1. 管理者ガイド
  2. Oracle Key Vaultのインストールと構成

4 Oracle Key Vaultのインストールと構成

Oracle Key Vaultのインストール・プロセスでは、インストールと構成を実行する前に、環境が必要な要件を満たしていることを確認する必要があります。

4.1 Oracle Key Vaultのインストールと構成について

Oracle Key Vaultは、ISOイメージとして提供されているソフトウェア・アプライアンスです。

ソフトウェア・アプライアンスは、事前構成済のオペレーティング・システム、Oracle DatabaseおよびOracle Key Vaultアプリケーションから構成されています。Oracle Key Vaultは独自の専用サーバーにインストールする必要があります。

Oracle Key Vaultのインストールまたはアップグレード・プロセスを開始する前に、認識しておく必要がある既知の問題について『Oracle Key Vaultリリース・ノート』で確認してください。

親トピック: Oracle Key Vaultのインストールと構成

4.2 Oracle Key Vaultのインストール要件

Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどのシステム要件が含まれます。

親トピック: Oracle Key Vaultのインストールと構成

4.2.1 システム要件

システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェース、ハードウェアの互換性およびRESTfulサービス・クライアントが含まれます。

Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。

本番システムの場合、仮想マシンのデプロイメントはお薦めしません。ただし、仮想マシンは、テストおよび概念の確認に役立ちます。

Oracle Key Vaultソフトウェア・アプライアンスをデプロイするための最小ハードウェア要件は次のとおりです。

  • CPU: 最小: x86-64 16コア。推奨: 暗号化アクセラレーションがサポートされた24-48コア(Intel AESNI)。

  • メモリー: 最小16 GB RAM推奨: 32–64 GB。

  • ディスク: 最小2 TB。推奨: 4 TB。

  • ネットワーク・インタフェース: ネットワーク・インタフェース1つ

  • ハードウェア互換性: 「関連項目」の項のリンクから、Oracle Linuxリリース6アップデート10のハードウェア互換性リスト(HCL)を参照してください。

    ノート:

    サポートされているハードウェアは、Oracle LinuxおよびOracle VMのハードウェア動作保証リストから入手できます。「All Operating Systems」を選択し、「Oracle Linux 6.10」を選択して、結果をフィルタします。ただし、Oracle Key VaultではQLogic QL4*ネットワーク・カード・ファミリがサポートされていないことに注意してください。

    Oracle Key Vault では、レガシーBIOSおよびUEFI BIOSのブート・モードの両方がサポートされます。UEFI BIOSモードのサポートにより、Oracle X7-2サーバーなど、UEFI BIOSのみをサポートするサーバーでOracle Key Vaultのインストールが可能になります。Oracle Key Vaultは、スタンドアロン・サーバー、プライマリ・スタンバイ構成またはマルチマスター・クラスタ構成としてOracle X7–2サーバーにインストールできます。

  • RESTfulサービス・クライアント: RESTfulサービスが有効な場合は、Oracle Key Vault管理コンソールに接続する各エンドポイントには、少なくともJava 1.7.0.21がインストールされている必要があります。

    REST APIは、cURLユーティリティを必要とします。REST APIを使用してエンドポイントをプロビジョニングする前に、エンドポイントでTransport Layer Security (TLS) 1.2以降をサポートするcURLバージョンがインストールされていることを確認します。

ノート:

多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。

関連項目

親トピック: Oracle Key Vaultのインストール要件

4.2.2 ネットワーク・ポート要件

ネットワークポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。

Oracle Key Vaultとそのエンドポイントでは、一連の固有ポートを使用して通信します。ネットワーク管理者は、ネットワークのファイアウォールでこれらのポートを開く必要があります。

次の表に、Oracle Key Vaultで必要なネットワーク・ポートを示します。

表4-1 Oracle Key Vaultで必要なポート

ポート番号 プロトコル 説明

22

SSH/SCPポート

Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用

161

SNMPポート

モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用

443

HTTPSポート

ブラウザやRESTful管理コマンドなどのWebクライアントがOracle Key Vaultとの通信に使用

5695

HTTPSポート

RESTfulキー管理コマンドでOracle Key Vaultとの通信に使用

1521および1522

データベースのTCPSリスニング・ポート

プライマリ/スタンバイ構成で、プライマリ・サーバーとスタンバイ・サーバーの間の通信にOracle Data Guardで使用されるリスニング・ポート。クラスタ構成では、読取り/書込みノード間の通信に使用されるリスニング・ポート。

7443

HTTPSポート

プライマリ・スタンバイ構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。このポートは、クラスタに新規ノードを追加する場合にも使用されます。

5696

KMIPポート

Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用

7093

TCPポート

マルチマスター・クラスタ構成でOracle GoldenGateがデータを転送するために使用。

親トピック: Oracle Key Vaultのインストール要件

4.2.3 サポートされているエンドポイント・プラットフォーム

Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。

Oracleでは、64ビットLinuxのエンドポイントがサポートされますが、オンライン・マスター・キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。エンドポイントが実行されるオペレーティング・システムは、直接または適切なパッチを使用してTransport Layer Security (TLS) 1.2と互換性がある必要があります。

このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。

  • Oracle Linux (6および7)

  • Oracle Solaris (10および11)

  • Oracle Solaris Sparc (10および11)

  • RHEL 6および7

  • IBM AIX (6.1と7.1)およびAIX 5.3 (容量制限あり)

  • HP-UX (IA) (11.31)

  • Windows Server 2012

親トピック: Oracle Key Vaultのインストール要件

4.2.4 エンドポイント・データベース要件

エンドポイントに対して、Oracle Key VaultではOracle Databaseリリース10以降がサポートされています。

Oracle Database 10gリリース2以降のエンドポイントを管理する管理者は、okvutil uploadコマンドを使用してOracleウォレットをOracle Key Vaultにアップロードできます。Oracle Database 11gリリース2以降のエンドポイントを管理する管理者は、オンライン・マスター・キーを使用してTDEマスター暗号化キーを管理できます。

Oracle Databaseのエンドポイントを管理する管理者は、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。

Oracle Databaseリリース11.2または12.1のエンドポイントでは、COMPATIBLE初期化パラメータを11.2.0.0以上に設定します。COMPATIBLEを11.2以上に設定すると、Oracle Key Vaultで透過的データ暗号化が使用可能になります。次に例を示します。 

SQL> ALTER SYSTEM SET COMPATIBLE = '11.2.0.0' SCOPE=SPFILE;

これは、オンライン・マスター・キーを使用してTDEマスター暗号化キーを管理するOracle Databaseエンドポイントに適用されます。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。

