作成してから、手順1で作成したHAVIPを起動し、
srvctl
start
havip
コマンドを使用してファイルシステムをエクスポートします。基礎となるOracle ACFSファイルシステムのFSIDおよび一意の識別子を利用して、NFSマウント・オプションFSIDがエクスポート・オプションに追加されます。このFSIDオプションによって、ノード間の信頼できるフェイルオーバーが提供され、スナップショットのマウントの使用が可能になります。
構成されたエクスポートのデフォルトのマウント・オプションおよびエクスポート・オプションは、NFSサーバーのデフォルトになります。
完全修飾された相対パスは、絶対パスに変換されます。完全修飾されていない相対パスは、エクスポート・パスとして受け入れられません。
VIPは、使用可能なファイルシステムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この分散は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。
注意:
エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。
HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。
HAVIPの実行中に停止されたエクスポートを使用しているクライアントでは、NFSエラー
estale
が発生し、ファイルシステムをディスマウントおよび再マウントする必要があります。HANFSによってエクスポートされたファイルシステムをクライアントにマウントする際、次の
CLIENT
マウント・オプションをお薦めします。hard,intr,retrans=10000
NFSロックが設定されたOracle ACFS HANFS
Oracle ACFS HANFSでは、NFSロックが設定されたHANFS NFS v4がサポートされるようになりました。この機能は、特定のオペレーティング・システム(OS)のプラットフォームでのみ使用できます。この機能をアクティブにするには、Oracle Grid Infrastructureソフトウェアのインストール後に追加の手順を実行する必要があります。このような手順を完了して初めて、クラスタのOS NFSサーバー機能がOracle Clusterwareスタックによって管理されます。さらに、特定のOS NFS構成ファイルの場所がデフォルトの場所から、指定したOracle ACFSファイルシステムに移動されます。
一般的なタスクには、次のようなものがあります。
-
アクティブ化:
acfshanfs addnode
-
アンインストール:
acfshanfs uninstall
-
インストール・ステータスの確認:
acfshanfs installed
-
このプラットフォームがサポートされているかどうかの確認:
acfshanfs supported
HANFS v4ロック機能をアクティブにする際、次のコマンドを各ノードで実行する必要があります。
# grid_home/bin/acfshanfs addnode -nfsv4lock -volume volume_device
ボリュームは、Oracle ACFSファイルシステムでフォーマットされ、指定のOracle ACFSクラスタウェアのマウント・ポイントにマウントされます。たとえば、Linuxでは次のようになります。
/dev/asm/nfs-81 on /var/lib/nfs type acfs (rw)
Oracle ADVMボリュームに対する制限には、次のようなものがあります。
-
この新しいOracle ADVMボリュームについて、既存のOracle ACFSリソースがないこと。
-
このOracle ADVMボリュームにOracle ACFSファイルシステムが存在しないこと。
-
このOracle ADVMボリュームがクラスタ内のどこでも使用されていないこと。
Oracle HANFS v4ロック機能がアクティブの場合、通常のHANFSの操作とは異なります。次のような違いがあります。
-
OS NFSサーバーは、
ora.netstorageservice
リソースによるOracle Clusterwareの制御下にあります。Oracle Clusterwareスタックを起動および停止すると、OS NFSサーバーも起動および停止します。 -
このリソースには、Oracle ACFSファイルシステムへの依存性があります:
ora.data_hostname.nfs.acfs
hostnameは、Oracle HANFSロックの設定が実行されている最初のノードのホスト名です。
-
Oracle HANFSのみを使用して、Oracle RACクラスタからNFSファイルシステムをエクスポートする必要があります。NFSサーバーは構成され、Oracle RACクラスタ中を移動させられます。NFSサーバーが代替クラスタ・ノードに移動した場合、Oracle HANFSによってエクスポートされたファイルシステムのみがアクセス可能です。
-
ロックが初期化されると、Oracle HANFSエクスポートがクラスタ全体に分散される非ロック・モードとは異なり、Oracle HANFSエクスポートは1つのノードからしか実行されません。
-
クライアント・ノードでは、NFS v4をNFSバージョンとして指定してファイルシステムをマウントします。これにより、サーバーがNFS v3にデフォルト設定されず、NFS v4ロック機能のサポートが可能になります。
高可用性ロックをアクティブにすると、ロックが設定されたHANFSの制御は、この項で前述したのと同様です。
高可用性SMBが設定されたOracle ACFS HANFS
Oracle ACFSでは、以前のMicrosoft実装ではCIFS (共通インターネット・ファイルシステム)とも呼ばれた高可用性Samba (SMB)がサポートされます。このプロトコルは、Microsoftサーバーおよびアクティブ・ディレクトリ・ドメインとインタフェースをとるために一般的に使用され、様々なオペレーティング・システム(OS)の実装でサポートされています。しかし、Oracle ACFS高可用性SMBでは、Microsoft SMB実装またはSambaが必要です。
