1. Oracle GoldenGate Microservices Architectureの使用
  2. セキュアなデプロイメントまたはセキュアでないデプロイメントの設定

2 セキュアなデプロイメントまたはセキュアでないデプロイメントの設定

セキュアなデプロイメントとセキュアでないデプロイメントの設定を選択できます。セキュアなデプロイメントでは、RESTful APIコールを発行し、証跡データをSSL/TLSを介してDistribution ServerとReceiver Server間で転送します。既存のウォレットと証明書を使用することも、新しいものを作成することもできます。

最初にSSL/TLSセキュリティ証明書を作成するときは、SSL/TLSセキュリティの環境変数が「環境変数の設定」のように設定されていることを確認します。

セキュアでないデプロイメントの場合は、RESTful APIコールがプレーンテキストHTTP上で発生し、Distribution ServerとReceiver Server間の送信がUDT、ogg://およびws://プロトコルを使用して実行されます。

ここでは、セキュアでないデプロイメントを構成するステップと、セキュアなデプロイメントを構成する前提条件とタスクについて説明します。

内容は次のとおりです。

セキュアなデプロイメントまたはセキュアでないデプロイメントの追加方法

デプロイメントの追加は、データの抽出とレプリケーションのプラットフォームを設定するプロセスの最初のタスクです。デプロイメントはService Managerで管理します。

Oracle GoldenGate Microservicesのインストールを完了すると、Configuration Assistant (OGGCA)ウィザードを使用して最初のデプロイメントとそれ以降のデプロイメントを追加できます。

ノート:

ホストごとにService Managerを1つ用意して、Oracle GoldenGateのリリースに伴うアップグレードとメンテナンスのタスクの重複を回避することをお薦めします。

Configuration Assistantウィザードを使用して複数のデプロイメントをService Managerに追加でき、こうすることで同じService Managerを新しいリリースまたはパッチでアップグレードできるようになります。ソース・デプロイメントとターゲット・デプロイメントは、データ・レプリケーションの分散パスを設定するエンドポイントとして機能します。ターゲット・デプロイメントの追加方法はソース・デプロイメントと同じですが、データベース・ユーザーまたはデータベースが異なります。

  1. UNIXまたはLinuxでは、OGG_HOMEディレクトリで$OGG_HOME/bin/oggca.shプログラムを実行します。

    Oracle GoldenGate Configuration Assistant (oggca)が起動します。デプロイメントを追加するたびに、このプログラムを実行します。

  2. 「Select Service Manager Options」ステップ:

    1. 既存のService Managerを使用するか、新しいものを使用するかを選択します。ホストごとにサポートされるService Managerは1つのみです。

    2. デプロイメントで使用するディレクトリを入力するか参照します。Oracle GoldenGateのインストール・ディレクトリは使用しないことをお薦めします。

    3. サーバーのホスト名またはIPアドレスを入力します。

    4. 一意のポート番号を入力してService Managerに接続するか、URLで使用されるデフォルトを使用してService Managerに接続します。予約されていない制限なしのポートであることを確認します。サービスごとに異なるポート番号を使用する必要があります。

    5. (オプション)手動での起動と停止を回避するためにサービスとして実行できるようにService Managerを登録できます。

      1つのService Managerをサービス(デーモン)として実行するように選択できます。既存のService Managerがサービスとして登録されている場合に、サービスとして登録する新しいService Managerを選択すると、新しい方をサービスとして登録できないことを知らせるアラートが表示されます。他のすべてのService Managersは、デプロイメントのbinディレクトリにインストールされたスクリプトを使用して開始および停止できます。既存のService Managerをサービスとして登録することはできません。

    6. (オプション)オプション「Integrate with XAG」を選択して、デプロイメントをOracle Database用のOracle Grid Infrastructureに登録することを選択できます。このオプションは、Service Managerをサービスとして実行しているときには使用できません。

  3. 「Configuration Options」ステップで、デプロイメントを追加または削除できます。

    適切なオプションを選択します。

  4. 「Deployment Details」ステップ:

    1. 次の規則に従うデプロイメント名を入力します。

      • 先頭に文字を使用する必要があります。

      • 32文字以内の標準ASCII英数字文字列を使用できます。

      • 拡張ASCII文字は使用できません。

      • 使用できる特殊文字には、アンダースコア(_)、ハイフン(/)、ダッシュ(-)、ピリオド(.)が含まれます。

      • 「ServiceManager」は使用できません。

    2. 「Enable Sharding」を選択して、デプロイメントでデータベース・シャーディング機能を使用します。スキーマはggadminであることが必要です。

    3. Oracle GoldenGateのインストール(ホーム)ディレクトリを入力するか選択します。すでに$OGG_HOME環境変数を設定していた場合には、そのディレクトリが自動的に移入されます。それ以外の場合、oggca.shスクリプトの親ディレクトリが使用されます。

