Oracle ACFSシステムを管理するための基本ステップ
このトピックでは、コマンドライン・ユーティリティを使用してOracle ACFSファイル・システムを管理するときの基本ステップの概要について説明します。
この項の例では、Linux環境システムで実行されるオペレーティング・システム・コマンドを示します。ASMCMDコマンドはOracle ADVMボリュームを管理しますが、SQL*PLusおよびOracle ASMコンフィギュレーション・アシスタント(ASMCA)もボリュームの管理に使用できます。
この項の内容は次のとおりです。
Oracle ACFSコマンドライン・ツールの使用について
この項では、Oracle ACFS acfsutil
コマンドの使用について概要を説明します。
内容は次のとおりです。
-
Oracle ACFS acfsutilコマンドを実行する権限
-
Oracle ACFS acfsutilコマンドのヘルプの表示
-
WindowsでのOracle ACFS acfsutilコマンドの実行
-
Oracle ACFSバージョン情報の表示
-
acfsutilコマンド用のトレース・ファイル領域の管理
Oracle ACFS acfsutilコマンドを実行する権限
様々なOracle ACFS acfsutil
コマンドを実行するには、コマンドを実行できるようになっているシステム管理者またはOracle ASM管理者ユーザーである必要があります。次に、これらの権限を示します。
Windows以外のシステム:
-
システム管理者権限の場合、
root
ユーザーである必要があります。 -
Oracle ASM管理者ユーザー権限の場合、
OSASM
グループおよびoinstall
グループ(OINSTALL
権限)に属する必要があります。
Windowsシステム:
-
システム管理者権限の場合、
Administrators
グループに属する必要があります。 -
Oracle ASM管理者ユーザー権限の場合、
ORA_ASMADMIN
グループおよびORA_CRS_USERS
グループに属する必要があります。
Oracle ACFS acfsutilコマンドのヘルプの表示
h
オプションでOracle ACFS acfsutil
コマンドのヘルプおよび使用方法のテキストを表示できます。コマンドまたはコマンドとともにサブコマンドを含めると、ヘルプおよび使用方法の表示は、入力したコマンドおよびサブコマンドに固有のものです。
次の例に、最も一般的なものからより特殊なものまで、ヘルプおよび使用方法のテキストを表示する様々な方法を示します。この例では、Windows以外のプラットフォームでヘルプを表示する—h
の形式を示します。Windowsでは、—h
ではなく、/h
を使用します。
例16-1 Oracle ACFS acfsutilコマンドのヘルプの表示
$ /sbin/acfsutil -h $ /sbin/acfsutil -h compress $ /sbin/acfsutil compress -h $ /sbin/acfsutil -h repl info $ /sbin/acfsutil repl info -h $ /sbin/acfsutil -h sec admin info $ /sbin/acfsutil sec admin info -h
WindowsでのOracle ACFS acfsutilコマンドの実行
WindowsプラットフォームでOracle ACFS acfsutil
コマンドとともにオプションを指定する際には、-
ではなく/
をオプションとともに使用します。たとえば、acfsutil
-h
を使用してLinuxプラットフォームでacfsutil
コマンドのヘルプを表示できます。Windowsプラットフォームでは、acfsutil
/h
を使用します。
Windowsオペレーティング・システムでのマウント・ポイントには、ドライブ文字のみ(M:
)またはドライブ文字を含むディレクトリ(M:\my_mount_point
)のどちらでも指定できます。
Windowsでacfsutil
コマンドのターゲットがドライブ文字にマウントされるファイル・システムのルートである場合は、指定したドライブで最後にアクセスしたパスへのWindowsパス置換がトリガーされる可能性を回避するために、バックスラッシュとピリオド(\.
)をドライブ文字とともに含めます(P:\.
)。次に例を示します。
C:\oracle> acfsutil info fs P:\.
Oracle ACFSバージョン情報の表示
acfsutil
version
を実行して、Oracle ACFSのバージョンを表示できます。次に例を示します。
$ /sbin/acfsutil version acfsutil version: 12.2.0.0.3
Oracle ACFSバージョン詳細の表示の詳細は、「acfsutil version」を参照してください。
acfsutilコマンド用のトレース・ファイルの管理
自動診断リポジトリ(ADR)により、コマンドの動作をトレースするためにacfsutil
コマンドを起動するたびに別個の内部ファイルが生成されます。このようなトレース・ファイルによって消費される領域は著しく増加する可能性があり、スナップショットベースのレプリケーションなどの一部の機能では、相当数のトレース・ファイルが生成されることもあります。
トレース・ファイルの数と、それらによって消費される領域を制限するには、自動診断リポジトリ・コマンド・インタプリタ(ADRCI)ユーティリティを使用してポリシー属性を設定し、指定した保存期間を過ぎたらトレース・ファイルをパージすることができます。ADRCIでは、トレース・ファイルを存続期間が短いファイルと見なし、保存期間はSHORTP_POLICY
属性の設定によって制御されます。ADRCI show
control
コマンドで、このようなトレース・ファイルの現在の保存期間を表示できます。
デフォルトでは、存続期間が短いファイルは720
時間(30日)保存されます。値(時間単位)は、指定のファイルが作成後からパージ対象となるまでの時間数を指定します。このようなファイルの数と、それらによって消費される領域を制限するには、240
時間(10日)など、SHORTP_POLICY
保存期間に設定された時間数を更新できます。
次のステップに、存続期間が短いトレース・ファイルの保存期間を更新する方法をまとめます。これらのステップは、レプリケーションなどの機能がアクティブになる各ノードで実行する必要があります。
-
自動診断リポジトリ・コマンド・インタプリタ(ADRCI)ユーティリティを起動します。
$ adrci
-
ADRホーム・ディレクトリ・パス(ADRのホーム)を表示します。
ADRCI> show homes
-
複数のホームが表示された場合は、管理するトレース・ファイルの該当するホームを設定します。
ADRCI> set homepath my_specified_homepath
-
現在の構成値を表示します。
ADRCI> show control
-
特定のADRCI構成値を更新します。たとえば、
SHORTP_POLICY
を240
時間(10日)に設定します。表示された
show control
の出力で、存続期間が短いファイルの保存期間(時間単位)であるSHORTP_POLICY
属性の値を確認します。必要な場合は、次のようにして、存続期間が短いトレース・ファイルの新しい保存期間を設定します。ADRCI> set control (SHORTP_POLICY=240)
現在のADRホーム・パスでトレース・ファイルの即時パージを開始する場合は、次のコマンドを使用できます。
ADRCI> purge -type TRACE -age number_of_minutes
値number_of_minutesにより、ファイルの有効期間に基づいてパージするファイルを制御します。指定した分数を経過したファイルがパージ操作の対象となります。ADR内のファイルの自動パージは、保存期間の変更による影響を受けない固定スケジュールで行われることに注意してください。つまり、保存期間を変更すると、作成後にファイルがパージできるようになるまでの時間は変更されますが、いつパージが発生するかは変更されません。パージを強制するには、手動で要求する必要があります。
関連項目:
-
Oracle ASMのユーザー権限の詳細は、「Oracle ASMの権限について」
-
自動診断リポジトリ・コマンド・インタプリタ(ADRCI)ユーティリティの詳細は、『Oracle Databaseユーティリティ』
Oracle ACFSファイル・システムの作成
ファイル・システムの名前を指定します。
ファイル・システムを作成し、検証するには、次のステップを実行します。
-
ASMCMD
volcreate
コマンドを使用してOracle ADVMボリュームをマウントされているディスク・グループに作成します。Oracle ADVMボリュームを含むディスク・グループの互換性パラメータ
COMPATIBLE.ASM
およびCOMPATIBLE.ADVM
は、11.2
以上に設定する必要があります。Oracle ACFSの暗号化、レプリケーション、セキュリティおよびタグ付けを使用するには、ファイル・システムに作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性が11.2.0.2
以上に設定されていることが必要です。ASMCMDを起動してOracle ASMインスタンスに接続します。実行するには、OSASMオペレーティング・システム・グループのユーザーである必要があります。
ディスク・グループ内でOracle ADVMボリューム・デバイスを構成する場合、Oracle Grid Infrastructureユーザー・ロールおよびOracle ASM管理者ロールをroot権限を持つユーザーに割り当てることをお薦めします。
ボリュームを作成するには:
ASMCMD [+] > volcreate -G data -s 10G volume1
Oracle ADVMボリュームの作成時に、一意のOracle ADVM永続ディスク・グループ番号を含むボリューム・デバイス名が作成されます。ボリューム・デバイス・ファイルは、他のディスクまたは論理ボリュームと同じ方法で、ファイル・システムをマウントするために、またはアプリケーションで直接使用するために機能します。
ボリューム名の形式は、プラットフォーム固有です。
-
作成したボリュームのデバイス名を確認します。
ボリューム・デバイス名は、ASMCMD
volinfo
コマンドで、またはV$ASM_VOLUME
ビューのVOLUME_DEVICE
列から確認できます。次に例を示します。
ASMCMD [+] > volinfo -G data volume1 Diskgroup Name: DATA Volume Name: VOLUME1 Volume Device: /dev/asm/volume1-123 State: ENABLED ... SQL> SELECT volume_name, volume_device FROM V$ASM_VOLUME WHERE volume_name ='VOLUME1'; VOLUME_NAME VOLUME_DEVICE ----------------- -------------------------------------- VOLUME1 /dev/asm/volume1-123
-
Oracle ACFS
mkfs
コマンドを使用してファイル・システムを作成します。ファイル・システムは、既存のボリューム・デバイスを使用して作成します。
次に例を示します。
$ /sbin/mkfs -t acfs /dev/asm/volume1-123 mkfs.acfs: version = 19.0.0.0.0 mkfs.acfs: on-disk version = 46.0 mkfs.acfs: volume = /dev/asm/volume1-123 mkfs.acfs: volume size = 10737418240 ( 10.00 GB ) mkfs.acfs: Format complete.
