Oracle ACFSの管理の理解
Oracle ACFSとファイル・アクセスおよび管理セキュリティ
Oracle ACFSでは、Linux環境用の従来のUNIXスタイルのファイル・アクセス制御クラス(ユーザー、グループ、その他)と、Windowsプラットフォーム用のファイル・アクセス制御リスト(ACL)を含むWindows Security Modelの両方をサポートしています。
Oracle ACFS管理アクションの大部分は、Linux環境のroot権限またはOracle ASM管理権限のいずれかを持つユーザーと、WindowsプラットフォームでWindows管理権限を持つユーザーによって実行されます。ファイル・システムの一般的なOracle ACFS情報には、どのシステム・ユーザーでもアクセスできます。
Oracle ACFS管理のサポートでは、多くの一般的なOracle ACFSファイル・システム管理タスク(マウント、アンマウント、ファイル・システムのチェック、ドライバのロード、ドライバのアンロードなど)がroot権限操作であるため、Oracle ASM管理者ロールはroot権限を持つユーザーに付与することをお薦めします。root権限を必要としないその他のOracle ACFSファイル・システムの権限操作は、Oracle ASM管理者によって実行できます。Oracle ASM管理者ロールをroot権限ユーザーに付与しない場合、Oracle ACFSファイル・システムへのアクセスは、norootsuid
およびnodev
マウント・オプションを使用して制限できます。
セキュリティ・インフラストラクチャ機能による密なアクセス制御がOracle ACFSファイル・システムに追加されます。
関連項目:
-
Oracle ACFSのセキュリティ・インフラストラクチャの詳細は、「Oracle ACFSセキュリティ」
-
Oracle ACFS暗号化の詳細は、「Oracle ACFS暗号化」
-
Oracle ASM権限の詳細は、「Oracle ASMの権限について」
-
Oracle ACFSの管理の詳細は、「コマンドライン・ツールによるOracle ACFSの管理」
Oracle ACFSの構成
グリッド・インフラストラクチャをインストールし、Oracle Clusterwareが使用可能になると、Oracle ASMコンフィギュレーション・アシスタント(ASMCA)を使用してOracle ASMインスタンスを起動し、Oracle ASMディスク・グループ、Oracle ADVMボリュームおよびOracle ACFSファイル・システムを作成できます。あるいは、SQL*PlusおよびASMCMDコマンドライン・ツールを使用して、Oracle ASMディスク・グループとOracle ADVMボリュームを作成できます。ファイル・システムは、オペレーティング・システム・コマンドライン・ツールを使用して作成できます。
Oracle ACFSファイル・システムは、Oracle ADVM動的ボリューム・ファイルの作成後に自動的に作成されるOracle ADVMベースのオペレーティング・システム・ストレージ・デバイスで構成されます。ボリューム・ファイルおよび関連のボリューム・デバイス・ファイルが作成されると、ファイル・システムを作成して、そのオペレーティング・システム・ストレージ・デバイスにバインドできます。Oracle ACFSファイル・システムは作成後にマウントでき、ファイルおよびファイル・システム操作を実行する認可されたユーザーやアプリケーションがアクセスできるようになります。
関連項目:
-
ファイル・システムの作成に必要な特定のアクションの例は、「Oracle ACFSシステムを管理するための基本ステップ」
-
ASMCAによるOracle ADVMファイル・システムの管理の詳細は、「Oracle ACFSおよびOracle ACFSを管理するためのASMCA GUIツール」
-
ファイル・システムを作成するOracle ACFSコマンドの詳細は、「コマンドライン・ツールによるOracle ACFSの管理」
-
データベースで使用するOracle Clusterwareリソースの構成の詳細は、「Oracle ClusterwareリソースとOracle ACFSの管理」
互換性属性設定により使用可能になるOracle ACFS機能
このトピックでは、ディスク・グループの互換性属性設定の有効な組合せによって使用可能になるOracle ACFS機能を説明します。
次のリストは、ディスク・グループの互換性属性設定によって使用可能になるOracle ACFS機能に適用されます。
-
COMPATIBLE.ASM
の値は常に、COMPATIBLE.RDBMS
およびCOMPATIBLE.ADVM
の値以上である必要があります。 -
Oracle Grid Infrastructure 12.2.0.1ソフトウェア以降の
COMPATIBLE.ASM
の最小設定は11.2.0.2
です。 -
該当なしとは、属性の設定がその機能に影響を及ぼさないことを意味します。
-
次の表に明示的にリストされていないOracle ACFS機能については、ディスク・グループの互換性属性設定を拡張する必要はありません。
-
次の表に示すオペレーティング・システムによって明示的に特定されるOracle ACFS機能は、関連するディスク・グループ属性設定をはじめ、そのオペレーティング・システムで使用可能になります。
-
Oracle ASM 11g リリース2 (11.2.0.3)をLinuxで初回使用時に暗号化を設定する場合、またはLinux上でOracle ASM 11g リリース2 (11.2.0.3)へのソフトウェアのアップグレードに伴って、暗号化パラメータを変更または新しいボリュームの暗号化キーを作成する必要がある場合、ディスク・グループ互換性の属性
ASM
およびADVM
は、11.2.0.3
以上に設定する必要があります。 -
Oracle ACFSでのデータベース・ファイルによるレプリケーションまたは暗号化の使用は、サポートされていません。
-
Oracle Exadataストレージ上のOracle ACFSは、Oracle Grid Infrastructure 12.1.0.2 (Linux上)以上でサポートされます。
次の表に、ディスク・グループの互換性属性設定の有効な組合せによって使用可能になるOracle ACFS機能を示します。
表11-1 ディスク・グループの互換性属性設定により使用可能になるOracle ACFS機能
関連項目:
-
ディスク・グループの互換性属性の詳細は、ディスク・グループの互換性
-
制限事項を含む、Oracle ACFSファイル・システムでのデータファイルの格納の詳細は、「Oracle ACFSの概要」
-
リバランス処理と
ASM_POWER_LIMIT
初期化パラメータの詳細は、「ASM_POWER_LIMIT」
Oracle ClusterwareリソースとOracle ACFSの管理
Oracle Clusterwareリソースは、Oracle ACFSのすべての側面に対応します。リソースは、ボリュームの有効化と無効化、ドライバのロード、ファイル・システムのマウントとアンマウントの原因となります。
この項では、次の項目について説明します。
Oracle ACFSリソース・ベースの管理の概要
次に、Oracle ACFSリソース・ベースの管理の概要を示します。
-
Oracle ACFS、Oracle Kernel Services Driver(OKS)およびOracle ADVMドライバは、Oracle ASMインスタンスの起動時に動的にロードされます。
-
Oracle ACFS
このトライバは、すべてのOracle ACFSファイルおよびディレクトリ操作を処理します。
-
Oracle ADVM
このドライバは、ファイル・システムを作成するためにファイル・システムで使用されるOracle ADVMボリューム・ファイル用のブロック・デバイス・サービスを提供します。
-
Oracle Kernel Services Driver(OKS)
このドライバは、メモリー割当て、同期プリミティブおよび分散ロック・サービス用のポータブル・ドライバ・サービスをOracle ACFSおよびOracle ADVMに提供します。
ドライバは、単一リソース・セットとして管理されます。詳細は、「Oracle ACFSドライバ・リソース管理」および「Oracle ACFSドライバのコマンド」を参照してください。
-
-
ボリュームを作成する場合、Oracle ADVMでは、名前が
ora.
DISKGROUP
.
VOLUME
.advm
のリソースを作成します。このリソースは、通常、Oracle ASMからの透過的な高可用性コールによって管理されるため、ユーザー操作は必要ありません。ただし、ユーザーは、SRVCTLコマンド・インタフェースを使用したボリュームの開始および停止や、Oracle ASM再起動後のボリュームのデフォルト状態の制御が可能です。これは、特に、他のノード上のボリュームを操作する場合と同様、大規模なクラスタまたはOracle Flex ASMクラスタで役立ちます。さらに、Oracle Clusterwareスタックの他のリソースが依存性チェーンを維持する場合にOracle ADVMリソースを使用できます。依存性チェーンにより、プログラムの実行に必要なリソースが利用可能かどうかが確認されます。たとえば、リソースがOracle ADVMボリュームにバックアップしていたバックアップ・アプリケーションをモニタリングしていた場合、そのバックアップ・アプリケーションが、
START
およびSTOP
依存性リストでOracle ADVMボリューム・リソースを指定していることを確認するとします。Oracle ADVMボリューム・リソースによりボリュームが有効になるため、バックアップの開始前にボリュームが利用できるかどうかが確認されます。 -
Oracle ACFSファイル・システムは、Oracle ACFSまたはOracle Clusterwareコマンドライン・ツールを使用して手動でマウントまたはディスマウントされるか、Oracle Clusterwareリソース・アクションに基づいて自動的にマウントまたはディスマウントされます。
たとえば、Oracle Databaseホームのホストであるファイル・システムは、データベース・リソースで起動アクションを発行すると、データベース・ホーム・ファイル・システムにある依存Oracle ACFSがマウントされるように、関連付けられたOracle Databaseリソースの依存性リストで指定できます。
Oracle ACFSファイル・システム・リソースでは、次のアクションが提供されます。
-
MOUNT
START
操作時に、リソースは、そのリソースで構成されるパス上のファイル・システムをマウントします。Oracle ACFSファイル・システム・リソースでは、Oracle ASMスタックのすべてのコンポーネントがアクティブ(ボリューム・デバイス、ASM)である必要があるため、マウントを行う前にコンポーネントがアクティブであるかどうかが確認されます。 -
UNMOUNT
STOP
操作時に、リソースは、ファイル・システムのアンマウントを試行します。
-
-
Oracleでは、Oracle高可用性NFSに対して2種類のリソースを提供しています。詳細は、「Oracle ACFS NAS Maximum Availability eXtensions」を参照してください。
すべてのOracle Clusterwareリソースと同様に、これらのリソースは、基本となるデバイス、ファイル・システムまたはドライバをモニタリングすることで高可用性を実現し、オブジェクトが利用可能な状態を保つようにします。基礎となるオブジェクトが利用不可になる場合、各リソースは、基礎となるオブジェクトが再度利用可能になるようにします。
高可用性アクション
次に、高可用性リソースのアクションを示します。
-
Oracle ACFSリソース
このリソースは、ファイル・システムのアンマウントを試行します。アンマウントに成功すると、リソースは、ファイル・システムを再マウントして、ファイル・システムを再度利用可能な状態にします。アンマウント時にプロセスがファイル・システム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。
-
Oracle ADVMリソース
このリソースは、任意のボリューム・デバイスの無効化を試行して、そのボリューム・デバイスを再度有効にします。その時点で、構成されたOracle ACFSリソースはファイル・システムを再マウントできます。この期間にプロセスがボリューム上でアクティブな場合、リソースは、これらのプロセスを認識して終了します。
Oracle ACFSリソースの作成
Oracle ACFSリソースは次の方法で作成できます。
-
Oracle ASMコンフィギュレーション・アシスタント(ASMCA)には、最も頻度の高い機能を公開するGUIがあります。どのような場合でも、ファイル・システム・リソースの作成により、基本のファイル・システムがフォーマットされることはありません。リソースを開始しようとする場合、ユーザーは、手動で、またはASMCAを使用してファイル・システムをフォーマットする必要があります。
-
SRVCTLには、
filesystem
オブジェクトを介して、Oracle ACFSファイル・システム・リソースを作成するための柔軟性の高いコマンドライン・ユーティリティが用意されています。このメカニズムで作成されたOracle ACFSリソースは、サーバー・プールなどの全機能セットにアクセスできます。 -
acfsutil
コマンドにより、registry
オブジェクトを使用してOracle ACFSファイル・システム・リソースを作成する代替方法が提供されます。この方法で作成されたOracle ACFSリソースでは、アクセスできるオプションに制限があります。
SRVCTLコマンドとacfsutil
コマンドの違いは、次のとおりです。
-
SRVCTLで作成され、サーバー・プールまたはノード・リストを指定するOracle ACFSリソースは、そのノードのいずれかにのみマウントされます。(ノードローカル)
-
SRVCTLで作成されたOracle ACFSリソースは、Oracleサーバー・プールを利用できます。
-
acfsutil
コマンドで作成され、ノード・リストを指定するOracle ACFSリソースは、そのリストのノードすべてにマウントされます。(ノードローカル) -
acfsutil
コマンドで作成されたOracle ACFSリソースは、AUTOSTART
がALWAYS
に設定された状態で作成されます。 -
SRVCTLで作成されたOracle ACFSリソースでは、高度なアプリケーションID機能を使用できます。この機能を使用すると、管理者が設定するリソース・タイプが有効になります。タイプの設定後、他のリソースはこのタイプによって決まるため、各ノードで依存性を実施するように様々なノードローカル・ファイル・システムを使用できます。簡単な例では、これにより、管理者は、クラスタの各ノードの
/log
ディレクトリに異なるデバイスをマウントしたり、Apacheリソースを実行したりすることができます。Apacheリソースでは、個々のリソースを指定するのではなく、そのリソース依存性構造で新しいタイプを指定します。 -
SRVCTLで作成されたOracle ACFSリソースは、
AUTOSTART
パラメータを追加で指定できます。これらのパラメータを使用すると、スタックの起動時にリソースが開始することがなく、開始するリソースを常に強制したり、リソース(以前に実行していた場合)の開始のみを行うことができます。 -
SRVCTLで作成されたOracle ACFSリソースでは、アクセラレータ・ボリュームなどの機能にアクセスできます。
SRVCTLコマンドとacfsutil
コマンドの両方に共通する要素は、次のとおりです。
-
ユーザー
これは、リソースに影響を与える可能性のある追加ユーザーです。デフォルトでは、Oracle ACFSリソースを開始および停止する
root
ユーザーである必要があります。 -
オプション
これらは、リソースが開始している場合に、ファイル・システムのマウントに使用する必要があるマウント・オプションです。
ノードローカルまたはクラスタワイド・ファイル・システム
Oracle ACFSファイル・システム・リソースを作成すると、ノードローカル・ファイル・システムまたはクラスタワイド・ファイル・システムを作成できます。
-
ノードローカル
このファイル・システム・タイプは、マウントできるノード数に制限されます。SRVCTLコマンドと