次の点に注意してください。
-
Sambaは、www.samba.orgから入手できます。
-
高可用性SMBを利用しようとする前に、ホストOSでSambaまたはSMBが適切に構成されていることを確認します。
-
高可用性SMBは、Oracle Restartモードではサポートされません。
-
HAVIPリソースを追加したら、SMBエクスポート・リソースも追加する必要があります。そうしないと、HAVIPリソースは起動しません。
-
最高のパフォーマンスと最良の結果を得るためには、サーバーとクライアントの両方で必ずSMB3を使用します。次の点に注意してください。
-
最新バージョンのSamba (v4以上)を使用します。
-
最新のMicrosoft OSバージョン(2012以上)を使用します。SMBバージョンを確認するには、Powershell
cmdlet Get-SmbConnection
コマンドを使用します。 -
旧バージョンのSMBでは、ストレージ障害後にクライアントはSMBエクスポートを再マウントする必要があります。
-
-
HANFSと同様、コマンドラインにオプションを指定することもでき、オプションはホスト・オペレーティング・システムに渡されます。適切なエラー・メッセージが返されます。SRVCTLコマンドにオプションを指定しない場合、次のデフォルトのオプションが適用されます。
-
Windows: 全員にREADアクセス権
-
Linux、SolarisおよびAIX: 読取り専用、ブラウズ可能 = True
-
-
サポートされているオプション・セットは次のとおりです。
-
Windows:
net.exe
コマンドでサポートされているオプション。 -
Linux、SolarisまたはAIX: Samba構成スタンザでサポートされているオプション。
-
Oracle Grid Infrastructure用の高可用性SMBを設定するには、次の手順を実行します。
-
新しいHAVIPリソースを追加および登録します。
次に例を示します。
# srvctl add havip -id hrexports -address my_havip_name
たとえば、
my_havip_name
はVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイルシステムのマウント時に、クライアント・システムにより使用されます。srvctl
add
havip
の最初の処理では、次のことを確認します。-
使用するアドレスが動的ではなく、静的であること。
-
DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。
-
ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。
-
名前が使用中ではないこと。
SRVCTLは、
id
を使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.network
のnetwork
リソース(指定されている場合)が存在することを確認します。この手順の後で、SRVCTLは、ora.
id
.havip
の名前で、タイプora.havip.type
のhavip
を追加します。この例では、名前はora.
hrexports
.havip
です。次のSRVCTLでは、
active
dispersion
などのHAVIP起動依存性を変更し、停止依存性を設定し、description
属性(指定されている場合)が適切に設定されていることを確認します。 -
-
Oracle ACFSの共有ファイルシステムを作成します。
Oracle Grid Infrastructure用の高可用性SMBは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイルシステムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイルシステムはサポートされていません。高可用性NFSは、Oracle ACFS以外のファイルシステムではサポートされていません。
-
Oracle ACFSファイルシステムを登録します。
次に例を示します。
$ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \ -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
-
Oracle ACFSファイルシステムのエクスポート・リソースを作成します。
次に例を示します。
# srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1 –type SMB
ファイルシステムのエクスポート・リソースを作成してから、手順1で作成したHAVIPを起動し、
srvctl
start
havip
コマンドを使用してファイルシステムをエクスポートします。リソースの起動時に、Oracle ACFSエクスポート・リソースではSamba構成ファイルを作成するか(Linux、Solaris、AIX)、
net.exe
バイナリを実行してファイルシステムをエクスポートします。VIPは、使用可能なファイルシステムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この動作は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。
注意:
-
エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。
-
HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。
-
関連項目:
-
Oracle ACFSファイルシステムの作成の詳細は、「Oracle ACFSファイルシステムの作成」
-
srvctl
add
filesystem
コマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』 -
Oracle Clusterwareリソースの詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』
-
これらのSRVCTLコマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』
クラスタ・ドメイン内のOracle ACFSリモート・サービス
Oracle ACFSは、接続されたローカル・ストレージがないOracle Databaseメンバー・クラスタ(間接ストレージ・メンバー・クラスタ)上で、ネイティブOracle ACFS機能のOracle ACFSリモート・サービスを提供します。Oracleドメイン・サービス・クラスタ(DSC)でOracle ACFSのデプロイメントを使用することにより、Oracle ACFSリモート・サービスをOracleアプリケーション・クラスタとOracle Databaseメンバー・クラスタの両方に使用して、柔軟でファイル・システムをベースとしたアプリケーションおよびデータベースのデプロイメントを可能にできます。
Oracle ACFSリモート・サービスでサポートされるシステム
Oracle ACFSリモート・サービスを使用するOracle Databaseメンバー・クラスタの要件は次のとおりです。
-
Oracle ACFSリモート・サービスには、トランスポート構成のためにOpen-iSCSI iSCSIイニシエータが必要です。Open-iSCSIの最新リリースをお薦めします。
-
Oracle ACFSリモート・サービスではLinuxのみがサポートされます。サポートされているバージョンは、RedHat Enterprise Linux6および7と、Oracle Linux6および7です。
Oracle ACFSリモート・サービスでのDSCの要件は次のとおりです。
-
Oracle ACFSリモート・サービスでは、Oracle Linux7およびRedHat Linux7のみがサポートされます。
-
Oracle ACFSリモート・サービスには、カーネルのUEK3、UEK4、またはそれ以降のバージョンが必要です。
-
Oracle ACFSリモート・サービスには、少なくとも次のパッケージの最小バージョンが必要です。
-
python-2.7.5-34.0.1.el7.x86_64
-
python-rtslib-2.1.fb57-3.el7.noarch
-
python-configshell-1.1.fb18-1.el7.noarch
-
targetcli-2.1.fb41-3.el7.noarch
-
python-six-1.9.0-2.el7.noarch
-
acfsremote
supported
コマンドを実行して、現在のシステムがOracle ACFSリモート・サービスでサポートされているかどうかを判断できます。
Oracle ACFSリモート・サービスの設定およびベスト・プラクティス
Oracle ACFSリモート・サービスの設定には次の項目が含まれます。
-
トランスポートの作成
Oracle Databaseメンバー・クラスタがエクスポートにアクセスできる方法を提供するために、DSCにトランスポートを作成します。Oracle ACFSリモート・サービスは、iSCSIトランスポートをサポートしており、エクスポートを作成して特定のメンバー・クラスタ・ノード・イニシエータ(IQN)にiSCSIターゲットを割り当て、その指定したメンバー・クラスタ・ノードのみへのアクセスを提供します。
すべてのOracle Databaseメンバー・クラスタが、独自の分離されたトランスポートを持つようにします。これは、VLANまたは複数のネットワークの使用により実現できます。この設定により、iSCSIネットワークと同様に、トランスポート・ネットワーク上のネットワーク・アクティビティが分離されます。完全な冗長性のためには、メンバー・クラスタごとに複数のトランスポートを構成して、トランスポート・リンク障害を軽減できるようにする必要があります。さらに、各Oracle Databaseメンバー・クラスタの複数のトランスポートによりマルチパス化が可能になります。Oracle Databaseメンバー・クラスタは、単一のトランスポートを共有するよう構成できます。
advmutil
transport
コマンドは、分離を強制しないことに注意してください。 -
リポジトリの作成
Oracle ACFSリモート・サービスで使用されるストレージ用のリポジトリをDSCに作成します。このリポジトリは、単一のOracle ACFSファイル・システムとして開始されます。最適な設定のためには、Oracle ACFSリモート・サービスで使用する、別個のOracle ASMフレックス冗長性ディスク・グループを作成します。このグループは、Oracle Databaseメンバー・クラスタごとに1つの高冗長性Oracle ADVMボリュームと1つの標準冗長性ボリュームを含んでいる必要があります。この構成は、分離、管理、および領域効率の間のトレードオフを表します。この設定では、リポジトリはボリューム・レベルで他のメンバー・クラスタから分離されており、管理するディスク・グループは1つのみです。メンバー・クラスタごとに1つのディスク・グループを使用することで、さらなる分離を実現できます。領域効率性を達成するには、標準ボリュームと高冗長性ボリュームの両方を使用して、重要なファイルを高冗長性ボリュームに格納できるようにします。
ボリュームを作成した後、Oracle ACFSファイル・システムを使用してそれらをフォーマットします。次に、
srvctl
add
filesystem