    4. 「Next」をクリックします

  5. Select Deployment Directoriesページ:

    1. デプロイメントのレジストリと構成ファイルを格納するデプロイメント・ディレクトリを入力するか選択します。デプロイメント・ディレクトリ名を入力すると、そのディレクトリが作成されます(存在していない場合)。デプロイメント・ディレクトリは$OGG_HOME内に配置しないで、アップグレードしやすいように別のディレクトリにすることをお薦めします。指定したデプロイメント・ディレクトリに基づいてその他のフィールドは自動的に移入されます。

    2. デプロイメント・ディレクトリの名前や場所をデフォルトと変更してカスタマイズできます。

    3. 様々なデプロイメント要素のために異なるディレクトリを入力または選択します。

    4. 「Next」をクリックします

  6. Environment Variablesページ:

    環境変数のリクエストされた値を入力します。フィールドをダブルクリックして編集します。環境変数フィールドで値をコピー・アンド・ペーストできます。値を入力するたびに[Tab]キーで移動するかフィールドの外部をクリックしてください。そうしないと値が保存されません。次のいずれかの環境変数を設定していた場合には、ディレクトリが自動的に移入されます。

    OGG_HOME

    Oracle GoldenGateをインストールしたディレクトリ。

    ORACLE_HOME

    OracleデータベースまたはOracleクライアント・ソフトウェアがインストールされているディレクトリ。

    LD_LIBRARY_PATH

    $OGG_HOME、OUI、データベース・インストールおよびデータベース・ネットワークのライブラリ・ディレクトリ。デフォルトは、$OGG_HOME/libです。

    TNS_ADMIN

    Oracle Net Services構成が含まれるディレクトリ。デフォルトは、$ORACLE_HOME/network/adminです。

    ORACLE_SID

    Oracleシステム識別子(SID)は、このインスタンスと今後作成してシステム上で同時に実行する別のOracle Databaseインスタンスを区別するために使用する一意の識別子です。

    STREAMS_POOL_SIZE

    これは、シャーディングを有効にした場合か、統合Extractまたは統合Replicatを使用している場合にのみ表示されます。デフォルトを使用するか、1200MB以上でプール・サイズの値を設定します。

    さらに環境変数を追加してデプロイメントをカスタマイズしたり、変数を削除したりすることができます。たとえば、別の国際文字セットをデフォルトにするために、変数ENV_LC_ALL=zh_CN.UTF-8を入力できます

    「Next」をクリックします

  7. Administrator Accountページ:

    1. Oracle GoldenGate Microservices Service Managerなどのサーバーへのサインインに使用するユーザー名とパスワードを入力します。このユーザーは、このデプロイメントのセキュリティ・ユーザーになります。様々なタイプのユーザーの詳細は、「ユーザーを追加する方法」を参照してください。既存のService Managerを使用する場合は、最初のデプロイメントの追加時に使用したものと同じログイン資格証明を入力する必要があります。

    2. 新しいデプロイメントに対して強力なパスワード・ポリシーを有効にできるようにするチェック・ボックスを選択します。このオプションを選択した場合、パスワードは制限に従う必要があり、そうでない場合はエラーが発生し、強力なパスワードの指定を要求されます。

    3. 「Next」をクリックします

  8. Security Optionsページ:

    1. デプロイメントを保護するかどうかを選択できます。SSL/TLSセキュリティを有効にすることをお薦めします。デプロイメントでセキュリティを使用しない場合は、チェック・ボックスを選択解除します。この操作では、「This non-secure deployment will be used to send trail data to a secure deployment」オプションが公開されます。セキュアではないターゲット・デプロイメントがセキュアなソース・デプロイメントと通信する場合は、このチェック・ボックスを選択します。

      ただし、Oracle GoldenGate シャーディング・サポートを構成している場合には、セキュリティを有効にする必要があります。

    2. オプション「This deployment will be used for target-initiated distribution paths」を使用すると、Receiver Serverは、DMZやクラウドなどの環境のオンプレミスへのターゲット開始パスを作成でき、ソースのOracle GoldenGateデプロイメントのDistribution Serverは、ネットワーク・セキュリティ・ポリシーのためにターゲット環境でReceiver Serverへのネットワーク接続をオープンできません。

