13 バックアップおよびリストア操作

最小限の停止時間で、セキュリティ・オブジェクトへの継続的で信頼性が高い、保護されたアクセスを実現するための自動バックアップを構成できます。

• Oracle Key Vaultでのデータのバックアップおよびリストアについて
  Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。
• Oracle Key Vaultのバックアップ先
  バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。
• バックアップのスケジュールおよび状態
  Oracle Key Vaultでは、バックアップ先に応じたバックアップ・スケジュール・タイプと、バックアップ・アクティビティの進捗状況を示す様々な状態が提供されています。
• Oracle Key Vaultバックアップのスケジュールおよび管理
  特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。
• Oracle Key Vaultデータのリストア
  リモート・バックアップ先からのOracle Key Vaultデータを別のOracle Key Vaultサーバーにリストアできます。
• バックアップおよびリストアのベスト・プラクティス
  Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

13.1 Oracle Key Vaultでのデータのバックアップとリストアについて

Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。

停止時間を削減し、予期しないデータ損失およびシステム障害からリカバリするために、データを定期的にバックアップする必要があります。新規または既存のOracle Key Vaultサーバーをバックアップからリストアできます。

バックアップおよびリストア操作は、Oracle Key Vault管理コンソールから実行できます。Oracle Key Vaultデータをバックアップおよびリストアするには、システム管理者ロールを持っているユーザーである必要があります。バックアップを定期的にスケジューリングして、指定した時間に自動的に実行できます。また、これらの操作をオンデマンドで実行することで、システムの現在のスナップショットを保存できます。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ損失で完全稼働できます。

Oracle Key Vaultでは、セキュア・コピー・プロトコル(SCP)を使用してすべてのバックアップ対象データが暗号化されてから、バックアップ先にコピーされます。このため、バックアップ先でSCPがサポートされていることを確認する必要があります。

Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションが本質的にクラスタ内のデータのコピーを作成します。個々のノードまたは従来のプライマリ・スタンバイ環境でバックアップを実行できます。ただし、クラスタ内の1つのノードにバックアップをリストアすることはできません。したがって、クラスタ内のバックアップは、クラスタ障害が発生した場合の障害時リカバリのために取得され、通常はクラスタ・ノードから離れた場所で保持されます。

13.2 Oracle Key Vaultのバックアップ先

バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。

• Oracle Key Vaultのバックアップ先について
  バックアップ先を使用すると、Oracle Key Vaultサーバー自体以外の場所でバックアップ・データを使用できます。
• リモート・バックアップ先の作成
  Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。
• リモート・バックアップ先の設定の変更
  バックアップ先を作成した後は、ユーザー・アカウントのSCPポート番号および詳細のみを変更できます。
• リモート・バックアップ先の削除
  リモート・バックアップ先を削除して、その宛先サーバーへの今後のバックアップを中止できます。

13.2.1 Oracle Key Vaultのバックアップ先について

バックアップ先を使用すると、Oracle Key Vaultサーバー自体以外の場所でバックアップ・データを使用できます。

これにより、Oracle Key Vaultサーバーまたはハードウェアで致命的な障害が発生した場合に、関連するすべてのデータを確実にリカバリできます。

通常は、自分がアクセス権を持つ別のサーバーまたはコンピュータ・システムをバックアップ先として指定します。バックアップ先は追加、削除および変更できます。

バックアップ操作では、選択したバックアップ先にOracle Key Vaultデータがコピーされます。データは必要になるまでバックアップ先に格納しておきます。

Oracle Key Vaultでは、ローカルとリモートの2つのタイプのバックアップ先を使用できます。ローカル・バックアップ先はOracle Key Vaultサーバー自体に存在し、リモート・バックアップ先は外部の別のサーバーまたはコンピュータ・システムに存在します。可用性を高めるために、複数のバックアップ先を作成できます。