また、COMPATIBLEパラメータを11.2.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。

関連項目

親トピック: Oracle Key Vaultのインストール要件

4.3 Oracle Key Vaultのインストールと構成

Oracle Key Vaultアプリケーション・ソフトウェアをダウンロードした後に、インストールを実行できます。

親トピック: Oracle Key Vaultのインストールと構成

4.3.1 Oracle Key Vaultアプライアンス・ソフトウェアのダウンロード

Oracle Key Vaultの新規インストールとアップグレードの両方のための実行可能ファイルをダウンロードできます。

新規インストールの場合、Software Delivery CloudからOracle Key Vaultアプライアンス・ソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。アップグレードの場合、My Oracle SupportのWebサイトからOracle Key Vaultアップグレード・ソフトウェアをダウンロードできます。

  1. WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。
  2. 「Sign In」をクリックし、プロンプトが表示された場合は、「User ID」「Password」を入力します。
  3. 「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
  4. 表示されたリストから「Oracle Key Vault 21.1.0.0.0」を選択するか、「Oracle Key Vault 21.1.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
    ダウンロードがカートに追加されます。(カートの内容を確認するには、画面の右上にある「View Cart」をクリックします。)
  5. 「Checkout」をクリックします。
  6. 次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
  7. 「Oracle Standard Terms and Restrictions」ページで、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。

    ダウンロード・ページが表示され、Oracle Key Vaultの次のISOファイルがリストされます。

    • Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート1)

    • Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート2)

    • Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート3)

    • Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート4)

  8. 「Print」ボタンの右側にある「View Digest Details」をクリックします。

    ISOファイルのリストが展開され、各ISOファイルのSHA-1およびSHA-256チェックサム参照番号が表示されます。

  9. SHA-256チェックサム参照番号をコピーし、後から参照するために保存します。
  10. 「Download」をクリックして、ISOファイルを保存する場所を選択します。
    各ファイルを個別に保存するには、ファイル名をクリックしてダウンロードの場所を指定します。
  11. 「Save」をクリックします。

    ISOファイルの合計サイズは4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。

  12. ISOファイルが指定された場所にダウンロードされたら、ダウンロードしたファイルのSHA-256チェックサムを確認します。
    1. 1番目のVpart_number.isoのSHA256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、手順9「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

    2. 2番目のVpart_number.isoのSHA-256チェックサムを生成します。
      $ sha256sum Vpart_number.iso

      チェックサムが、手順9「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

  13. ダウンロードしたファイルを解凍して、.isoファイルを単一の.isoイメージに連結します。
    cat okv_21.1_installer_disc_part1.iso okv_21.1_installer_disc_part2.iso okv_21.1_installer_disc_part3.iso okv_21.1_installer_disc_part4.iso > okv_21.1_installer_disc.iso
  14. 次のいずれかの方法を使用して、連結した.isoイメージを転送します。
    • 連結した.isoイメージをブート可能DVDに書き込みます。
    • 連結した.isoイメージをブート可能USBスティックにコピーします。
    • 連結した.isoイメージを仮想化ソフトウェアとともにマウントし、仮想マシンとしてOracle Key Vaultを実行するために、連結した.isoイメージからブートします。
これで、Oracle Key Vaultをサーバーにインストールできます。

親トピック: Oracle Key Vaultのインストールと構成

4.3.2 Oracle Key Vaultアプライアンス・ソフトウェアのインストール

Oracle Key Vaultのインストール・プロセスでは、専用のサーバー上に必要なすべてのソフトウェア・コンポーネントをインストールします。

インストール・プロセスは、Oracle Key Vaultをインストールするサーバー・リソースによって異なりますが、完了までに30分以上かかる場合があります。

注意:

Oracle Key Vaultインストールによってサーバーがワイプされ、カスタマイズされたOracle Linux 6アップデート10がインストールされます。インストールによって、サーバー上の既存のソフトウェアおよびデータが消去されます。

  • サーバーが推奨要件を満たしていることを確認します。

  • ネットワーク管理者に専用サーバー用の固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスをリクエストします。ネットワークを構成するには、この情報が必要になります。

Oracle Key Vaultアプライアンスをインストールするには:

  1. OKVディスク1をDVDドライブに挿入して、コンピュータを再起動します。

    インストールが開始され、初期画面が表示されます。

    installation_01_182.pngの説明が続きます
    図installation_01_182.pngの説明

  2. 上矢印および下矢印キーを使用して、目的のインストール・オプションまたはメモリー・テストを実行するオプションを選択し、[Enter]を押します。

    「Install with FIPS Mode enabled (wipes system)」を選択すると、FIPSモードが自動的に有効になります。

    インストールが開始され、数分後に「Please insert disc 2」というメッセージが表示されます。

  3. OKVディスク2をDVDドライブに挿入して、[Enter]を押します。

    インストールが続行され、しばらくして「Please insert disc 1」というメッセージが表示されます。

  4. OKVディスク1をDVDドライブに挿入して、[Enter]を押します。
    インストールが続行され、しばらくして「Please enter installation passphrase」というメッセージが表示されます。

    installation_02_bp5.pngの説明が続きます
    図installation_02_bp5.pngの説明

    インストール・パスフレーズは8文字以上で、英大文字、英小文字、数字および特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、感嘆符(!))をそれぞれ1つ以上含める必要があります。また、パスフレーズの先頭または最後の文字として使用しない場合は、パスフレーズに空白文字( )を含めることができます。

    インストール・パスフレーズは安全な方法で格納することが重要です。これは、Oracle Key Vault管理コンソールでの認証、インストール後タスクの実行、およびマルチマスター・クラスタへのノードの追加のために必要になります。

  5. インストール・パスフレーズを入力し、[Enter]を押します。
  6. インストール・パスフレーズを確認し、[Enter]を押します。
    「Installation passphrase was successfully configured」というメッセージが表示されます。[Enter]を押します。「Select Network Interface」画面が表示されます。

    installation_03_bp5.pngの説明が続きます
    図installation_03_bp5.pngの説明

  7. インタフェースを選択して[Enter]を押します。複数のネットワーク・インタフェースが利用できる場合、管理インタフェースとして機能してエンドポイントと通信するインタフェースを選択します。
    「Network Selection Interface」画面が表示されます。

    installation_04_bp5.pngの説明が続きます
    図installation_04_bp5.pngの説明

  8. [Enter]を押します。
    管理インタフェースのIPアドレス設定画面が表示されます。

    installation_05_bp5.pngの説明が続きます
    図installation_05_bp5.pngの説明

  9. ネットワーク管理者から受け取った固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスを入力します。「Reboot to complete installation」を選択して[Enter]を押します。

    インストーラがサーバー上にオペレーティング・システム、データベースおよびOracle Key Vaultをインストール、構成して、自己完結した強化アプライアンスにします。インストールおよび構成プロセスは、30分以上かかる場合があります。

    インストールが正常に完了した場合は、「Oracle Key Vault Server <Release Number>」画面が表示されます。

    os_user_pwd_change1.pngの説明が続きます。
    図os_user_pwd_change1.pngの説明

  10. 「Display Appliance Info」を選択し、[Enter]を押してアプライアンスのIPアドレス設定を表示します。アプライアンスのIPアドレスをノートにとります。これは、ブラウザ・ベースのOracle Key Vault管理コンソールにログインするときに必要になります。

