1. Oracle GoldenGateセキュリティ・ガイド
  2. Classic Architectureの保護
  3. ターゲット・システムからの接続開始の使用

12 ターゲット・システムからの接続開始の使用

ターゲット・システムからソース・システムへの通信を確立する必要があるさらにセキュアなネットワークまたはサーバーへのレプリケートをOracle GoldenGateで可能にする方法を学習します。

信頼できるイントラネット・ゾーン内にターゲット・システムが存在し、信頼度がより低いゾーンにソース・システムが存在する場合、ソース・システムから接続を開始すると(Oracle GoldenGateの標準的な方法)、セキュリティ・ポリシーに違反する可能性があります。また、信頼度が低いゾーンに存在するシステムに、信頼できるゾーンのシステムのポートまたはIPアドレスに関する情報(Oracle GoldenGateのExtractパラメータ・ファイルに通常含まれている情報など)が含まれる場合も、セキュリティ・ポリシーに違反する可能性があります。

この種のイントラネット構成では、パッシブ/エイリアスExtract構成を使用できます。接続は、エイリアスExtractグループによって、信頼できるゾーン内部のターゲット・システムから開始されます。このグループは、ソース・システムの標準Extractグループに対するエイリアスとして機能し、この場合はパッシブExtractと呼ばれます。2つのシステム間で接続が確立されると、データはパッシブExtractグループによって通常どおり処理され、ネットワークを通じて転送されます。

oggse_pb_001a.pngの説明が続きます
図oggse_pb_001a.pngの説明
  1. Oracle GoldenGateユーザーが信頼できるシステムで別名Extractを起動するか、AUTOSTARTまたはAUTORESTARTパラメータによって別名Extractが自動的に起動されます。
  2. 信頼できるシステムのGGSCIは、信頼度の低いシステムのManagerにメッセージを送信して、関連付けられたパッシブExtractを起動します。信頼できるシステムのManagerのホスト名(またはIPアドレス)とポート番号が、信頼度の低いシステムに送信されます。
  3. 信頼度の低いシステムで、ManagerがパッシブExtractを起動すると、パッシブExtractは開いているポート(ManagerのDYNAMICPORTLISTパラメータのルールに準拠)を検出し、そのポートでリスニングを行います。
  4. 信頼度の低いシステムのManagerは、そのポートを信頼できるシステムのGGSCIに戻します。
  5. 信頼できるシステムのGGSCIは、同じシステムのManagerにリクエストを送信し、同じシステムのCollectorプロセスを起動します。
  6. ターゲットのManagerは、Collectorプロセスを起動して、そのプロセスに信頼度の低いシステムでExtractがリスニングしているポート番号を渡します。
  7. 信頼できるシステムのCollectorは、信頼度の低いシステムのパッシブExtractに対する接続をオープンします。
  8. データは、ネットワークを通じてパッシブExtractからターゲットのCollectorに送信され、Replicatで処理するために通常どおり証跡に書き込まれます。

トピック:

親トピック: Classic Architectureの保護

12.1 パッシブExtractグループの構成

信頼度の低いソース・システムのパッシブExtractグループは、ネットワークを通じたデータの送信を担当するExtractグループの種類に応じて、次のいずれかになります。

  • トランザクション・ログを読み取ってそのデータをターゲットに送信する単独Extractグループ。

  • プライマリExtractから提供されるローカル証跡を読み取ってそのデータをターゲットに送信するデータ・ポンプExtractグループ。この場合、プライマリExtract(単なるデータ・ポンプ)に対する特別な構成要件はありません。

ノート:

パッシブExtractグループは、Oracle GoldenGate CAでのみ使用できます。

Extractグループをパッシブ・モードで作成するには、標準のADD EXTRACTコマンドおよびオプションを使用しますが、他のコマンド・オプションに対して任意の位置にPASSIVEキーワードを追加します。例: 

ADD EXTRACT fin, TRANLOG, BEGIN NOW, PASSIVE, DESC 'passive Extract'
ADD EXTRACT fin, PASSIVE, TRANLOG, BEGIN NOW, DESC 'passive Extract'

パッシブExtractグループのパラメータを構成するには、通常の方法でパラメータ・ファイルを作成します。ただし、次の点が異なります。

  • RMTHOSTパラメータは除外します(通常は、このパラメータでターゲットのManagerのホストおよびポート情報を指定します)。

  • オプションのRMTHOSTOPTIONSパラメータを使用して、圧縮および暗号化のルールを指定します。RMTHOSTOPTIONSオプションの詳細は、『Oracle GoldenGateリファレンス』を参照してください。