ローカルおよびリモートのバックアップ先には、次の特性があります。

• ローカル・バックアップ先: ローカル・バックアップ先LOCALはデフォルトで存在し、削除できません。

  LOCALへのバックアップは、最新状態のOracle Key Vaultを保存するのに役立ちます。これらのバックアップはKey Vaultに格納されるため、プライマリ・スタンバイ・デプロイメントでフェイルオーバーやスイッチオーバーを実行すると失われます。したがって、フェイルオーバーやスイッチオーバーなどの操作を実行する前に、リモート宛先にデータをバックアップしてください。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。

• リモート・バックアップ先: リモート・バックアップ先は外部サーバーに存在し、障害時リカバリの目的で地理的に分散できます。

  外部サーバー上の各バックアップ先には、Oracle Key Vaultによりバックアップ先に保持されるバックアップ・カタログ・ファイル(okvbackup.mgr)が関連付けられます。okvbackup.mgrファイルは、実行されたバックアップをカタログ化したものであり、データをリストアする際に使用されます。

  注意:

  別のOracle Key Vaultサーバーをリモート・バックアップ先として使用することはできません。

注意:

• バックアップ・カタログ・ファイルを削除または変更すると、Oracle Key Vaultでバックアップを検索できなくなることがあります。したがって、このファイルは削除または変更しないでください。

• 異なるOracle Key Vaultサーバーのバックアップ先として、同一のリモート・バックアップ先を構成しないでください。これは、異なるOracle Key Vaultサーバーから同時にバックアップが行われると、互いのカタログ・ファイルが上書きされ、Oracle Key Vaultでバックアップを正しく特定できなくなるためです。

13.2.2 リモート・バックアップ先の作成

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。

リモート・バックアップ先を作成するには、ユーザー・アカウント、外部サーバー上の一意の既存のディレクトリ場所、および認証方式(パスワード・ベースまたはキー・ベース)を入力する必要があります。この情報は、Oracle Key Vaultでリモート・サーバーとのセキュアな接続を確立するために必要になります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のサイドバーで「System Backup」をクリックします。

   「System Backup」ページが表示されます。このページには、スケジューリングされたバックアップおよび最後に実行された10件のバックアップの詳細が示されます。

   
   図system_backup.pngの説明

3. 「Manage Backup Destinations」をクリックします。

   「Manage Backup Destinations」ページには、Oracle Key Vaultに最初から用意されているローカル・バックアップ先と、独自に構成したリモート宛先が表示されます。

   
   図okv_19.jpgの説明

4. 「Create」をクリックします。

   「Create Backup Destination」ページが表示されます。

   
   図okv_20.jpgの説明

5. バックアップ先について次の情報を入力します。

   • Destination Name: バックアップ先を識別するための記述名を入力します。

   • Transfer Method: リモート宛先にファイルをコピーするために使用されるSCPプロトコルの値scpが自動的に移入されます。

   • Hostname: バックアップ用のリモート・サーバーのホスト名またはIPアドレスを入力します。ホスト名を入力する場合は、ホスト名が対応するIPアドレスに変換されるようにDNSを構成してください。リモート・バックアップ先にあるホスト名には、スペース、一重引用符または二重引用符を含めないでください。

   • Port: 外部サーバー上のSCPポート番号を入力します。デフォルトは22です。

   • Destination Path: バックアップ・ファイルのコピー先として、外部サーバー上の既存のディレクトリのパスを入力します。バックアップ先を作成した後に、このディレクトリの場所を変更することはできません。このパスを、別のOracle Key Vaultサーバーからのバックアップ先にしないでください。リモート・バックアップ先にあるバックアップ先パスには、スペース、一重引用符または二重引用符を含めないでください。

   • Username: リモート・サーバー上のユーザー・アカウントのユーザー名を入力します。SCP接続を確立するユーザー・アイデンティティに、「Destination Path」で指定したディレクトリに対する書込み権限が設定されていることを確認してください。リモート・バックアップ先にあるユーザー名には、スペース、一重引用符または二重引用符を含めないでください。

   • Authentication Method: 次のいずれかです。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

     • Key-based Authentication: 表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。バックアップ・アカウントの所有者にのみアクセスを許可し、その他のグループまたはユーザーには許可しないように、構成ファイルの権限が設定されていることを確認してください。