を実行して、スタックの起動時にファイル・システムを自動マウントするよう登録します。自動マウントにより、スタックが開始されるとすぐにリポジトリが使用可能になるため、Oracle Databaseメンバー・クラスタはそれらのストレージを使用できます。リポジトリで自動サイズ変更を構成できます。これにより、Oracle ACFSファイル・システムで領域が不足した場合、ファイル・システムのサイズ変更が行われます。自動サイズ変更が有効な場合、1つのメンバー・クラスタが、使用可能なディスク・グループ・スペースすべてを使用しないようにしてください。ASMCA GUIツールを使用して、Oracle ADVMボリュームを管理するための手順を実行できます。
-
エクスポートの作成
Domain Services Cluster (DSC)で
advmutil
export
コマンドを実行して、DSCのリポジトリにエクスポートを作成します。メンバー・クラスタが実行されている場合、メンバー・クラスタは新しいエクスポートを選択します。メンバー・クラスタ上でOracle Clusterwareスタックが実行されていないか、メンバー・クラスタが起動されていない場合、メンバー・クラスタは、Oracle Clusterwareスタックが次回開始されたときに新規エクスポートを検出して使用します。これは通常、メンバー・クラスタの起動時に発生します。ターゲットがエクスポートされた方法によっては、エクスポートがメンバー・クラスタにボリュームとして表示されるまでに数分かかる場合があります。エクスポートは、ドメイン・サービス・クラスタ上でエクスポートが格納されている、基礎となるOracle ACFSリモート・サービス・リポジトリと同じ冗長性保護レベル(高、標準、外部)をメンバー・クラスタ上に反映します。
Oracle ACFSリモート・サービスのパフォーマンス・チューニング
Oracle ACFSリモート・サービスのパフォーマンス・チューニングには次のことが含まれます。
-
Oracle ACFSリモート・サービスではiSCSIが標準トランスポートとして使用されるため、iSCSIに必要な、サイト固有の適用可能な任意のチューニングを環境で使用できます。通常、これには標準のプライベート・トランスポート・ネットワークが含まれ、そのネットワーク上のホストの数を制限します。Oracle ACFSリモート・サービスは、構成しているOracle ACFSリモート・サービスのコンポーネントをエクスポートするときに、各エクスポートに対してより長いタイムアウトとより大きなキュー深度を有効にします。
-
Oracle ACFSリモート・サービスのストレージを統合する際には、システムのチューニングに関する検討事項を考慮に入れる必要があります。
-
事実上、複数のクライアント・メンバー・クラスタのIOをDSCに集約しており、DSCはこれらのメンバー・クラスタのストレージ・アレイとして機能します。DSCのストレージ設定で、接続されているすべてのメンバー・クラスタの集約ロードを処理できることを確実にします。
-
DSCには、接続されているすべてのクライアントにサービスを提供するために適切なネットワーク・バンド幅が必要です。iSCSIのチューニングとともに、メンバー・クラスタのすべての要求を処理するための追加のネットワーク・バンド幅を提供するためにネットワーク・タップが必要な場合があります。
-
iSCSIのIOサービスではCPUが使用されるため、CPUの空き容量が十分あることを最優先で確認するようにしてください。通常、Oracle ACFSリモート・サービスにサービスを提供するDSCは、他のアクティビティに対して最小の処理ロードを実行する必要があり、他のクラスタのニーズに対応するユーティリティ・クラスタとみなす必要があります。
-
Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点
Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点は次のとおりです。
ドメイン・サービス・クラスタで、Oracle ACFSリモート・サービスは1つの新しいリソース・タイプを有効にします。このタイプは、HAVIPのバリアントであるtransport_vipタイプです。このリソースにより、iSCSIトランスポートVIPをDSCに移動できます。複数のOracle Databaseメンバー・クラスタ・トランスポートが1つのVIPを共有できますが、この方法はお薦めできません。複数のトランスポートのVIPを使用している場合、それらは、単一ノード上のネットワークのオーバーロードを減らすために、クラスタ全体に広がろうとします。トランスポートVIPが作成されると、そのトランスポートVIPは、ネットワーク、およびストレージ・リポジトリをホストしているOracle ACFSリソースに対する依存関係を持ちます。その後のストレージ・リポジトリの作成では、この新しいリポジトリを含めるように、この依存関係が変更されます。この変更により、クラスタ・サービスの再配置およびリカバリ時の可用性のために、リポジトリとトランスポートVIPの連携が確保されます。トランスポートVIPは、advmutil
transport
を使用して自動的に作成および削除されますが、srvctl
* havip
コマンドを使用して表示および管理できます。
間接ストレージ・メンバー・クラスタで、Oracle ACFSリモート・サービスは4つの新規リソース、ora.acfsrm
、ora.ccmb
、ora.acfsremote
、およびora.acfsrd
を提供します。これらのリソースは連携して、メンバー・クラスタでOracle ACFSリモート・サービスを管理します。これらのリソースのステータスは、srvctl
* acfsrapps
コマンドを使用して表示できます。メンバー・クラスタ上にはボリューム・リソースはありません。ボリュームの高可用性はOracle ACFSリモート・サービスの機能セットによって管理されるため、Oracle ACFSリソースはADVMボリューム・リソースへの依存性を持ちません。かわりに、Oracle ACFSリソースは新しいリソースへの依存性を持っています。Oracle ACFSリソースは、srvctl
* filesystem
コマンドを使用して作成されます。
Oracle ACFSリモート・サービスをサポートするコマンド
