1. 管理者ガイド
  2. バックアップおよびリストア操作

19 バックアップおよびリストア操作

最小限の停止時間で、セキュリティ・オブジェクトへの継続的で信頼性が高い、保護されたアクセスを実現するための自動バックアップを構成できます。

19.1 Oracle Key Vaultでのデータのバックアップとリストアについて

Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。

停止時間を削減し、予期しないデータ損失およびシステム障害からリカバリするために、データを定期的にバックアップする必要があります。新規または既存のOracle Key Vaultサーバーをバックアップからリストアできます。

バックアップおよびリストア操作は、Oracle Key Vault管理コンソールから実行できます。Oracle Key Vaultデータをバックアップおよびリストアするには、システム管理者ロールを持っているユーザーである必要があります。バックアップを定期的にスケジューリングして、指定した時間に自動的に実行できます。また、これらの操作をオンデマンドで実行することで、システムの現在のスナップショットを保存できます。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ損失で完全稼働できます。

Oracle Key Vaultでは、セキュア・コピー・プロトコル(SCP)またはセキュア・ファイル転送プロトコル(SFTP)を使用してすべてのバックアップ対象データが暗号化されてから、バックアップ先にコピーされます。このため、バックアップ先でSCPまたはSFTPがサポートされていることを確認する必要があります。

Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできる点に注意してください。そのため、クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。

親トピック: バックアップおよびリストア操作

19.2 Oracle Key Vaultのバックアップ先

バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。

親トピック: バックアップおよびリストア操作

19.2.1 Oracle Key Vaultのバックアップ先について

バックアップ先を使用すると、Oracle Key Vaultサーバー自体以外の場所でバックアップ・データを使用できます。

これにより、Oracle Key Vaultサーバーまたはハードウェアで致命的な障害が発生した場合に、関連するすべてのデータを確実にリカバリできます。

通常は、自分がアクセス権を持つ別のサーバーまたはコンピュータ・システムをバックアップ先として指定します。バックアップ先は追加、削除および変更できます。

バックアップ操作では、選択したバックアップ先にOracle Key Vaultデータがコピーされます。データは必要になるまでバックアップ先に格納しておきます。

Oracle Key Vaultでは、ローカルとリモートの2つのタイプのバックアップ先を使用できます。ローカル・バックアップ先はOracle Key Vaultサーバー自体に存在し、リモート・バックアップ先は外部の別のサーバーまたはコンピュータ・システムに存在します。可用性を高めるために、複数のバックアップ先を作成できます。

ローカルおよびリモートのバックアップ先には、次の特性があります。

  • ローカル・バックアップ先: ローカル・バックアップ先LOCALはデフォルトで存在し、削除できません。ローカル・バックアップ先へのバックアップはローカル・バックアップです。

    LOCALへのバックアップは、最新状態のOracle Key Vaultを保存するのに役立ちます。こうしたバックアップはディスクに保存されるため、ハードウェアなどの致命的な障害が発生した場合に失われる可能性があります。また、プライマリ/スタンバイ構成では、フェイルオーバー後やスイッチオーバー後に使用できなくなります。プライマリ/スタンバイ構成やクラスタ構成に対してはリストアできません。そのため、このような構成を使用しているときには、リモートの宛先にデータをバックアップする必要があります。

    LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。

  • リモート・バックアップ先: リモート・バックアップ先は外部サーバーに存在し、障害時リカバリの目的で地理的に分散できます。リモート・バックアップ先へのバックアップはリモート・バックアップです。

    外部サーバー上の各バックアップ先には、Oracle Key Vaultによりバックアップ先に保持されるバックアップ・カタログ・ファイル(okvbackup.mgr)が関連付けられます。okvbackup.mgrファイルは、実行されたバックアップをカタログ化したものであり、データをリストアする際に使用されます。

    ノート:

    別のOracle Key Vaultサーバーをリモート・バックアップ先として使用することはできません。

注意:

  • バックアップ・カタログ・ファイルを削除または変更すると、Oracle Key Vaultでバックアップを検索できなくなることがあります。したがって、このファイルは削除または変更しないでください。

  • 異なるOracle Key Vaultサーバーのバックアップ先として、同一のリモート・バックアップ先を構成しないでください。これは、異なるOracle Key Vaultサーバーから同時にバックアップが行われると、互いのカタログ・ファイルが上書きされ、Oracle Key Vaultでバックアップを正しく特定できなくなるためです。

  • リモート・バックアップ先を含むバックアップをリストアした後、そのリモート・バックアップ先を継続して使用しないでください。そのバックアップ先にバックアップを送信するように構成されているバックアップ・ジョブを削除します。このバックアップ先を継続して使用すると、バックアップ・カタログ・ファイルが破損することがあります。Oracle Key Vaultが正しいバックアップを見つけられないことがあります。

  • マルチマスター・クラスタの各ノードがバックアップを異なるバックアップ先に送信するように構成します。

関連項目

親トピック: Oracle Key Vaultのバックアップ先

19.2.2 リモート・バックアップ先の作成

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。

リモート・バックアップ先を作成するには、ユーザー・アカウント、外部サーバー上の一意の既存のディレクトリ場所、および認証方式(パスワード・ベースまたはキー・ベース)を入力する必要があります。この情報は、Oracle Key Vaultでリモート・サーバーとのセキュアな接続を確立するために必要になります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「System Backup」ページで、「Manage Backup Destinations」を選択します。
    「Manage Backup Destinations」ウィンドウが表示されます。21_manage_backup_dest.pngの説明が続きます図21_manage_backup_dest.pngの説明
  5. 「Create」をクリックします。

    「Create Backup Destination」ウィンドウが表示されます。

    21_create_backup_dest.pngの説明が続きます
    図21_create_backup_dest.pngの説明

  6. バックアップ先について次の情報を入力します。

    • Destination Name: バックアップ先を識別するための記述名を入力します。

    • Transfer Method: scpからsftpの間で選択し、ファイルをリモート先にコピーします。

    • Hostname: バックアップ用のリモート・サーバーのホスト名またはIPアドレスを入力します。ホスト名を入力する場合は、ホスト名が対応するIPアドレスに変換されるようにDNSを構成してください。リモート・バックアップ先にあるホスト名には、スペース、一重引用符または二重引用符を含めないでください。

    • Port: 外部サーバー上のSCPまたはSFTPポート番号を入力します。デフォルトは22です。

    • Destination Path: バックアップ・ファイルのコピー先として、外部サーバー上の既存のディレクトリのパスを入力します。バックアップ先を作成した後に、このディレクトリの場所を変更することはできません。このパスを、別のOracle Key Vaultサーバーからのバックアップ先にしないでください。リモート・バックアップ先にあるバックアップ先パスには、スペース、一重引用符または二重引用符を含めないでください。

    • Username: リモート・サーバー上のユーザー・アカウントのユーザー名を入力します。SCPまたはSFTP接続を確立するユーザー・アイデンティティに、「Destination Path」で指定したディレクトリに対する書込み権限が設定されていることを確認してください。リモート・バックアップ先にあるユーザー名には、スペース、一重引用符または二重引用符を含めないでください。

    • Authentication Method: 次のいずれかです。

      • Key-based Authentication: 表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。バックアップ・アカウントの所有者にのみアクセスを許可し、その他のグループまたはユーザーには許可しないように、構成ファイルの権限が設定されていることを確認してください。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

      • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

  7. 「Save」をクリックします。
バックアップ先を作成するために入力した情報がOracle Key Vaultにより検証されます。検証が失敗した場合、バックアップ先は作成されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード、またはキー)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

親トピック: Oracle Key Vaultのバックアップ先

19.2.3 リモート・バックアップ先の設定の変更

バックアップ先を作成した後は、SCPまたはSFTPポート番号とユーザー・アカウントの詳細のみを変更できます。

その他の設定は変更できません。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「Manage Backup Destinations」を選択します。

    ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。

  5. バックアップ先名をクリックするとバックアップ先を編集できます。

    「Edit Backup Destination」ページが表示されます。

  6. 次の情報を変更します。

    • Port: 外部サーバー上のSCPまたはSFTPポート番号を変更します。

    • Destination Public Key: このフィールドには、Oracle Key Vaultが現在リモート・サーバーのknown_hostsファイルに格納している公開キー情報が表示されます。リモート・サーバーの公開キーが変更されると、Oracle Key Vaultはリモート・サーバーとの間でバックアップをコピーできなくなります。新しい公開キーをknown_hostsファイルに格納するには、「Reset Dest Public Key」ボタンをクリックすることで、リモート・サーバーから新しい公開キーを取得して保存します。

    • Username: リモート・サーバー上のユーザー・アカウントのユーザー名を入力します。「Destination Path」で指定したパスは変更できないため、このディレクトリに対する書込み権限が新規ユーザーにあることを確認してください。

    • Authentication Method: 次のいずれかです。

      • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

      • Key-based Authentication: Oracle Key Vault公開キーが変更された場合は、「Public Key」フィールドに表示されている公開キーを再コピーし、宛先サーバーの適切な構成ファイル(authorized_keysなど)に貼り付けます。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

  7. 「Save」をクリックします。
バックアップ先を更新するために入力した情報がOracle Key Vaultにより検証されます。検証に失敗した場合、バックアップ先は更新されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

親トピック: Oracle Key Vaultのバックアップ先

19.2.4 リモート・バックアップ先の削除

リモート・バックアップ先を削除して、その宛先サーバーへの今後のバックアップを中止できます。

宛先サーバー上の既存のバックアップはそのまま残ります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「Manage Backup Destinations」を選択します。
  5. 「Manage Backup Destinations」ページで、削除するバックアップ先のチェック・ボックスを選択します。
  6. 「Delete」をクリックします。

親トピック: Oracle Key Vaultのバックアップ先

19.3 バックアップのスケジュールと状態

Oracle Key Vaultでは、バックアップ先に応じたバックアップ・スケジュール・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。

親トピック: バックアップおよびリストア操作

19.3.1 バックアップ・スケジュールのタイプと状態について

時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。

スケジュールした時間になると、バックアップ・プロセスが開始され、システム・バックアップ(バックアップ先に格納されるファイル)が生成されます。バックアップが完了する旅に、1つのバックアップ・ファイルが生成されます。

別のバックアップの進行中はバックアップを開始できません。ニーズの変化に応じて、バックアップのスケジュールを変更できます。バックアップの進行中も、Oracle Key Vaultの操作は続行できます。

システムを再起動すると、進行中のバックアップが終了します。システムの再起動が必要な場合は、同じタイミングでスケジューリングされたバックアップを取り消して、再起動後にシステムをバックアップできます。

親トピック: バックアップのスケジュールと状態

19.3.2 Oracle Key Vaultバックアップのタイプ

Oracle Key Vaultでは、ワンタイム・バックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。

  • 1回限りのバックアップ: 1回限りのバックアップでは、Oracle Key Vaultシステムのフル・バックアップを作成します。それぞれに独自の開始時間を設定した複数の1回限りのバックアップ・ジョブをスケジュールできます。

    障害が発生してリカバリが必要になったときに備えて、Oracle Key Vaultの構成を大きく変更する場合は、事前に1回限りのローカル・バックアップを実行してください。

    LOCAL宛先には、最新の1回限りのバックアップのみ格納できます。LOCALへの1回限りのバックアップが完了すると、以前のバックアップは削除されます。

  • 定期バックアップ: 定期バックアップ・プロセスは、最初にOracle Key Vaultシステムのフル・バックアップを作成し、バックアップ・スケジュールをアクティブ状態にします。それ以降は、定期的な間隔が経過すると、累積増分バックアップが開始されます。この累積増分バックアップには、最新のフル・バックアップ以降の変更が保持されます。前回のフル・バックアップから7日後に、別のフル・バックアップが作成されます。