6. 「Save」をクリックします。

バックアップ先を作成するために入力した情報がOracle Key Vaultにより検証されます。検証が失敗した場合、バックアップ先は作成されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード、またはキー)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

13.2.3 リモート・バックアップ先の設定の変更

バックアップ先を作成した後は、SCPポート番号とユーザー・アカウントの詳細のみを変更できます。

その他の設定は変更できません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Backup」をクリックします。
3. 「Manage Backup Destinations」を選択します。

   ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。

4. バックアップ先名をクリックすると編集できます。

   「Edit Backup Destination」ページが表示されます。

   
   図okv_051.pngの説明

5. 次の情報を変更します。

   • Port: 外部サーバー上でSCPを実行するために使用されるデフォルトのポート番号を変更します。

   • Username: リモート・サーバー上のユーザー・アカウントのユーザー名を入力します。「Destination Path」で指定したパスは変更できないため、このディレクトリに対する書込み権限が新規ユーザーにあることを確認してください。

   • Authentication Method: 次のいずれかです。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

     • Key-based Authentication: 表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。

6. 「Save」をクリックします。

バックアップ先を更新するために入力した情報がOracle Key Vaultにより検証されます。検証が失敗した場合、バックアップ先は作成されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

13.2.4 リモート・バックアップ先の削除

リモート・バックアップ先を削除して、その宛先サーバーへの今後のバックアップを中止できます。

宛先サーバー上の既存のバックアップはそのまま残ります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Backup」をクリックします。
3. 「Manage Backup Destinations」を選択します。

   ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。

   
   図okv_050.jpgの説明

4. 削除対象のバックアップ先に対応するチェック・ボックスを選択します。
5. 「Delete」をクリックします。

13.3 バックアップのスケジュールと状態

Oracle Key Vaultでは、バックアップ先に応じたバックアップ・スケジュール・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。

• バックアップ・スケジュールのタイプと状態について
  Oracle Key Vault内のバックアップを特定の時間およびバックアップ先に対してスケジュールできます。
• Oracle Key Vaultバックアップのタイプ
  Oracle Key Vaultでは、1回かぎりのバックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。
• Oracle Key Vaultのスケジュール済バックアップの状態
  スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

13.3.1 バックアップ・スケジュールのタイプと状態について

時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。

スケジュールした時間になると、バックアップ・プロセスが開始され、システム・バックアップ(バックアップ先に格納されるファイル)が生成されます。バックアップが完了する旅に、1つのバックアップ・ファイルが生成されます。

別のバックアップの進行中はバックアップを開始できません。ニーズの変化に応じて、バックアップのスケジュールを変更できます。バックアップの進行中も、Oracle Key Vaultの操作は続行できます。

システムを再起動すると、進行中のバックアップが終了します。システムの再起動が必要な場合は、同じタイミングでスケジューリングされたバックアップを取り消して、再起動後にシステムをバックアップできます。

13.3.2 Oracle Key Vaultバックアップのタイプ

Oracle Key Vaultでは、2つのタイプのバックアップ・ジョブをスケジュールできます。1回限りのバックアップと、定期バックアップです。

• 1回限りのバックアップ: 1回限りのバックアップでは、Oracle Key Vaultシステムのフル・バックアップを作成します。それぞれに独自の開始時間を設定した複数の1回限りのバックアップ・ジョブをスケジュールできます。

  障害が発生してリカバリが必要になったときに備えて、Oracle Key Vaultの構成を大きく変更する場合は、事前に1回限りのローカル・バックアップを実行してください。

  LOCAL宛先には、最新の1回限りのバックアップのみ格納できます。LOCALへの1回限りのバックアップが完了すると、以前のバックアップは削除されます。

• 定期バックアップ: 定期バックアップ・プロセスは、最初にOracle Key Vaultシステムのフル・バックアップを作成し、バックアップ・スケジュールをアクティブ状態にします。それ以降は、定期的な間隔が経過すると、累積増分バックアップが開始されます。この累積増分バックアップには、最新のフル・バックアップ以降の変更が保持されます。前回のフル・バックアップから7日後に、別のフル・バックアップが作成されます。

