1. インストレーション・ガイド
  2. Oracle Database Appliance (ODA)へのOracle AVDFのインストール

B Oracle Database Appliance (ODA)へのOracle AVDFのインストール

Oracle Database ApplianceにAudit Vault ServerまたはDatabase Firewallをインストールする方法を学習します。

Oracle Database Appliance (ODA)は、データベース・サーバー・アプライアンスです。これは、リモートおよびエッジ・コンピューティング環境でオラクル社のデータベースとアプリケーションを実行するための最も簡単かつ低コストな方法です。管理の自動化を備えた事前構築済の統合システムを使用することで、Oracle Databaseのデプロイメント時間と管理ワークロードを削減できます。

Oracle AVDFは、Audit Vault ServerとDatabase Firewallで構成されています。これらは、物理マシンまたは仮想マシン(VM)にデプロイできるソフトウェア・アプライアンス・イメージとして配布されます。Audit Vault ServerとDatabase Firewallは、Oracle Database ApplianceにKVM (カーネルベースの仮想マシン)ゲスト・インスタンスを作成することによりODAにデプロイできます。

この付録では、Oracle Database ApplianceへのAudit Vault ServerとDatabase Firewallのインストールに関する概要を説明します。

インストールの流れは、大まかには次のようになります。

図B-1 ODA上Oracle AVDF

図B-1の説明が続きます
「図B-1 ODA上のOracle AVDF」の説明

大まかには次のステップに従います。

  1. 前提条件

    1. ODA VMインスタンスを作成します
    2. ODA VMインスタンス内でOracle AVDF ISOファイルをダウンロードします

  2. ODA VMインスタンスへのKVMのインストール

  3. Audit Vault Serverのインストール

    1. ISOファイルおよびAudit Vault Serverインストール用のストレージ・プールを作成します
    2. KVMゲスト・インスタンスを作成します
    3. Audit Vault ServerまたはDatabase Firewallをインストールします

  4. Audit Vault Serverの構成

    1. Audit Vault Agentをデプロイします
    2. Audit Vault Serverにターゲット・データベース・インスタンスを登録します
    3. Audit Vault Agentを開始します
    4. Audit Vault Serverコンソールを使用してデータベース・インスタンスをターゲットとして構成します
    5. 監査を構成します
    6. 監査ポリシーをプロビジョニングします
    7. Audit Vault Serverでデータベース・アクティビティを監視します

B.1 インストールの前提条件の完了

ODAにOracle AVDFをインストールする前の前提条件について学習します。

  1. Oracle Database Appliance X8-2デプロイメントおよびユーザー・ガイドを参照して、ODA VMインスタンスを作成します。

    関連項目:

    KVMデプロイメントでの仮想マシンの作成

    ノート:

    ストレージ・プールを含むvdiskを作成し、同じものをVMにアタッチすることをお薦めします。

    このODA VMインスタンスは、Oracle AVDFをインストールするためのネストされたVMをホストするハイパーバイザとして使用されます。このネストされた仮想化をサポートするように、ODA VMインスタンスのCPUモードを更新する必要があります。

  2. 次のステップに従って、CPUモードを編集します。

    ノート:

    次のステップで、vm_nameはODA VMインスタンス名であり、vmstorage_nameはこのODA VMインスタンスのvmstorageです。

    1. 次のコマンドを実行します。

      virsh edit <vm_name>

    2. XMLファイル内で、変更する必要がある次の行を識別して特定します。

      
  <cpu mode='custom' match='exact' check='partial'>

    3. これらの行を次のように変更します。

      <cpu mode='host-passthrough' check='none'/>

    4. XMLファイルを保存します。

    5. 次のコマンドを実行して、ドメインXMLファイル(/etc/libvirt/qemu/<vm_name>.xml)をODAの場所/u05/app/sharedrepo/<vmstorage_name>/.ACFS/snaps/vm_<vm_name>にコピーします。 

      cp /etc/libvirt/qemu/<vm_name>.xml /u05/app/sharedrepo/<vmstorage_name>/.ACFS/snaps/vm_<vm_name>

    6. 次のコマンドを使用してVMを再起動します。

      odacli stop-vm -n <vm_name>
      odacli start-vm -n <vm_name>
  3. Oracle AVDF ISOファイルをダウンロードします。