acfsutil
コマンドのどちらで作成されるかに応じて、1つのノードのみ、ノードのサブセット、または構成されたすべてのノードにマウントできます。場合によっては、フル・クラスタ構成と同じように見えますが、新しいノードをクラスタに追加する場合、ファイル・システムは、許容されるノードのリストを変更しないと自動的にマウントされません。 -
クラスタワイド
このタイプのファイル・システムは、例外なく、クラスタのすべてのノードにマウントされます。新しいメンバーをクラスタに追加すると、ファイル・システムは、そのメンバー上で自動的に利用可能になります。このタイプのリソースは、Oracle DatabaseやOracle HANFSなどの特定の構成に必要です。
Oracle ACFSリソースのモニタリング
すべてのOracle Clusterwareリソースと同様に、Oracle ACFSリソースを使用すると、システムの状態をモニターできます。このモニタリングは、次のコマンドで行うことができます。
-
SRVCTLコマンドの使用
コマンド
srvctl
status
filesystem
またはsrvctl
status
volume
を実行すると、コマンドの出力によって、ファイルシステムがマウントされるか、ボリュームが有効になるか、どのノードがこれに当てはまるかが報告されます。 -
CRSCTLコマンドの使用
crsctl
status
resource
コマンドを実行すると、マウントされたファイル・システムまたは有効なボリュームのどちらかによって、利用可能なリソースごとにONLINE
の状態が報告されます。OFFLINE
の状態は、アンマウントされたファイル・システムまたは無効なボリュームのどちらかによって、利用不可のリソースごとに報告されます。追加のステータスは、この出力のSTATUS
フィールドに表示されます。
Oracle ACFSリソースの停止
ファイル・システムのマウント時に使用するマウント・オプションを指定します。
-
Oracle Clusterwareスタック全体を停止できます。Oracle Clusterwareスタックを停止すると、Oracle ACFSリソースはすべて自動的に停止します。
-
個々のリソースを停止するには、SRVCTL管理コマンドをOracle ACFSのファイル・システムまたはボリューム・オブジェクトとともに使用できます。停止しようとしているリソースに依存している他のリソースがある場合は、コマンドに
-force
オプションが必要な場合があります。 -
手動アクション(ファイル・システムでの
unmount
の実行や、ASMCMDコマンドまたはSQL*Plusコマンドを使用した手動によるボリュームの停止など)を行うことができます。この場合、Oracle ACFSリソースは、OFFLINE
状態に自動的に遷移します。
Oracle Grid Infrastructure以外のマウント・ポイントの使用により、一部の状況でカーネルでのボリュームのアンマウントおよび無効化ができない場合があります。次に例を示します。
-
ネットワーク・ファイル・システム(NFS)
-
Samba/共有インターネット・ファイル・システム(CIFS)
前述のいずれかの例に状況が当てはまる場合は、スタックの停止、ファイル・システムのアンマウント、またはボリュームの無効化を開始する前に、必ずこの機能の使用を中断してください。
また、一部のユーザー・スペース・プロセスおよびシステム・プロセスでは、Oracle Grid Infrastructureスタックがパッチ適用やアップグレード中に停止しないような方法で、ファイル・システムまたはボリューム・デバイスを使用する場合があります。この問題が発生した場合は、lsof
コマンドとfuser
コマンド(LinuxおよびUNIX)か、handle
コマンドとwmic
コマンド(Windows)を使用して、Oracle ACFSファイル・システムとOracle ADVMボリューム上でアクティブなプロセスを特定してください。これらのプロセスが確実にアクティブでなくなるようにするには、すべてのOracle ACFSファイル・システムまたはOracle ADVMボリュームをディスマウントし、Oracle Clusterwareの停止を発行します。このようにしないと、Oracle Clusterwareの停止時にOracle ACFSファイル・システムまたはOracle ADVMボリュームのアクティビティに関してエラーが発生する場合があり、Oracle Clusterwareの正常な停止を妨げることになります。
Oracle ACFSリソースの制限事項
Oracle ACFSには、リソースに関する次の制限事項があります。
-
すべてのOracle ACFSリソースの作成には、
root
権限が必要です。 -
すべてのOracle ACFSリソースの削除には、
root
権限が必要です。 -
すべてのOracle ACFSファイル・システム・リソースの操作(リソースの開始や停止など)には、
root
権限が必要ですが、データベース・ユーザーなどの別のユーザーがそれらを操作できるように構成可能です。この場合、root
ユーザーを使用してリソースを構成する必要があります。 -
すべてのOracle ADVMボリューム・リソースでは、
ASMADMIN
ユーザーの操作が許可されます。 -
すべてのOracle ACFSリソースは、Oracle RACモードでのみ利用可能です。Oracle ACFSリソースは、Oracle Restart構成でサポートされません。Oracle ACFSとOracle Restartの詳細は、Oracle ACFSとOracle Restartを参照してください。
Oracle ACFSとディスマウントまたは停止操作
Oracle ADVMボリューム・デバイス・ファイルで構成されたアクティブ・ファイル・システムは、Oracle ASMインスタンスが停止されるか、ディスク・グループがディスマウントされる前にディスマウントする必要があります。ファイル・システムがディスマウントされると、Oracle ASMファイルに対して使用中の参照はすべて削除され、関連ディスク・グループのディスマウントまたはインスタンスの停止が可能になります。
関連するOracle ACFSがアクティブであるときに、Oracle ASMインスタンスまたはディスク・グループが強制的に停止されるか、障害が発生すると、ファイル・システムはオフライン・エラー状態になります。ファイル・システムがOracle ADVMボリューム・ファイルに現在マウントされている場合は、それらのファイル・システムを先にディスマウントせずにOracle ASMインスタンスを終了するのに、SHUTDOWN
ABORT
コマンドを使用しないでください。使用すると、アプリケーションでIOエラーが発生し、Oracle ASMストレージの隔離前に、終了時点で書き込まれるOracle ACFSのユーザー・データおよびメタデータがストレージにフラッシュされない可能性があります。ファイル・システムのディスマウントが不可能な場合は、SHUTDOWN
ABORT
操作を発行する前に、2つのsync
(1)コマンドを実行してキャッシュ済のファイル・システム・データおよびメタデータを永続ストレージにフラッシュする必要があります。
その後でオフライン・ファイル・システムにアクセスしようとすると、エラーが戻されます。その状態からファイル・システムをリカバリするには、Oracle ACFSファイル・システムのディスマウントと再マウントが必要です。1つのアクティブ・ファイル・システムをアンマウントするには、たとえオフラインのものであっても、そのファイル・システムを使用するすべてのアプリケーション(シェル参照を含む)を停止する必要があります。たとえば、ファイル・システム・ディレクトリへの前のディレクトリ変更(cd
)です。Linuxのfuser
コマンドまたはlsof
コマンドは、プロセスおよびオープン・ファイルに関する情報を一覧表示します。
関連項目:
-
Oracle ASMインスタンスの停止の詳細は、Oracle Automatic Storage Management管理者ガイドを参照してください
-
ディスク・グループのディスマウントの詳細は、Oracle Automatic Storage Management管理者ガイドを参照してください
Oracle ACFSセキュリティ
Oracle ACFSセキュリティは、Oracle ACFSファイル・システムにレルムベースのセキュリティを提供します。それにより、ファイル・システム・オブジェクトへのアクセスを決定する、ユーザーおよびグループ用のセキュリティ・ポリシーを指定するレルムを作成することができます。
ノート:
Oracle ACFS 19c (19.5)以降では、Oracle ACFSセキュリティ(Vault)およびACFS監査は非推奨になりました。特定のクラスタ機能を非推奨にし、制限付きの採用とすることにより、オラクル社では、すべての機能の中核となるスケーリング、可用性および管理性の向上に注力できます。*Oracle ACFSセキュリティ(Vault)およびOracle ACFS監査は非推奨であり、将来のリリースでサポートされなくなる可能性があります。
このセキュリティ機能は、オペレーティング・システムが提供するアクセス制御の上の、より密なアクセス制御を提供します。Oracle ACFSセキュリティでは、暗号化機能を使用して、Oracle ACFSファイル・システムに保存されたレルム保護されたファイルの内容を保護することができます。
Oracle ACFSセキュリティはレルム、ルール、ルール・セット、コマンド・ルールを使用してセキュリティ・ポリシーを施行します。
-
Oracle ACFSセキュリティ・レルムは、ユーザーまたはユーザーのグループによるアクセスに対しセキュリティ保護されるファイルまたはディレクトリのグループです。レルムは密なアクセス制御を適用するルールのグループを含むルール・セットにより定義されます。Oracle ACFSセキュリティ・レルムは暗号化を可能にするコンテナとしても使用できます。
-
Oracle ACFSセキュリティ・ルールは、ルールが元にするシステム・パラメータに基づきtrueかfalseかを評価するブール式です。
-
Oracle ACFSルール・セットはルールの集合です。ルール・セットは、そこに含まれるルールの評価に基づき、
TRUE
またはFALSE
に評価されます。 -
Oracle ACFSコマンド・ルールはルール・セットへのファイル・システムの操作の関連付けです。たとえば、ルール・セットへのファイル・システムの作成、削除、または名前の変更操作の関連付けです。コマンド・ルールはOracle ACFSレルムと関連付けられます。
既存のオペレーティング・システム・ユーザーは最初のOracle ACFSセキュリティ管理者に指定され、既存のオペレーティング・システム・グループはセキュリティ管理者admin
グループに指定される必要があります。セキュリティ管理者は指定されたセキュリティ・グループのメンバーである必要があります。追加のユーザーをセキュリティ管理者として指定することができます。Oracle ACFSセキュリティ管理者はレルムごとにOracle ACFSファイル・システムに対する暗号化を管理できます。Oracle ACFSセキュリティ管理者はセキュリティ・レルム・パスワードにより認証されます。ユーザーのオペレーティング・システム・パスワードではありません。
最初のセキュリティ管理者は、ルート・ユーザーが実行するacfsutil
sec
init
コマンドによるOracle ACFSセキュリティの初期化中に作成されます。最初のセキュリティ管理者が作成されるときに、管理者にパスワードが割り当てられますが、これは管理者が変更できます。セキュリティ管理者がacfsutil
sec
コマンドを実行するたびに、管理者はセキュリティ・パスワードを求められます。管理者のセキュリティ・レルム・パスワードは、セキュリティの初期化プロセス中に作成されるウォレットに保存されます。このウォレットは、Oracle Cluster Registry (OCR)に配置されます。
監査および診断データがOracle ACFSセキュリティ用に記録されます。ログ・ファイルには、実行したacfsutil
コマンド、セキュリティまたはシステム管理者権限の使用、レルムの認可の確認障害などの実行時障害といった情報が含まれます。
レルム作成や暗号化の有効化などの監査イベントは、ファイル・システムで監査が有効になっていない場合のみ、これらのログ・ファイルに書き込まれます。監査が有効な場合、これらのイベントは監査証跡に書き込まれます。セキュリティおよび暗号化に関連する診断メッセージは、監査が有効であるかどうかにかかわらず、常にsec-hostname_fsid
.log
ファイルに書き込まれます。
ログは次のファイルに書き込まれます。
-
mount_point
/.Security
/realm/logs/sec-
hostname_fsid
.log
このディレクトリは
acfsutil
sec
prepare
コマンドにより作成され、Oracle ACFSセキュリティにより保護されます。 -
GRID_HOME
/log/
hostname
/acfs/security/acfssec.log
このファイルに記録されるメッセージは、
acfsutil
sec
init
などの、特定のファイル・システムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。
アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name
.bak
に移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name
.bak
ファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name
.bak
ファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。
Oracle ACFSセキュリティは次のオブジェクトを認証されないアクセスから保護します。
-
レルム保護されたディレクトリおよびユーザー・ファイル
Oracle ACFSセキュリティにより保護されたファイル・システムに存在するディレクトリおよびファイル。
-
Oracle ACFSセキュリティ・ディレクトリ(
mount_point
/.Security
)およびその内容セキュリティ・ディレクトリには、プレーンテキスト形式のログ・ファイルとXML形式のセキュリティ・メタデータ・バックアップ・ファイルが含まれます。Oracle ACFSセキュリティにより生成されたログ・ファイルは、有効なOracle ACFSセキュリティ管理者のみがアクセスできます。
-
Oracle ACFSセキュリティ・オブジェクト
次のオブジェクトは、Oracle ACFSセキュリティを管理するのに使用されるセキュリティ・レルム、ルール、およびルール・セットです。
Oracle ACFSファイル・システムのセキュリティ・レルム内のファイルへのアクセスは、セキュリティ・レルムと、Linux上の権限(所有者、グループ、その他)およびWindows上のアクセス制御リスト(ACL)のような基礎となるオペレーティング・システムの権限の両方により認証される必要があります。レルム保護されたファイルへのそれぞれのアクセスは、まずセキュリティ・レルム認証でチェックされます。アクセスがセキュリティ・レルムにより認証されると、次にファイルへのアクセスが、基礎となるオペレーティング・システムのアクセス制御チェックにより確認されます。両方のチェックを通過すると、レルム保護されたファイルへのアクセスが許可されます。
Oracle ACFSセキュリティでの処理では次のことに注意してください。
-
Oracle ACFSセキュリティはネットワーク上に送信されたデータは保護しません。
-
レルム保護されたファイルのコピーは、そのコピーがレルム保護されたディレクトリで作成されないかぎり、レルム保護されません。
vi
エディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルがレルム保護されたディレクトリに作成されると、レルムのセキュリティ・ポリシーが新しいファイルにも適用されます。新しいファイルがレルム保護されたディレクトリで作成されない場合は、新しいファイルはレルム保護されません。レルム保護されたファイルのコピーを計画している場合、親ディレクトリもセキュリティ・レルム保護されていることを確認する必要があります。セキュリティ・ポリシーはレルム保護されたディレクトリで作成された一時ファイルにも適用されます。