  たとえば、バックアップ期間が1日1回の場合、7回ごとにフル・バックアップが行われます。バックアップ期間が8日ごとの場合、すべてのバックアップがフル・バックアップです。バックアップ期間が12時間の場合、累積バックアップが13回行われてから、フル・バックアップが行われます。

  データ損失を最小にするために、定期バックアップは期間1日以上でスケジューリングしてください。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。

  累積増分バックアップは、フル・バックアップより高速です。常に、定期バックアップは1つのみスケジューリングできます。

13.3.3 Oracle Key Vaultのスケジュール済バックアップの状態

スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

• ACTIVE: バックアップがスケジュールされており、指定された開始時間または期間に処理されます。
• PAUSED: 今後のバックアップはすべて保留になり、開始時間を過ぎても開始されません。明示的に再開すると、開始されます。状態をアクティブから一時停止に変更したり、元に戻すことができます。次の状況では、スケジューリング済バックアップを一時停止状態に入れます。
  • Oracle Key Vaultとリモート宛先の間の通信が切断された場合
  • リモート宛先が使用不可または非アクティブの場合
  • バックアップを遅延させる場合

  完了しなかったスケジューリング済バックアップは削除できます。

• ONGOING: バックアップが進行中です。
• DONE: バックアップが完了しています。

13.4 Oracle Key Vaultバックアップのスケジュールおよび管理

特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。

使用するバックアップ先は事前に作成しておく必要があり、バックアップ・スケジュールは変更または削除できます。

• Oracle Key Vaultのバックアップのスケジュール
  ローカルまたはリモートのバックアップ先に対して、1回かぎりのバックアップまたは定期バックアップをスケジュールできます。
• Oracle Key Vaultのバックアップ・スケジュールの変更
  進行中のバックアップのスケジュールは変更できません。
• Oracle Key Vaultからのバックアップ・スケジュールの削除
  バックアップ・スケジュールは、Oracle Key Vault管理コンソールから削除できます。
• プライマリ/スタンバイがOracle Key Vaultバックアップに与える影響
  プライマリ/スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。
• リカバリ・パスフレーズを使用したバックアップの保護
  Oracle Key Vaultでは、ユーザーおよびシステム・データをリストアできるユーザーを制御するためにリカバリ・パスフレーズを使用します。

13.4.1 Oracle Key Vaultのバックアップのスケジューリング

ローカルまたはリモートのバックアップ先に対して1回限りのバックアップまたは定期バックアップをスケジューリングできます。

1回限りのバックアップを開始する場合は、時間を設定せずに即時に開始できます。ただし、証明書のローテーション操作が進行中の場合は、バックアップ操作をスケジュールしないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のサイドバーで「System Backup」を選択します。

   「System Backup」ページが表示されます。

3. Backupをクリックします。

   「Backup」ページが表示されます。

   
   図okv_21.jpgの説明

4. 「Name」フィールドにバックアップの名前を入力します。
5. 定期バックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。
   2. 「Type」で、「PERIODIC」を選択します。
      「Days」、「Hours」および「Mins」の追加フィールドが表示されます。
   3. 「Days」、「Hours」および「Mins」フィールドに、定期バックアップを開始する時間を入力します。
   4. 「Destination」で、リストからバックアップ先を選択します。
   5. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。
6. 1回限りのバックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後にバックアップをすぐに実行する場合は、「Now」を選択します。
   2. 「Type」で、「ONE-TIME」を選択します。
   3. 「Destination」で、リストからバックアップ先を選択します。
   4. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。

13.4.2 Oracle Key Vaultのバックアップ・スケジュールの変更

進行中のバックアップのスケジュールは変更できません。

バックアップ・スケジュールを変更するには、状態がアクティブまたは一時停止中である必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Backup」を選択します。
3. 「Scheduled Backup(s)」の「Name」でスケジュール済バックアップの名前をクリックします。