mkfs
の実行に、root
権限は必要ありません。ボリューム・デバイス・ファイルの所有者が、このコマンドを実行できます。 -
ファイル・システムを登録します。
Oracle Grid Infrastructureクラスタウェア構成では、
srvctl
add
filesystem
コマンドを実行することで、ファイル・システムを登録して自動マウントできます。次に例を示します。# srvctl add filesystem -device /dev/asm/volume1-123 -path /acfsmounts/acfs1 -user user1,user2,user3 -mtowner sysowner -mtgroup sysgrp -mtperm 755
また、ファイル・システムは
acfsutil
registry
コマンドを使用して登録することもできます。次に例を示します。$ /sbin/acfsutil registry -a /dev/asm/volume1-123 /acfsmounts/acfs1
クラスタ・マウント・レジストリにOracle ACFSファイル・システムを登録すると、ファイル・システムは、次のレジストリのチェック・アクション時に、レジストリ・エントリにリストされている各クラスタ・メンバーに自動的にマウントされます。この自動プロセスは30秒ごとに実行されるため、クラスタの各メンバーでファイル・システムを手動でマウントする必要はありません。また、Oracle ACFSファイル・システムを登録すると、Oracle Clusterwareまたはシステムが再起動されるたびに、ファイル・システムは自動的にマウントされます。
ノート:
srvctl
add
filesystem
コマンドは、Oracle DatabaseホームがOracle ACFSファイル・システムにインストールされている場合に必要です。この場合は、Oracle ACFS登録コマンド(acfsutil
registry
)でファイル・システムを明示的にレジストリに追加しないでください。- Oracle ACFS登録は、単一インスタンス(非クラスタ)環境であるOracle Restart (スタンドアロン)構成ではサポートされません。
- レジストリを変更するには、
root
権限またはasmadmin
権限が必要です。WindowsのAdministrator
権限は、Linuxのroot
権限と同等です。
-
ファイル・システムをマウントまたは起動します。
すでにファイル・システムを登録している場合は、SRVCTLでファイル・システムを起動します。次に例を示します。
$ srvctl start filesystem -device /dev/asm/volume1-123
まだファイル・システムを登録していない場合は、Oracle ACFS
mount
コマンドでファイル・システムをマウントします。次に例を示します。# /bin/mount -t acfs /dev/asm/volume1-123 /acfsmounts/acf1
未登録のファイル・システムをマウントしたら、そのファイル・システムにアクセスできるように適切なユーザーに権限を設定します。次に例を示します。
# chown -R oracle:dba /acfsmounts/acfs1
mount
コマンドを実行するにはroot
権限が、acfsmountvol
コマンドを実行するにはWindowsのAdministrator
権限が必要です。 -
ファイル・システムにテスト・ファイルを作成します。
テスト・ファイルを作成するユーザーは、ファイル・システムにアクセスするユーザーです。このテストでは、適切なユーザーがファイル・システムへの書込みを実行できることを確認します。
次に例を示します。
$ echo "Oracle ACFS File System" > /acfsmounts/acfs1/myfile
-
ファイル・システムで作成したテスト・ファイルの内容をリストします。
次に例を示します。
$ cat /acfsmounts/acfs1/myfile Oracle ACFS File System
関連項目:
- ディスク・グループの互換性設定の詳細は、「ディスク・グループの互換性属性」
- オペレーティング・システムのグループおよび権限の詳細は、「Oracle ASMの権限について」
- Oracle ACFSファイル・システムを作成するコマンドの詳細は、「mkfs」(Linux環境)または「acfsformat」(Windows)
volcreate
コマンドとvolinfo
コマンドの詳細は、「ASMCMDによるOracle ADVMの管理」- Oracle ACFSファイル・システムを登録する
acfsutil
registry
コマンドの詳細は、「acfsutil registry」 - Oracle ACFSファイル・システムの登録の詳細は、「Oracle ACFSマウント・レジストリについて」
- Oracle ACFSファイル・システムをマウントするコマンドの詳細は、「mount」 (Linux環境の場合)または「acfsmountvol」 (Windowsの場合)
V$ASM_VOLUME
ビューの詳細は、『Oracle Databaseリファレンス』- サーバー制御ユーティリティ(SRVCTL)コマンドの詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』
クラスタ内の異なるノード上にあるOracle ACFSファイル・システムへのアクセス
ノードがクラスタの一部である場合、ノード2で次のステップを実行して、ノード1で作成したテスト・ファイルを表示します。
ノート:
ファイル・システムがOracle ACFSマウント・レジストリに登録されている場合、ステップ1から3を省略できます。
-
ノード1で以前に作成して有効にしたボリュームを有効にします。
ASMCMDを起動してOracle ASMインスタンスに接続します。実行するには、OSASMオペレーティング・システム・グループのユーザーである必要があります。
次に例を示します。
ASMCMD [+] > volenable -G data volume1
-
ノード1で作成したボリュームに関する情報を表示します。
次に例を示します。
ASMCMD [+] > volinfo -G data volume1
-
Oracle ACFS
mount
コマンドを使用してファイル・システムをマウントします。次に例を示します。
# /bin/mount -t acfs /dev/asm/volume1-123 /acfsmounts/acfs1
mount
コマンドを実行するにはroot
権限が、acfsmountvol
コマンドを実行するにはWindowsのAdministrator
権限が必要です。ファイル・システムをマウントしたら、適切なユーザーに権限を設定してアクセスできるようにします。
-
ファイル・システムで以前に作成したテスト・ファイルの内容をリストします。
次に例を示します。
$ cat /acfsmounts/acfs1/myfile Oracle ACFS File System
内容は、以前にノード1で作成したファイルと一致する必要があります。
関連項目:
-
オペレーティング・システムのグループおよび権限の詳細は、「Oracle ASMの権限について」。
-
volenable
コマンドの詳細は、「ASMCMDによるOracle ADVMの管理」 -
volinfo
コマンドの詳細は、「ASMCMDによるOracle ADVMの管理」 -
Oracle ACFSファイル・システムをマウントするコマンドの詳細は、「mount」 (Linux環境の場合)または「acfsmountvol」 (Windowsの場合)
Oracle ACFSファイル・システムのセキュリティ保護
この項では、LinuxでOracle ACFSファイル・システムのセキュリティを管理するための基本操作について説明します。
この項のシナリオでは、Oracle ACFSセキュリティを使用して、メンテナンス期間中にメンテナンス・ユーザーだけが診療履歴ファイルにアクセスできるようにする方法を示します。Oracle ACFS暗号化も同じファイル・システムで有効になっています。
このシナリオでは、ファイル・システム用に作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性は11.2.0.3
以上に設定されています。
この項の例では、様々なオペレーティング・システム・ユーザー、オペレーティング・システム・グループおよびディレクトリが存在する必要があります。
セキュリティを管理するための基本ステップは次のとおりです。
-
Oracle ACFSのセキュリティを初期化します。
acfsutil
sec
init
コマンドを実行して、セキュリティ資格証明用のストレージを構成し、オペレーティング・システム・ユーザーを最初のセキュリティ管理者およびオペレーティング・システム・セキュリティ・グループとして識別します。セキュリティ管理者はオペレーティング・システム・グループに属する必要があります。このコマンドは、他のセキュリティ・コマンドの前に実行する必要があり、実行するにはrootまたはWindowsのAdministrator