LinuxでOracle ACFSセキュリティ機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。WindowsでOracle ACFSセキュリティ機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.3
以上に設定されていることが必要です。
Oracle ACFSファイル・システムのセキュリティ情報はV$ASM_ACFS_SECURITY_INFO
ビューに表示されます。
関連項目:
-
Oracle ACFSの監査の詳細は、「Oracle ACFS監査」
-
Oracle ACFSファイル・システムの準備の詳細は、「acfsutil sec prepare」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
Oracle ACFSのセキュリティおよびスナップショットの詳細は、「Oracle ACFSスナップショットについて」
-
V$ASM_ACFS
ビューの詳細は、「ビューを使用したOracle ACFS情報の表示」 -
Oracle ACFSファイル・システムのセキュリティを構成する
acfsutil
sec
コマンドラインの機能の詳細は、「Oracle ACFSファイル・システムのセキュリティ保護」と「セキュリティ用のOracle ACFSコマンドライン・ツール」 -
ASMCAを使用したOracle ACFSセキュリティの構成の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」
-
OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。
Oracle ACFS暗号化
Oracle ACFS暗号化により、ディスクに保存されたデータ(保存データ)を暗号化できます。
暗号化機能は、Oracle ACFSファイル・システム内の暗号化された形式のデータを保護し、データの損失または盗用の場合にデータの認証されていない使用を防ぎます。暗号化されているファイルとされていないファイルは、同じOracle ACFSファイル・システムに共存できます。
暗号化機能には、システム管理者権限が必要なものがあります。この機能には、暗号化の開始、設定および再構成が含まれます。
システム管理者およびOracle ACFSセキュリティ管理者は暗号化の操作を開始できます。また、非特権ユーザーは自分が所有するファイルの暗号化を開始できます。
Oracle ACFS暗号化では、次の2つのタイプの暗号化キーを提供します。
-
ファイル暗号化キー
これはファイル用のキーで、ファイル内のデータを暗号化するのに使用されます。
-
ボリューム暗号化キー
これはファイル・システム用のキーで、ファイルの暗号化キーを暗号化するのに使用されます。
まず、暗号化キー・ストアを作成する必要があり、次にファイルシステム・レベルの暗号化パラメータを指定し、ディレクトリを識別する必要があります。ユーザーにファイル・データをアクセスするのに適切な特権があれば、ユーザーが暗号化されたファイルを読み取るのに追加のステップは必要ありません。
Oracle ACFS暗号化では、Oracle Cluster Registry (OCR)とOracle Key Vaultの両方をキー・ストアとしてサポートしています。OCRとOracle Key Vaultは両方とも、同じクラスタ内で使用できます。ただし、単一ファイル・システムでは、両方ではなくOCRまたはOracle Key Vaultのいずれかをキー・ストアとして使用します。Oracle Key Vaultは現在、Linux上のファイル・システムでのみ使用可能です。
OCRをキー・ストアとして使用している場合、パスワードで保護されたPKCSウォレットまたはパスワードなしSSOウォレットにボリューム暗号化キー(VEK)を格納できます。ボリューム暗号化キーの作成または更新後はOCRをバックアップして、ファイル・システムのすべてのボリューム暗号化キー(VEK)を含むOCRバックアップを確保する必要があります。
Oracle Key Vaultをキー・ストアとして使用している場合は、Oracle Key Vaultエンドポイントは"Oracle ACFS"のエンドポイント・タイプで作成する必要があることに注意してください。さらに、同じクラスタ内のOracle Key Vaultエンドポイントは、すべて同じエンドポイント・パスワードを共有する必要があります。
Oracle ACFS暗号化は、盗用やストレージ・メディアへの直接アクセスの脅威から、セカンダリ・ストレージに保存されたデータを保護します。データはセカンダリ・ストレージにプレーンテキストで書き込まれることはありません。物理ストレージが盗まれたとしても、保存されたデータは暗号化キーがなければアクセスできません。暗号化キーはプレーンテキストで保存されることはありません。キーは不明瞭化されるか、またはユーザーが指定したパスワードを使用して暗号化されます。
監査および診断データがOracle ACFS暗号化用に記録されます。ログ・ファイルには、実行したacfsutil
コマンド、セキュリティまたはシステム管理者権限の使用、実行時障害などの情報が含まれます。ログは次のファイルに書き込まれます。
-
mount_point
/.Security
/encryption/logs/encr-
hostname_fsid
.log
このディレクトリは、
acfsutil
encr
set
コマンドを使用して作成されます。 -
GRID_HOME
/log/
hostname
/acfs/security/acfssec.log
このファイルに記録されるメッセージは、
acfsutil
encr
init
などの、特定のファイル・システムと関連付けられていないコマンドに対してのものです。このディレクトリはインストール中に作成され、ルート・ユーザーが所有します。
アクティブ・ログ・ファイルが事前に定義した最大サイズ(10MB)まで増大すると、ファイルは自動的にlog_file_name
.bak
に移動し、管理者に通知され、ログは通常のログ・ファイル名で継続します。管理者に通知されると、管理者はlog_file_name
.bak
ファイルをアーカイブするか削除する必要があります。アクティブ・ログ・ファイルが最大サイズまで増大し、log_file_name
.bak
ファイルが存在する場合は、バックアップ・ファイルが削除されるまでログは停止します。バックアップ・ファイルが削除されると、ログは自動的に再開します。
Oracle ACFS暗号化での処理では次のことに注意してください。
-
暗号化されたファイルのコピーは、そのファイルのコピーが暗号化されたディレクトリで作成されないかぎり暗号化されません。
vi
エディタなど、アプリケーションによっては、ファイルが変更されるとファイルが再作成されるものがあります。変更されたファイルは一時ファイルとして保存され、元のファイルが削除され、一時ファイルがコピーされて、その名前として元のファイル名が使用されます。この処理では新しいファイルが作成されます。新しいファイルは、それが暗号化されたディレクトリで作成されないかぎり暗号化されません。暗号化されたファイルのコピーを計画している場合、親ディレクトリも暗号化されていることを確認する必要があります。 -
Oracle ACFSでのデータベース・ファイルによる暗号化の使用は、サポートされていません。
-
Oracle ACFS暗号化は、暗号化を使用しているファイル・システムのいずれかがOracle ACFSマウント・レジストリを使用してマウントされるように構成されている場合、パスワードで保護された(PKCS)ウォレットで使用できません。
-
ACFS暗号化はFIPS-140準拠ではありません。
LinuxでOracle ACFS暗号化機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。次のような場合、LinuxではASM
とADVM
に対するディスク・グループの互換性属性は11.2.0.3
以上に設定される必要があります。
-
Oracle ASM 11gリリース2 (11.2.0.3)で初回時に暗号化を設定する場合。
-
ソフトウェアのOracle ASM 11gリリース2 (11.2.0.3)へのアップグレードに伴って暗号化パラメータを変更、または新しいボリュームの暗号化キーを作成する必要がある場合。
Oracle ACFSファイル・システムの暗号化情報はV$ASM_ACFS_ENCRYPTION_INFO
ビューに表示されます。暗号化を構成し、暗号化されたOracle ACFSファイル・システムを管理するには、acfsutil
encr
コマンド機能とOracle ASMコンフィギュレーション・アシスタントを使用します。
ノート:
Oracle ACFS 21c以降、SolarisおよびMicrosoft Windowsオペレーティング・システムでOracle ACFS暗号化がサポート対象外になりました。Oracle SolarisおよびMicrosoft WindowsでのOracle ACFS暗号化は、RSAテクノロジに基づいています。RSAテクノロジのリタイアが通知されました。Linuxでは代替テクノロジを使用するため、Oracle ACFS暗号化はLinuxで引き続きサポートされ、この非推奨に影響を受けません。
関連項目:
-
ボリューム暗号化キーの変更と作成の詳細は、「acfsutil encr set」および「acfsutil encr rekey」
-
Oracle ACFS機能およびディスク・グループの互換性属性設定の詳細は、互換性属性設定により使用可能になるOracle ACFS機能を参照してください
-
Oracle ACFSの暗号化およびスナップショットの詳細は、「Oracle ACFSスナップショットについて」
-
V$ASM_ACFS
ビューの詳細は、「ビューを使用したOracle ACFS情報の表示」 -
Oracle ACFSコマンドライン・ツールによる暗号化の管理の詳細は、「Oracle ACFSファイル・システムの暗号化」と「暗号化用のOracle ACFSコマンドライン・ツール」
-
暗号化機能でのOracle ASMCAの使用の詳細は、「ASMCAによるOracle ACFSのセキュリティおよび暗号化の管理」
-
Oracle Key Vaultの詳細は、『Oracle Key Vault管理者ガイド』
Oracle ACFS圧縮
Oracle ACFS圧縮は、汎用ファイル用に指定されたOracle ACFSファイル・システムで有効になります。Oracle ACFS圧縮は、Oracle Databaseファイルではサポートされません。
キャッシュIO圧縮は、アプリケーションによってファイルに書き込まれた後に非同期で実行されます。ファイル・システムで圧縮を有効にすると、既存のファイルは圧縮されず、新規作成したファイルのみ圧縮されます。圧縮を無効にしても、圧縮済ファイルは解凍されません。圧縮済ファイルは圧縮単位に関連付けられ、圧縮アルゴリズムはこの単位に対して作用します。デフォルトの単位サイズは現在32Kです。lzo
は、デフォルトの圧縮アルゴリズムであり、現在サポートされている唯一の圧縮アルゴリズムです。
acfsutil
compress
コマンドは、acfsutil
compress
on
およびacfsutil
compress
off
によってファイル・システムの圧縮状態を設定およびリセットします。圧縮状態および圧縮操作の有効性を表示するには、acfsutil
compress
info
コマンドを使用します。acfsutil
info
fs
コマンドおよびacfsutil
info
file
コマンドは、Oracle ACFS圧縮状態に関してレポートするよう拡張されています。
圧縮済ファイルは、未圧縮ファイルよりディスク領域の消費が少なくなります。しかし、そのファイルを使用するアプリケーションに対して、レポートされるサイズは未圧縮ファイル・サイズと等しく、小さい方の圧縮済サイズではありません。ls
-l
などの一部のユーティリティは、ファイルの未圧縮サイズをレポートします。du
、acfsutil
compress
info
、acfsutil
info
file
などのユーティリティは、圧縮済ファイルの実際のディスク割当てをレポートします。
Oracle ACFS圧縮について、次の点に注意してください。
-
Oracle ACFS圧縮は、データベース・ファイルの保持を目的とするOracle ACFSファイル・システムではサポートされません。かわりに、Oracle Advanced Compressionを使用してください。
-
圧縮済ファイルでのループバック・マウントはサポートされません。これには、Oracle ACFSリモート・サービスでの使用を目的とするファイルが含まれます。ループバック・デバイスが圧縮済ファイルに関連付けられている場合、ループバック・デバイスに対する読取り操作および書込み操作は失敗します。
-
圧縮に対応しているOracle ACFSファイル・システムでは、ループバック・デバイスを未圧縮ファイルに関連付けることができます。
-
Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)の場合、Oracle ACFS圧縮はLinuxおよびAIXでサポートされます。
-
Oracle ACFS圧縮は、Oracle Grid Infrastructure 12cリリース2 (12.2.0.1)以降で使用可能なOracle ACFSスナップショットベースのレプリケーションでのみサポートされます。
-
ADVMディスク・グループ互換性を
12.2
以上に設定する必要があります。
関連項目:
-
Oracle ACFS圧縮コマンドの詳細は、「圧縮用のOracle ACFSコマンドライン・ツール」
-
acfsutil
info
コマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」
Oracle ACFS監査
ノート:
Oracle ACFS 19c (19.5)以降では、Oracle ACFSセキュリティ(Vault)およびACFS監査は非推奨になりました。特定のクラスタ機能を非推奨にし、制限付きの採用とすることにより、オラクル社では、すべての機能の中核となるスケーリング、可用性および管理性の向上に注力できます。*Oracle ACFSセキュリティ(Vault)およびOracle ACFS監査は非推奨であり、将来のリリースでサポートされなくなる可能性があります。
Oracle ACFS監査では、Oracle ACFSのセキュリティおよび暗号化に対する監査機能を提供します。この監査フレームワークでは、個々のノード上の各Oracle ACFSファイル・システム用に、個別の監査証跡を作成し、この監査ソースの管理および確認に関する義務の分離を強制します。
監査ソースは、Oracle ACFSセキュリティおよびOracle ACFS暗号化などのイベントのソースです。監査証跡は、監査レコードが書き込まれるログです。
この項では、次の項目について説明します。
Oracle ACFS監査について
Oracle ACFSセキュリティと暗号化は両方とも監査ソースで、これらのソースは、Oracle ACFS監査マネージャによって、有効化および無効化できます。これらのソースは、Oracle ACFSセキュリティおよび暗号化コマンドの実行結果として、イベントを生成します。
Oracle ACFSセキュリティ管理者は、セキュリティ違反および認可も監査できるようにレルム・レベルで監査を有効化できるとともに、セキュリティ管理者によって実行されたすべてのイベントを監査するためにセキュリティに関する監査を有効化できます。Oracle ACFSレルム・セキュリティ監査を使用する前に、Oracle ACFSセキュリティ・ソースを有効化する必要があります。
すべてのコマンド・ルールに対してすべての認可および違反を監査するレルム監査ポリシーを設定すると、監査証跡がすぐに最大サイズまで増加することがあります。管理者は、要件に対して監査レベルを慎重に調整し、冗長な監査出力を生成している監査ポリシーが、監査証跡と監査証跡バックアップ・ファイルのアクティブな監視および管理(アーカイブやパージなど)をさらに必要としていることに注意する必要があります。