    なんらかの理由でIPアドレス、ネットワーク・マスクまたはIPゲートウェイを修正する必要がある場合は、「Change IP Settings」を選択して新しいIP設定を入力できます。

    「Set User Passwords」を選択して、rootsupportのユーザー・パスワードを設定します。インストール後のタスクを実行する際にrootおよびsupportユーザーのパスワードを設定することもできますが、これらのパスワードを設定した後は、これらのパスワードが作成されたコンピュータ上でSecure Shell (SSH)を使用しないと、これらのパスワードを変更できません。

    「Change Installation Passphrase」を選択して、インストール・パスフレーズを変更することもできます。インストール・パスフレーズを変更する方法の詳細は、「インストール・パスフレーズの変更」を参照してください。

    ノート:

    インストール・パスフレーズを更新するには、古いインストール・パスフレーズを入力する必要があります。

    インストール・パスフレーズをノートにとります。これは、インストール後タスクを完了するために、管理コンソールに初めてログインするときに必要になります。

親トピック: Oracle Key Vaultのインストールと構成

4.3.3 インストール後タスクの実行

Oracle Key Vaultのインストール後は、一連のインストール後タスクを完了する必要があります。

これらのタスクには、リカバリ用の管理ユーザー・アカウントとパスワードの構成、rootおよびsupportに対するオペレーティング・システム・アカウントおよびパスワードの構成が含まれます。

  1. WebブラウザでOracle Key Vaultサーバーに接続します。

    たとえば、IPアドレスが192.0.2.254のOracle Key Vaultサーバーに接続するには、アドレス・バーに次のように入力します。

    https://192.0.2.254

  2. Webブラウザに、信頼できないセキュリティ証明書または自己署名セキュリティ証明書でWebサイトに接続していることを示すセキュリティ警告メッセージが表示された場合は、セキュリティ警告メッセージを受け入れて、Oracle Key Vaultサーバーへの接続を続行します。

    これは一時的なメッセージです。サード・パーティの証明書を構成すると、このメッセージは表示されなくなります。インストール後タスクの完了後、セキュリティ警告メッセージが表示されずにOracle Key Vaultサーバーに接続できるように、ブラウザが信頼するカスタム証明書または証明書チェーンをアップロードすることができます。カスタム証明書のアップロードの詳細は、コンソール証明書の管理を参照してください。

  3. 「Installation Passphrase」画面が表示されます。

    install_passphrase.pngの説明が続きます
    図install_passphrase.pngの説明

    Oracle Key Vaultサーバーに初めて接続すると、インストール後タスクを完了するために、「Installation Passphrase」画面が表示されます。インストール後タスクの完了後、Webブラウザを介してOracle Key Vault管理コンソールにアクセスすると、Oracle Key Vaultログイン画面が表示されます。

  4. インストール・パスフレーズを入力します。

    「Post-Install Configuration」画面が表示されます。

    screenshot-install-configuration.pngの説明が続きます
    図screenshot-install-configuration.pngの説明

  5. 「User Setup」ペインで、キー管理者、システム管理者および監査マネージャ用の3つの管理ユーザー・アカウントを作成します。

    installation_configuration-user_setup.pngの説明が続きます
    図installation_configuration-user_setup.pngの説明

    「User Setup」セクションで、次のことを行います。

    • 各管理ユーザー・アカウントにユーザー名、パスワード、フルネーム(オプション)および電子メール(オプション)を入力します。

      このパスワードは1回かぎり使用するパスワードで、ユーザーの初回ログイン時に変更する必要があります。

    • 必要に応じて、義務を厳密に区別したり、ロールを組み合せるために、これらの管理ロールごとに別のユーザー・アカウントを作成することをお薦めします。

    • パスワードが8文字以上で、英大文字、英小文字、数字および1つの特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、感嘆符(!))をそれぞれ1つ以上含むことを確認します。また、パスフレーズの先頭または最後の文字として使用しない場合は、パスフレーズに空白文字( )を含めることができます。

  6. 「Recovery Passphrase」セクションで、リカバリ・パスフレーズを作成します。

    installation_configuration-recovery_passphrase.pngの説明が続きます
    図installation_configuration-recovery_passphrase.pngの説明

    リカバリ・パスフレーズの最小要件は、ユーザー・パスワードと同じです。セキュリティ強化のため、リカバリ・パスフレーズを長く複雑なものにすることをお薦めします。これは重要なパスワードであるため、リカバリ・パスワードを適切に保護する必要があります。リカバリ・パスワードは、次のシナリオで必要です。

    • Oracle Key Vaultにアクセスできる管理ユーザーがいない場合の緊急時

    • バックアップからOracle Key Vaultデータをリストアする場合

    • リカバリ・パスワードをリセットする場合

    • マルチマスター・クラスタに新規ノードをインダクションする場合

    • ハードウェア・セキュリティ・モジュール (HSM)を構成する場合

    注意:

    リカバリ・パスフレーズ(以前のパスフレーズも含めて)の保管と取得に安全なプロセスを確立することが重要です。リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Key Vaultを再インストールすることです。これらのパスワードのいずれかを3回続けて誤って入力した場合、アカウントは15分間ロックされます。
  7. 前の手順のOracle Key Vaultアプライアンス・ソフトウェアのインストールで、「Oracle Key Vault Server」画面の「Set User Passwords」オプションを使用してパスワードを設定していない場合は、ルート・パスワードおよびサポート・ユーザー・パスワードを設定します。

    installation_configuration-root_support_user_passwords.pngの説明が続きます
    図installation_configuration-root_support_user_passwords.pngの説明

    ルート・パスワードは、Oracle Key Vaultをホストするオペレーティング・システムのスーパー・ユーザー・アカウントです。サポート・パスワードは、SSHプロトコルを使用してリモートでOracle Key Vaultにログインするときに必要になります。

    注意:

    ルート・パスワードとサポート・ユーザー・パスワードはインストール後においてのみ設定するため、安全に保管してください。インストール後の後は、Oracle Key Vault管理コンソールからこれらを変更できません。

    「Time Setup」および「DNS Setup」の設定は、この段階ではオプションです。これらは、システム管理者が後から構成できます。

  8. 「Post-Install Configuration」画面の右上にある「Save」をクリックします。

    Oracle Key Vault管理コンソールのログイン画面が表示されます。

    ep_enroll_sw_dwnload.pngの説明が続きます
    図ep_enroll_sw_dwnload.pngの説明

インストール後プロセスで作成されたいずれかのユーザー・アカウントの資格証明を使用して、Oracle Key Vault管理コンソールにログインできます。

関連項目

親トピック: Oracle Key Vaultのインストールと構成

4.4 Oracle Key Vault管理コンソールへのログイン

Oracle Key Vaultを使用するには、Oracle Key Vault管理コンソールにログインします。

  1. Webブラウザを開きます。
  2. HTTPS接続およびOracle Key VaultのIPアドレスを使用して接続します。

    たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。

    https://192.0.2.254

  3. ログイン画面が表示されたら、ユーザー名とパスワードを入力します。
  4. 「Login」をクリックします。

親トピック: Oracle Key Vaultのインストールと構成

4.5 スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

このアップグレードには、関連付けられたエンドポイント・ソフトウェアを制御するOracle Key Vaultサーバー・ソフトウェアおよびユーティリティが含まれます。