B.2 Oracle AVDF ISOファイルのダウンロード

ODAにOracle AVDFをインストールするためのソフトウェアのダウンロードと検証について学習します。

ODA VMインスタンスのVNCコンソールを使用して、Oracle AVDF ISOファイルをダウンロードします。詳細なステップは、Oracle AVDFソフトウェアのダウンロードおよび検証を参照してください。

実行する大まかなステップは次のとおりです。

  1. 1 ODA VMインスタンスのVNCコンソールでWebブラウザを開き、Oracle Software Delivery Cloudポータルに移動します。
  2. 「サインイン」をクリックし、プロンプトが表示されたら「ユーザーID」「パスワード」を入力します。
  3. 「すべてのカテゴリ」メニューで、「リリース」を選択します。次のフィールドにOracle Audit Vault and Database Firewallと入力し、「検索」をクリックします。
  4. 表示されたリストから、インストールするOracle Audit Vault and Database Firewallバージョンを選択します。または、特定のリリースに対して表示される「選択」アイコンをクリックします。
  5. 次のページで、インストール・パッケージの詳細を確認し、「続行」をクリックします。
  6. ページに表示されているOracle標準利用規約をお読みください。Oracleライセンス契約を確認して同意するチェック・ボックスを選択して、続行をクリックします。

    ノート:

    Oracle AVDFリリース20.3以前では、Audit Vault Serverのインストール可能ファイルは分割して提供されており、インストール前に連結する必要があります。Oracle AVDFリリース20.4以降、単一のAudit Vault Server ISOファイルがあり、連結する必要はありません。

    ダウンロード・ページが表示され、Oracle Audit Vault and Database FirewallのISOファイルのリストが表示されます。

    1. Audit Vault Serverのインストール: Vpart_number.iso Oracle Audit Vault and Database Firewall 20.x.0.0.0 - Audit Vault Server

      ノート:

      Oracle AVDF 20.4以降、単一のAudit Vault Server ISOファイルがあり、連結する必要はありません。

    2. Database Firewallのインストール: Vpart_number.zip Oracle Audit Vault and Database Firewall 20.x.0.0.0 - ユーティリティ。

  7. 印刷ボタンの横にある、ダイジェスト詳細の表示をクリックします。

    ISOファイルのリストが展開され、各ISOファイルのSHA-1およびSHA-256のチェックサム参照番号が表示されます。

  8. すべてのISOファイルのチェックサム値を確認します。
  9. 「ダウンロード」をクリックします。ダウンロード・マネージャのインストール画面が表示されます。結合したISOファイルのサイズは、11GBを超えます。ネットワークの速度によっては、ダウンロードに時間がかかります。推定ダウンロード時間と速度は、「ファイルのダウンロード」ダイアログ・ボックスに表示されます。
  10. 「インストーラのダウンロード」をクリックし、「ファイルの保存」をクリックします。
  11. ISOファイルをダウンロードするためのディレクトリをODA VMインスタンスに作成します。ISOファイルをODA VMインスタンスのソース・ディレクトリにダウンロードします。
  12. 「保存」をクリックします。
  13. ダウンロードが完了したら、ターミナル・セッションを起動します。
  14. ISOファイルが正しくダウンロードされていることを確認します。

B.3 Oracle AVDFを実行するためのODA VMインスタンスへのKVMのインストール

Oracle AVDFアプライアンスを実行するためにODA VMインスタンスにKVMをインストールする方法を学習します。

次のステップに従って、KVMをODA VMインスタンスにインストールします。KVMハイパーバイザのインストールについてはOSドキュメントを参照してください。

  1. 次のコマンドを実行して、最新のqemuパッケージおよびvirt-managerをインストールします。

    ODA VMインスタンスがOL7の場合: 

    yum -y install qemu-kvm qemu-img virt-manager libvirt libvirt-python libvirt-client virt-install

    ODA VMインスタンスがOL8の場合: 