    たとえば、バックアップ期間が1日1回の場合、7回ごとにフル・バックアップが行われます。バックアップ期間が8日ごとの場合、すべてのバックアップがフル・バックアップです。バックアップ期間が12時間の場合、累積バックアップが13回行われてから、フル・バックアップが行われます。

    データ損失を最小にするために、定期バックアップは期間1日以上でスケジューリングしてください。

    LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。

    累積増分バックアップは、フル・バックアップより高速です。常に、定期バックアップは1つのみスケジューリングできます。

関連項目

親トピック: バックアップのスケジュールと状態

19.3.3 Oracle Key Vaultのスケジュール済バックアップの状態

スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

  • ACTIVE: バックアップがスケジュールされており、指定された開始時間または期間に処理されます。
  • PAUSED: 今後のバックアップはすべて保留になり、開始時間を過ぎても開始されません。明示的に再開すると、開始されます。状態をアクティブから一時停止に変更したり、元に戻すことができます。次の状況では、スケジューリング済バックアップを一時停止状態に入れます。
    • Oracle Key Vaultとリモート宛先の間の通信が切断された場合
    • リモート宛先が使用不可または非アクティブの場合
    • バックアップを遅延させる場合

    完了しなかったスケジューリング済バックアップは削除できます。

  • ONGOING: バックアップが進行中です。
  • DONE: バックアップが完了しています。

親トピック: バックアップのスケジュールと状態

19.4 Oracle Key Vaultバックアップのスケジュールおよび管理

特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。

使用するバックアップ先は事前に作成しておく必要があり、バックアップ・スケジュールは変更または削除できます。

親トピック: バックアップおよびリストア操作

19.4.1 Oracle Key Vaultのバックアップのスケジューリング

ローカルまたはリモートのバックアップ先に対して1回限りのバックアップまたは定期バックアップをスケジューリングできます。

1回限りのバックアップを開始する場合は、時間を設定せずに即時に開始できます。ただし、証明書のローテーションやクラスタの操作が進行中の場合は、バックアップ操作をスケジュールしないでください。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「Backup」ページで、「Backup」をクリックします。

    「Backup」ページが表示されます。次の図は、「PERIODIC」を選択した場合の表示方法を示しています。

    21_backup.pngの説明が続きます
    図21_backup.pngの説明

  5. 「Name」フィールドにバックアップの名前を入力します。
  6. 定期バックアップを実行する場合は、次の手順を実行します。
    1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。
    2. 「Type」で、「PERIODIC」を選択します。
      「Days」「Hours」および「Mins」の追加フィールドが表示されます。
    3. 「Days」「Hours」および「Mins」フィールドに、定期バックアップを開始する時間を入力します。
    4. 「Destination」で、リストからバックアップ先を選択します。
    5. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。
  7. 1回限りのバックアップを実行する場合は、次の手順を実行します。
    1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後にバックアップをすぐに実行する場合は、「Now」を選択します。
    2. 「Type」で、「ONE-TIME」を選択します。
    3. 「Destination」で、リストからバックアップ先を選択します。
    4. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.4.2 Oracle Key Vaultのバックアップ・スケジュールの変更

進行中のバックアップのスケジュールは変更できません。

バックアップ・スケジュールを変更するには、状態がアクティブまたは一時停止中である必要があります。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「Scheduled Backup(s)」ページで、スケジュール済バックアップの名前をクリックします。
  5. 1回限りのバックアップの場合は、「Start Time」を入力するか、カレンダ・アイコンをクリックします。

    1回限りのバックアップの開始時間は、バックアップが開始されていない場合にのみ変更できます。つまり、状態が進行中または完了のものは対象外になります。定期バックアップの開始時間は、スケジュール済の開始時間を過ぎていない場合には変更できます。