親トピック: Oracle Key Vaultのインストールと構成

4.5.1 Oracle Key Vaultサーバー・ソフトウェアのアップグレードについて

Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。

ただし、以前のOracle Key Vaultリリースからダウンロードしたエンドポイント・ソフトウェアは、引き続き、アップグレードされたOracle Key Vaultサーバーとともに機能します。

アップグレードは、次に示す順序で実行する必要があります。最初にOracle Key Vaultのフル・バックアップを実行し、Oracle Key Vaultサーバーまたはサーバー・ペア(プライマリ・スタンバイ・デプロイメントの場合)をアップグレードして、エンドポイント・ソフトウェアをアップグレードし、最後に、アップグレード済のサーバーに対して再度フル・バックアップを実行します。アップグレードする場合は、Oracle Key Vaultサーバーの再起動が必要になることに注意してください。

アップグレード中の限られた時間、エンドポイントではOracle Key Vaultサーバーを使用できません。永続キャッシュ機能を有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

アップグレードを始める前に、アップグレードするための詳細情報を『Oracle Key Vaultリリース・ノート』で参照してください。

関連項目

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.2 ステップ1: アップグレード前のサーバーのバックアップ

Oracle Key Vaultサーバーをアップグレードする前に、アップグレードに失敗した場合にデータをリカバリできるように、リモート宛先に1回限りのバックアップを実行します。

注意:

このステップはスキップしないでください。アップグレードの実行前にサーバーをバックアップして、データを安全かつリカバリ可能な状態にします。

関連項目

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.3 ステップ2: アップグレード前のタスクの実行

Oracle Key Vaultにスムーズにアップグレードするために、アップグレードするサーバーを準備する必要があります。

  • SSHを使用して、Oracle Key Vaultがインストールされているサーバーにログインします。
  • サーバーがアップグレードの最小ディスク領域要件を満たしていることを確認します。/usr/local/dbfw/tmpディレクトリに十分な空き領域がない場合、診断.zipファイルがそのディレクトリに格納されている場合は、それらをすべて削除します。
  • 使用可能なディスク領域を増やすには、/usr/local/okv/sslにある一時jarファイルを削除します。その際には注意が必要です。/usr/local/okv/sslのjarファイル以外のファイルを誤って削除すると、Oracle Key Vaultサーバーは機能しなくなります。
  • フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。
  • 次の仕様に従い、停止時間を計画します。
    Oracle Key Vaultの使用 停止時間の必要性

    ウォレットのアップロードまたはダウンロード

    いいえ

    Javaキーストアのアップロードまたはダウンロード

    いいえ

    Transparent Data Encryption (TDE)直接接続

    はい(永続キャッシュを使用する場合は、いいえ)

    プライマリ・スタンバイ・デプロイメントにおけるプライマリ・サーバーのアップグレード

    はい(永続キャッシュを使用する場合は、いいえ)
  • 停止時間の計画:
    • Oracle Key Vaultでオンライン・マスター・キーを使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。
    • プライマリ/スタンバイ・デプロイメントでプライマリ・サーバーをアップグレードする場合は、数時間の停止時間を計画してください。永続キャッシュを使用すると、データベースを停止せずにOracle Key Vaultサーバーをアップグレードできます。Oracle Key Vaultサーバーが使用できなくなった時点からの永続キャッシュのデフォルトの有効期間は1,440分(1日)です。
  • エンドポイント・ソフトウェアのアップグレード・プロセスを正常に完了できるように、エンドポイントがインストールされている場所を$OKV_HOMEを設定します。
  • Oracle Key Vaultシステムでsyslog宛先が構成されている場合は、リモートsyslog宛先がOracle Key Vaultシステムからアクセス可能であり、ログが正しく転送されることを確認してください。リモートsyslog宛先にOracle Key Vaultシステムからアクセスできない場合、アップグレード処理が通常より大幅に遅くなる可能性があります。

関連項目

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.4 ステップ3: Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレード

プライマリ・スタンバイ・デプロイメントでは、スタンドアロンOracle Key VaultサーバーまたはOracle Key Vaultサーバーのペアをアップグレードできます。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.4.1 Oracle Key Vaultサーバーまたはサーバー・ペアのアップグレードについて

Oracle Key Vaultは、テスト環境や開発環境ではスタンドアロン・サーバーとしてデプロイでき、本番環境ではプライマリ/スタンバイ構成でデプロイできます。

スタンドアロン・デプロイメントでは単一のOracle Key Vaultサーバーをアップグレードする必要がありますが、プライマリ・スタンバイ・デプロイメントではプライマリとスタンバイの両方のOracle Key Vaultサーバーをアップグレードする必要があります。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

ノート:

メモリーが4GBのシステムからアップグレードする場合は、まずアップグレード前に12GBのメモリーをシステムに追加してください。
4.5.4.2 スタンドアロンOracle Key Vaultサーバーのアップグレード

スタンドアロン・デプロイメントでの単一のOracle Key Vaultサーバーは、テスト環境や開発環境で最も一般的なデプロイメントです。

  1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    このステップを完了することなく先に進まないでください。
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  3. SSHアクセスが有効になっていることを確認します。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

  4. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
  5. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を回避するために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認することをお薦めします。
  6. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。
    root# scp remote_host:remote_path/okv-upgrade-disc-new_software_release.iso /var/lib/oracle/destination_directory_for_iso_file

    このように指定した場合:

    • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
    • remote_pathはISOアップグレード・ファイルのディレクトリです。
  7. mountコマンドを使用して、アップグレードをアクセス可能にします。
    root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-new_software_release.iso /images
  8. clean allコマンドを使用してキャッシュをクリアします。
    root# yum -c /images/upgrade.repo clean all
  9. upgrade.rbコマンドを使用してアップグレードを適用します。
    root# /usr/bin/ruby /images/upgrade.rb --confirm

    システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

    Remove media and reboot now to fully apply changes

    エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

    nCipherを使用してHSMアップグレードを実行する場合は、この時点で、次のコマンドを実行する必要があります。 

    usermod -a -G nfast oracle
cd /etc/rc.d/rc5.d
mv S50nc_hardserver S40nc_hardserver
cd /etc/rc.d/rc3.d
mv S50nc_hardserver S41nc_hardserver
  10. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。
    root# /sbin/reboot

    アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

    アップグレードは、Oracle Key Vault Server new_software_releaseという見出しの画面が表示された時点で完了します。リビジョンには、アップグレードされたリリースが反映されます。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。

  11. Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「Status」を選択します。
    3. 最新のリリース番号のバージョンが表示されていることを確認します。
      リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
  12. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをスタンドアロン・サーバーに再インストールします。
  13. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。