権限が必要です。acfsutil
sec
init
コマンドは、1度実行して各クラスタのOracle ACFSセキュリティを設定すれば、クラスタ内の任意のノードから実行できます。他のセキュリティ・コマンドもクラスタ内の任意のノードから実行できます。セキュリティ管理者はクラスタ内のすべてのOracle ACFSファイル・システムで共通です。たとえば、次のコマンドで1つのクラスタに対するセキュリティを初期化し、最初のセキュリティ管理者(
medHistAdmin1
)を作成します。# /sbin/acfsutil sec init -u medHistAdmin1 -g medHistAdminGrp
medHistAdmin1
セキュリティ管理者はオペレーティング・システム・グループmedHistAdminGrp
に属する必要があります。このグループはセキュリティ管理者用のセキュリティ・グループとして識別されます。rootユーザーまたはWindows
Administrator
ユーザーはこのコマンドを実行するときに、セキュリティ管理者にセキュリティ・パスワードを割り当てます。セキュリティ管理者は、acfsutil
sec
admin
password
コマンドを使用してパスワードを変更できます。すべての
acfsutil
sec
コマンド(acfsutil
sec
init
以外)はOracle ACFSセキュリティ管理者により実行する必要があり、管理者は各コマンドの実行時にセキュリティ管理者のパスワードを求められます。ノート:
セキュリティ管理者のパスワードを求められる場合、次のテキストが表示されます。
Realm
management
password
要求されるパスワードはOracle ACFSセキュリティ管理者のパスワードであり、ユーザーのオペレーティング・システム・パスワードではありません。
セキュリティ管理者は、基礎となるオペレーティング・システムの権限があるかどうか、またはレルムの確認で許可されるかどうかにかかわらず、Oracle ACFSファイル・システムのすべてのディレクトリを参照できます。これにより、セキュリティ管理者はファイルがOracle ACFSセキュリティ・レルムでセキュリティ保護されている場合にその場所を確認することができます。ただし、セキュリティ管理者は、適切なオペレーティング・システムおよびセキュリティ・レルム権限がなければ、個別のファイルの内容を表示することはできません。
-
必要に応じて、セキュリティ管理者を追加します。
最初のセキュリティ管理者は、
acfsutil
sec
admin
add
コマンドを使用して、Oracle ACFSセキュリティを管理するセキュリティ管理者を追加できます。たとえば、新しいセキュリティ管理者
medHistAdmin2
を追加します。$ /sbin/acfsutil sec admin add medHistAdmin2
medHistAdmin2
ユーザーはacfsutil
sec
init
コマンドでセキュリティ管理者グループとして識別されるオペレーティング・システム・グループ(medHistAdminGrp
)に属している必要があります。medHistAdmin2
セキュリティ管理者はacfsutil
sec
admin
password
コマンドを使用して、割り当てられた一時的なセキュリティ・パスワードを変更する必要があります。medHistAdmin2
管理者は新しいセキュリティ管理者を追加できます。 -
セキュリティ用にOracle ACFSファイル・システムを準備します。
セキュリティ・レルムを追加する前に、
acfsutil
sec
prepare
をOracle ACFSファイル・システムで実行します。たとえば、Oracle ACFSセキュリティ用に、
/acfsmounts/acfs1
にマウントされたOracle ACFSファイル・システムを準備します。$ /sbin/acfsutil sec prepare -m /acfsmounts/acfs1
デフォルトで、このコマンドの実行後に、セキュリティがファイル・システムで有効になります。
acfsutil
sec
disable
またはacfsutil
sec
enable
コマンドを使用して、セキュリティを明示的に無効または有効にできます。このコマンドは自動的に
SYSTEM_BackupOperators
などのセキュリティ・レルムを作成します。管理者はSYSTEM_BackupOperators
レルムにユーザーを追加できます。このレルムはOracle ACFSファイル・システムにレルム保護されたファイルのバックアップを作成できる権限をユーザーに与えます。 -
このファイル・システムの暗号化を有効にします。
ファイル・システムの暗号化はオプションですが、このシナリオでは有効にします。
-
まず、
acfsutil
encr
init
コマンドを実行して、暗号化を初期化し、暗号化キーに必要なストレージを作成します。このコマンドは暗号化を設定するクラスタごとに1度実行する必要があります。たとえば、次のコマンドはクラスタの暗号化を初期化します。
# /sbin/acfsutil encr init
このコマンドは、他の暗号化コマンドの前に実行する必要があり、実行するにはroot権限または管理者権限が必要です。
-
次に、
acfsutil
encr
set
コマンドを実行してOracle ACFSファイル・システムの暗号化を設定します。たとえば、次のコマンドでは、
/acfsmounts/acfs1
ディレクトリにマウントされているファイル・システムの暗号化を設定します。# /sbin/acfsutil encr set -m /acfsmounts/acfs1/
acfsutil
encr
set
コマンドは、acfsutil
encr
init
コマンドで構成済のキー・ストアに格納されるボリューム暗号化キーを透過的に生成します。このコマンドを実行するにはroot権限または管理者権限が必要です。
-
-
ファイル・システムにセキュリティ・レルムを作成します。
acfsutil
sec
realm
create
コマンドを実行してファイル・システムのセキュリティ・レルムを作成します。たとえば、
medHistRealm
という名前のセキュリティ・レルムを作成します。これには診療記録ファイルが含まれ、レルム内のすべてのファイルは暗号化されています。$ /sbin/acfsutil sec realm create medHistRealm -m /acfsmounts/acfs1/ -e on -a AES -k 128
-e
オプションは、レルム内のすべてのファイルがAES
アルゴリズムで暗号化され、キーの長さが128ビットに設定されることを指定します。ファイル・システムは最初にacfsutil
encr
init
およびacfsutil
encr
set
コマンドを使用して暗号化用に準備される必要があります。acfsutil
sec
realm
create
の-k
オプションには、acfsutil
encr
set
コマンドで入力したのと同じ値を入力する必要はありません。 -
セキュリティ・ルールを作成します。
acfsutil
sec
rule
create
コマンドを実行して、セキュリティ・レルムのファイルおよびディレクトリへのアクセスを決定するルールを作成します。たとえば、
medMaintenance
ユーザーがファイルのメンテナンスのために、午後10時から午前2時の間に診療記録にアクセスできるルールを作成します。また、午前8時から午前9時の間に操作を拒否し、medBrowse
ユーザーに対して操作を拒否できるルールも作成します。$ /sbin/acfsutil sec rule create medHistRule1a -m /acfsmounts/acfs1/ -t time 22:00:00,02:00:00 -o ALLOW $ /sbin/acfsutil sec rule create medHistRule1b -m /acfsmounts/acfs1/ -t username medMaintenance -o ALLOW $ /sbin/acfsutil sec rule create medHistRule1c -m /acfsmounts/acfs1/ -t time 08:00:00,09:00:00 -o DENY $ /sbin/acfsutil sec rule create medHistRule1d -m /acfsmounts/acfs1/ -t username medBrowse -o DENY
acfsutil
sec
rule
edit
コマンドを使用してルールを編集できます。 -
セキュリティ・ルール・セットを作成し、ルール・セットにルールを追加します。
acfsutil
sec
ruleset
create
コマンドを実行して、ルールを追加可能なルール・セットを作成します。たとえば、
medHistRealm