   「Backup」ページが表示されます。

   
   図okv_052.jpgの説明

4. 1回限りのバックアップの場合は、「Start Time」を入力するか、カレンダ・アイコンをクリックします。

   1回限りのバックアップの開始時間は、バックアップが開始されていない場合にのみ変更できます。つまり、状態が進行中または完了のものは対象外になります。定期バックアップの開始時間は、スケジュール済の開始時間を過ぎていない場合には変更できます。

5. 定期バックアップの場合は、「Days」、「Hours」および「Mins」に値を入力します。
6. Saveを選択します。

13.4.3 Oracle Key Vaultからのバックアップ・スケジュールの削除

Oracle Key Vault管理コンソールからバックアップ・スケジュールを削除できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のサイドバーで「System Backup」を選択します。
3. 「Scheduled Backup(s)」にリストされているスケジュール済バックアップのチェック・ボックスを選択します。
4. 「Delete」をクリックして、選択したバックアップ・スケジュールを削除します。

13.4.4 プライマリ・スタンバイのOracle Key Vaultバックアップへの影響

プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。

スタンバイはプライマリと状態が同期されるため、スタンバイをバックアップする必要はありません。

プライマリ・スタンバイ・デプロイメントでフェイルオーバーまたはスイッチオーバーを操作するには、次の動作に注意してください。

• フェイルオーバーまたはプライマリ・スタンバイ・スイッチオーバーがあった場合、進行中のバックアップはすべて終了します。LOCALへのバックアップはOracle Key Vaultサーバー専用なので、フェイルオーバーまたはスイッチオーバーの後にプライマリ・サーバーのローカル・バックアップは利用できません。

• パスワード認証でスケジューリングされているバックアップは、フェイルオーバーまたはスイッチオーバーの後、通常どおり開始されます。

• キー・ベースの認証を使用するリモート・バックアップは、宛先上で公開キーを更新する必要があります。そうしないと新しいプライマリ・システムに表示されるものと一致しません。

13.4.5 リカバリ・パスフレーズを使用したバックアップの保護

Oracle Key Vaultでは、ユーザーとシステムのデータをリストアできるユーザーを制御するために、リカバリ・パスフレーズを使用します。

バックアップをリストアするには、バックアップが開始された時点のOracle Key Vaultリカバリ・パスフレーズを使用します。これは、たとえバックアップの完了後にリカバリ・パスフレーズが変更された場合も必要です。常に最新のリカバリ・パスフレーズによって保護されているバックアップのコピーが確実に存在するようにするには、リカバリ・パスフレーズが変更されるたびに新しいバックアップを作成することをお薦めします。

13.5 Oracle Key Vaultデータのリストア

リモート・バックアップ先のOracle Key Vaultデータを別のOracle Key Vaultサーバーにリストアできます。

このリストア操作により、停止時間とデータ損失が最小限に抑えられます。

• Oracle Key Vaultのリストア・プロセスについて
  リストア・プロセスでは、rootユーザーおよびsupportユーザーのパスワードを除き、新規サーバー上のすべてのデータが置き換えられます。
• Oracle Key Vaultデータのリストアの手順
  Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用して格納できます。
• マルチマスター・クラスタとリストア操作
  マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• プライマリ/スタンバイとリストア操作
  プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• サード・パーティの証明書とリストア操作
  バックアップ時にインストールされたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。
• システム状態のリストアによる変化
  Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

13.5.1 Oracle Key Vaultのリストア・プロセスについて

リストア・プロセスでは、rootユーザーおよびsupportユーザーのパスワードを除き、新規サーバー上のすべてのデータが置き換えられます。

サーバー上でスケジュール済バックアップが進行中の場合は、そのサーバーにデータをリストアできなくなります。

注意:

Oracle Key Vaultデータをサーバーにリストアする前に、サーバーのスケジュールされたすべてのバックアップが完了していることを確認する必要があります。

Oracle Key Vaultサーバーにデータをリストアすると、サーバー上のデータがバックアップのデータに置き換えられます。最後のバックアップ以降に行われた変更はすべて失われます。バックアップは、バックアップが作成されたのと同じバージョンのOracle Key Vaultにのみリストアできます。