4.5.4.3 プライマリ/スタンバイ・デプロイメントにおけるOracle Key Vaultサーバーのペアのアップグレード

スタンバイのアップグレード後に、プライマリ・サーバーをアップグレードするには数時間割り当てる必要があります。

スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードを実行し、スタンバイのアップグレードとプライマリのアップグレードの間に時間を空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化します。データ量が多いと、アップグレード時間が数時間を超える場合があります。
  1. アップグレードの準備をします。

    • アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。

    • 永続キャッシュを構成していない場合は、アップグレード中にエンドポイントを停止する必要があるため、計画されたメンテナンス・ウィンドウ期間にOracle Key Vaultサーバーをアップグレードしてください。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

    • プライマリとスタンバイの両方のシステムに8GBのメモリーがあることを確認してください。

  2. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    Oracle Backup and Recovery (Oracle RMAN)を使用して、このバックアップを実行できます。Oracle Key Vaultサーバーをバックアップしてから停止するまでの時間に、データベースでキーの設定または更新操作(ADMINISTER KEY MANAGEMENT文など)を実行すると、それらの新しいキーがバックアップに含まれないため、これらの操作をしないでください。
    このステップを完了することなく先に進まないでください。
  3. 最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

    スタンドアロン・モードのアップグレード・プロセスのステップ2からステップ10までを実行します。

  4. アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
  5. スタンドアロン・モードのアップグレードのステップ1-10に従って、プライマリOracle Key Vaultサーバーをアップグレードします。

    スタンバイおよびプライマリの両方のOracle Key Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。

  6. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  7. 「System」タブを選択し、「Status」を選択します。
  8. 「Version」フィールドに、新しいソフトウェア・バージョンが表示されていることを確認します。
  9. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをプライマリおよびスタンバイのサーバーに再インストールします。

4.5.5 ステップ4: エンドポイント・ソフトウェアのアップグレード

アップグレードの一環として、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。

以前のリリースから最新のリリースのOracle Key Vaultにアップグレードする場合は、エンドポイント・ソフトウェアをアップグレードするかわりに、エンドポイントを再エンロールする必要があります。エンドポイントを再エンロールすると、エンドポイントのソフトウェアが自動的に更新されます。

  1. Oracle Key Vaultサーバーをアップグレードしていることを確認します。直接接続用に構成された、Oracle Databaseのためのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。

  2. 次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar)をダウンロードします。

    1. Oracle Key Vault管理コンソールのログイン画面に移動します。

    2. 「Endpoint Enrollment and Software Download」リンクをクリックします。

    3. 「Download Endpoint Software Only」セクションで、ドロップダウン・リストから適切なプラットフォームを選択します。

    4. 「Download」ボタンをクリックします。

  3. アップグレード対象となる、既存のエンドポイントのインストールへのパスを指定します(例: /home/oracle/okvutil)。

  4. 次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。

    java -jar okvclient.jar -d existing_endpoint_directory_path

    次に例を示します。 

    java -jar okvclient.jar -d /home/oracle/okvutil

    Oracle Databaseリリース11.2.0.4のみのWindowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、-db112オプションを指定します。(このオプションは、他の組合せのエンドポイントのプラットフォームまたはOracle Databaseバージョンでは必要ありません。)次に例を示します。 

    java -jar okvclient.jar -d /home/oracle/okvutil -v -db112
  5. 更新されたPKCS#11ライブラリ・ファイルをインストールします。

    このステップは、Oracle Key VaultによるオンラインTDEマスター暗号化キーの管理のためにのみ必要です。

    • UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。
      $ sudo $OKV_HOME/bin/root.sh

      または

      $ su - root
# bin/root.sh
    • Windowsプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。使用中のデータベースのバージョンを指定するよう求められます。
      bin\root.bat

  6. エンドポイントが停止している場合は再起動します。

関連項目

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.6 ステップ5: 古いカーネルの削除(必要な場合)

アップグレード後に残された古いカーネルをクリーン・アップすることをお薦めします。

古いカーネルは使用されませんが、一部のコード分析ツールによって問題としてマークされることがあります。
  1. Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. /bootがシステムにマウントされていない場合はマウントします。
    1. /bootがマウントされているかどうかを確認します。/bootがマウントされている場合は、次のコマンドで情報を表示できます。
      df -h /boot;
    2. /bootがマウントされていない場合はマウントします。
      /bin/mount /boot;
  4. インストールされているカーネルと実行中のカーネルを確認してください。
    1. インストールされているすべてのカーネルを検索します。
      rpm -q kernel-uek | sort;

      次の出力例は、2つのカーネルがインストールされていることを示しています。

      kernel-uek-4.1.12-103.9.4.el6uek.x86_64
kernel-uek-4.1.12-112.16.7.el6uek.x86_64
    2. 最新のカーネルを確認します。
      uname -r;

      次の出力は、その時点でインストールされていたカーネル・バージョンの例を示しています。

      4.1.12-112.16.7.el6uek.x86_64

      この例では、4.1.12-112.16.7.el6uek.x86_64が最新バージョンですが、現在は新しいバージョンを使用できる可能性があります。この出力によれば、kernel-uek-4.1.12-103.9.4.el6uek.x86_64のカーネルを削除する必要があります。最新のカーネルより前のすべてのカーネルを削除してください。

  5. 古いカーネルとそれに関連するRPMを削除します。

    たとえば、kernel-uek-4.1.12-103.9.4.el6uek.x86_64のカーネルを削除するには、次のようにします。 

    yum --disablerepo=* remove `rpm -qa | grep 4.1.12-103.9.4.el6uek`;

    出力は、次のようになります。 

    Loaded plugins: security
Setting up Remove Process
Resolving Dependencies
--> Running transaction check
---> Package kernel-uek.x86_64 0:4.1.12-103.9.4.el6uek will be erased
---> Package kernel-uek-devel.x86_64 0:4.1.12-103.9.4.el6uek will be erased
---> Package kernel-uek-firmware.noarch 0:4.1.12-103.9.4.el6uek will be erased
--> Finished Dependency Resolution

Dependencies Resolved

================================================================================================================================================================================================================
 Package                                      Arch                            Version                                        Repository                                                                    Size
================================================================================================================================================================================================================
Removing:
 kernel-uek                                   x86_64                          4.1.12-103.9.4.el6uek                          @anaconda-OracleLinuxServer-201410181705.x86_64/6.6                          241 M
 kernel-uek-devel                             x86_64                          4.1.12-103.9.4.el6uek                          @anaconda-OracleLinuxServer-201410181705.x86_64/6.6                           38 M
 kernel-uek-firmware                          noarch                          4.1.12-103.9.4.el6uek                          @anaconda-OracleLinuxServer-201410181705.x86_64/6.6                          2.9 M

Transaction Summary
================================================================================================================================================================================================================
Remove        3 Package(s)