セキュリティ・レルムのファイルおよびディレクトリでの操作のルールが含まれるmedRuleSet1
およびmedRuleSet2
という名前のルール・セットを作成します。$ /sbin/acfsutil sec ruleset create medRuleSet1 -m /acfsmounts/acfs1/ $ /sbin/acfsutil sec ruleset create medRuleSet2 -m /acfsmounts/acfs1/
既存のルールをルール・セットに追加します。
$ /sbin/acfsutil sec ruleset edit medRuleSet1 -m /acfsmounts/acfs1/ -a medHistRule1a,medHistRule1b -o ALL_TRUE $ /sbin/acfsutil sec ruleset edit medRuleSet2 –m /acfsmounts/acfs1/ -a medHistRule1c,medHistRule1d -o ALL_TRUE
ALL_TRUE
オプションはデフォルトのアクションですが、各ルール・セットの両方のルールがtrueでなければならないことを強調するためにここに追加しています。 -
セキュリティ・レルムにオブジェクトを追加します。
acfsutil
sec
realm
add
コマンドを実行して、コマンド・ルール、ルール・セットおよびファイルなどのオブジェクトをセキュリティ・レルムに追加します。たとえば、medRuleSet1
ルール・セットとmedRuleSet2
ルール・セット、および/acfsmounts/acfs1/medicalrecords
ディレクトリ内のすべてのファイルを、medHistRealm
に追加します。ルール・セットをレルムに追加するときには、
DELETEFILE:medRuleSet1
などのコマンド・ルールが使用されます。各コマンド・ルールには1つのルール・セットしか含めることはできません。コマンド・ルールのリストを表示するには、acfsutil
sec
info
と-c
オプションを使用します。次の
acfsutil
sec
realm
add
コマンドによって、medMaintenance
ユーザーは、午後10時から午前2時の間は診療記録を削除できますが、午前8時から午前9時の間はファイルへの書込みがブロックされます。$ /sbin/acfsutil sec realm add medHistRealm -m /acfsmounts/acfs1/ -l DELETEFILE:medRuleSet1 -f -r /acfsmounts/acfs1/medicalrecords
この
acfsutil
sec
realm
add
コマンドによって、medBrowse
ユーザーは、診療記録をいつでも書込みまたは削除できなくなります。$ /sbin/acfsutil sec realm add medHistRealm -m /acfsmounts/acfs1/ -l WRITE:medRuleSet2 -f -r /acfsmounts/acfs1/medicalrecords
この
acfsutil
sec
realm
add
コマンドによって、バックアップ・オペレータを、acfsutil
sec
prepare
コマンドで自動的に作成されたSYSTEM_BackupOperators
セキュリティ・レルムに追加します。$ /sbin/acfsutil sec realm add SYSTEM_BackupOperators -m /acfsmounts/acfs1/ -G sysBackupGrp
sysBackupGrp
オペレーティング・システム・グループに属するユーザーは、Oracle ACFSファイル・システムのレルム保護されたファイルのバックアップを作成できるようになります。 -
セキュリティ情報を表示します。
acfsutil
sec
info
コマンドを実行してセキュリティ・レルムの情報を作成します。たとえば、medHistRealm
レルムのセキュリティ情報を表示します。$ /sbin/acfsutil sec info -m /acfsmounts/acfs1/ –n medHistRealm
ファイルまたはディレクトリが属するセキュリティ・レルムを表示するには、
acfsutil
sec
info
file
コマンドを実行します。次に例を示します。$ /sbin/acfsutil sec info file -m /acfsmounts/acfs1/ /acfsmounts/acfs1/medicalrecords
-
セキュリティ・メタデータをバックアップとして保存します。
acfsutil
sec
save
コマンドを実行して、ファイル・システムのセキュリティ・メタデータを保存します。たとえば、
/acfsmounts/acfs1
ファイル・システムのセキュリティ・メタデータをacfs1_backup.xml
ファイルに保存します。$ /sbin/acfsutil sec save –m /acfsmounts/acfs1 –p acfs1_backup.xml
acfs1_backup.xml
セキュリティ・メタデータのバックアップ・ファイルが/acfsmounts/acfs1/.Security/backup/
ディレクトリに保存されます。保存されたXMLファイルは、acfsutil
sec
load
コマンドを使用してロードできます。
acfsutil
sec
batch
コマンドを使用して、バッチ・ファイルでいくつかのacfsutil
sec
コマンドを実行できます。たとえば、acfsutil
sec
rule
およびacfsutil
sec
ruleset
コマンドのグループを含むバッチ・ファイルを作成できます。
Oracle ACFSセキュリティの監査および診断データがログ・ファイルに保存されます。
関連項目:
-
セキュリティ・ログ・ファイルなど、Oracle ACFSのセキュリティの詳細は、「Oracle ACFSセキュリティ」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
セキュリティを設定するコマンドの詳細は、「acfsutil sec prepare」および「acfsutil sec init」
-
セキュリティを有効化または無効化するコマンドの詳細は、「acfsutil sec disable」および「acfsutil sec enable」
-
セキュリティ管理を管理するコマンドの詳細は、「acfsutil sec admin add」および「acfsutil sec admin password」
-
暗号化を管理するコマンドの詳細は、「acfsutil encr init」および「acfsutil encr set」
-
セキュリティ・レルムを管理するコマンドの詳細は、「acfsutil sec realm create」、「acfsutil sec realm add」および「acfsutil sec realm delete」
-
セキュリティ・ルールを管理するコマンドの詳細は、「acfsutil sec rule create」および「acfsutil sec rule edit」
-
セキュリティ・ルール・セットを管理するコマンドの詳細は、「acfsutil sec ruleset create」および「acfsutil sec ruleset edit」
-
セキュリティ情報を表示するコマンドの詳細は、「acfsutil sec info」および「acfsutil sec info file」
-
セキュリティ・メタデータをロードおよび保存するコマンドの詳細は、「acfsutil sec save」および「acfsutil sec load」
-
バッチ・ファイルでの
acfsutil
sec
コマンドの実行の詳細は、「acfsutil sec batch」
Oracle ACFSファイル・システムの暗号化
この項では、LinuxでOracle ACFSファイル・システムにおける暗号化を管理するための基本操作について説明します。
この項の例は、Oracle ACFSファイル・システムで診療履歴ファイルが暗号化されているシナリオを示します。この項のステップでは、Oracle ACFSセキュリティがファイル・システムに構成されていないことを前提としていますが、Oracle ACFSセキュリティと暗号化の両方を同じファイル・システムで使用できます。セキュリティと暗号化の両方を使用する場合は、ファイル・システムを含むクラスタで、暗号化とセキュリティの両方を初期化する必要があります。ファイル・システムでセキュリティを初期化してから、Oracle ACFSセキュリティ管理者はacfsutil
sec
コマンドを実行して、ファイル・システムの暗号化を有効にします。
acfsutil
encr
set
およびacfsutil
encr
rekey
-v
コマンドは、暗号化キー・ストアを変更するため、これらのコマンドを実行した後にOracle Cluster Registry(OCR)をバックアップし、ファイル・システムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを保持する必要があります。