    # yum install qemu-kvm qemu-img virt-manager libvirt libvirt-client virt-install
  2. 次のコマンドを実行して、libvirtdを有効にします。
    systemctl enable libvirtd
    systemctl start libvirtd
  3. 次のコマンドを実行して、tunedを有効にします。
    systemctl enable tuned
    systemctl start tuned
    tuned-adm profile virtual-host
  4. ネストされたVMのサポートを有効にします。ODA X10-2より前は、ODAはIntelベースであり、ネストされたVMのサポートはデフォルトで有効になっています。ODA X10-2以降では、ODAはAMDベースであり、ネストされたKVMのサポートは、ODA BMホストでoptions kvm_amd nested=0をコメント・アウトすることで手動で有効にする必要があります。ODAの高可用性モデルを使用する場合は、両方のBMホストでこれらの変更を加えます。
    [root@ODABM root]# cat /etc/modprobe.d/kvm.conf
# Enable nested virtualization on Intel processorsoptions kvm_intel nested=1
# Nested virtualization support on AMD processors is not stable enough
# for production use, so disable it
# options kvm_amd nested=0
  5. BMホストを再起動して変更内容を有効にします。

B.4 ODA VMインスタンスでのネットワークの構成

Oracle AVDF VMインスタンスで使用されるブリッジ・ネットワークをODA VMインスタンスで構成する方法を学習します。

この項の目的は、ODA VMインスタンスのブリッジ・ネットワークを作成し、仮想インタフェースをブリッジにアタッチし、IPをブリッジにplumbすることです。

ネットワークの構成方法の詳細は、Oracle Linuxのドキュメントを参照してください。

次のステップに従います。

  1. ベア・メタル・ホストから、次を使用してODA VMにアクセスします。
    virsh <ODA VM name> --console
  2. ブリッジ・ネットワークを作成します。
    < delete the existing ens3 configuration from network manager>
# nmcli connection down ens3
# nmcli connection delete ens3

<create a bridge br0 and add port ens3 to the bridge br0>
# nmcli connection add type bridge con-name br0 ifname br0
# nmcli connection add type ethernet slave-type bridge con-name br0-port1 ifname ens3 master br0

<configure IP, gateway, dns to the bridge>
# nmcli connection modify br0 ipv4.addresses 'x.x.x.x/xx'
# nmcli connection modify br0 ipv4.gateway 'y.y.y.y'
# nmcli connection modify br0 ipv4.dns 'x.x.x.x'
# nmcli connection modify br0 ipv4.dns-search 'example.com'
# nmcli connection modify br0 ipv4.method manual

B.5 ODA VMインスタンスへのAudit Vault Serverのインストール

ODA VMインスタンスにAudit Vault ServerまたはDatabase Firewallをインストールする方法を学習します。

前のトピックのステップに従ってODA VMインスタンスがインストールされました。

ODA VMインスタンスにAudit Vault ServerまたはDatabase Firewallをインストールするには、大まかには次のステップに従います

  1. ISOファイルをアップロードするためのストレージ・プールを作成します。
  2. Audit Vault Serverをインストールするためのストレージ・プールを作成します
  3. KVMゲスト・インスタンスを作成します
  4. Audit Vault Serverをインストールします

次のステップに従って、Oracle AVDF ISOファイルをアップロードするためのストレージ・プールをODA VMインスタンスに作成します。

  1. rootユーザーとして、VNCビューアを使用して仮想マシンに接続します。
  2. ターミナルを開き、virt-managerを起動します。
  3. 「QEMU/KVM」を右クリックします。「Details」を選択し、「Storage」タブを選択します。
  4. virt-manager「Storage」タブで、左下隅にあるプラス・ボタンをクリックします。
  5. インストール可能なISOファイル用のものであることをすぐに識別できるような「Name」を指定します。
  6. ストレージ・プールの「Type」を選択します。例: dir: Filesystem Directory
  7. 「Target Path」を指定します。これは、Audit Vault Server ISOファイルが格納されるディレクトリです。例: /u01/source/av
  8. 「Finish」をクリックします。
  9. 新しく作成されたストレージ・プールが左側に表示されます。そのプールを選択します。
  10. このストレージ・プールにISOファイルをコピーまたは移動します。

次のステップに従って、Audit Vault ServerまたはDatabase Firewallをインストールするためのストレージ・プールを作成します。アプライアンスは、このストレージ・プールにインストールされます。