ファイル・システム監査ソースの生成とともに、Oracle ACFS監査では、ファイングレインの監査ポリシーを、レルムごとに個別に設定できます。Oracle ACFS監査機能では、Oracle Audit Vault and Database FirewallにデータをインポートするAudit Vaultコレクタ用のインフラストラクチャが提供されます。このコレクタは、Oracle ACFSとは別で、Oracle ACFS監査データをAudit Vault Serverにインポートする手段として機能します。
監査ソースの構成および管理用の職責は、Oracle ACFS監査マネージャとOracle ACFS監査者のロールに分かれます。システム管理者には、Oracle ACFS監査マネージャとOracle ACFS監査者のオペレーティング・システム(OS)グループに対してユーザーを追加および削除する権限があります。
Oracle ACFS監査マネージャは、監査ソースのコンテンツにアクセスでき、監査データを読み取ることができます。ただし、監査マネージャは、監査ソースを変更することはできません。Oracle ACFS監査マネージャのセットは、クラスタ間で同じです。
Oracle ACFS監査者は、監査ソースのコンテンツの表示および分析を担当し、たとえば、分析およびアーカイブされたレコードや、安全にパージできるレコードを、Oracle ACFS監査マネージャに示します。Oracle ACFS監査者は、監査ソースのコンテンツへのアクセス権限を持つ、システム上のユーザーのみである必要があります。Oracle ACFS監査者には、監査レコードを削除またはパージするために必要な権限はありません。Oracle ACFS監査者のセットは、クラスタ間で同じです。
監査アーカイブ・プロセスでは、監査証跡ログ・ファイル(.log)を監査証跡バックアップ・ファイル(.log.bak)に名前を変更し、Audit Vault ServerによってインポートできるXMLファイルを生成します。この場合、Audit Vault Serverでは、監査者として、監査証跡ディレクトリおよび機能への読取りアクセス権限のみ付与されます。XMLファイルのデータをAudit Vault Serverにインポートした後で、監査者機能では、監査証跡バックアップ・ファイルにread
とマークし、監査マネージャは、パージを実行して、監査証跡バックアップ・ファイルおよびXMLファイルを削除できます。
Oracle ACFSファイル・システムの監査を構成するには、acfsutil
audit
init
コマンドを実行して、Oracle ACFSの監査を初期化してから、acfsutil
audit
enable
を実行し、指定したファイル・システムでOracle ACFS暗号化またはセキュリティの監査を有効にします。
関連項目:
-
acfsutil
audit
コマンドの詳細は、「監査用のOracle ACFSコマンドライン・ツール」 -
acfsutil
sec
realm
audit
enable
コマンドとacfsutil
sec
realm
audit
disable
コマンドを使用して、Oracle ACFSセキュリティ・レルムで特定のコマンドに対する監査を有効化または無効化する方法の詳細は、「セキュリティ用のOracle ACFSコマンドライン・ツール」 -
Oracle ACFSの監査に関連するビューの詳細は、「Oracle ACFS情報を表示するビュー」
-
Audit Vault Serverの詳細は、『Oracle Audit Vault and Database Firewall管理者ガイド』を参照してください。
-
OSユーザーおよびOSグループの設定の詳細は、ご使用のオペレーティング・システム(OS)固有のドキュメントを参照してください。
監査証跡ファイル
監査証跡ファイルは、一連の監査レコードで構成されます。各監査レコードは、1つのイベントを表します。監査証跡ファイルは、mount_point
/.Security/audit
ディレクトリにあります。
Oracle ACFS監査で生成される監査証跡ファイルは、次に対して使用可能になることが想定されています。
-
テキスト表示ツールを使用した、Oracle ACFS監査者による手動確認
-
Oracle Audit Vault and Database Firewallへのインポート
-
監査ソースを解析およびインポートできるサード・パーティ製品
監査証跡ファイルは、監査レコードで構成されます。監査レコードには複数の異なるタイプがあり、それぞれが一意のイベントのタイプを表し、イベントの診断に関連する様々な情報が含まれます。イベントのタイプは、次のとおりです。
監査証跡ファイルに入力された監査レコード・フィールドの組合せは、イベント・タイプによって異なります。
各レコードは、フィールドの名前と値のセットとして監査証跡ファイルに書き込まれます。レコードのタイプに応じて、フィールドの数およびタイプが異なります。フィールドは、名前と値のペアで構成され、field name:valueの形式で、最後に改行文字が続きます。
監査証跡ファイルに指定できる監査レコード・フィールドについて、次のリストで説明します。丸カッコで囲まれた文字列は、監査証跡ログ・ファイルに表示されるフィールド名です。
-
タイムスタンプ(
Timestamp
): イベントが発生した時間で、常にUTCで指定されます。タイムスタンプの形式は、MM/DD/YYYY HH:MM:SS UTC
です。 -
イベント・コード(
Event
): イベントのタイプを識別するコード。評価結果コードのリストは、「ファイル・アクセス・イベント」および「権限使用イベント」を参照してください。 -
ソース(
Source
):Oracle ACFS
-
ユーザー識別(
User
): イベントをトリガーしたユーザー。これは、LinuxプラットフォームではユーザーIDで、WindowsではユーザーSIDです。 -
グループ識別(
Group
): イベントをトリガーしたユーザーのプライマリ・グループ。これは、Linuxプラットフォームではユーザーのプライマリ・グループのIDで、Windowsではユーザーのプライマリ・グループのSIDです。 -
プロセス識別(
Process
): 現在のプロセスID。 -
ホスト名(
Host
): イベントを記録したホスト。 -
アプリケーション名(
Application
): 現在のプロセス用のアプリケーション名。 -
レルム名(
Realm
): 違反したレルム、または、認可され、ファイルを保護しているレルムの名前。 -
ファイル名(
File
): ユーザーがアクセスしていたファイル名。 -
評価結果(
Evaluation
Result
): このフィールドには、実行されたコマンドの結果に関する情報が含まれます。評価結果コードのリストは、「評価結果イベント」を参照してください。 -
ファイルシステムID (
FileSystem-ID
): -
メッセージ(
Message
): メッセージ・フィールドには、実行されたコマンドに関する情報およびその結果が含まれています。
例11-1に、監査証跡ファイルの例を示します。
例11-1 監査証跡ファイルの例
Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_READ_OP Source: Oracle_ACFS User: 0 Group: 0 Process: 1234 Host: slc01hug Application: cat Realm: MedicalDataRealm File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_VIOLATION FileSystem-ID: 1079529531 Message: Realm authorization failed for file ops READ Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_WRITE_OP Source: Oracle_ACFS User: 102 Group: 102 Process: 4567 Host: slc01hug Application: vi Realm: PayrollRealm,SecuredFiles File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_AUTH FileSystem-ID: 1079529531 Message: Realm authorization succeeded for file ops WRITE Timestamp: 06/08/12 10:42:20:977 UTC Event: ACFS_SEC_PREPARE Source: Oracle_ACFS User: 507867 Group: 8500 Process: 603 Host: slc01hug Application: acfsutil.bin Evaluation Result: ACFS_CMD_SUCCESS FileSystem-ID: 1079529531 Message: acfsutil sec prepare: ACFS-10627: Mount point '/mnt' is now prepared for security operations.
ファイル・アクセス・イベント
ファイル・アクセス・イベントには、レルムの認可と違反の両方のレコードが含まれます。これらのイベントは、類似した構造をすべてのイベントと共有しますが、イベント・コードは異なります。評価結果(Evaluation
Result
)フィールドには、ACFS_AUDIT_REALM_VIOLATION
またはACFS_AUDIT_REALM_AUTH
のいずれかを指定できます。
ファイル・アクセス・イベント用に指定できるイベント・コード(Event
)は、次のとおりです。
-
ACFS_AUDIT_APPENDFILE_OP
-
ACFS_AUDIT_CHGRP_OP
-
ACFS_AUDIT_CHMOD_OP
-
ACFS_AUDIT_CHOWN_OP
-
ACFS_AUDIT_CREATEFILE_OP
-
ACFS_AUDIT_DELETEFILE_OP
-
ACFS_AUDIT_EXTEND_OP
-
ACFS_AUDIT_GET_EXTATTR_OP
-
ACFS_AUDIT_LINKFILE_OP
-
ACFS_AUDIT_MKDIR_OP
-
ACFS_AUDIT_MMAPREAD_OP
-
ACFS_AUDIT_MMAPWRITE_OP
-
ACFS_AUDIT_MUTABLE_OP
-
ACFS_AUDIT_OPENFILE_OP
-
ACFS_AUDIT_OVERWRITE_OP
-
ACFS_AUDIT_READ_OP
-
ACFS_AUDIT_READDIR_OP
-
ACFS_AUDIT_RENAME_OP
-
ACFS_AUDIT_RMDIR_OP
-
ACFS_AUDIT_SET_EXTATTR_OP
-
ACFS_AUDIT_SYMLINK_OP
-
ACFS_AUDIT_TRUNCATE_OP
-
ACFS_AUDIT_WRITE_OP
権限使用イベント
権限使用イベントには、セキュリティ管理者またはシステム管理者が実行するセキュリティ・コマンド、およびシステム管理者またはファイル所有者が実行する暗号化コマンドがあります。
ACFS_AUDIT_INIT
、ACFS_SEC_INIT
およびACFS_ENCR_INIT
イベントは、Oracle Grid Infrastructureホームにあるグローバル・ログに書き込まれます。
権限使用イベント用に指定できるイベント・コード(Event
)は、次のとおりです。
-
ACFS_AUDIT_ARCHIVE
-
ACFS_AUDIT_DISABLE
-
ACFS_AUDIT_ENABLE
-
ACFS_AUDIT_INIT
-
ACFS_AUDIT_PURGE
-
ACFS_AUDIT_READ
-
ACFS_ENCR_FILE_OFF
-
ACFS_ENCR_FILE_ON
-
ACFS_ENCR_FILE_REKEY
-
ACFS_ENCR_FS_OFF
-
ACFS_ENCR_FS_ON
-
ACFS_ENCR_INIT
-
ACFS_ENCR_SET
-
ACFS_ENCR_SET_UNDO
-
ACFS_ENCR_VOL_REKEY
-
ACFS_ENCR_WALLET_STORE
-
ACFS_REALM_AUDIT_DISABLE
-
ACFS_REALM_EDIT_ENCR
-
ACFS_REALM_AUDIT_ENABLE
-
ACFS_SEC_LOAD
-
ACFS_SEC_PREPARE
-
ACFS_SEC_PREPARE_UNDO
-
ACFS_SEC_REALM_ADD
-
ACFS_SEC_REALM_CLONE
-
ACFS_SEC_REALM_CREATE
-
ACFS_SEC_REALM_DELETE
-
ACFS_SEC_REALM_DESTROY
-
ACFS_SEC_RULE_CREATE
-
ACFS_SEC_RULE_DESTROY
-
ACFS_SEC_RULE_EDIT
-
ACFS_SEC_RULESET_CREATE
-
ACFS_SEC_RULESET_DESTROY
-
ACFS_SEC_RULESET_EDIT
-
ACFS_SEC_SAVE
評価結果イベント
評価結果イベント・コードは、コマンドの実行ステータスに関する情報を提供します。
評価結果イベント・コードには、次のいずれかを指定できます。
-
ACFS_AUDIT_REALM_VIOLATION
- コマンドを実行しているユーザーには、コマンドを実行するための適切なレルム・アクセス権限がありません。 -
ACFS_AUDIT_REALM_AUTH
- レルム評価の結果を示します。 -
ACFS_AUDIT_MGR_PRIV
- 監査マネージャ権限が必要ですが、ユーザーには付与されていません。 -
ACFS_AUDITOR_PRIV
- 監査者権限が必要ですが、ユーザーには付与されていません。 -
ACFS_CMD_SUCCESS
- コマンドは、タスクの実行に成功しました。 -
ACFS_CMD_FAILURE
- コマンドは、タスクの実行に失敗しました。 -
ACFS_ENCR_WALLET_AUTH_FAIL
- 暗号化ウォレットのオープン時に、システム管理者が不正なパスワードを指定しています。 -
ACFS_INSUFFICIENT_PRIV
- ファイル所有者またはシステム管理者権限のいずれかが必要ですが、ユーザーには付与されていません。 -
ACFS_SEC_ADMIN_PRIV
- セキュリティ管理者権限が必要ですが、ユーザーはセキュリティ管理者ではありません。 -
ACFS_SEC_ADMIN_AUTH_FAIL
- 有効なセキュリティ管理者は、Oracle ACFSセキュリティ管理パスワードを使用した適切な認証に失敗しました。 -
ACFS_SYS_ADMIN_PRIV
- システム管理者権限が必要ですが、ユーザーには付与されていません。
Oracle ACFSレプリケーション
Oracle ACFSスナップショットベースのレプリケーションにより、ネットワーク経由でのOracle ACFSファイル・システムのリモート・サイトへのレプリケーションが可能になり、ファイル・システムに対する障害時リカバリ機能が提供されます。
Oracle ACFSレプリケーションでは、マウントされたファイル・システム、またはマウントされたファイル・システムのスナップショットをレプリケーション・ストレージ・ロケーションとして指定できます。Oracle ACFSレプリケーション関係のソースOracle ACFSロケーションはプライマリ・ロケーションと呼ばれます。Oracle ACFSレプリケーション関係のターゲットOracle ACFSロケーションはスタンバイ・ロケーションと呼ばれます。
ノート:
-
Oracle ACFSレプリケーション機能は、各プライマリ・ロケーションの1つのスタンバイ・ロケーションのみをサポートします。
-
スタンバイ・ロケーションは、レプリケーションがアクティブであるかぎり、読取り専用です。スタンバイの読取り-書込みスナップショットを作成できます。
-
Linux、SolarisまたはAIXを実行しているプライマリ・サイトは、Oracle ACFSをサポートし、それらのオペレーティング・システムのいずれかを実行しているスタンバイ・サイトにレプリケートできます。Windowsを実行しているプライマリ・サイトは、Windowsを実行しているスタンバイ・サイトにのみレプリケートできます。