ファイル・システム用に作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性は11.2.0.3
以上に設定されています。
この項の例では、様々なオペレーティング・システム・ユーザー、オペレーティング・システム・グループおよびディレクトリが存在する必要があります。
暗号化を管理するための基本ステップは次のとおりです。
-
暗号化を初期化します。
acfsutil
encr
init
コマンドを実行して、暗号化を初期化し、暗号化キーに必要なストレージを作成します。このコマンドは暗号化を設定するクラスタごとに1度実行する必要があります。たとえば、次のコマンドはクラスタの暗号化を初期化します。
# /sbin/acfsutil encr init
このコマンドは、他の暗号化コマンドの前に実行する必要があり、実行するにはroot権限または管理者権限が必要です。
-
暗号化パラメータを設定します。
acfsutil
encr
set
コマンドを実行し、Oracle ACFSファイル・システム全体の暗号化パラメータを設定します。たとえば、次のコマンドでは、
/acfsmounts/acfs1
ディレクトリにマウントされているファイル・システムに対し、AES
暗号化アルゴリズムと、ファイルのキー長を128
に設定します。# /sbin/acfsutil encr set -a AES -k 128 -m /acfsmounts/acfs1/
acfsutil
encr
set
コマンドも、acfsutil
encr
init
コマンドで構成済のキー・ストアに格納されるボリューム暗号化キーを透過的に生成します。このコマンドを実行するにはroot権限または管理者権限が必要です。
-
暗号化を有効にします。
acfsutil
encr
on
コマンドを実行し、ディレクトリおよびファイルの暗号化を有効にします。たとえば、次のコマンドでは、
/acfsmounts/acfs1/medicalrecords
ディレクトリのすべてのファイルで再帰的な暗号化を有効にします。# /sbin/acfsutil encr on -r /acfsmounts/acfs1/medicalrecords -m /acfsmounts/acfs1/
/acfsmounts/acfs1/medicalrecords
ディレクトリ内のファイルにアクセスするための適切な権限のあるユーザーは、復号化されたファイルを読み取ることができます。このコマンドは、管理者またはファイルの所有者が実行できます。
-
暗号化情報を表示します。
acfsutil
encr
info
コマンドを実行し、ディレクトリおよびファイルの暗号化の情報を表示します。# /sbin/acfsutil encr info -m /acfsmounts/acfs1/ -r /acfsmounts/acfs1/medicalrecords
このコマンドは、管理者またはファイルの所有者が実行できます。
Oracle ACFS暗号化の監査および診断データがログ・ファイルに保存されます。
関連項目:
-
ログ・ファイルなど、Oracle ACFSの暗号化の詳細は、「Oracle ACFS暗号化」
-
暗号化によるセキュリティ設定の詳細は、「Oracle ACFSファイル・システムのセキュリティ保護」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
暗号化の初期化の詳細は、「acfsutil encr init」
-
暗号化パラメータの設定の詳細は、「acfsutil encr set」
-
暗号化の有効化の詳細は、「acfsutil encr on」
-
暗号化情報の表示の詳細は、「acfsutil encr info」
Oracle ACFSファイル・システムのタグ付け
この項では、LinuxでOracle ACFSファイル・システムにおけるディレクトリおよびファイルのタグ付けを管理する操作について説明します。
ファイル・システム用に作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性は11.2.0.3
以上に設定されています。
Oracle ACFSは拡張属性を使用してタグ付けを実装します。拡張属性を使用するには、確認すべき要件がいくつかあります。
タグ付けを管理するためのステップは次のとおりです。
-
ディレクトリおよびファイルのタグ名を指定します。
acfsutil
tag
set
コマンドを実行してディレクトリおよびファイルにタグを設定します。このタグを使用してレプリケートするオブジェクトを指定できます。たとえば、
/acfsmounts/repl_data/films
ディレクトリのサブディレクトリ内のファイルにcomedy
およびdrama
タグを追加します。$ /sbin/acfsutil tag set -r comedy /acfsmounts/repl_data/films/comedies $ /sbin/acfsutil tag set -r drama /acfsmounts/repl_data/films/dramas $ /sbin/acfsutil tag set -r drama /acfsmounts/repl_data/films/mysteries
この例では、
drama
タグが意図的に2回使用され、そのタグが後のステップで変更されます。このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
-
タグ情報を表示します。
acfsutil
tag
info
コマンドを実行してOracle ACFSファイル・システムのディレクトリまたはファイルのタグ名を表示します。タグのないファイルは表示されません。たとえば、
/acfsmounts/repl_data/films
ディレクトリ内のファイルのタグ情報を表示します。$ /sbin/acfsutil tag info -r /acfsmounts/repl_data/films
/acfsmounts/repl_data/films
ディレクトリ内のdrama
タグの付けられたファイルのタグ情報を表示します。$ /sbin/acfsutil tag info -t drama -r /acfsmounts/repl_data/films
このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
-
必要な場合、タグ名を削除および変更します。
acfsutil
tag
unset
コマンドを実行してディレクトリまたはファイルのタグを削除します。たとえば、/acfsmounts/repl_data/films
ディレクトリのmysteries
サブディレクトリに別のタグを適用するために、そのサブディレクトリ内のファイルのdrama
タグの設定を解除します。$ /sbin/acfsutil tag unset -r drama /acfsmounts/repl_data/films/mysteries
/acfsmounts/repl_data/films
ディレクトリのmysteries
サブディレクトリ内のファイルにmystery
タグを追加します。$ /sbin/acfsutil tag set -r mystery /acfsmounts/repl_data/films/mysteries
このコマンドを実行するには、システム管理者権限があるかまたはファイルの所有者であることが必要です。
関連項目:
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
タグ付けで拡張属性を使用する際の要件など、Oracle ACFSファイル・システムでのタグ付けの詳細は、「Oracle ACFSタグ付け」
-
タグ名の指定の詳細は、「acfsutil tag set」
-
タグ名と詳細の表示については、「acfsutil tag info」
-
タグ名の変更および削除の詳細は、「acfsutil tag unset」
Oracle ACFSファイル・システムのレプリケーション
この項では、LinuxのOracle ACFSファイル・システムでOracle ACFSスナップショットベースのレプリケーションを管理するための操作について説明します。
プライマリおよびスタンバイ・ファイル・システムに作成したボリューム上のディスク・グループのASM
およびADVM
の互換性属性が12.2
以上に設定されていることが必要です。スナップショットをストレージ・ロケーションとして使用したり、レプリケーション・ロール・リバーサルを使用したりするには、Oracle ASMおよびOracle ADVMの互換性属性が18.0
以上に設定されている必要があります。
レプリケーションを管理するためのステップは次のとおりです。
-
ssh
がレプリケーション用に構成されていることを確認します。-
プライマリ・クラスタおよびスタンバイ・クラスタで
ssh