親トピック: ターゲット・システムからの接続開始の使用

12.2 別名Extractグループの構成

信頼できるターゲットの別名Extractグループは、データ処理アクティビティを実行しません。その唯一の目的は、信頼度の低いソースに対する接続の開始および終了です。この役割において、別名Extractグループは、パラメータ・ファイルを使用せず、処理チェックポイントも書き込みません。チェックポイント・ファイルの用途は、パッシブExtractグループが実行されているかどうかを判別することと、リモート接続に必要な情報を記録することに限定されます。

ノート:

別名Extractグループは、Oracle GoldenGate CAでのみ使用できます。

別名モードでExtractグループを作成するには、次のオプションのみを指定してADD EXTRACTコマンドを使用します。 

ADD EXTRACT group
, RMTHOST {host_name | IP_address}
, MGRPORT port
[, RMTNAME name]
[, DESC 'description']

RMTHOSTの指定によって、このグループが別名Extractとして識別され、情報がチェックポイント・ファイルに書き込まれます。host_nameIP_addressオプションでは、ソース・システムの名前またはIPアドレスを指定します。MGRPORTでは、Managerが稼働しているソース・システムのポートを指定します。

別名Extractの名前は、パッシブExtractと同じ名前にすることも、異なる名前にすることもできます。名前が異なる場合、オプションのRMTNAMEを使用して、パッシブExtractの名前を指定します。RMTNAMEが使用されない場合、Oracle GoldenGateでは、名前が同一であると仮定され、接続の確立時に使用される別名Extractのチェックポイント・ファイルにその名前が書き込まれます。

TCP/IP接続のエラー処理は、ターゲット・システムのTCPERRSファイルによって指示されます。このファイルのエラーに対するレスポンス値は、RETRYに設定することをお薦めします。デフォルトはABENDです。このファイルには、再試行の回数および各試行間の遅延を設定するオプションも含まれます。TCP/IPのエラー処理とTCPERRSファイルの詳細を参照してください。

親トピック: ターゲット・システムからの接続開始の使用

12.3 パッシブ・プロセスと別名プロセスの起動および停止

パッシブ/別名Extract構成でOracle GoldenGateの抽出を開始または停止するには、ターゲットのGGSCIで別名Extractグループを起動または停止する必要があります。

START EXTRACT alias_group_name

または

STOP EXTRACT alias_group_name

コマンドは、ソース・システムに送信され、パッシブExtractグループが起動または停止します。これらのコマンドをパッシブExtractグループに対して直接発行しないでください。KILL EXTRACTコマンドは、パッシブExtractグループに対して直接発行できます。

ManagerパラメータのAUTOSTARTおよびAUTORESTARTを使用して自動的にプロセスを起動または再起動する場合、ソース・システムではなくターゲット・システムで使用してください。最初に別名Extractが起動され、次にパッシブExtractに起動コマンドが送信されます。

親トピック: ターゲット・システムからの接続開始の使用

12.4 抽出アクティビティの管理

抽出処理が開始されたら、ソース・システムでGGSCIからパッシブExtractグループに対してコマンドを発行することで、通常どおりその処理を管理および監視できます。INFOVIEW REPORTなどのGGSCIの標準監視コマンドを、ソース・システムまたはターゲット・システムから発行できます。別名Extractグループに対して発行された監視コマンドは、パッシブExtractグループに転送されます。コマンドでは、別名Extractグループの名前がパッシブExtractグループの名前で置き換えられます。たとえば、INFO EXTRACT aliasINFO EXTRACT passiveになります。コマンドの結果は、コマンドが発行されたシステムに表示されます。

親トピック: ターゲット・システムからの接続開始の使用

12.5 パッシブ/別名Extract使用時のその他の考慮事項

パッシブ/別名Extract構成を使用する場合、次のルールが適用されます。

  • この構成では、Extractは1つのターゲット・システムにのみ書込みを行うことができます。

  • この構成は、通常の方法で(THREADSオプションを使用してREDOスレッドの数を指定して)Extractグループを作成することで、Oracle RACインストール環境で使用できます。

  • ALTER EXTRACTコマンドは、別名Extractに対して使用できません(このグループはデータ処理を実行しないため)。

  • パッシブまたは別名Extractグループに対してDELETE EXTRACTコマンドを使用するには、ローカルGGSCIからコマンドを発行します。

  • Extractのパラメータ・ファイルのRMTTASKで指定され、一部の初期ロード方式で使用されるリモート・タスクは、この構成ではサポートされません。リモート・タスクでは、ソース・システムから接続を開始する必要があり、ExtractとReplicat間の直接接続が使用されます。

親トピック: ターゲット・システムからの接続開始の使用