アプリケーション・データは、Oracle ACFSレプリケーションのクロス・プラットフォーム使用では変更されません。Oracle ACFSレプリケーションで行われるのは、異なるオペレーティング・システム間で転送されるメタデータの妥当性の確認のみです。
-
プライマリ・サイトおよびスタンバイ・サイトでは、同じバージョンのOracle Grid Infrastructureソフトウェアが実行中である必要があります。サイトをアップグレードする場合、最初にスタンバイ・サイトを更新します。
-
Oracle ACFSレプリケーションは、Oracle Restartでサポートされていません。
-
Oracle Key Vaultキーストアは、レプリケーション・ロケーションを含むスタンバイ・ファイル・システムではサポートされません。
-
レプリケーション・ロケーションを含むプライマリ・ファイル・システムでは、Oracle ACFS暗号化を元に戻せません。
アクティブなスナップショットを保持するファイル・システムでは、暗号化を元に戻せません。アクティブ・レプリケーション・ロケーションを含むプライマリ・ファイル・システムで暗号化を元に戻す場合は、まずレプリケーションを終了します。レプリケーションが停止したら、暗号化を元に戻してレプリケーションを再開します。
サイトはプライマリ・ロケーションとスタンバイ・ロケーションの両方をホストできます。たとえば、クラスタ・サイトA
およびB
がある場合、サイトA
にホストされたプライマリ・ファイル・システムは、サイトB
のスタンバイ・スナップショットにレプリケートできます。同様に、サイトB
にホストされたプライマリ・スナップショットは、サイトA
のスタンバイ・ファイル・システムにレプリケートできます。ただし、Oracle ACFSファイル・システムまたはスナップショットは、同時にプライマリおよびスタンバイのロケーションとして使用できません。
Oracle ACFSスナップショットベースのレプリケーションは、プライマリ・ロケーションのスナップショットを記録することで機能します。最初のスナップショットがスタンバイ・ロケーションに転送された後、プライマリの連続するスナップショット間の変更をスタンバイ・ロケーションに転送することで、レプリケーションは続行します。このようなレプリケーション操作は、常時モード(前の操作が完了するとすぐに新しい操作を開始できる)で実行することも、固定間隔で実行されるようにスケジュールすることもできます。このレプリケーション・ソリューションは、本来非同期です。
Oracle ACFSレプリケーションでは、最初にプライマリ・サイトでスナップショット機能を使用して、最初のスナップショットのコンテンツと、その後に2つの指定されたスナップショット間の差異をともに外部化します。その結果は、スナップショット複製ストリームと呼ばれます。次に、レプリケーション・プロセスでは、スタンバイ・サイトでスナップショット機能を使用して、このストリームをスタンバイ・ロケーションに適用し、プライマリ・ロケーションの複製を作成します。
プライマリでは、連続するスナップショットを比較することでレプリケーションが機能するため、プライマリをホストするサイトに、各スナップショットに記録されるプライマリのバージョンの他、現行プライマリのコンテンツも格納するための使用可能なディスク領域が十分にあることが重要です。さらに、必要なスナップショットを作成するのに十分な領域が常にある必要があります。各レプリケーション・スナップショットは、不要になると削除されます。
スタンバイでは、各レプリケーション操作の最後にバックアップ・スナップショットが作成されます。このスナップショットは、スタンバイの最新の一貫性のあるコンテンツを記録し、現行のレプリケーション操作時に永続的な機能停止が発生した場合にそれらのコンテンツのリカバリに使用できます。各バックアップ・スナップショットは、次のレプリケーション操作が完了すると削除されるため、常にバックアップ・スナップショットを作成できる必要があります。さらに、スナップショットで取得されたスタンバイのバージョンおよび現行スタンバイのコンテンツ用にも十分な領域が存在する必要があります。
プライマリ・ファイル・システムおよびスタンバイ・ファイル・システムでディスク領域が不足していないことを確認する必要があります。いずれかのファイル・システムで、使用可能なストレージが不足する場合は、ファイル・システムを拡張するか、ファイル・システムのファイルまたは存在する任意の読取り-書込みスナップショットを削除して領域を解放する必要があります。自動サイズ変更を構成して、領域不足を回避することもできます。
プライマリ・ファイル・システムが領域不足になり、ファイルを削除することで領域を解放することにした場合は、レプリケートされていないファイルのみを削除する必要があります。レプリケートされたファイルは、スタンバイ・ファイル・システムに転送されるまでスナップショットに格納されていて、削除されません。レプリケーションによって作成されていないOracle ACFSスナップショットは削除できます。
Oracle ACFSレプリケーションでは、ssh
ユーティリティをプライマリ・クラスタとスタンバイ・クラスタ間のトランスポートとして使用します。ssh
の自動使用を有効にするために、レプリケーションでは2種類のキーを構成する必要があります。これらのキーは、レプリケーションが実行可能になっている各ノードで使用できる必要があります。
-
それぞれのクラスタの各ノードでは、システム管理者ユーザー(Windows以外のシステムではrootユーザー、Windowsではローカル
SYSTEM
)に、他のクラスタのノードごとに格納されているホスト・キーが必要です。 -
それぞれのクラスタの各ノードでは、指定された非特権ユーザー(適用ユーザー)には、そのノードで適用ユーザーとしてログインする権限を与えられたrootまたはローカル
SYSTEM
用に格納された公開キーが必要です。通常、この公開キーは、他のクラスタのノードのroot(またはローカルSYSTEM
)用の公開キーと秘密キーのペアの一部として定義されます。
プライマリ・ホストで実行されているレプリケーションは、ホスト・キーを使用してデータを送信しているスタンバイ・ホストを認証できる必要があるため、これらのキーが必要です。また、プライマリ・ホストで実行されているレプリケーションでは、ユーザー・キーを使用してスタンバイ・ホストに適用ユーザーとしてログインし、スタンバイ・ロケーションを更新できる必要があります。さらに、レプリケーションでは、プライマリおよびスタンバイで実行されているロールを入れ替えることができます。このロール・リバーサル操作を正常に実行するためには、プライマリ・ホストとスタンバイ・ホストで同じタイプのssh
キーが構成されている必要があります。詳細は、「Oracle ACFSレプリケーションで使用するためのsshの構成」を参照してください。
ssh
は、Windowsではネイティブには提供されません。必要なキーおよびその構成方法の詳細と、Windowsでのssh
のインストールおよび構成の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」を参照してください。
ファイル・システムまたはスナップショットでレプリケーションを使用する前に、次のことを確認してください。
-
プライマリ・ロケーションとスタンバイ・ロケーション間のレプリケーションをサポートするのに十分なネットワーク・バンド幅があること。
-
プライマリ・ロケーションおよびスタンバイ・ロケーションをホストするサイトの構成により、スタンバイ・ファイル・システムがプライマリ・ロケーションでの変更速度についていくことができること。
-
ssh
用のホスト・キーおよびユーザー・キーが適切に構成されていること。
Oracle ACFSファイル・システムまたはスナップショットのディレクトリおよびファイルには、ファイル・システム内でレプリケートする特定のオブジェクトを選択できるようにタグを付けることができます。
特定のロケーションをレプリケートする前に、プライマリ・ロケーションをホストしているサイト、スタンバイ・ロケーションをホストしているサイト、レプリケートするファイル・システム、ロケーションでのファイル・システムのマウント・ポイント、およびタグのリストなどの必要情報を特定するために、レプリケーション構成を作成する必要があります。
プライマリ・サイトおよびスタンバイ・サイトでは、2つのロケーションで使用中のすべてのuids
およびgids
を含め、同じユーザー構成とグループ構成を共有する必要があります。レプリケーションが有効になっている各スタンバイ・ノードで、前述の適用ユーザーを構成する必要があります。このユーザーはOracle ASM管理グループのメンバーである必要があります。
ノート:
ユーザー名と数値のuids
、およびグループ名と数値のgids
との間のマッピングは、プライマリ・クラスタとスタンバイ・クラスタの両方で同一である必要があります。 レプリケーションでの数値の転送はプライマリからスタンバイに対してのみ行われるため、両方のクラスタで数値が同じように使用されるようにするためにはこれが必須です。
Oracle ACFSレプリケーションには、元のプライマリ・ロケーションとスタンバイ・ロケーションのロールの入れ替えを可能にする、レプリケーションのロール・リバーサル機能が用意されています。acfsutil
repl
reverse
コマンドを使用して、元のプライマリを新しいスタンバイに変更し、元のスタンバイを新しいプライマリに変更できます。ロール・リバーサル機能は、レプリケーションを拡張して追加のディザスタ・リカバリ機能を提供します。
Oracle ACFSレプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASM
およびADVM
のディスク・グループ互換性属性が12.2
以上に設定されている必要があります。Oracle ACFSロール・リバーサル・レプリケーション機能を使用するには、プライマリ・ロケーションおよびスタンバイ・ロケーションのファイル・システムを含むディスク・グループのASM
およびADVM
のディスク・グループ互換性属性が18.0
以上に設定されている必要があります。
Oracle ACFSレプリケーションをSolaris Sparcハードウェアを使用するには、システムをSolaris 10 Update 8以降で実行中である必要があります。
レプリケーションを構成し、レプリケートされたOracle ACFSロケーションを管理するにはacfsutil
repl
コマンドライン機能を使用します。
ノート:
Oracle ACFS 19c (19.3)以上では、Oracle ACFSレプリケーション・プロトコル・バージョン1は非推奨になりました。レプリケーション・プロトコル・バージョン1は、Oracle ACFS 12cリリース2 (12.2.0.1)で導入されたスナップショットベースのレプリケーション・バージョン2に置き換えられました。
関連項目:
-
Oracle ACFS
acfsutil
レプリケーション・コマンドの詳細は、レプリケーション用のOracle ACFSコマンドライン・ツールを参照してください。 -
Oracle ACFSレプリケーションと他のOracle ACFS機能の併用の詳細は、監査、暗号化およびセキュリティを使用したOracle ACFSレプリケーション
-
Oracle ACFSファイル・システムのサイズ変更の詳細は、「acfsutil size」
-
タグ付けの詳細は、「Oracle ACFSタグ付け」
-
Oracle ASMのユーザー権限の詳細は、「Oracle ASMの権限について」
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
acfsutil
repl
コマンドライン関数を使用したレプリケーションの構成およびレプリケートされたOracle ACFSファイル・システムの管理の詳細は、Oracle ACFSファイル・システムのレプリケーションを参照してください。 -
既存のOracle ACFSレプリケーション環境を、リリース12.2.0.1で導入されたスナップショットベースのレプリケーションに変換する方法の詳細は、「Oracle ACFSスナップショットベースのレプリケーションの構成」
-
Oracle Maximum Availability Architecture (MAA)のWebサイトにある、ネットワーク・チューニングに関する情報:
https://www.oracle.com/database/technologies/high-availability/maa.html
-
ネットワーク・チューニングの関連情報は、Data Guard Redo転送とネットワーク構成のドキュメント
-
Oracle ACFSのWebサイトにある追加情報:
https://www.oracle.com/database/technologies/rac/acfs.html
Oracle ACFSタグ付け
Oracle ACFSタグ付けは共通の名前付け属性をファイルのグループに割り当てます。
Oracle ACFSレプリケーションはこのタグを使用して、別のリモート・クラスタ・サイトへのレプリケーション用にユニークなタグ名のファイルを選択することができます。タグ付けオプションにより、Oracle ACFSファイル・システム全体をレプリケートする必要がなくなります。
Oracle ACFSは拡張属性を使用してタグ付けを実装します。編集ツールやバックアップ・ユーティリティの中には、デフォルトで元のファイルの拡張属性を保持しないものがあり、特定のスイッチを設定する必要があります。次のリストに、Oracle ACFSタグ名が元のファイルで保存されるようにするための、共通のユーティリティに対する必要な要件とスイッチ設定を示します。
-
cp
コマンドでは、タグ名を保存するためのフラグが必要です。Linuxに
coreutils
ライブラリ(バージョンcoreutils-5.97-23.el5_4.1.src.rpm
またはcoreutils-5.97-23.el5_4.2.x86_64.rpm
以降)をインストールして、--preserve=xattr
スイッチを使用して拡張属性の保存をサポートするcp
コマンドと、スイッチを使用せずに拡張属性の保存をサポートするmv
コマンドのバージョンをインストールします。cp
は、シンボリック・リンク・ファイルに割り当てられたタグ名を保存しません。ファイルおよびディレクトリ上にタグ名を保存するために必要な
cp
スイッチは、次のとおりです。-
Linux:
--preserve=xattr
-
Solaris:
-@
-
AIX:
-U
-
Windows: スイッチは不要です。
-
-
cpio
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
cpio
スイッチは、次のとおりです。-
Linux:
cpio
はタグ名を保存しません。 -
Solaris:
-@
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
AIX:
-U
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Windows: 使用できません。
-
-
emacs
では、backup-by-copying
オプションが非nil値に設定され、バックアップ・コピーではなく元のファイル名のタグ名が保存されます。このオプションは.emacs
ファイルに追加される必要があります。 -
pax
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
pax
スイッチは、次のとおりです。-
Linux:
pax
はタグ名を保存しません。 -
Solaris:
-@
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
AIX:
-U
は、ファイルおよびディレクトリのタグ名の保存またはリストアのために必要ですが、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Windows: 使用できません。
-
-
rsync
ファイル転送ユーティリティでは、タグ名を保存するためのフラグが必要です。ファイルおよびディレクトリ上にタグ名を保存するために必要な
rsync
スイッチは、次のとおりです。-
Linux:
-X
-l
は、ファイルおよびディレクトリのタグ名の保存のために必要ですが、これらのスイッチは、シンボリック・リンク・ファイルのタグ名を保存しません。 -
Solaris:
rsync
はタグ名を保存しません。 -