コマンド用のホスト・キーおよびユーザー・キーが構成されていることを確認します。 -
Windowsでは、Cygwinがインストールされており、必要に応じてレプリケーション用に
ssh
が構成されていることを確認します。
-
-
レプリケーションで必要なスナップショットが常時作成できることを確認します。任意の時点でレプリケーションでは、プライマリ・ロケーションの同時スナップショットを2つとスタンバイ・ロケーションのスナップショットを1つ使用できる必要があります。
-
プライマリ・サイトとスタンバイ・サイトの間に適切なネットワーク接続があることを確認します。プライマリからスタンバイへの実現可能なネットワーク・データ転送速度がプライマリ・ロケーションでのデータの変更速度を大幅に上回ることを確認する必要があります。
ネットワーク・データ転送速度を見積もる方法の1つとして、実際の転送速度から始めて、判明したオーバーヘッドの原因を考慮して減らします。たとえば、ネットワーク使用率が低い期間に、1 GBのファイルをプライマリ・ロケーションから対象のスタンバイ・ロケーションにFTPするのに要する経過時間を計算できます。これにより、実現可能な最大転送速度の見積もりができます。この速度は、ネットワーク上の他の要求を考慮に入れるだけでなく、レプリケーション転送に付随するオーバーヘッドを考慮して減らす必要があります。レプリケーションのオーバーヘッドの場合、妥当なアプローチとして、測定された速度を20%ずつ減らし、プライマリ・クラスタのノードごとにさらに5%減らします。
プライマリでの平均変更速度を見積もるには、
acfsutil
info
fs
コマンドを-s
オプションを指定して使用できます。このコマンドは、プライマリ・ロケーションを含むファイル・システムがマウントされている各ノードで実行する必要があります。このコマンドは、そのノード上のファイル・システムへの変更量と変更速度を表示します。ファイル・システムの合計変更速度を計算するには、各ノードの変更速度を集計する必要があります。-s
に使用する妥当な値は900
で、15分のサンプリング間隔となります。-s
オプションを指定したacfsutil
info
fs
からの出力を使用して、平均の変更速度、ピークの変更速度、ピークの持続時間を割り出すことができます。このデータを使用するための保守的なアプローチとして、対応する必要があるターゲット速度としてピークの変更速度を選択します。レプリケーションでは、プライマリで変更されたデータをすべてスタンバイに転送する必要があるため、明らかに、実現可能なネットワーク転送速度は、プライマリでのターゲット変更速度を上回る(大幅に上回るのが理想)必要があります。そうでない場合は、このプライマリ・ロケーションおよびワークロードに対してレプリケーションを実装する前に、ネットワーク容量を増やす必要があります。
たとえば、ノードが4つのプライマリ・クラスタがあり、33 MB/秒の現行FTP転送速度で、30秒に1 GBのファイルを転送できることを確認したとします。現行レプリケーション転送速度の見積りは次のように計算され、およそ20 MB/秒となります。
33 MB/sec * (1 – 0.2 – (4 * 0.05)) = 33 * 0.6 = ~20 MB/sec
また、プライマリに対する平均変更速度は8 GB/時間で、ピーク速度は25 GB/時間であることを確認しています。このピーク速度を使用すると、次のようにして、ターゲット変更速度をおよそ7 MB/秒と計算できます。
(25 GB/hour * 1024) / 3600 = ~7 MB/sec
このステップで説明したシナリオでは、レプリケーションからの追加のワークロードをネットワークで処理できると合理的に想定できます。
-
プライマリ・サイトとスタンバイ・サイトに適切なストレージ容量があることを確認します。
プライマリ・ロケーションおよびスタンバイ・ロケーションをホストしているサイトでレプリケーションに必要なストレージ容量を見積ります。一般に、プライマリ・サイトではプライマリ・ロケーションのスナップショットを2つ継続的に格納する必要があり、スタンバイ・サイトではスタンバイ・ロケーションのスナップショットを1つ格納する必要があります。これらのスナップショットが占める領域の大部分は、スナップショットに保存されているユーザー・データまたはメタデータから構成されます(スナップショットはその後変更され、データの新しいコピーが作成されます)。
レプリケーション関連のスナップショットが占める領域は、
acfsutil
snap
info
コマンドを使用して直接表示できます。プライマリでは、文字列REPL
で始まる名前のスナップショットがないか確認します。スタンバイでは、SDBACKUP
で始まる名前がないかスナップショットを探します。間隔ベースのレプリケーション(
acfsutil
repl
init
primary
に対して-i
オプション)を使用している場合かつレプリケーション操作が指定した間隔内で正常に完了している場合、レプリケーション関連のスナップショットのサイズは、プライマリの変更速度と間隔の長さに関連しています。たとえば、平均変更速度が8 GB/時間でレプリケーション間隔が2時間の場合、スナップショットのストレージ使用量はスナップショット当たり16 GBの範囲内であると考えられます。スナップショット・サイズは、プライマリの変更速度によって異なります。もう1つの要因は、スナップショット・サイズが、変更速度の他にファイル・システム内のファイル数にも一部依存しているということです。潜在的にさらに重要なことに、常時モードのレプリケーション(
acfsutil
repl
init
primary
に対して-C
オプション)を使用している場合または間隔が短すぎてレプリケーション操作が間隔ベースのレプリケーションで指定した間隔で正常に完了していない場合、レプリケーション関連のスナップショットのサイズを前もって予測することは困難です。このような場合、時間とともに生成されるスナップショットのサイズを監視し、必要に応じてファイル・システム・サイズをacfsutil
size
コマンドを使用して調整し、さらにスナップショットの存在下での通常のストレージ要求に適応させます。この情報を収集する際、プライマリの平均変更速度で、収集期間より複数倍大きいデータが含まれるように、スナップショット用の領域を調整することから始めるとよいでしょう。この情報を収集する一方で、レプリケーション・スナップショットを考慮して領域量に対して控え目な開始点を選択します。たとえば、前述のように収集期間に変更をファイル・システムに格納するのに必要な領域を計算でき、将来のスナップショットにその領域を複数回割り当てることができます。
-
レプリケーションに使用するユーザーを決定し、必要に応じてタグを設定します。
ssh
を使用してスタンバイ・クラスタにログインし、プライマリ・ロケーションからスタンバイ・ロケーションにレプリケートされたデータを適用するレプリケーション・ユーザーを選択または作成します。このユーザーは、OSレベルでのみ定義し、Oracle内では定義しません。ユーザーは、Oracle AM管理者のアクセス用に定義したグループに属する必要があります。ノート:
プライマリ・クラスタとスタンバイ・クラスタの両方で、同じユーザーとグループのアイデンティティ(すべての
uids
とgids
を含む)をレプリケーション・ユーザーに指定する必要があります。オプションで、ディレクトリおよびファイルにタグを設定して、Oracle ACFSプライマリ・ロケーション内で選択したファイルのみをレプリケートするようにします。レプリケートが開始されてからファイルにタグを追加することもできます。
-
スタンバイ・ロケーションをホストしているサイトを構成します。
Oracle ACFSプライマリ・ストレージ・ロケーションをレプリケートする前に、以下を実行して、スタンバイ・ロケーションをホストするサイトを構成します。
-
ファイル・システムをスタンバイ・ロケーションとして使用するには、プライマリ・ロケーションからレプリケートされたファイルと、単一のレプリケーション・スナップショットを保持するのに適したサイズの新しいスタンバイ・ファイル・システムを作成し、ファイル・システムをマウントします。次に例を示します。
/standby/repl_data
-
既存のファイル・システムのスナップショットをスタンバイ・ロケーションとして使用するには、新しい読取り-書込みスナップショットを作成し、ファイル・システムのサイズが、プライマリ・ロケーションからレプリケートされたファイルと単一のレプリケーション・スナップショットを保持するのに十分であることを確認します。
-
どちらの種類のスタンバイ・ロケーションについても、スタンバイ・ロケーションをホストするサイトで
acfsutil
repl
init
standby
コマンドを実行します。次に例を示します。# /sbin/acfsutil repl init standby -u repluser /standby/repl_data
ノート:
acfsutil
repl
init
standby