Installed size: 282 M
Is this ok [y/N]:
  6. 「y」を入力して、削除出力を受け入れます。
  7. 最新のカーネルより古いすべてのカーネルについて、ステップ4以降のステップを繰り返します。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.7 ステップ6: スワップ領域を拡張するためのディスク領域の追加(必要な場合)

以前のリリースからアップグレードした場合は、新しいOracle Key Vaultソフトウェアに対応できるようにスワップ領域を拡張する必要があります。

デフォルトでは、リリース18.1より前のOracle Key Vaultリリースは、約4 GBのディスク領域でインストールされていました。リリース18.1へのアップグレードが完了したら、Oracle Key Vaultをアップグレードしたサーバーに割り当てられているスワップ領域を増やすことをお薦めします。Oracle Key Vaultの新しいインストールには十分なスワップ領域が自動的に構成されます。ただし、以前のリリースからアップグレードした場合で、特にアップグレードしたサーバーをマルチマスター・クラスタの最初のノードに変換する予定がある場合は、ディスク領域を手動で追加してスワップ領域を拡張する必要があります。
  1. Oracle Key Vaultをアップグレードしたサーバーにログインし、rootとして接続します。
  2. スワップ領域の現在の容量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。この例は、システムのスワップ領域が4 GBであることを示しています。

    Filename Type Size Used Priority
/dev/dm-0 partition 4194300 3368 -1
  3. vgdisplayおよびvgsコマンドを実行して、システムの領域の容量を確認します。
    1. vgdisplayコマンドを実行します。
      [root@my_okv_server support]# vgdisplay

      出力は、次のようになります。Alloc PEおよびFree PEの後に表示されている値(太字)に注意してください。 

      --- Volume group ---
VG Name vg_root
System ID
Format lvm2
Metadata Areas 1
Metadata Sequence No 17
VG Access read/write
VG Status resizable
MAX LV 0
Cur LV 12
Open LV 12
Max PV 0
Cur PV 1
Act PV 1
VG Size 2048.78 GiB
PE Size 32.00 MiB
Alloc PE / Size 7289 / 2027.78 GiB
Free PE / Size 672 / 21.00 GiB
VG UUID HGesFT-0JiY-C47e-kuVn-yzZ0-Htlw-KnUni0
    2. vgsコマンドを実行します。
      [root@my_okv_server support]# vgs

      出力は、次のようになります。

      VG #PV #LV #SN Attr VSize VFree
vg_root 1 12 0 wz--n- 2048.78g 21.00g
  4. 次のガイドラインに従って、スワップ領域を増やす必要があるかどうかを判断してください。
    • ハード・ディスクのサイズが1 TB以上の場合、約64 GBのスワップ領域が必要です。
    • ハード・ディスクのサイズが1 TB未満の場合、ハード・ディスク領域の約20から25パーセントをスワップ領域として確保する必要があります。

    スワップ領域を増やす必要がある場合は、この手順の残りのステップを実行してください。

  5. Oracle Key Vaultシステム・サーバーを停止します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「System Settings」を選択します。
    3. 「Power Off」ボタンをクリックします。
    Oracle Key Vaultサーバーを停止した後、必要に応じて新しいディスクを追加してから、サーバーの電源を再び投入できます。
  6. fdisk -lを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
    この段階では、使用可能なパーティションはありません。
  7. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。
    fdisk /dev/sdb

    表示されるプロンプトで、次のコマンドを順番に入力します。

    新しいパーティションを意味するn

    プライマリを意味するp

    パーティション番号の1

    シリンダのデフォルト値を受け入れます([Enter]を2回押します)

    書き込んで終了するためのw

  8. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク上のパーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。
    [root@my_okv_server support]# pvcreate /dev/sdb1

    出力は、次のようになります。

    Physical volume "/dev/sdb1" successfully created
  9. 追加したディスク領域で論理ボリュームを拡張します。
    [root@my_okv_server support]# vgextend vg_root /dev/sdb1

    出力は、次のようになります。 

    Volume group "vg_root" successfully extended
  10. vgdisplayおよびvgsコマンドをもう一度実行して、ディスク領域が正常に拡張されたことを確認します。
    [root@my_okv_server support]# vgdisplay
 --- Volume group ---
 VG Name vg_root
 System ID
 Format lvm2
 Metadata Areas 2
 Metadata Sequence No 18
 VG Access read/write
 VG Status resizable
 MAX LV 0
 Cur LV 12
 Open LV 11
 Max PV 0
 Cur PV 2
 Act PV 2
 VG Size 328.75 GiB
 PE Size 32.00 MiB
 Total PE 10520
 Alloc PE / Size 7289 / 227.78 GiB
 Free PE / Size 3231 / 100.97 GiB
 VG UUID GeaZEb-Fivt-fFCv-i60c-x598-04Ot-J3GmEF

[root@my_okv_server support]# vgs
 VG #PV #LV #SN Attr VSize VFree
 vg_root 2 12 0 wz--n- 328.75g 100.97g

    この出力は、新しいディスクを追加した後に領域の割当てが増加したことを示しています。

  11. スワッピングを無効化します。
    [root@my_okv_server support]# swapoff -v /dev/vg_root/lv_swap
  12. スワップ領域を拡張するには、lvresizeコマンドを実行します。
    [root@my_okv_server support]# lvresize -L +60G /dev/vg_root/lv_swap

    出力は、次のようになります。

    Size of logical volume vg_root/lv_swap changed from 4.00 GiB (128 extents) to 64.00 GiB (2048 extents
Logical volume lv_swap successfully resized.
  13. 新しく追加したスワップ領域をフォーマットします。
    [root@my_okv_server support]# mkswap /dev/vg_root/lv_swap

    出力は、次のようになります。

    mkswap: /dev/vg_root/lv_swap: warning: don't erase bootbits sectors
on whole disk. Use -f to force.
Setting up swapspace version 1, size = 67108860 KiB
no label, UUID=fea7fc72-0fea-43a3-8e5d-e29955d46891
  14. スワッピングを再度有効にします。
    [root@my_okv_server support]# swapon -v /dev/vg_root/lv_swap
  15. 使用可能なスワップ領域の容量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。

    Filename Type Size Used Priority

/dev/dm-0 partition 67108860 0 -1
  16. Oracle Key Vaultサーバーを再起動します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「System Settings」を選択します。
    3. 「Reboot」ボタンをクリックします。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.8 ステップ7: SSH関連のDSAキーの削除(必要な場合)

アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. SSHを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

  3. SSHを使用してOracle Key Vaultのsupportアカウントにログインします。
    ssh support@OracleKeyVault_serverIPaddress
  4. rootユーザーに切り替えます。
    su - root
  5. /etc/sshディレクトリに移動します。
    cd /etc/ssh
  6. 次のキーの名前を変更します。
    mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.retire
mv ssh_host_dsa_key ssh_host_dsa_key.retire
  7. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.9 ステップ8: アップグレードしたOracle Key Vaultサーバーのバックアップ