  1. rootユーザーとして、VNCビューアを使用して仮想マシンに接続します。
  2. ターミナルを開き、virt-managerを起動します。
  3. 「QEMU/KVM」を右クリックします。次に、「Details」を選択し、「Storage」タブを選択します。
  4. 左下隅にあるプラス・ボタンをクリックします。
  5. 「Name」を指定します。
  6. ストレージ・プールの「Type」を選択します。例: dir: Filesystem Directory
  7. 「Target Path」を指定します。これは、Audit Vault Serverファイルが格納されるディレクトリです。例: /u01/kvm/av
  8. 「Finish」をクリックします。
  9. 作成された新しいディレクトリが左側に表示されます。そのディレクトリを選択し、「Volumes」の横にあるプラス・ボタンをクリックします。
  10. 「Name」を入力します。
  11. 「Format」として「qcow2」を選択します。
  12. 「Max Capacity」フィールドでサイズを指定します。これは、Audit Vault Serverをインストールするためのものであり、少なくとも256 GBが必要です。
  13. 「Finish」をクリックします。
  14. 新しく作成されたエントリが、「Volumes」フィールドの下の表に表示されます。同じことを確認します。

次のステップに従って、KVMゲスト・インスタンスを作成します。KVMは、コマンドラインまたはGUIツールを使用して管理できます。このドキュメントでは、GUIツールの使用に焦点を当てます。VNCコンソールを使用してODA VMインスタンスに接続します。gnome-terminalを開き、ステップまたはコマンドに従います。

  1. rootユーザーとして、VNCビューアを使用して仮想マシンに接続します。
  2. ターミナルを開き、virt-managerを起動します。
  3. 「File」を選択し、「New Virtual Machine」を選択します。
  4. 「Local install media (ISO image or CDROM)」オプションを選択します。
  5. 次のいくつかのステップでは、構成に基づいてオプションを選択します(これは異なる場合があります)。「Use ISO image」オプションを選択し、「Browse」をクリックして最初のISOファイルを選択します。
  6. チェック・ボックス「Automatically detect operating system based on install media」の選択を解除します。
  7. 「OS Type」として「Linux」を選択します。
  8. 「Version」を選択します。例: Oracle Linux 7.7
  9. このKVMゲスト仮想マシンで使用されるサービスのワークロードに基づいて、「Memory」および「CPU settings」を選択します。例: 「Memory (RAM)」として16384 MB、「CPUs」として4
  10. 「Forward」をクリックします。
  11. ラジオ・ボタン「Select or create custom storage」を選択します。
  12. 前に作成したストレージ・プールのパスを入力します。例: /u01/kvm/av/av191.qcow2
  13. 「New VM」ダイアログで、「Name」を入力します。
  14. 「Customize configuration before install」フィールドを選択します。
  15. 「Network selection」領域を展開し、前に作成したブリッジを選択します。
  16. 「Device model」フィールドで「virtio」を選択します。
  17. vNICの「MAC address」を追加し、「Apply」をクリックします。
  18. 左側の「VirtIO Disk1」をクリックし、「Advanced Options」を展開します。
  19. 「Disk bus」フィールドで「SATA」を選択します。
  20. 左側の「IDE CDROM 1」をクリックし、「Source path」に正しいISOファイルがあることを確認します。
  21. 「Disk bus」フィールドで「SATA」を選択します。21.左側の「VirtIO Disk1」をクリックし、「Advanced Options」を展開します。
  22. ダイアログの左上隅にある「Begin Installation」をクリックします。

仮想マシンによってインストールが開始され、仮想マシンにアタッチされたvNICネットワーク・デバイスが検出されます。インストールが完了するには、約1時間かかります。詳細は、Audit Vault Serverまたはデータベース・ファイアウォールのインストールを参照してください。

  1. システムが起動され、最初のスプラッシュ画面が表示されます。これは、Oracle AVDFリリースがインストールされることを示します。
  2. 変更を求めるプロンプトが表示されたら、新しいrootユーザー・パスワードを入力します。確認のプロンプトが表示されたら、同じパスワードを入力します。
  3. Audit Vault Serverコンソールへの初回ログインに使用されるインストール・パスフレーズの詳細は、インストール後の構成タスクを参照してください。
  4. インストールISOを再度挿入して続行するよう求めるプロンプトが表示されたら、KVMコンソールに移動します。
  5. 「View」「Details」の順にクリックします。
  6. 左側の「IDE CDROM1」をクリックします。「Source path」フィールドで、「Connect」をクリックしてISOファイルのパスを指定します。
  7. 「Image Location」オプションを選択し、「Browse」をクリックしてISOファイルに移動し、選択します。
  8. 「Choose Volume」をクリックします。
  9. ターミナル・アイコンをクリックして、インストール・コンソールに切り替えます。
  10. rootユーザーとしてログインして、インストールを続行します。
  11. デフォルトのネットワーク・インタフェースを選択します。MACアドレスが正しいことを確認します。