コマンドがなんらかの理由で中断された場合、そのロケーションに使用されるファイル・システムまたはスナップショットを再作成し、必要に応じてファイル・システムを再マウントしてから、コマンドを再実行する必要があります。このコマンドには、レプリケーション・ユーザーの名前およびスタンバイ・ロケーションが必要です。指定するユーザーは、プライマリ・クラスタから
ssh
を起動し、スタンバイ・クラスタにログインして変更を適用するユーザーです。このユーザーは、-uオプションを使用して指定します。たとえば、-u repluser
です。スタンバイ・ロケーションがファイル・システムの場合は、そのマウント・ポイントを使用して名前が付けられます。たとえば、
/standby/repl_data
です。スタンバイ・ロケーションが読取り-書込みスナップショットの場合は、そのスナップショット名と、含まれているファイル・システムのマウント・ポイントを使用して名前が付けられます(その2つは
@
文字で区切られます)。たとえば、drsnap1101@/standby/repl_data
です。
acfsutil
repl
init
standby
コマンドを実行するには、root
権限またはシステム管理者権限が必要です。 -
-
スタンバイ・ロケーションの設定後、プライマリ・ロケーションをホストしているサイトを構成してレプリケーションを開始します。
acfsutil
repl
init
primary
コマンドを、プライマリ・ロケーションをホストしているサイトで実行します。次に例を示します。$ /sbin/acfsutil repl init primary -i 2h -s repluser@standby12_vip -m /standby/repl_data /acfsmounts/repl_data
このコマンドには次の構成情報が必要です。
-
レプリケーション間隔: オプション-i interval (間隔モードの場合)またはオプション-C(常時モード・レプリケーションの場合)で指定します。間隔を指定する場合、オプション値はレプリケーション操作から次のレプリケーション操作までの最小時間です。各レプリケーション操作の開始時に、プライマリの新しいスナップショットを取得し、前のスナップショットがある場合はそれと比較します。その後、スタンバイを更新してプライマリと一致させるために必要な変更がスタンバイに送信されます。-i intervalではなく-Cを指定すると、前のレプリケーション操作が完了するとすぐに新しいレプリケーション操作が開始されます。
たとえば、レプリケーション間隔を2時間に設定するには、
-i 2h
と指定します。 -
ユーザー名およびネットワーク・エンドポイント(VIP名またはアドレスか、ホスト名またはアドレス)をスタンバイ・ロケーションをホストするサイトへの接続に使用し、
—s
オプションを使用して指定します。たとえば、-s repluser@standby12_vip
です。 -
プライマリ・ロケーションがファイル・システムの場合は、ファイル・システムのマウント・ポイントの名前を指定します。たとえば、
/acfsmounts/repl_data
です。 -
プライマリ・ストレージ・ロケーションがスナップショットの場合は、スナップショット名と、含まれているファイル・システムのマウント・ポイントを
@
文字で区切って指定します。たとえば、drsnap1101@/acfsmounts/repl_data
です。 -
マウント・ポイント、またはマウント・ポイントを含むスナップショット名が、スタンバイ・ロケーションをホストするサイトとプライマリ・ロケーションをホストするサイトで異なる場合は、
-m
オプションを指定してスタンバイ・ロケーションの名前を指定します。たとえば、-m /standby/repl_data
です。
acfsutil
repl
init
primary
コマンドを実行するには、root
権限またはシステム管理者権限が必要です。 -
-
ロケーションのレプリケーションに関する情報をモニターします。
acfsutil
repl
info
コマンドは、プライマリ・ロケーションまたはスタンバイ・ロケーションで処理中のレプリケーションの状態に関する情報を表示します。たとえば、プライマリ・ロケーションをホストしているサイトで次のコマンドを実行して、構成情報を表示できます。
$ /sbin/acfsutil repl info -c -v /acfsmounts/repl_data
このコマンドを実行するには、システム管理者(Windows以外のシステムではrootユーザー、Windowsではローカル
SYSTEM
)またはOracle AM管理者の権限が必要です。 -
レプリケーション・バックグラウンド・プロセスを管理します。
acfsutil
repl
bg
コマンドを実行してレプリケーション・バックグラウンド・プロセスを開始、停止、または情報を取得します。たとえば、次のコマンドを実行して
/acfsmounts/repl_data
ファイル・システムのレプリケーション・プロセスの情報を表示します。$ /sbin/acfsutil repl bg info /acfsmounts/repl_data
acfsutil
repl
bg
info
コマンドを実行するには、システム管理者またはOracle AM管理者権限が必要です。 -
必要な場合にのみレプリケーションを一時的に停止します。
acfsutil
repl
pause
コマンドを実行して、レプリケーションを一時停止します。できるだけ早くacfsutil
repl
resume
コマンドを実行して、レプリケーションを再開します。たとえば、次のコマンドでは、
/acfsmounts/repl_data
ファイル・システムのレプリケーションを一時停止します。$ /sbin/acfsutil repl pause /acfsmounts/repl_data
次のコマンドでは、
/acfsmounts/repl_data
ファイル・システムのレプリケーションを再開します。$ /sbin/acfsutil repl resume /acfsmounts/repl_data
acfsutil
repl
pause
コマンドおよびacfsutil
repl
resume
コマンドを実行するには、システム管理者またはOracle AM管理者の権限が必要です。 -
スタンバイ・ロケーションにフェイルオーバーするか、スタンバイ・ロケーションをアクティブ・ロケーションに切り替えます。
プライマリ・ロケーションにアクセスできない場合は、
acfsutil
repl
terminate
standby
コマンドを実行して、スタンバイ・ロケーションを読取り-書込みストレージに変更できます。プライマリ・ロケーションがまだ存在する場合は、acfsutil
repl
terminate
primary
コマンドを使用してプライマリを先に終了する必要があります。スタンバイ・ロケーションで
acfsutil
repl
terminate
standby
を使用してレプリケーションを終了する前に、スタンバイ・ロケーションが表すプライマリ・ロケーションのポイント・イン・タイムを確認できます。このタイムスタンプは、acfsutil
repl
info
-c
によりLast
sync
time
with
primary
と表示されます。フェイルオーバー・アクションとOracle Data Guardを連携させる必要がある場合は、必要に応じてタイムスタンプを使用してデータベースを元に戻したり、タイムスタンプに基づく他の必要なアクションを実行することができます。スタンバイ・ロケーションがレプリケーションによる変更処理中である場合があります。これは次の場合に発生します。
-
プライマリ・ロケーションが使用可能であり、レプリケーション操作が現在進行中である場合。
-
プライマリ・ロケーションは使用可能ではないが、使用不可になったときにレプリケーション操作が進行中であった場合。
プライマリのスナップショットと最後に同一だったときにスタンバイ・ロケーションのコンテンツを確実に取得するには、次のいずれかの手順に従います。
-
プライマリ・ロケーションが使用可能な場合、プライマリ・サイトで
acfsutil
repl
terminate
primary
コマンドを実行してレプリケーションを終了します。このコマンドは、あらゆる進行中のレプリケーション操作が完了するまで待機してから、戻ります。次に、acfsutil
repl
info
-c
を実行して、スタンバイが表すプライマリ・ロケーションのポイント・イン・タイムを確認します。この情報を取得したら、スタンバイ・サイトでacfsutil
repl
terminate
standby
を実行します。 -
プライマリ・ロケーションが使用不可の場合、まず、
acfsutil
repl
info
-c
出力の2つの日付文字列を比較します。これらの2つの日付はReceiving primary as of
行およびLast
sync
time
with
primary