バックアップの有効期限は最大1年です。

注意:

1年より古いバックアップはリストアできません。

バックアップからデータをリストアするには、バックアップの時点で有効だったリカバリ・パスフレーズが必要です。Oracle Key Vaultをインストールしてからリカバリ・パスフレーズを変更していない場合は、インストール後に作成したリカバリ・パスフレーズを使用する必要があります。

Oracle Key Vaultのデータをリストアするには、次の一般的なステップが必要です。

1. バックアップ環境の設定(Oracle Key Vaultインストール後のバックアップ先の構成など)。

2. ローカルまたはリモートのバックアップ先から使用するバックアップを決定し、リストア・プロセスを開始するリカバリ・パスフレーズを指定して、リストア操作を実行します。リカバリ・パスフレーズは、Oracle Key Vaultのインストール後タスクの一環として作成します。

13.5.2 Oracle Key Vaultデータのリストアの手順

Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用して格納できます。

リストアを開始する前に、正しいリカバリ・パスフレーズがあることを確認してください。リストア・プロセス中にこのパスフレーズを入力する必要があります。また、証明書のローテーション・プロセスが進行中の間は、リストア操作を実行しないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「System Backup」を選択します。
3. Restoreをクリックします。

   「Restore」ページが表示されます。

   
   図okv_22.jpgの説明

4. ドロップダウン・リストから「Source」を選択します。
   値は「LOCAL」または「Remote」のいずれかです。
5. リストア元として使用するバックアップの横にある「Restore」を選択します。
6. 「Restore」をクリックすると、リストアまたはリカバリ・プロセスが開始されます。

   リカバリ・パスフレーズを尋ねてきます。

7. リカバリ・パスフレーズを入力し、「Restore」をクリックして開始します。

   バックアップからリストアが実行され、システムが再起動します。

8. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールします。

13.5.3 マルチマスター・クラスタとリストア操作

マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• クラスタ内のすべてのノードが失われた場合にのみリストアする必要があります。
• バックアップが取得されたノードに関係なく、スタンドアロンのOracle Key Vaultサーバーのみにバックアップをリストアする必要があります。
• リストアされたデータは、単純にバックアップ時点のものになります。
• リストア操作の後、リストアされたサーバーを新しいクラスタの最初のノードとして使用する必要があります。

13.5.4 プライマリ・スタンバイとリストア操作

プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• リストア操作は、プライマリ・データとスタンバイ・データの両方が失われた場合にのみ実行する必要があります。
• バックアップがプライマリから行われた場合でも、バックアップのリストア先はスタンドアロンのOracle Key Vaultサーバーのみにする必要があります。
• リストア操作によって、Oracle Key Vaultサーバーがバックアップで置き換えられます。これにより、一部のデータが失われる場合があります。エンドポイント・データベースをリストアすることが必要になる場合があります。
• プライマリ・ノードから取得したバックアップをリストアする場合は、スタンバイ・サーバーを廃棄(または再インストール)して、新規スタンバイを構成する必要があります。
• スタンバイ・サーバーがプライマリを引き継いだ場合は、バックアップのデータを新規スタンバイ・サーバーにリストアする必要はありません。新規スタンバイ・サーバーを構成すると、正常なプライマリと自動的に同期されます。
• サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールする必要があります。

13.5.5 サード・パーティの証明書とリストア操作

バックアップ時にインストールされたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。

新規サーバーでサード・パーティの証明書を使用するには、証明書を再インストールする必要があります。

13.5.6 システム状態のリストアによる変化

Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

したがって、バックアップが実行された後に加えられた変更は、リストアしたシステムには存在しません。たとえば、あるユーザーのパスワードがバックアップ操作後に変更された場合、リストアしたシステムで新しいパスワードを使用することはできません。リストアしたシステムのパスワードは、バックアップが作成されたときに有効だったものになります。