  12. 次のフィールドを入力してネットワーク構成を設定します。

    • IPアドレス: Audit Vault Serverのインストールに使用するIPアドレスを入力します。

    • ネットワーク・マスク

    • ゲートウェイ: ネットワーク・インタフェースのIPアドレスを入力します(ゲートウェイが必要な場合)。それ以外の場合は、保存する前にフィールドをクリアします。

  13. [Tab]キーを押して「OK」ボタンにナビゲートし、[Enter]ボタンを押します。インストールが開始され、完了するには最大2時間かかる場合があります。
  14. インストールが完了すると、確認メッセージが画面に表示されます。「OK」をクリックします。
  15. ホストVMインスタンスで、Webブラウザを開きます。https://<VM Private IP address of the vNIC assigned to Oracle AVDF VM>/consoleと入力します。
  16. 同意してAudit Vault Serverコンソールへの接続を続行することを選択します。
  17. 前に選択したパスワードを入力してログインします。
  18. プロンプトが表示されたら、スーパー管理者およびスーパー監査者のユーザー名を入力します。リポジトリ暗号化パスワード、supportユーザー・パスワード(VMへのSSHアクセス用)、rootユーザー・パスワード(VMのroot権限用)を設定します。詳細は、Audit Vault Serverの「インストール後の構成」ページへのアクセスを参照してください。

  19. 「時間設定」リージョンを展開し、「NTPを使用」を選択します。「サーバー1」のIPアドレスを入力し、「サーバーのテスト」をクリックします。

    ノート: Audit Vault Serverとターゲットの間の時間の違いは、監査収集に悪影響を及ぼします。

  20. ICMP pingを使用して、Audit Vault Serverとターゲットの間のネットワーク接続を確認します。これまでのすべてのステップが正しく実行されていれば、Audit Vault Serverとターゲットが相互に接続されます。

B.6 ODA VMインスタンスへのDatabase Firewallのインストール

ODA (Oracle Database Appliance) VMインスタンスにDatabase Firewallをインストールする方法を学習します。

Database Firewall ISOを指して、前の項のODA VMインスタンスへのAudit Vault Serverのインストールで説明したものと同じステップに従います。

Database Firewall VMの準備が完了したら、追加のステップに従ってDatabase Firewallを登録する必要があります。

さらに、次のステップに従います。

  1. Audit Vault ServerコンソールでDatabase Firewallを登録します。詳細は、「Audit Vault Serverの証明書およびIPアドレスの指定」を参照してください。
  2. Audit Vault Serverコンソールに管理者としてログインします。
  3. 「設定」タブをクリックします。
  4. 左側のナビゲーション・メニューの「セキュリティ」タブをクリックします。
  5. メイン・ページで「証明書」タブをクリックした後、「サーバー証明書」サブタブをクリックします。サーバーの証明書が表示されます。
  6. サーバーの証明書をコピーします。
  7. supportユーザーとしてSSHを介してDatabase Firewallサーバーに接続します。
  8. rootユーザーに切り替えます:
    su – root
  9. Audit Vault Serverの証明書をファイルvi /root/certif_avs.crtにコピーします。
  10. 次のコマンドを実行して、プライマリAudit Vault ServerをDatabase Firewallに関連付けます。
    cat /root/certif_avs.crt | /opt/avdf/config-utils/bin/config-avs set avs=primary address=<IP address of the primary AVS> certificate=<Path of the certificate>
  11. 次のコマンドを実行して、Database Firewall Serverのシステム・クロックをAudit Vault Serverと同期します。
    /opt/avdf/config-utils/bin/config-ntp set servers=<Comma separated IP addresses or hostnames of NTP servers> sync_on_save=true enabled=true
  12. Audit Vault Serverコンソールで「データベース・ファイアウォール」タブに移動します。
  13. 「登録」をクリックします。
  14. ダイアログで「名前」および「IPアドレス」を入力します。
  15. 「保存」をクリックします。Database Firewallインスタンスが登録され、リストに表示されます。