アップグレードが正常に完了した後、サーバー・バックアップおよびユーザー・パスワード・タスクを実行する必要があります。

  • アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。

  • 前述のステップで定義した新しい宛先への定期的な増分バックアップを新たにスケジュールします。

  • パスワード・ハッシュは、以前のリリースよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワードのsupportrootに影響があります。アップグレードした後、よりセキュアなハッシュを活用するために、Oracle Key Vaultの管理パスワードを変更する必要があります。

関連項目

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.6 マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

スタンドアロンまたはプライマリ/スタンバイのアップグレードと同様に、このタイプのアップグレードには、Oracle Key Vaultサーバー・ソフトウェアおよびエンドポイント・ソフトウェア関連のユーティリティが含まれます。

親トピック: Oracle Key Vaultのインストールと構成

4.6.1 マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレードについて

このアップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。

アップグレード・プロセスは、2つの主要なステップで構成されており、アップグレード前スクリプトを実行してアップグレード用にすべてのノードを準備した後、各マルチマスター・クラスタ・ノードでアップグレードを実行します。Oracle Key Vaultリリース18.1からアップグレードする場合は、アップグレード前スクリプトを実行する必要があります。リリース18.2以降からアップグレードする場合は、アップグレード前スクリプトの実行を省略する必要があります。クラスタ・アップグレードを開始した後は、必ずクラスタ内のすべてのノードを順々にアップグレードし、2つのノードのアップグレードの間で時間が空きすぎないようにします。アップグレード前スクリプトを実行した後で、以前のバージョンのOracle Key Vaultを引き続き使用する必要があることに気付いた場合は、どのノードもまだ正常にアップグレードされていなければ、ロールバック・スクリプトを実行してアップグレード前スクリプトによって実行された変更を元に戻すことができます。その後、アップグレードを続行することにした場合は、再度アップグレード前を実行する必要があります。

Oracle Key Vaultマルチマスター・クラスタのアップグレードには、各クラスタ・ノードの新しいバージョンへのアップグレードが含まれます。すべてのノードを同じOracle Key Vaultバージョンにアップグレードする必要があります。まず、クラスタの読取り専用ノードをアップグレードし、次に読取り/書込みペアをアップグレードします。各クラスタ・ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultの新しいバージョンに更新されます。すべてのクラスタ・ノードのアップグレードを完了すると、クラスタ・バージョンはOracle Key Vaultの新しいバージョンに更新されます。(ノード・バージョンまたはクラスタ・バージョンを確認するには、「Cluster」タブを選択した後、左側のナビゲーション・バーで「Management」を選択します。)各クラスタ・ノードのノード・バージョンおよびクラスタ・バージョンが最新バージョンのOracle Key Vaultに更新されると、Oracle Key Vaultマルチマスター・クラスタのアップグレードは完了したと見なされます。

アップグレードを実行する前に、次の点に注意してください。

  • すべてのマルチマスター・クラスタ・ノードで、中断なしにアップグレード・プロセス全体を実行します。(つまり、クラスタ・アップグレード・プロセスを開始したら、必ずすべてのノードを順々にアップグレードしていきます。)環境内のすべてのノードのアップグレードが完了するまで、他のOracle Key Vaultアクティビティは実行しないでください。
  • すべてのマルチマスター・クラスタ・ノードのアップグレードを完了するまで、特定の新機能(証明書のローテーションなど)は使用できません。アップグレードされたノードからそのような機能が使用されると、エラーが戻されます。すべてのクラスタ・ノードのアップグレードを互いに間隔を空けずに計画して、新機能が早く使用できるようにすることをお薦めします。

関連項目

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.2 ステップ1: アップグレード前タスクの実行

スタンドアロンまたはプライマリ/スタンバイの環境と同様に、アップグレード前のマルチマスター・クラスタ・プロセス用にOracle Key Vaultサーバーを準備をする必要があります。

  1. アップグレードが失敗した場合にデータをリカバリできるように、サーバーをバックアップします。
  2. スタンドアロンまたはプライマリ/スタンバイの環境に関して説明されているアップグレード前タスクを実行します。これには、サーバーがディスク領域の最小要件を満たしていることの確認、全体または増分のバックアップ・ジョブが実行されないことの確認、停止時間の計画などのタスクが含まれます。

関連項目

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.3 ステップ2: 各ノードでのアップグレード前スクリプトの実行(リリース18.1からアップグレードする場合)

Oracle Key Vaultリリース18.1からアップグレードする場合は、完全アップグレードを実行する前に、各マルチマスター・クラスタ・ノードでアップグレード前スクリプトを実行します。

Oracle Key Vaultリリース18.2以降からアップグレードする場合は、このステップを省略する必要があります。アップグレード前スクリプトでは、Oracle GoldenGateパラメータ・ファイルの更新やユーザー操作のブロックなど、アップグレードされるノードに対していくつかの予備変更を行うことによって、アップグレードのステージを設定します。cluster_preupgrade_181.zipファイルは、アップグレードISOをマウントした後に/images/preupgrade/cluster_preupgrade_181.zipで入手できます。
  1. Oracle Key Vaultサーバーにログインします。
  2. 必要に応じて、SSHアクセスを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

  3. アップグレード前スクリプトを実行するために、マルチマスター・クラスタ・ノードにSSHします。
    ssh support@Oracle_Key_Vault_IP_address
  4. rootユーザーに切り替えます。 
    su - root
  5. アップグレード前ファイルを/tmpディレクトリに解凍します。
    /usr/bin/unzip /images/preupgrade/cluster_preupgrade_181.zip -d /tmp
  6. アップグレード前スクリプトを実行します。
    /tmp/cluster_preupgrade_181.sh
  7. この手順を正常に完了してから、これらのアップグレード前ステップをすべてのマルチマスター・クラスタ・ノードで繰り返します。
    これらのアップグレード前ステップを完了すると、各マルチマスター・クラスタ・ノードで実際のアップグレードを実行する準備ができました。

関連項目

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.4 ステップ3: 各マルチマスター・クラスタ・ノードのアップグレード

すべてのマルチマスター・クラスタ・ノードのアップグレードが完了するまで、他のOracle Key Vault機能は使用しないでください。

これらのステップは、クラスタの各ノードで1つずつ実行する必要があります。
  1. アップグレードする最初のマルチマスター・クラスタ・ノードにSSHします。
    ssh support@Oracle_Key_Vault_IP_address
  2. マルチマスター・クラスタ・ノードを無効にします。
    ノードの「Management」ページ(「Cluster」タブ下)で、ノードのステータスがDISABLINGからDISABLEDに変更されます。
  3. スタンドアロンOracle Key Vaultサーバーのアップグレードと同様に、アップグレードを実行します(ただし、プライマリ/スタンバイ・ペアはアップグレードしません)。
    アップグレード中に/usr/bin/ruby /images/upgrade.rb --confirmステップを実行すると、アップグレード前ステップを完了したことを確認するように求められます。
  4. ノードが正常にアップグレードされたら、再度有効にします。
    無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
  5. 必要に応じて、このノードのSSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。