注意:

また、リストアを実行すると、リカバリ・パスフレーズもバックアップ中に有効だったものに変更されます。

必要に応じて、ユーザー・パスワードを変更し、バックアップ後に作成されるエンドポイントをエンロールし、その他、同様の変更を行ってください。リストア後には、すべてが正しく構成されていることを確認してください。

リストアしたバックアップが正しいという確信を持てない場合、別のものをリストアできます。別のバックアップをリストアするには、まずリストア済のOracle Key Vault自体にあるこのバックアップのリモート宛先を構成してから、リストア・プロセスを開始します。Oracle Key Vaultアプライアンスを再インストールする必要はありません。

Oracle Key Vaultサーバーがリストアされ、機能するようになった後は、引き続きOracle Key Vaultデータを新規または以前のリモート宛先にバックアップできます。

バックアップの古さに応じて、リストアされたサーバーではエンドポイント、セキュリティ・オブジェクト、およびリストア済のバックアップが行われた後に加えられたその他の変更が失われます。失われたエンドポイントのエンロール、失われたセキュリティ・オブジェクトのアップロード、またはより最近のバックアップをリストアすることが必要になる可能性があります。また、リストア操作後にユーザー・パスワードを変更し、Oracle Key Vaultをバックアップすることをお薦めします。

13.6 バックアップおよびリストアのベスト・プラクティス

Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

• バックアップの時点のリカバリ・パスフレーズは、バックアップからデータをリストアするときに必要になるため、すぐに利用できるようにしておきます。

• リカバリ・パスフレーズを変更するときには、常にデータをバックアップします。

• プライマリ・スタンバイ・デプロイメントでは少なくとも1つのリモート・バックアップ先を作成してください。ローカル・バックアップはOracle Key Vaultサーバー自体に存在するため、フェイルオーバーやスイッチオーバーが発生すると失われます。

• リモート・バックアップ先の使用を中止する場合でも、そのバックアップ先に関連付けられているバックアップ・カタログ・ファイルを削除しないでください。該当するサーバーのバックアップからリストアすることが必要になった場合に、バックアップ・カタログ・ファイルが必要になります。

• 複数のバックアップ先に同じリモート・サーバーを使用する場合は、ディレクトリを固有にし、各バックアップ先に個別のバックアップ・カタログ・ファイルが関連付けられるようにします。このようにしないと、その後のバックアップ中にバックアップ・カタログ・ファイルが上書きされ、使用できなくなります。

• データをリストアする前に、スケジュールされたすべてのバックアップが完了していることを確認します。

• リモート・バックアップ先を正常に作成する手順:

  • リモート・バックアップ先として使用されているサーバーが有効でアクティブになっていることを確認します。
  • バックアップ先として使用する予定のリモート・サーバーとOracle Key Vaultの間に接続があることを確認します。
  • バックアップ先として指定したリモート・サーバーでセキュア・コピー・プロトコル(SCP)がサポートされていることを確認します。
  • Oracle Key Vaultにバックアップ先を作成する前に、リモート・サーバーでユーザー・アカウントの資格証明を検証します。
  • バックアップ先ディレクトリへの書込み権限があることを確認します。
  • 複数のサーバーに複数のリモート・バックアップ先を作成し、冗長性を確保します。
  • 複数のバックアップ先に同じリモート・サーバーを使用する場合は、バックアップ先ディレクトリが固有になるようにします。前のバックアップが後のバックアップで上書きされないようにするために、このようにする必要があります。

• 7日ごとに1回限りのバックアップを実行します。

• 期間1日で定期バックアップをスケジューリングします。これにより、1週間に1つのフル・バックアップが保持されます。

• システム変更の前に、ローカルの1回限りのバックアップを実行します。このバックアップは、リストア・ポイントとして使用できます。

• Oracle Key Vaultサーバー・ソフトウェアのアップグレードの前後にバックアップを実行します。

• アップグレードが終了するたびにバックアップ先を変更します。可能な場合、バックアップ先を再利用しないでください。