「クラスタ・ドメイン内のOracle ACFS用のOracle ACFSコマンドライン・ツール」で説明されているOracle ACFSコマンドに加え、次のコマンドもOracle ACFSリモート・サービスの機能をサポートしています。
-
acfsutil
compat
Oracle ACFSは、主にディスク・グループの互換性設定を使用して、有効にする機能を決定します。間接ストレージ・メンバー・クラスタには、この互換性設定を制御するための関連付けられたディスク・グループがありません。各ファイル・システムは、
acfsutil
compat
コマンドを使用してそれらの機能を制御します。acfsutil
compat
の詳細は、「acfsutil compat get」および「acfsutil compat set」を参照してください。 -
acfsutil
info
file
Oracle ACFSリモート・サービスで使用するよう構成されているファイルに対して
acfsutil
info
file
を実行しているときに、追加のファイル属性Remote
がこのファイルに表示されます。この属性は、そのファイルをOracle ACFSリモート・サービスで使用されているファイルとして識別し、ファイルが構成解除されるまでは、標準のファイル・システム・コマンドを使用した切捨て、属性の変更、および削除などの一部のアクションは許可されません。このアクションにより、このファイルを使用したメンバー・クラスタへのサービスの中断が防止されます。acfsutil
info
file
の詳細は、「acfsutil info file」を参照してください。 -
acfsutil
info
storage
Oracle Databaseメンバー・クラスタで実行されている場合、
acfsutil
info
storage
は、ドメイン・サービス・クラスタ(DSC)のディスク・グループおよびファイル・システムに関する情報を表示しません。メンバー・クラスタ自体に関する情報のみが表示されます。DSCは複数のメンバー・クラスタにサービスを提供しているため、このアクションにより、過剰な情報共有が防止されます。acfsutil
info
storage
の詳細は、「acfsutil info storage」を参照してください。 -
crsctl
create
member_cluster_configurationcrsctl
create
member_cluster_configurationコマンドでacfs
オプションを使用できます。acfs
オプションは、Oracle ACFSリモート・サービスでメンバー・クラスタを作成するために必要です。
例11-2既存のメンバー・クラスタへのOracle ACFSリモート・サービスの追加
次の例で、Oracle ACFSリモート・サービスが既存のOracle Databaseメンバー・クラスタに追加されます。コマンドは、Oracle Databaseメンバー・クラスタ(MC)またはドメイン・サービス・クラスタ(DSC)のGrid Infrastructureホームから実行されます。
-
DSCで、Oracle ACFSをメンバー・クラスタ資格証明ファイルに追加します。
#/bin/crsctl create member_cluster_configuration mc3 -file /tmp/mc3.xml -member_type database -domain_services asm_storage indirect acfs ORA-15365: member cluster 'mc3' already configured MGTCA-1149 : member cluster 'mc3' already exists. TFA-00516 This client is already registered in receiver -------------------------------------------------------------------------------- ASM GIMR TFA ACFS RHP GNS ======================================================== YES YES YES YES NO NO
-
DSCで、メンバー・クラスタ資格証明ファイルをメンバー・クラスタにコピーします。
-
MCで、Oracle ACFSリモート・サービスのアクセスのためのOCRを設定します。
#/sbin/acfsutil cluster credential -s grid_user:asm_group #/sbin/acfsutil cluster credential –s grid2:oinstall #/sbin/acfsutil cluster credential -i my_credential_file
my_credential_file
は、手順1で更新され、手順2でDSCからメンバー・クラスタにコピーされた資格証明ファイルです。 -
MCで、
root
として次のコマンドを実行して操作を完了します。#/bin/srvctl add acfsrapps #/bin/srvctl start acfsrapps #/bin/srvctl status acfsrapps Oracle ACFS client cluster node membership and barrier resource is enabled. Oracle ACFS client cluster node membership and barrier resource is running on nodes nshga2603. Oracle ACFS acfsremote resource is enabled. Oracle ACFS acfsremote resource is running on nodes nshga2603. Oracle ACFS rolling migration resource is enabled. Oracle ACFS rolling migration resource is running on nodes nshga2603.