AIX: 使用できません。
-
Windows: 使用できません。
-
-
tar
バックアップ・ユーティリティでは、ファイル上でタグ名を保存するために、コマンドラインでフラグを設定できます。ただし、tar
は、シンボリック・リンク・ファイルに割り当てられたタグ名を保持しません。Windowsでの
tar
バックアップ・ユーティリティでは、拡張属性を保存するためのスイッチが存在しないので、現在、タグ名の保持はサポートされません。ファイルおよびディレクトリ上にタグ名を保存するために必要な
tar
スイッチは、次のとおりです。-
Linux:
--xattrs
-
Solaris:
-@
-
AIX:
-U
-
Windows:
tar
はタグ名を保存しません。
-
-
vim
またはvi
エディタでは、ファイルのバックアップ・コピーを作成し、元のファイルを上書きするために、.vimrc
(Linux)または_vimrc
(Windows)ファイルに、set bkc=yes
オプションが必要です。これは元のファイルのタグ名を保存します。
LinuxでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.2
以上に設定されていることが必要です。WindowsでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が11.2.0.3
以上に設定されていることが必要です。SolarisまたはAIXでOracle ACFSタグ付け機能を使用するには、ASM
およびADVM
のディスク・グループの互換性属性が12.1
以上に設定されていることが必要です。
関連項目:
-
ディスク・グループの互換性の詳細は、「ディスク・グループの互換性」
-
acfsutil
tag
コマンドライン機能を使用してタグ付けを構成し、タグ付けされたOracle ACFSファイル・システムを管理する方法の詳細は、「Oracle ACFSファイル・システムのタグ付け」と「タグ付け用のOracle ACFSコマンドライン・ツール」 -
Oracle ACFSタグ付けのアプリケーション・プログラミング・インタフェース(API)の詳細は、「Oracle ACFSタグ付けの汎用アプリケーション・プログラミング・インタフェース」
監査、暗号化およびセキュリティを使用したOracle ACFSレプリケーション
監査、暗号化、およびレルムベースのセキュリティ機能は、レプリケーションが構成されているOracle ACFSファイル・システムで有効にできます。レプリケートされたスタンバイ・ファイル・システムは、プライマリ・ファイル・システムと同じ監査、セキュリティまたは暗号化ポリシーで保護されます。このレプリケートされた環境では、プライマリおよびスタンバイ・ファイル・システムの両方が12.1以上のインストールである必要があります。Oracle ACFSレプリケーションの詳細は、「Oracle ACFSレプリケーション」を参照してください。
確実にレプリケーションに成功するには、スタンバイ・ファイル・システムは、監査、暗号化またはセキュリティ・メタデータがない汎用ファイル・システムである必要があります。Oracle ACFSでは、セキュリティまたは暗号化を一度設定し、後でセキュリティまたは暗号化を削除したスタンバイ・ファイル・システムの使用はサポートされていません。Oracle ACFS監査、暗号化およびセキュリティ用に満たす必要がある追加の条件は、この項でリストされています。
Oracle ACFSの監査されたファイル・システムの場合、次のことに注意してください。
-
監査が有効化されたファイル・システムをレプリケートする前、またはレプリケートされたファイル・システムを監査する前に、スタンバイ・ファイル・システムで監査を初期化する必要があります。
-
プライマリ・ファイル・システムに存在する監査ポリシーはスタンバイ・ファイル・システムにレプリケートされ、プライマリ・ファイル・システムで実行されたポリシー・アクションはスタンバイ・ファイル・システムで設定されます。
-
スタンバイ・ファイル・システムに監査証跡の2つのセットが存在します。プライマリ・ファイル・システムの証跡は、通常のファイルとしてスタンバイ・ファイル・システムにレプリケートされます。ファイル・システム・アクティビティはスタンバイ・ファイル・システムでイベントを生成し、それがスタンバイ・ファイル・システムの監査証跡に記録されます。監査証跡名にはホスト名とFSIDの両方が含まれているため、監査証跡名は2つの証跡のセットを区別するのに役立ちます。
Oracle ACFSの暗号化されたファイル・システムの場合、次のことに注意してください。
-
プライマリ・ファイル・システムで暗号化されたファイルは、同じキーと暗号化パラメータ(アルゴリズムおよびキーの長さ)を持つスタンバイ・ファイル・システムで暗号化されたまです。
-
プライマリ・ファイル・システムで行われた暗号化操作(オン、オフおよびキー更新)は、スタンバイ・ファイル・システムでリプレイされます。
-
ファイル・システムのレプリケートの前または後に、暗号化を有効にできます。どちらの場合でも、一方が存在しない場合、スタンバイ・ファイル・システムで
acfsutil
encr
init
が実行されないため、暗号化ウォレットがスタンバイ・ファイル・システムに透過的に作成されます。 -
パスワードで保護されたウォレットは、スタンバイ・ファイル・システムでサポートされません。スタンバイ・ファイル・システムとして使用するサイトにPKCSウォレットがすでに存在する場合、管理者は、
acfsutil
keystore
migrate
コマンドを使用して、すべてのキーをSSOウォレットに転送する必要があります。
Oracle ACFSのセキュリティ保護されたファイル・システムの場合、次のことに注意してください。
-
セキュリティが有効化されたファイル・システムをレプリケートする前に、スタンバイ・ファイル・システムをセキュリティ用に初期化する必要があります。
-
ルール、ルールセットおよびレルムはスタンバイ・ファイル・システムにレプリケートされ、同じポリシーがスタンバイ・ファイル・システムに存在します。ポリシーおよびファイルの保護の観点から、スタンバイ・ファイル・システムはまったく同じです。
-
セキュリティが有効化されたファイル・システムでレプリケーションを有効化することも、レプリケートされたファイル・システムでセキュリティを有効化することもできます。セキュリティの準備の一部として、セキュリティはスタンバイ・ファイル・システムでも有効化されます。
-
ファイル・システムにセキュリティとレプリケーションを一緒に持っている場合、追加のユーザー操作やステップは必要ありません。
-
スタンバイ・ファイル・システムに、セキュリティ管理者やセキュリティ管理者グループの別のセットを設定できます。
Oracle ACFSプラグイン
Oracle ACFSプラグイン機能によって、ユーザー領域アプリケーションは、オペレーティング・システム環境からジャストインタイムのOracle ACFSファイルおよびOracle ADVMボリュームのメトリックを収集できます。
アプリケーションは、Oracle ACFSプラグイン・インフラストラクチャを使用して、Oracle ACFSファイル・システムおよびボリュームの詳細データを含めるように一般アプリケーション・ファイル・メトリック・インタフェースを拡張する、カスタマイズされたソリューションを作成できます。
Oracle ACFSプラグイン機能は、スタンドアロン・ホストにマウントされた個々のOracle ACFSファイル・システム上で、またはOracle ACFSファイル・システムがマウントされているOracleグリッド・クラスタの1つ以上のノード上で、有効化できます。この機能では、ノードローカル・プラグインが有効化されたOracle ACFSファイル・システムと、Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェース(API)を使用した関連するユーザー領域アプリケーション・モジュールとの間で、メッセージ通信を行うことができます。
プラグイン・メッセージAPIでは、メッセージ配信モデルおよび複数のメッセージ・ペイロード・タイプのポーリングとポスティングの両方がサポートされています。
関連項目:
-
Oracle ACFSのプラグイン・コマンドの詳細は、「Oracle ACFSコマンドライン・ユーティリティ」
-
Oracle ACFSプラグインのアプリケーション・プログラミング・インタフェースの詳細は、「Oracle ACFSプラグインの汎用アプリケーション・プログラミング・インタフェース」
Oracle ACFSアクセラレータ・ボリューム
アクセラレータ・ボリュームを使用すると、Oracle ACFSメタデータへのアクセスおよび更新にかかる時間が短縮され、パフォーマンスが向上する可能性があります。アクセラレータ・ボリュームは、プライマリ・ボリュームのストレージよりも大幅に高速なストレージを使用してディスク・グループに作成する必要があります。たとえば、Solid State Disk (SSD)を使用できます。Oracle ADVMボリュームは、ASMCMD volcreate
コマンドを使用して作成されます。volcreate
コマンドの詳細は、volcreateを参照してください。
アクセラレータ・ボリュームの推奨サイズは、ワークロードによって決まります。特に、多数のエクステントがあるファイルに役に立ちます(特にそのエクステント・メタデータが頻繁に更新される場合)。acfsutil
info
file
コマンドを使用して、ファイルのエクステントに関するレポートを表示できます。通常、データベース・ファイルには多数のエクステントがあり、Oracle ACFSスナップショットが使用中の場合、エクステント・メタデータは頻繁に更新されます。アクセラレータによって大きな恩恵を受けるワークロードは、圧縮されたファイル・システムです。
Oracle ACFSで重要なメタデータに対してアクセラレータの領域を割り当てられない場合、そのメタデータはかわりにプライマリ・ボリュームに格納されます。メタデータの更新頻度によっては、パフォーマンスに対して過度の影響を及ぼす可能性があります。高速メタデータと同じトランザクションに低速メタデータが書き込まれると、低速メタデータによって操作全体のパフォーマンスが低下します。
アクセラレータの推奨開始サイズは、ファイル・システム・サイズの少なくとも0.6%です。データベース・ワークロードの複数のポイント・イン・タイムを表す多くのスナップショットが使用中である場合、スナップショット当たり0.4%加算することをお薦めします。たとえば、5個のスナップショットがあるファイル・システムでは、サイズがプライマリ・ボリューム・サイズの2.6%であるアクセラレータが必要です。acfsutil
size
を構成して、アクセラレータを必要に応じてプライマリ・ボリュームとともに自動的に拡張することができます。アクセラレータは、64 MB単位で増加します。アクセラレータ・ボリュームの最小サイズは256 Mです。mkfs
は、初期アクセラレータ・サイズがプライマリ・ボリューム・サイズの0.4%以上であることを必要とします。
アクセラレータ・ボリュームは、mkfs
コマンドで指定されたプライマリ・ボリュームにリンクされます。ファイル・システムをマウントする際、プライマリ・ボリュームのみを指定します。アクセラレータ・ボリュームを含むファイル・システムをマウントした後になんらかの理由でそのボリュームがアクセス不可になった場合、ファイル・システムはオフラインになります。Oracle ACFSファイル・システムに関連付けることができるストレージ・アクセラレータ・ボリュームは1つだけです。アクセラレータ・ボリュームがファイル・システムに関連付けられた後、そのボリュームとファイル・システムの関連付けを解除できません。
アクセラレータ・ボリュームは、mkfs
コマンドの-a
オプションを使用してLinux環境に作成できます。Linuxでアクセラレータ・ボリュームを作成するには、COMPATIBLE.ADVM
の値が12.2
以上である必要があります。アクセラレータ・ボリュームの管理に使用するコマンドの詳細は、次を参照してください。
-
既存のアクセラレータ・ボリュームの置換に関する詳細は、acfsutil accel replace
Oracle ACFS NAS Maximum Availability eXtensions
Oracle ACFS NAS Maximum Availability eXtensions (Oracle ACFS NAS/MAX)は、NFSやSMBなどの一般的なNASプロトコルに高可用性拡張機能を提供する一連の拡張機能です。
これらの拡張機能を使用する際、問題のプロトコルは高可用性モードで実行されており、プロトコルはOracle RACクラスタ内のノード間を移動できます。この機能は、特定プロトコルのシングル・ポイント障害に対処する手段であるため、クラスタのノードが1つ以上使用できる場合、プロトコルは使用可能です。高可用性だけでなく、拡張機能により、一般的なNASプロトコルおよびOracle ACFSスタックとの統合が実現するため、管理者はインフラストラクチャを追加作成しなくても、このようなプロトコルを簡単に利用できます。Oracle ACFS NAS Maximum Availability eXtensions機能により、値が既存のOS NASプロトコル実装に追加されますが、置き換わることはありません。
Oracle ACFS NAS|MAXは、RMANバックアップ・セットのdNFSターゲットとしてサポートされています。このサポートは、Oracle ACFS 19cリリースから始まります。これにより、HA-NFS機能を使用して、RMANのスケーリングおよび高可用性dNFSバックアップ・ターゲットを提供できるようになります。このガイドに記載されているその他の制限(暗号化やレプリケーションにおけるサポートの不足など)は、引き続き有効です。
Oracle ACFS高可用性ネットワーク・ファイル・システム
Oracle Grid Infrastructure用の高可用性ネットワーク・ファイル・システム(HANFS)では、高可用性仮想IP (HAVIP)でNFSエクスポートを公開し、Oracle Clusterwareエージェントを使用してVIPおよびNFSエクスポートが常にオンラインであることを確認することによって、NFS v2、v3またはv4でエクスポートされたパスの連続したサービスが提供されます。ベースのNFSではファイル・ロックがサポートされていますが、HANFSではNFSファイル・ロックはサポートされていません(NFS v4を除く)。NFSロックが設定されたOracle ACFS HANFSを参照してください。
ノート:
-
この機能は、ホスト・コンピュータで使用可能な、稼働中のNFSサーバー構成に依存します。Oracle ACFSのNFSエクスポート機能を使用する前に、NFSサーバーを構成する必要があります。
-
この機能は、Windowsでは使用できません。
-
この機能は、Oracle Restart構成ではサポートされていません。
-
HAVIPは少なくとも1つのファイル・システムのエクポートのリソースが作成されるまで起動しません。
Oracle Grid Infrastructure用の高可用性NFSを設定するには、次のステップを実行します。
-
新しいHAVIPリソースを追加および登録します。
次に例を示します。
# srvctl add havip -id hrexports -address my_havip_name
たとえば、
my_havip_name
はVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイル・システムのマウント時に、クライアント・システムにより使用されます。srvctl
add
havip
の最初の処理では、次のことを確認します。-
使用するアドレスが動的ではなく、静的であること。
-
DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。
-
ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。
-
名前が使用中ではないこと。
SRVCTLは、
id
を使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.network
のnetwork
リソース(指定されている場合)が存在することを確認します。このステップの後で、SRVCTLは、ora.