      概念的な詳細は、ターゲット開始パスの概要を参照してください。

    3. (オプション)クライアント・ウォレットの場所を指定して、証跡データをセキュアなデプロイメントに送信することができます。このオプションが役立つのは、ソース・デプロイメントのDistribution Serverがセキュアではなく、ターゲット・デプロイメントのReceiver Serverがセキュアな場合です。このケースでは、送信側はパブリック・アクセスに対応するように構成できますが、Receiver Serverでは認証と認可が必要です。これがPKIを使用して確立され他後で、受信したデータが適用されます。詳細は、自己署名ルート証明書の作成を参照してください。

      また、Oracle GoldenGate環境の保護Distribution Serverのユーザー証明書の作成を参照してください。

    4. サーバーについて、オプションを1つ選択してから、必須ファイルの場所を指定します。既存のウォレットを使用するときは、そのウォレットに適切な証明書がすでにインポートされている必要があります。証明書の使用を選択する場合は、対応するパス・フレーズを入力します。自己署名証明書を使用するときは、新しいOracle Walletが新しいデプロイメントに作成され、それらの証明書がインポートされます。証明書について、秘密キー・ファイルの場所とパス・フレーズを入力します。

    5. クライアントについて、サーバーの場合と同様にオプションを1つ選択してから、必須ファイルの場所を指定します。

    6. 「Next」をクリックします

  9. (セキュリティが有効な場合)「Advanced Security Settings」」ページでは、TLS 1.1およびTLS 1.2オプションが使用可能です。デフォルトではTLS 1.2が選択されます。

    TLS 1.2で初めて「Advanced Security Settings」を開くと、次の暗号スイートがリストされます。

    TLS_RSA_WITH_AES_128_CBC_SHA256 
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256 
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256 
TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384 
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256 
TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384 
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384

    1. 矢印を使用して暗号スイートを追加または削除します。

    2. 上向き矢印下向き矢印を使用して、暗号スイートの適用順序を変更します

    3. 「Next」をクリックします

      ノート:

      RMTHOSTのTCP/IP暗号化オプションの詳細は、Oracle GoldenGateリファレンスRMTHOSTを参照してください

  10. (シャーディングが有効な場合) Sharding Optionsページ:

    1. 使用するOracle GoldenGate Sharding Certificateを探してインポートします。証明書の識別名を入力します。これは、Oracle GoldenGate MAサービスにREST APIコールを発行する際に、自らを特定するためにデータベース・シャーディング・コードによって使用されます。

    2. 証明書の一意の名前を入力します。

    3. 「Next」をクリックします

  11. Port Settingsページ:

    1. Administration Serverのポート番号を入力してから、そのフィールドを離れると、他のポート番号は昇順で移入されます。必要に応じて、各サーバーの一意のポートを入力することもできます。

    2. Performance Metrics Serverを使用するには「Enable Monitoring」を選択します。

    3. Performance Metrics Serverポートのフィールドの内側をクリックして、使用するポートの値を移入するか入力します。

      ノート:

      パフォーマンスの監視のために、TCPおよびUDPに使用可能なポートを選択してください。デプロイメントの完了後に、TCPポートをService Managerコンソールから変更できます。PMSRVRの詳細は、ENABLEMONITORINGを参照してください。

    4. Performance Metrics Serverで使用するデータストアの種類を選択します(デフォルトのBerkeley Database (BDB)データストアまたはOpen LDAP Lightning Memory-Mapped Database (LMDB))。クリティカル・サービスとしてPerformance Monitorを指定することもできます。

      BDBの詳細は、Oracle Berkeley DB 12cリリース1を参照してください。LMDBの詳細は、http://www.lmdb.tech/doc/を参照してください.

    5. データストアの場所を選択します。BDBおよびLMDBは、インメモリーかつディスク常駐のデータベースです。Performance Metricsサーバーは、そのデータストアを使用してすべてのパフォーマンス・メトリック情報を格納します。

    6. 「Next」をクリックします

    ノート:

    oggcaユーティリティでは、入力したポートが現在使用中かどうかは検証されません。このため、それらのポートが空いており他のプロセスに再割り当てされないことを手動で確認する必要があります。

  12. 「Replication Settings」ステップ:

    1. レプリケーション設定の実行に使用するOracle GoldenGateのデフォルト・スキーマを入力します。たとえば、ggadminです。

    2. 「Next」をクリックします

  13. Summaryページ:

    1. 続行する前に、デプロイメント構成の設定の詳細を確認します。

    2. (オプション)構成情報をレスポンス・ファイルに保存できます。このファイルを入力として使用して、コマンドラインからインストーラを実行し、他のシステムで成功した構成の結果を複製します。このファイルを編集することも、提供されているテンプレートから新しいものを作成することもできます。