  6. 定期バックアップの場合は、「Days」「Hours」および「Mins」に値を入力します。
  7. Saveを選択します。

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.4.3 Oracle Key Vaultからのバックアップ・スケジュールの削除

Oracle Key Vault管理コンソールからバックアップ・スケジュールを削除できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「Scheduled Backup(s)」ページにリストされているスケジュール済バックアップのチェック・ボックスを選択します。
  5. 「Delete」をクリックして、選択したバックアップ・スケジュールを削除します。

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.4.4 プライマリ・スタンバイのOracle Key Vaultバックアップへの影響

プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。

スタンバイはプライマリと状態が同期されるため、スタンバイをバックアップする必要はありません。

プライマリ・スタンバイ・デプロイメントでフェイルオーバーまたはスイッチオーバーを操作するには、次の動作に注意してください。

  • フェイルオーバーまたはプライマリ・スタンバイ・スイッチオーバーがあった場合、進行中のバックアップはすべて終了します。LOCALへのバックアップはOracle Key Vaultサーバー専用なので、フェイルオーバーまたはスイッチオーバーの後にプライマリ・サーバーのローカル・バックアップは利用できません。

  • パスワード認証でスケジューリングされているバックアップは、フェイルオーバーまたはスイッチオーバーの後、通常どおり開始されます。

  • キー・ベースの認証を使用するリモート・バックアップは、宛先上で公開キーを更新する必要があります。そうしないと新しいプライマリ・システムに表示されるものと一致しません。

  • バックアップはスタンドアロンのサーバーに対してのみリストアできるため、プライマリ/スタンバイ・デプロイメントのペアを解除してから、以前のプライマリにバックアップのリストア操作を実行する必要があります。

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.4.5 クラスタの使用がOracle Key Vaultバックアップに及ぼす影響

マルチマスター・クラスタ環境では、個々のノードとクラスタ全体におけるバックアップ・プロセスの動作内容について把握しておく必要があります。

  • Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。
  • クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。
  • バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできます。クラスタ・ノードはスタンドアロン・サーバーに戻せないため、リモート・バックアップのみを作成する必要があります。

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.4.6 リカバリ・パスフレーズを使用したバックアップの保護

Oracle Key Vaultでは、ユーザーとシステムのデータをリストアできるユーザーを制御するために、リカバリ・パスフレーズを使用します。

バックアップをリストアするには、バックアップが開始された時点のOracle Key Vaultリカバリ・パスフレーズを使用します。これは、たとえバックアップの完了後にリカバリ・パスフレーズが変更された場合も必要です。常に最新のリカバリ・パスフレーズによって保護されているバックアップのコピーが確実に存在するようにするには、リカバリ・パスフレーズが変更されるたびに新しいバックアップを作成することをお薦めします。

関連項目

親トピック: Oracle Key Vaultバックアップのスケジュールおよび管理

19.5 Oracle Key Vaultデータのリストア

リモート・バックアップ先のOracle Key Vaultデータは、別のOracle Key Vaultサーバーにリストアできます。

このリストア操作により、停止時間とデータ損失が最小限に抑えられます。

親トピック: バックアップおよびリストア操作

19.5.1 Oracle Key Vaultのリストア・プロセスについて

リストア・プロセスでは、rootユーザーおよびsupportユーザーのパスワードを除き、新規サーバー上のすべてのデータが置き換えられます。

サーバー上でスケジュール済バックアップが進行中の場合は、そのサーバーにデータをリストアできなくなります。

ノート:

Oracle Key Vaultデータをサーバーにリストアする前に、サーバーのスケジュールされたすべてのバックアップが完了していることを確認する必要があります。

Oracle Key Vaultサーバーにデータをリストアすると、サーバー上のデータがバックアップのデータに置き換えられます。最後のバックアップ以降に行われた変更はすべて失われます。バックアップは、バックアップが作成されたのと同じバージョンのOracle Key Vaultにのみリストアできます。