id
.havip
の名前で、タイプora.havip.type
のhavip
を追加します。この例では、名前はora.
hrexports
.havip
です。次のSRVCTLでは、
active
dispersion
などのHAVIP起動依存性を変更し、停止依存性を設定し、description
属性(指定されている場合)が適切に設定されていることを確認します。 -
-
Oracle ACFSの共有ファイル・システムを作成します。
Oracle Grid Infrastructure用の高可用性NFSは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイル・システムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイル・システムは、サポートされていません。高可用性NFSは、Oracle ACFS以外のファイル・システムではサポートされていません。
-
Oracle ACFSファイル・システムを登録します。
次に例を示します。
$ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \ -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
-
Oracle ACFSファイル・システムのエクスポート・リソースを作成します。
次に例を示します。
# srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1
ファイル・システムのエクスポート・リソースを作成してから、ステップ1で作成したHAVIPを起動し、
srvctl
start
havip
コマンドを使用してファイル・システムをエクスポートします。基礎となるOracle ACFSファイル・システムのFSIDおよび一意の識別子を利用して、NFSマウント・オプションFSIDがエクスポート・オプションに追加されます。このFSIDオプションによって、ノード間の信頼できるフェイルオーバーが提供され、スナップショットのマウントの使用が可能になります。
構成されたエクスポートのデフォルトのマウント・オプションおよびエクスポート・オプションは、NFSサーバーのデフォルトになります。
完全修飾された相対パスは、絶対パスに変換されます。完全修飾されていない相対パスは、エクスポート・パスとして受け入れられません。
VIPは、使用可能なファイル・システムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この分散は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。
ノート:
エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。
HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。
HAVIPの実行中に停止されたエクスポートを使用しているクライアントでは、NFSエラー
estale
が発生し、ファイル・システムをディスマウントおよび再マウントする必要があります。HANFSによってエクスポートされたファイル・システムをクライアントにマウントする際、次の
CLIENT
マウント・オプションをお薦めします。hard,intr,retrans=10000
NFSロックが設定されたOracle ACFS HANFS
Oracle ACFS HANFSでは、NFSロックが設定されたHANFS NFS v4がサポートされるようになりました。この機能は、特定のオペレーティング・システム(OS)のプラットフォームでのみ使用できます。この機能をアクティブにするには、Oracle Grid Infrastructureソフトウェアのインストール後に追加のステップを実行する必要があります。このようなステップを完了して初めて、クラスタのOS NFSサーバー機能がOracle Clusterwareスタックによって管理されます。さらに、特定のOS NFS構成ファイルの場所がデフォルトの場所から、指定したOracle ACFSファイル・システムに移動されます。
一般的なタスクには、次のようなものがあります。
-
アクティブ化:
acfshanfs addnode
-
アンインストール:
acfshanfs uninstall
-
インストール・ステータスの確認:
acfshanfs installed
-
このプラットフォームがサポートされているかどうかの確認:
acfshanfs supported
HANFS v4ロック機能をアクティブにする際、次のコマンドを各ノードで実行する必要があります。
# grid_home/bin/acfshanfs addnode -nfsv4lock -volume volume_device
ボリュームは、Oracle ACFSファイル・システムでフォーマットされ、指定のOracle ACFSクラスタウェアのマウント・ポイントにマウントされます。たとえば、Linuxでは次のようになります。
/dev/asm/nfs-81 on /var/lib/nfs type acfs (rw)
Oracle ADVMボリュームに対する制限には、次のようなものがあります。
-
この新しいOracle ADVMボリュームについて、既存のOracle ACFSリソースがないこと。
-
このOracle ADVMボリュームにOracle ACFSファイル・システムが存在しないこと。
-
このOracle ADVMボリュームがクラスタ内のどこでも使用されていないこと。
Oracle HANFS v4ロック機能がアクティブの場合、通常のHANFSの操作とは異なります。次のような違いがあります。
-
OS NFSサーバーは、
ora.netstorageservice
リソースによるOracle Clusterwareの制御下にあります。Oracle Clusterwareスタックを起動および停止すると、OS NFSサーバーも起動および停止します。 -
このリソースには、Oracle ACFSファイル・システムへの依存性があります:
ora.data_hostname.nfs.acfs
hostnameは、Oracle HANFSロックの設定が実行されている最初のノードのホスト名です。
-
Oracle HANFSのみを使用して、Oracle RACクラスタからNFSファイル・システムをエクスポートする必要があります。NFSサーバーは構成され、Oracle RACクラスタ中を移動させられます。NFSサーバーが代替クラスタ・ノードに移動した場合、Oracle HANFSによってエクスポートされたファイル・システムのみがアクセス可能です。
-
ロックが初期化されると、Oracle HANFSエクスポートがクラスタ全体に分散される非ロック・モードとは異なり、Oracle HANFSエクスポートは1つのノードからしか実行されません。
-
クライアント・ノードでは、NFS v4をNFSバージョンとして指定してファイル・システムをマウントします。これにより、サーバーがNFS v3にデフォルト設定されず、NFS v4ロック機能のサポートが可能になります。
高可用性ロックをアクティブにすると、ロックが設定されたHANFSの制御は、この項で前述したのと同様です。
高可用性SMBが設定されたOracle ACFS HANFS
Oracle ACFSでは、以前のMicrosoft実装ではCIFS (共通インターネット・ファイル・システム)とも呼ばれた高可用性Samba (SMB)がサポートされます。このプロトコルは、Microsoftサーバーおよびアクティブ・ディレクトリ・ドメインとインタフェースをとるために一般的に使用され、様々なオペレーティング・システム(OS)の実装でサポートされています。しかし、Oracle ACFS高可用性SMBでは、Microsoft SMB実装またはSambaが必要です。
次の点に注意してください。
-
Sambaは、www.samba.orgから入手できます。
-
高可用性SMBを利用しようとする前に、ホストOSでSambaまたはSMBが適切に構成されていることを確認します。
-
高可用性SMBは、Oracle Restartモードではサポートされません。
-
HAVIPリソースを追加したら、SMBエクスポート・リソースも追加する必要があります。そうしないと、HAVIPリソースは起動しません。
-
最高のパフォーマンスと最良の結果を得るためには、サーバーとクライアントの両方で必ずSMB3を使用します。次の点に注意してください。
-
最新バージョンのSamba (v4以上)を使用します。
-
最新のMicrosoft OSバージョン(2012以上)を使用します。SMBバージョンを確認するには、Powershell
cmdlet Get-SmbConnection
コマンドを使用します。 -
旧バージョンのSMBでは、ストレージ障害後にクライアントはSMBエクスポートを再マウントする必要があります。
-
-
HANFSと同様、コマンドラインにオプションを指定することもでき、オプションはホスト・オペレーティング・システムに渡されます。適切なエラー・メッセージが返されます。SRVCTLコマンドにオプションを指定しない場合、次のデフォルトのオプションが適用されます。
-
Windows: 全員にREADアクセス権
-
Linux、SolarisおよびAIX: 読取り専用、ブラウズ可能 = True
-
-
サポートされているオプション・セットは次のとおりです。
-
Windows:
net.exe
コマンドでサポートされているオプション。 -
Linux、SolarisまたはAIX: Samba構成スタンザでサポートされているオプション。
-
Oracle Grid Infrastructure用の高可用性SMBを設定するには、次のステップを実行します。
-
新しいHAVIPリソースを追加および登録します。
次に例を示します。
# srvctl add havip -id hrexports -address my_havip_name
たとえば、
my_havip_name
はVIPアドレスに対応するドメインネーム・サーバー(DNS)にマップされ、ファイル・システムのマウント時に、クライアント・システムにより使用されます。srvctl
add
havip
の最初の処理では、次のことを確認します。-
使用するアドレスが動的ではなく、静的であること。
-
DNS名は、ラウンドロビンの複数のDNS解決ではなく、1つのホストのみに解決すること。
-
ネットワーク・リソース、指定したIPアドレスおよび解決された名前は、同じサブネットにあること。
-
名前が使用中ではないこと。
SRVCTLは、
id
を使用し、一意であることを確認して、適切なHAVIP名を作成します。最後の検証ステップとして、SRVCTLは、ora.net#.network
のnetwork
リソース(指定されている場合)が存在することを確認します。このステップの後で、SRVCTLは、ora.
id
.havip
の名前で、タイプora.havip.type
のhavip
を追加します。この例では、名前はora.
hrexports
.havip
です。次のSRVCTLでは、
active
dispersion
などのHAVIP起動依存性を変更し、停止依存性を設定し、description
属性(指定されている場合)が適切に設定されていることを確認します。 -
-
Oracle ACFSの共有ファイル・システムを作成します。
Oracle Grid Infrastructure用の高可用性SMBは、クラスタ全体のアクセシビリティ用に構成されたOracle ACFSファイル・システムでのみ動作し、クラスタ・ノードの特定のサブセットでのアクセス用に構成されたOracle ACFSファイル・システムはサポートされていません。高可用性NFSは、Oracle ACFS以外のファイル・システムではサポートされていません。
-
Oracle ACFSファイル・システムを登録します。
次に例を示します。
$ srvctl add filesystem -device /dev/asm/d1volume1-295 -volume VOLUME1 \ -diskgroup HR_DATA -mountpath /oracle/cluster1/acfs1
-
Oracle ACFSファイル・システムのエクスポート・リソースを作成します。
次に例を示します。
# srvctl add exportfs -id hrexports -path /oracle/cluster1/acfs1 -name hrexport1 –type SMB
ファイル・システムのエクスポート・リソースを作成してから、ステップ1で作成したHAVIPを起動し、
srvctl
start
havip
コマンドを使用してファイル・システムをエクスポートします。リソースの起動時に、Oracle ACFSエクスポート・リソースではSamba構成ファイルを作成するか(Linux、Solaris、AIX)、
net.exe
バイナリを実行してファイル・システムをエクスポートします。VIPは、使用可能なファイル・システムおよび他の実行中のVIPに基づいて、実行するのに最適なサーバーを検出しようとしますが、この動作は、クラスタの参加または離脱ノードなど、CSSメンバーシップの変更イベントの際にのみ発生します。
ノート:
-
エクスポートを個別に開始および停止することはお薦めしません。この機能は、HAVIPの起動および停止操作によって指定する必要があります。
-
HAVIPが実行されていない場合、エクスポートは別のノードに指定できます。関連するHAVIPが起動すると、エクスポートは単一のノードに収集されます。
-
関連項目:
-
Oracle ACFSファイル・システムの作成の詳細は、「Oracle ACFSファイル・システムの作成」
-
srvctl
add
filesystem
コマンドの詳細は、『Oracle Real Application Clusters管理およびデプロイメント・ガイド』 -
Oracle Clusterwareリソースの詳細は、『Oracle Clusterware管理およびデプロイメント・ガイド』
-
SRVCTLコマンドの詳細は、Oracle Clusterware管理およびデプロイメント・ガイドおよびOracle Real Application Clusters管理およびデプロイメント・ガイドを参照してください。
クラスタ・ドメイン内のOracle ACFSリモート・サービス
Oracle ACFSは、接続されたローカル・ストレージがないOracle Databaseメンバー・クラスタ(間接ストレージ・メンバー・クラスタ)上で、ネイティブOracle ACFS機能のOracle ACFSリモート・サービスを提供します。Oracleドメイン・サービス・クラスタ(DSC)でOracle ACFSのデプロイメントを使用することにより、Oracle ACFSリモート・サービスをOracleアプリケーション・クラスタとOracle Databaseメンバー・クラスタの両方に使用して、柔軟でファイル・システムをベースとしたアプリケーションおよびデータベースのデプロイメントを可能にできます。
ノート:
Oracle ACFS 19c (19.5)以降では、メンバー・クラスタでのOracle ACFSの使用(ACFSリモート)は非推奨になりました。メンバー・クラスタでのOracle ACFSの使用(ACFSリモート)は非推奨であり、将来のリリースで削除される可能性があります。特定のクラスタ機能を非推奨にし、制限付きの採用とすることにより、オラクル社では、すべての機能の中核となるスケーリング、可用性および管理性の向上に注力できます。*
Oracle Grid Infrastructure 19c (19.5)以降、Oracleクラスタ・ドメイン・アーキテクチャに含まれるメンバー・クラスタは非推奨になりました。Oracleメンバー・クラスタは非推奨であり、将来のリリースでサポートされなくなる可能性があります。特定のクラスタ機能を非推奨にし、制限付きの採用とすることにより、オラクル社では、すべての機能の中核となるスケーリング、可用性および管理性の向上に注力できます。Oracleクラスタ・ドメインは、ドメイン・サービス・クラスタ(DSC)とメンバー・クラスタで構成されます。メンバー・クラスタが非推奨になったことは、DSCと使用しているクラスタリングに影響を及ぼしますが、他の本番クラスタにサービスをホストする機能には影響しません。次回のソフトウェアまたはハードウェアのアップグレードで、クラスタ・ドメイン - メンバー・クラスタを使用しない構成に移行することをお薦めします。
Oracle ACFSリモート・サービスでサポートされるシステム
Oracle ACFSリモート・サービスを使用するOracle Databaseメンバー・クラスタの要件は次のとおりです。
-
Oracle ACFSリモート・サービスには、トランスポート構成のためにOpen-iSCSI iSCSIイニシエータが必要です。Open-iSCSIの最新リリースをお薦めします。
-
Oracle ACFSリモート・サービスではLinuxのみがサポートされます。サポートされているバージョンは、RedHat Enterprise Linux6および7と、Oracle Linux6および7です。
Oracle ACFSリモート・サービスでのDSCの要件は次のとおりです。