      ノート:

      レスポンス・ファイルに保存するとき、セキュリティの理由から管理者パスワードは保存されません。他のシステムで使用するためにレスポンス・ファイルを再利用する場合は、レスポンス・ファイルを編集してパスワードを入力する必要があります。

    3. 「Finish」をクリックして、デプロイメントを完了します。

    4. 「Next」をクリックします

  14. Configure Deploymentページ:

    デプロイメントの作成と構成の進捗状況が表示されます。

    1. Service Managerがサービスとして登録されている場合は、サービスを登録するスクリプトの実行方法がポップアップに表示されます。Configuration Assistantによって、これらのスクリプトが実行されたことが確認されます。実行しなかった場合は、続行するかどうかを尋ねられます。「Yes」をクリックすると、構成が正常に完了します。「No」をクリックすると一時的な失敗ステータスが設定され、「Retry」をクリックするとスクリプトが実行されます。

      スクリプトが実行された後で「Ok」をクリックして続行します。

    2. 「Next」をクリックします

  15. 「Finish」ページ:

    「Close」をクリックしてConfiguration Assistantを閉じます。

ユーザーを追加する方法

各デプロイメントには、独自のユーザー・リストがあります。ユーザーの追加時には、そのデプロイメントにユーザーを追加します。

Service ManagerまたはAdministration Serverからユーザーを作成できます。Administration Serverからユーザーを作成するステップについては、Administration Serverからユーザーを作成する方法を参照してください。

Service Managerでサービスを管理できるユーザーは、Service Managerにデプロイメントを追加したときにセキュリティ・ユーザーとして最初に追加されたユーザーのみです。その他のユーザーはMAデプロイメントに固有のものであり、セキュリティ・ユーザーはすべてのMAデプロイメントに個別にユーザーを作成する必要があります。

次のステップを実行して、そのデプロイメントのユーザーを作成できます。

  1. Service ManagerまたはAdministration Serverにログインします。

  2. 左側のナビゲーション・ペインで、「Administrator」を選択します。

  3. 「Users (+)」をクリックします。Microservices WebインタフェースおよびREST APIから作成したユーザーの最大文字長は、512文字です。REST APIでは、基本タイプのユーザーにも証明書タイプのユーザーにも、ユーザー名のパターン制限はありません。ただし、Microservices Webインタフェースを使用する場合は、基本タイプのユーザーを作成する際に一定の制限が適用されます。

    • そのユーザー名は、先頭の文字がアルファベットである必要があり、英数字のみを使用できます。

    • 使用可能な記号は、アットマーク(@)、ピリオド(.)、ダッシュ(-)、カンマ(,)、アンダースコア(_)、番号記号(#)、ドル記号($)、プラス記号(+)、バックスラッシュ(\)、スラッシュ(/)、等号(=)、小なり記号(<)または大なり記号(>)です。

  4. 一意のユーザー名を入力します。

  5. 次のいずれかのロールを選択します。

    ロールID 権限レベル

    ユーザー

    情報のみのサービス・リクエストを許可します。これは、Microservicesのいずれに対しても操作を変更したり、操作に影響を与えたりすることはありません。問合せ/読取り専用情報の例には、パフォーマンス・メトリック情報およびリソースのステータスと監視情報が含まれます。

    オペレータ

    ユーザーは、リソースの作成、開始および停止などの操作アクションのみを実行できます。オペレータは、Microservicesサーバーの操作パラメータまたはプロファイルを変更することはできません。

    管理者

    全面的なアクセス権がユーザーに与えられ、セキュリティに関連しない一般的なサーバーの操作パラメータおよびプロファイルを変更することもできます。

    セキュリティ

    セキュリティ関連オブジェクトの管理権限を付与し、セキュリティ関連のサービス・リクエストを呼び出します。このロールにはすべての権限があります。

  6. ユーザーを説明する情報を入力します。

  7. 「Type」リスト・ボックスから、ユーザーのタイプとして「Basic」または「Certificate」を選択します。

  8. パスワードを2回入力して確認します。パスワードの最小長とパターンが必要となる、デフォルトのパスワード検証があります。

  9. 「Submit」をクリックします。

    ユーザーが登録されます

ユーザーは変更できません。ユーザーを削除してから追加し直す必要があります。