  6. この手順を正常に完了した後で、これらのアップグレード・ステップをすべてのマルチマスター・クラスタ・ノードで繰り返します。

関連項目

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.5 ステップ4: ノード・バージョンおよびクラスタ・バージョンの確認

少なくとも1つのノードのアップグレードを完了すると、アップグレードしたノードのいずれかにログインしてノードおよびクラスタのバージョンを確認できます。

Oracle Key Vaultでは、各クラスタ・ノードのバージョン情報とクラスタ全体のバージョンを追跡管理します。ノード・バージョンは、特定のノードのOracle Key Vaultソフトウェアのバージョンを表します。ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultソフトウェアの新しいバージョンに更新されます。クラスタ・バージョンは、クラスタ・ノードのバージョン情報から導出され、クラスタ・ノードの最小バージョンに設定されます。クラスタのアップグレード時に、各クラスタ・ノードが新しいバージョンにアップグレードされると、ノード・バージョンが更新されます。すべてのクラスタ・ノードがアップグレードされると、クラスタ・バージョンは新しいバージョンに更新されます。(「Cluster Version」および「Node Version」フィールドは、Oracle Key Vaultリリース18.2以降で使用できます。)
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「Cluster」タブを選択します。
  3. 左側のナビゲーション・バーで、「Management」を選択します。
  4. 次の領域をチェックします。
    • ノード・バージョンを確認するには、「Cluster Details」領域をチェックします。
    • クラスタ・バージョンを確認するには、「Cluster Information」領域をチェックします。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.6 アップグレード前スクリプトのロールバック

アップグレード前スクリプトを実行した後、クラスタ内のどのノードも正常にアップグレードされていない場合、ロールバックできます。

このアップグレード前スクリプトは、Oracle Key Vaultリリース18.1からのアップグレードの場合にのみ必要となります。18.2以降からのアップグレードでは、このアップグレード前スクリプトを実行する必要はありません。
いずれかのノードが正常にアップグレードされている場合は、アップグレード前スクリプトをロールバックしないでください。以前のバージョンのOracle Key Vaultを引き続き使用する必要があることに気付いた場合などには、アップグレード前スクリプトのロールバックが必要になることがあります。アップグレード前スクリプトをロールバックするもう1つの理由は、アップグレードしようとしたノードでのアップグレードが失敗した場合です。その場合は、各クラスタ・ノードからアップグレード前スクリプトをロールバックする必要があります。その後、Oracle Key Vaultマルチマスター・クラスタをアップグレードすることにした場合は、アップグレード・プロセスを一から開始する必要があります。あるノードでロールバック・スクリプトを実行する場合は、a)処理を続行するか、b)クラスタを再度アップグレードしようとする前に、他のすべてのノードでもロールバック・ステップを実行する必要があります。
  1. Oracle Key Vaultサーバーにログインします。
  2. SSHアクセスが無効になっている場合は、有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「SSH Access」を選択します。「IP address(es)」を選択し、必要なIPアドレスのみを入力します。「Save」をクリックします。

  3. ロールバック操作を実行する最初のマルチマスター・クラスタ・ノードにSSHします。
    ssh support@Oracle_Key_Vault_IP_address
  4. rootユーザーに切り替えます。 
    su - root
  5. 次のコマンドを実行します。
    /tmp/cluster_preupgrade_181.sh ROLLBACK
  6. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System Settings」タブを選択し、「Network Services」で「Disabled」を選択します。「Save」をクリックします。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.7 Oracle Key Vault管理コンソールの概要

Oracle Key Vault管理コンソールでは、システム管理者、キー管理者および監査マネージャ用のグラフィカル・ユーザー・インタフェースが提供されています。

Oracle Key Vault管理コンソールは、httpsセキュア通信チャネルを使用してサーバーに接続するブラウザ・ベースのコンソールです。これにより、Oracle Key Vaultにグラフィカル・ユーザー・インタフェースが提供され、ユーザーはここで次のようなタスクを実行できます。

  • クラスタの設定および管理

  • ユーザー、エンドポイントおよびそれぞれのグループの作成および管理

  • 仮想ウォレットおよびセキュリティ・オブジェクトの作成および管理

  • ネットワークや他のサービスなどのシステム設定の設定

  • プライマリ・スタンバイの設定

  • バックアップの実行

親トピック: Oracle Key Vaultのインストールと構成

4.8 処理と検索の実行

Oracle Key Vault管理コンソールを使用すると、標準処理と検索操作を実行できる他、ヘルプ情報を取得できます。

タブおよびメニュー・ページの多くには「Actions」メニューや検索バーがあり、リストや検索結果に対してアクションを実行できます。「Actions」リストの「Help」の選択肢には、これらの機能を使用するための詳細なヘルプが表示されます。

  • 「Actions」メニュー
    「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。
  • 検索バー
    「Actions」メニューとともに、Oracle Key Vault管理コンソールの多くのタブに検索バーが含まれています。

親トピック: Oracle Key Vaultのインストールと構成

4.8.1 「Actions」メニュー

「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。

アイテムは次のとおりです。

  • Select Columns: 表示する列を選択します。

  • Filter: 列または行と、ユーザー定義の式を基準にしてフィルタします。

  • Rows Per Page: 表示する行数を選択します。

  • Format: 次のような表示形式を選択します。「Sort」「Control Break」「Highlight」「Compute」「Aggregate」「Chart」および「Group By」

  • Save Report: レポートを保存します。

  • ヘルプ: レポート設定をリセットして、すべてのカスタマイズを削除します。

  • Help: これらのアクションに関する情報を表示します。

  • Download: 結果セットをCSVまたはHTML形式でダウンロードします。

親トピック: 処理と検索の実行

4.8.2 検索バー

「Actions」メニューとともに、Oracle Key Vault管理コンソールの多くのタブに検索バーが含まれています。

この例ではエンドポイントを検索しますが、列見出しが異なることを除き、プロセスは他の検索と同じです。ワイルドカード文字はサポートされません。入力したあらゆる文字または語句と一致する検索結果が表示されます。「Actions」の下にある「Filter」メニュー項目を使用して、検索結果をさらに絞り込めます。
  1. 検索フィールドに名前またはその他の識別子を入力するか、(オプションで)検索バーの拡大鏡アイコンにカーソルを重ねていずれかの見出し(この場合、「All Columns」「Endpoint Name」「Endpoint Type」「Description」「Platform」「Status」「Enrollment Token」および「Alert」)を選択してから、検索語を入力します。

    図4-1 「Endpoints」ページ

    図4-1の説明が続きます
    「図4-1 「Endpoints」ページ」の説明
  2. 「Go」をクリックします。

    新しいエンドポイント・リストに、検索基準を満たすエンドポイントが表示されます。フィルタ・アイコン(漏斗)に検索が実行されたことが示され、検索基準が表示されます。

  3. 検索を無効にしてリスト全体を表示するには、フィルタ・アイコンを選択または選択解除します。

親トピック: 処理と検索の実行