行にあります。これらの日付が同一の場合、スタンバイ・ロケーションにはプライマリの最新の使用可能なポイント・イン・タイム・イメージがあります。一致しない場合は、レプリケーションによって記録されているバックアップ・スナップショットを使用して、スタンバイで取得されている最後のポイント・イン・タイム・イメージをリカバリします。プライマリ・ロケーションとスタンバイ・ロケーションの両方がファイル・システムの場合は、acfsutil
snap
info
コマンドを使用してこのスナップショットを検出できます。次の形式の名前を持つスナップショットを探します。SDBACKUP_tstamp1_REPL_0_tstamp2_0
tstamp1
はバックアップ・スナップショットが作成された時刻を、tstamp2
はプライマリ・コンテンツがこのスナップショットに記録されたポイント・イン・タイムを表します。存在するバックアップ・スナップショットは1つのみです。バックアップ・スナップショットの日付は、acfsutil
repl
info
-c
によって出力されたLast
sync
time
with
primary
行の日付に対応しています。使用可能なバックアップ・スナップショットがない場合、プライマリのコンテンツはスタンバイに正常に転送されていませんでした。バックアップ・スナップショットの日付は、
acfsutil
repl
info
-c
によって出力されたLast
sync
time
with
primary
行の日付に対応しています。バックアップ・スナップショットを使用するには、スナップショットはデフォルトでは削除されるため、レプリケーションを終了してスナップショットが保持されるようにする必要があります。スナップショットが保持されるようにするには、
acfsutil
repl
terminate
standby
のコマンドラインに-k
を追加する必要があります。レプリケーションの終了後、オプションでacfsutil
snap
remaster
コマンドを実行して、スナップショットをスタンバイ・ファイル・システムの新しいコンテンツとして使用できます。
-
ノート:
レプリケーションが使用中の場合、レプリケーション・スナップショットは、他のスナップショットと同様に、acfsutil
snap
info
コマンドを使用して表示できます。このコマンドを使用すると、レプリケーション・スナップショットによって現在占められている領域のおおよその概念がわかります。
関連項目:
-
Oracle ACFSファイル・システムまたはスナップショットのレプリケートの詳細は、「Oracle ACFSレプリケーション」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
レプリケーションの構成の詳細は、「Oracle ACFSレプリケーションで使用するためのsshの構成」と「WindowsでのsshおよびCygwinのインストール」
-
レプリケーション開始の詳細は、「acfsutil repl init」
-
Oracle ASMのユーザー権限の詳細は、「Oracle ASMの権限について」
-
レプリケーション・バックグラウンド・プロセスの詳細は、「acfsutil repl bg」
-
レプリケーション操作の休止と再開の詳細は、「acfsutil repl pause」および「acfsutil repl resume」
-
レプリケーション詳細の表示については、「acfsutil repl info」
-
ファイル・システムの作成の詳細は、「Oracle ACFSファイル・システムの作成」
-
ファイルにタグ付けするステップの詳細は、「Oracle ACFSファイル・システムのタグ付け」
ボリュームおよびOracle ACFSファイル・システムの登録解除、ディスマウント、無効化
このトピックでは、ファイル・システムを登録解除またはディスマウントする操作と、ボリュームを無効にする操作について説明します。
Oracle ACFSファイル・システムの登録解除
Oracle ACFSファイル・システムのマウントに使用されるプライマリ・ボリュームの名前を指定します。
次に例を示します。
$ /sbin/acfsutil registry -d /acfsmounts/acfs1
ファイル・システムを登録解除すると、Oracle Clusterwareまたはシステムの再起動後は、ファイル・システムを明示的にマウントする必要があります。
レジストリの詳細は、「Oracle ACFSマウント・レジストリについて」を参照してください。acfsutil
registry
の詳細は、「acfsutil registry」を参照してください。
Oracle ACFSファイル・システムのディスマウント
Oracle ACFSファイル・システムのセキュリティ・レルムの名前を指定します。
たとえば、ファイル・システムをディスマウントし、fsck
を実行してファイル・システムをチェックできます。
# /bin/umount /acfsmounts/acfs1 # /sbin/fsck -a -v -y -t acfs /dev/asm/volume1-123
ファイル・システムは、ディスマウント後、明示的にマウントする必要があります。
Linuxシステムではumount
を、Windowsシステムではacfsdismount
を使用します。ファイル・システムをディスマウントするコマンドの詳細は、「umount」または「acfsdismount」を参照してください。
Linuxシステムではfsck
を、Windowsシステムではacfschkdsk
を使用してファイル・システムをチェックします。ファイル・システムをチェックするコマンドの詳細は、fsck (オフライン・モード)またはacfschkdskを参照してください。
ボリュームの無効化
ボリュームを無効にするには、まずボリュームがマウントされているファイル・システムをディスマウントする必要があります。
次に例を示します。
# /bin/umount /acfsmounts/acfs1
ファイル・システムをディスマウントしたら、ボリュームを無効にしてボリューム・デバイス・ファイルを削除できます。
次に例を示します。
ASMCMD> voldisable -G data volume1
ファイル・システムをディスマウントしてボリュームを無効にしても、ファイル・システム内のデータは破棄されません。ボリュームを有効にし、ファイル・システムをマウントして既存のデータにアクセスできます。voldisable
およびvolenable
の詳細は、「ASMCMDによるOracle ADVMの管理」を参照してください。
Oracle ACFSファイル・システムおよびボリュームの削除
Oracle ACFSファイル・システムとボリュームは、acfsutil
コマンドとASMCMDコマンドを使用して削除できます。
ボリュームおよびOracle ACFSファイル・システムを永続的に削除するには、次のステップを実行します。次のステップにより、ファイル・システム内のデータは破棄されます。
-
acfsutil
registry
-d
を使用してファイル・システムを登録解除します。次に例を示します。
$ /sbin/acfsutil registry -d /acfsmounts/acfs1 acfsutil registry: successfully removed ACFS mount point /acfsmounts/acfs1 from Oracle Registry
-
ファイル・システムをディスマウントします。
次に例を示します。
# /bin/umount /acfsmounts/acfs1
クラスタのすべてのノードでファイル・システムをディスマウントする必要があります。
Linuxシステムでは
umount
を、Windowsシステムではacfsdismount
を使用します。 -
acfsutil
rmfs
を使用してファイル・システムを削除します。後続のステップでボリュームを削除しない場合は、このステップを実行してファイル・システムを削除する必要があります。それ以外の場合は、ボリュームを削除するとファイル・システムは削除されます。
次に例を示します。
$ /sbin/acfsutil rmfs /dev/asm/volume1-123
-
必要に応じて、ASMCMD
voldisable
コマンドを使用してボリュームを無効にできます。次に例を示します。
ASMCMD> voldisable -G data volume1
-
ASMCMD
voldelete
コマンドを使用してボリュームを削除します。次に例を示します。
ASMCMD> voldelete -G data volume1
関連項目:
-
acfsutil
registry
の実行の詳細は、「acfsutil registry」 -
umount
またはacfsdismount
コマンドの実行の詳細は、「umount」または「acfsdismount」 -
acfsutil
rmfs
コマンドの実行の詳細は、「acfsutil rmfs」 -
voldisable
コマンドの実行の詳細は、「ASMCMDによるOracle ADVMの管理」 -
voldelete
コマンドの実行の詳細は、「ASMCMDによるOracle ADVMの管理」