バックアップの有効期限は最大1年です。

ノート:

1年より古いバックアップはリストアできません。

バックアップからデータをリストアするには、バックアップの時点で有効だったリカバリ・パスフレーズが必要です。Oracle Key Vaultをインストールしてからリカバリ・パスフレーズを変更していない場合は、インストール後に作成したリカバリ・パスフレーズを使用する必要があります。

Oracle Key Vaultのデータをリストアするには、次の一般的なステップが必要です。

  1. バックアップ環境の設定(Oracle Key Vaultインストール後のバックアップ先の構成など)。

  2. ローカルまたはリモートのバックアップ先から使用するバックアップを決定し、リストア・プロセスを開始するリカバリ・パスフレーズを指定して、リストア操作を実行します。リカバリ・パスフレーズは、Oracle Key Vaultのインストール後タスクの一環として作成します。

関連項目

親トピック: Oracle Key Vaultデータのリストア

19.5.2 Oracle Key Vaultデータのリストアの手順

Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用してスタンドアロン・サーバーにリストアできます。

リストアを開始する前に、正しいリカバリ・パスフレーズがあることを確認してください。リストア・プロセス中にこのパスフレーズを入力する必要があります。また、証明書のローテーション・プロセスが進行中の間は、リストア操作を実行しないでください。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
  4. 「System Backup」ページで、「Restore」をクリックします。

    「Restore」ページが表示されます。

    21_restore.pngの説明が続きます
    図21_restore.pngの説明

  5. ドロップダウン・リストから「Source」を選択します。
    値はLOCALまたは構成されたリモートの宛先の名前です。
  6. リストア元として使用するバックアップの横にある「Restore」を選択します。
  7. 「Restore」をクリックすると、リストアまたはリカバリ・プロセスが開始されます。

    リカバリ・パスフレーズを尋ねてきます。

  8. リカバリ・パスフレーズを入力し、「Restore」をクリックして開始します。

    バックアップからリストアが実行され、システムが再起動します。

  9. 一時停止された定期バックアップ・ジョブを削除してから再作成し、新しいバックアップ先を使用します。
    バックアップ・カタログ・ファイルの破損を避けるために、このようなジョブは削除することをお薦めします。
  10. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールします。

関連項目

親トピック: Oracle Key Vaultデータのリストア

19.5.3 マルチマスター・クラスタとリストア操作

マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

  • クラスタ内のすべてのノードが失われた場合にのみリストアする必要があります。
  • バックアップが作成されたノードと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにバックアップをリストアする必要があります。そうしないと、リストアされたバックアップに接続するためのエンドポイントの機能に影響する可能性があります。
  • リストアされたデータは、単純にバックアップ時点のものになります。
  • リストア操作の後、リストアされたサーバーを新しいクラスタの最初のノードとして使用する必要があります。

親トピック: Oracle Key Vaultデータのリストア

19.5.4 プライマリ・スタンバイとリストア操作

プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

  • リストア操作は、プライマリ・データとスタンバイ・データの両方が失われた場合にのみ実行する必要があります。
  • バックアップがプライマリから行われた場合でも、バックアップのリストア先はスタンドアロンのOracle Key Vaultサーバーのみにする必要があります。
  • リストア操作によって、Oracle Key Vaultサーバーがバックアップで置き換えられます。これにより、一部のデータが失われる場合があります。エンドポイント・データベースをリストアすることが必要になる場合があります。
  • プライマリ・ノードから作成したバックアップをリストアする場合は、新規スタンバイとして新しくインストールしたOracle Key Vaultサーバーを使用する必要があります。
  • スタンバイ・サーバーがプライマリを引き継いでいて、以前のプライマリが失われている場合は、バックアップのデータを新規スタンバイ・サーバーにリストアする必要はありません。この新規スタンバイ・サーバーをプライマリ/スタンバイ・デプロイメントに追加するだけで、自動的に新しいプライマリと同期されます。
  • サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールする必要があります。