-
Oracle ACFSリモート・サービスでは、Oracle Linux7およびRedHat Linux7のみがサポートされます。
-
Oracle ACFSリモート・サービスには、カーネルのUEK3、UEK4、またはそれ以降のバージョンが必要です。
-
Oracle ACFSリモート・サービスには、少なくとも次のパッケージの最小バージョンが必要です。
-
python-2.7.5-34.0.1.el7.x86_64
-
python-rtslib-2.1.fb57-3.el7.noarch
-
python-configshell-1.1.fb18-1.el7.noarch
-
targetcli-2.1.fb41-3.el7.noarch
-
python-six-1.9.0-2.el7.noarch
-
acfsremote
supported
コマンドを実行して、現在のシステムがOracle ACFSリモート・サービスでサポートされているかどうかを判断できます。
Oracle ACFSリモート・サービスの設定およびベスト・プラクティス
Oracle ACFSリモート・サービスの設定には次の項目が含まれます。
-
トランスポートの作成
Oracle Databaseメンバー・クラスタがエクスポートにアクセスできる方法を提供するために、DSCにトランスポートを作成します。Oracle ACFSリモート・サービスは、iSCSIトランスポートをサポートしており、エクスポートを作成して特定のメンバー・クラスタ・ノード・イニシエータ(IQN)にiSCSIターゲットを割り当て、その指定したメンバー・クラスタ・ノードのみへのアクセスを提供します。
すべてのOracle Databaseメンバー・クラスタが、独自の分離されたトランスポートを持つようにします。これは、VLANまたは複数のネットワークの使用により実現できます。この設定により、iSCSIネットワークと同様に、トランスポート・ネットワーク上のネットワーク・アクティビティが分離されます。完全な冗長性のためには、メンバー・クラスタごとに複数のトランスポートを構成して、トランスポート・リンク障害を軽減できるようにする必要があります。さらに、各Oracle Databaseメンバー・クラスタの複数のトランスポートによりマルチパス化が可能になります。Oracle Databaseメンバー・クラスタは、単一のトランスポートを共有するよう構成できます。
advmutil
transport
コマンドは、分離を強制しないことに注意してください。 -
リポジトリの作成
Oracle ACFSリモート・サービスで使用されるストレージ用のリポジトリをDSCに作成します。このリポジトリは、単一のOracle ACFSファイル・システムとして開始されます。最適な設定のためには、Oracle ACFSリモート・サービスで使用する、別個のOracle ASMフレックス冗長性ディスク・グループを作成します。このグループは、Oracle Databaseメンバー・クラスタごとに1つの高冗長性Oracle ADVMボリュームと1つの標準冗長性ボリュームを含んでいる必要があります。この構成は、分離、管理、および領域効率の間のトレードオフを表します。この設定では、リポジトリはボリューム・レベルで他のメンバー・クラスタから分離されており、管理するディスク・グループは1つのみです。メンバー・クラスタごとに1つのディスク・グループを使用することで、さらなる分離を実現できます。領域効率性を達成するには、標準ボリュームと高冗長性ボリュームの両方を使用して、重要なファイルを高冗長性ボリュームに格納できるようにします。
ボリュームを作成した後、Oracle ACFSファイル・システムを使用してそれらをフォーマットします。次に、
srvctl
add
filesystem
を実行して、スタックの起動時にファイル・システムを自動マウントするよう登録します。自動マウントにより、スタックが開始されるとすぐにリポジトリが使用可能になるため、Oracle Databaseメンバー・クラスタはそれらのストレージを使用できます。リポジトリで自動サイズ変更を構成できます。これにより、Oracle ACFSファイル・システムで領域が不足した場合、ファイル・システムのサイズ変更が行われます。自動サイズ変更が有効な場合、1つのメンバー・クラスタが、使用可能なディスク・グループ・スペースすべてを使用しないようにしてください。ASMCA GUIツールを使用して、Oracle ADVMボリュームを管理するためのステップを実行できます。
-
エクスポートの作成
Domain Services Cluster (DSC)で
advmutil
export
コマンドを実行して、DSCのリポジトリにエクスポートを作成します。メンバー・クラスタが実行されている場合、メンバー・クラスタは新しいエクスポートを選択します。メンバー・クラスタ上でOracle Clusterwareスタックが実行されていないか、メンバー・クラスタが起動されていない場合、メンバー・クラスタは、Oracle Clusterwareスタックが次回開始されたときに新規エクスポートを検出して使用します。これは通常、メンバー・クラスタの起動時に発生します。ターゲットがエクスポートされた方法によっては、エクスポートがメンバー・クラスタにボリュームとして表示されるまでに数分かかる場合があります。エクスポートは、ドメイン・サービス・クラスタ上でエクスポートが格納されている、基礎となるOracle ACFSリモート・サービス・リポジトリと同じ冗長性保護レベル(高、標準、外部)をメンバー・クラスタ上に反映します。 -
メンバー・クラスタでのエクスポートの使用
エクスポートが追加された後、メンバー・クラスタは遅延後に
/dev/asm/
ディレクトリに新しいボリューム・デバイスを表示します。このボリューム・デバイスに関連付けられている名前は、client ADVM deviceフィールドの下のDSCのadvmutil
export
list
出力にあります。このボリューム・デバイスは、Oracle ACFSコマンドでフォーマットし、標準のOracle ACFSコマンドを使用してマウントし、srvctl
コマンドを使用してOracle Clusterwareスタックに追加できます。エクスポートは、Oracle ACFSファイル・システムをホストできる完全なOracle ADVMボリュームで、標準のOracle ACFSコマンドで管理できます。Oracle ACFSファイル・システムの単純な作成例は、Oracle ACFSファイル・システムの作成を参照してください。
Oracle ACFSリモート・サービスのパフォーマンス・チューニング
Oracle ACFSリモート・サービスのパフォーマンス・チューニングには次のことが含まれます。
-
Oracle ACFSリモート・サービスではiSCSIが標準トランスポートとして使用されるため、iSCSIに必要な、サイト固有の適用可能な任意のチューニングを環境で使用できます。通常、これには標準のプライベート・トランスポート・ネットワークが含まれ、そのネットワーク上のホストの数を制限します。Oracle ACFSリモート・サービスは、構成しているOracle ACFSリモート・サービスのコンポーネントをエクスポートするときに、各エクスポートに対してより長いタイムアウトとより大きなキュー深度を有効にします。
-
Oracle ACFSリモート・サービスのストレージを統合する際には、システムのチューニングに関する検討事項を考慮に入れる必要があります。
-
事実上、複数のクライアント・メンバー・クラスタのIOをDSCに集約しており、DSCはこれらのメンバー・クラスタのストレージ・アレイとして機能します。DSCのストレージ設定で、接続されているすべてのメンバー・クラスタの集約ロードを処理できることを確実にします。
-
DSCには、接続されているすべてのクライアントにサービスを提供するために適切なネットワーク・バンド幅が必要です。iSCSIのチューニングとともに、メンバー・クラスタのすべての要求を処理するための追加のネットワーク・バンド幅を提供するためにネットワーク・タップが必要な場合があります。
-
iSCSIのIOサービスではCPUが使用されるため、CPUの空き容量が十分あることを最優先で確認するようにしてください。通常、Oracle ACFSリモート・サービスにサービスを提供するDSCは、他のアクティビティに対して最小の処理ロードを実行する必要があり、他のクラスタのニーズに対応するユーティリティ・クラスタとみなす必要があります。
-
Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点
Oracle ACFSリモート・サービスのOracle Clusterwareへの変更点は次のとおりです。
ドメイン・サービス・クラスタで、Oracle ACFSリモート・サービスは1つの新しいリソース・タイプを有効にします。このタイプは、HAVIPのバリアントであるtransport_vipタイプです。このリソースにより、iSCSIトランスポートVIPをDSCに移動できます。複数のOracle Databaseメンバー・クラスタ・トランスポートが1つのVIPを共有できますが、この方法はお薦めできません。複数のトランスポートのVIPを使用している場合、それらは、単一ノード上のネットワークのオーバーロードを減らすために、クラスタ全体に広がろうとします。トランスポートVIPが作成されると、そのトランスポートVIPは、ネットワーク、およびストレージ・リポジトリをホストしているOracle ACFSリソースに対する依存関係を持ちます。その後のストレージ・リポジトリの作成では、この新しいリポジトリを含めるように、この依存関係が変更されます。この変更により、クラスタ・サービスの再配置およびリカバリ時の可用性のために、リポジトリとトランスポートVIPの連携が確保されます。トランスポートVIPは、advmutil
transport
を使用して自動的に作成および削除されますが、srvctl
* havip
コマンドを使用して表示および管理できます。
間接ストレージ・メンバー・クラスタで、Oracle ACFSリモート・サービスは4つの新規リソース、ora.acfsrm
、ora.ccmb
、ora.acfsremote
、およびora.acfsrd
を提供します。これらのリソースは連携して、メンバー・クラスタでOracle ACFSリモート・サービスを管理します。これらのリソースのステータスは、srvctl
* acfsrapps
コマンドを使用して表示できます。メンバー・クラスタ上にはボリューム・リソースはありません。ボリュームの高可用性はOracle ACFSリモート・サービスの機能セットによって管理されるため、Oracle ACFSリソースはADVMボリューム・リソースへの依存性を持ちません。かわりに、Oracle ACFSリソースは新しいリソースへの依存性を持っています。Oracle ACFSリソースは、srvctl
* filesystem
コマンドを使用して作成されます。
Oracle ACFSリモート・サービスをサポートするコマンド
「クラスタ・ドメイン内のOracle ACFS用のOracle ACFSコマンドライン・ツール」で説明されているOracle ACFSコマンドに加え、次のコマンドもOracle ACFSリモート・サービスの機能をサポートしています。
-
acfsutil
compat
Oracle ACFSは、主にディスク・グループの互換性設定を使用して、有効にする機能を決定します。間接ストレージ・メンバー・クラスタには、この互換性設定を制御するための関連付けられたディスク・グループがありません。各ファイル・システムは、
acfsutil
compat
コマンドを使用してそれらの機能を制御します。acfsutil
compat
の詳細は、「acfsutil compat get」および「acfsutil compat set」を参照してください。 -
acfsutil
info
file
Oracle ACFSリモート・サービスで使用するよう構成されているファイルに対して
acfsutil
info
file
を実行しているときに、追加のファイル属性Remote
がこのファイルに表示されます。この属性は、そのファイルをOracle ACFSリモート・サービスで使用されているファイルとして識別し、ファイルが構成解除されるまでは、標準のファイル・システム・コマンドを使用した切捨て、属性の変更、および削除などの一部のアクションは許可されません。このアクションにより、このファイルを使用したメンバー・クラスタへのサービスの中断が防止されます。acfsutil
info
file
の詳細は、「acfsutil info file」を参照してください。 -
acfsutil
info
storage
Oracle Databaseメンバー・クラスタで実行されている場合、
acfsutil
info
storage
は、ドメイン・サービス・クラスタ(DSC)のディスク・グループおよびファイル・システムに関する情報を表示しません。メンバー・クラスタ自体に関する情報のみが表示されます。DSCは複数のメンバー・クラスタにサービスを提供しているため、このアクションにより、過剰な情報共有が防止されます。acfsutil
info
storage
の詳細は、「acfsutil info storage」を参照してください。 -
crsctl
create
member_cluster_configurationcrsctl
create
member_cluster_configurationコマンドでacfs
オプションを使用できます。acfs
オプションは、Oracle ACFSリモート・サービスでメンバー・クラスタを作成するために必要です。
例11-2既存のメンバー・クラスタへのOracle ACFSリモート・サービスの追加
次の例で、Oracle ACFSリモート・サービスが既存のOracle Databaseメンバー・クラスタに追加されます。コマンドは、Oracle Databaseメンバー・クラスタ(MC)またはドメイン・サービス・クラスタ(DSC)のGrid Infrastructureホームから実行されます。
-
DSCで、クラスタ・マニフェスト・ファイルにOracle ACFSを追加します。
#/bin/crsctl create member_cluster_configuration mc3 -file /tmp/mc3.xml -member_type database -domain_services asm_storage indirect acfs ORA-15365: member cluster 'mc3' already configured MGTCA-1149 : member cluster 'mc3' already exists. TFA-00516 This client is already registered in receiver -------------------------------------------------------------------------------- ASM GIMR TFA ACFS RHP GNS ======================================================== YES YES YES YES NO NO
-
DSCで、クラスタ・マニフェスト・ファイル(mc3.xml)をメンバー・クラスタにコピーします。この例では、同じファイル名(mc3.xml)でメンバー・クラスタにファイルをコピーすると仮定しています。
-
MCで、Oracle ACFSリモート・サービスのアクセスのためのOCRを設定します。
#/sbin/acfsutil cluster credential -s grid_user:asm_group #/sbin/acfsutil cluster credential –s grid2:oinstall #/sbin/acfsutil cluster credential -i path_name/mc3.xml
path_name/mc3.xml
は、ステップ2でDSCからメンバー・クラスタにコピーしたクラスタ・マニフェスト・ファイルへのフルパスです。 -
MCで、
root
として次のコマンドを実行して操作を完了します。#/bin/srvctl add acfsrapps #/bin/srvctl start acfsrapps #/bin/srvctl status acfsrapps Oracle ACFS client cluster node membership and barrier resource is enabled. Oracle ACFS client cluster node membership and barrier resource is running on nodes nshga2603. Oracle ACFS acfsremote resource is enabled. Oracle ACFS acfsremote resource is running on nodes nshga2603. Oracle ACFS rolling migration resource is enabled. Oracle ACFS rolling migration resource is running on nodes nshga2603.