関連項目

親トピック: Oracle Key Vaultデータのリストア

19.5.5 証明書とリストア操作

バックアップ時にインストールされたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。

新規サーバーでサード・パーティの証明書を使用するには、証明書を再インストールする必要があります。

(エンドポイントも新しい証明書を使用するように更新されるように)構成で証明書のローテーションを実行してから、証明書のローテーションが実行されるに作成されたバックアップからOracle Key Vaultサーバーをリストアすると、エンドポイントはリストアされたOracle Key Vaultシステムに接続できなくなります。

関連項目

親トピック: Oracle Key Vaultデータのリストア

19.5.6 システム状態のリストアによる変化

Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

したがって、バックアップが実行された後に加えられた変更は、リストアしたシステムには存在しません。たとえば、あるユーザーのパスワードがバックアップ操作後に変更された場合、リストアしたシステムで新しいパスワードを使用することはできません。リストアしたシステムのパスワードは、バックアップが作成されたときに有効だったものになります。

ノート:

また、リストアを実行すると、リカバリ・パスフレーズもバックアップ中に有効だったものに変更されます。

必要に応じて、ユーザー・パスワードを変更し、バックアップ後に作成されるエンドポイントをエンロールし、その他、同様の変更を行ってください。リストア後には、すべてが正しく構成されていることを確認してください。

適切なバックアップをリストアしたかどうかがわからない場合は、Oracle Key Vaultがスタンドアロン・サーバーの状態を維持していれば、別のバックアップをリストアできます。別のバックアップをリストアするには、まずリストア済のOracle Key Vault自体にあるこのバックアップのリモート宛先を構成してから、リストア・プロセスを開始します。Oracle Key Vaultアプライアンスを再インストールする必要はありません。

Oracle Key Vaultサーバーがリストアされて機能するようなると、それまでのようにOracle Key Vaultデータを新規または以前のリモートの宛先にバックアップできます。

リストア操作後には、ユーザー・パスワードを変更して、Oracle Key Vaultをバックアップすることをお薦めします。

親トピック: Oracle Key Vaultデータのリストア

19.6 バックアップおよびリストアのベスト・プラクティス

Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

  • バックアップの時点のリカバリ・パスフレーズは、バックアップからデータをリストアするときに必要になるため、すぐに利用できるようにしておきます。

  • リカバリ・パスフレーズを変更するときには、常にデータをバックアップします。

  • プライマリ・スタンバイ・デプロイメントでは少なくとも1つのリモート・バックアップ先を作成してください。ローカル・バックアップはOracle Key Vaultサーバー自体に存在するため、フェイルオーバーやスイッチオーバーが発生すると失われます。

  • リモート・バックアップ先の使用を中止する場合でも、そのバックアップ先に関連付けられているバックアップ・カタログ・ファイルを編集または削除しないでください。該当するサーバーのバックアップからリストアすることが必要になった場合に、バックアップ・カタログ・ファイルが必要になります。

  • 複数のバックアップ先に同じリモート・サーバーを使用する場合は、ディレクトリを固有にし、各バックアップ先に個別のバックアップ・カタログ・ファイルが関連付けられるようにします。このようにしないと、その後のバックアップ中にバックアップ・カタログ・ファイルが上書きされ、使用できなくなります。

  • バックアップをリストアする場合は、バックアップが作成されたOracle Key Vaultサーバーと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにリストアします。そうしないと、エンドポイントがリストアされたバックアップに接続できない場合があります。

  • データをリストアする前に、スケジュールされたすべてのバックアップが完了していることを確認します。

  • リモート・バックアップ先を正常に作成する手順:

    • リモート・バックアップ先として使用されているサーバーが有効でアクティブになっていることを確認します。
    • バックアップ先として使用する予定のリモート・サーバーとOracle Key Vaultの間に接続があることを確認します。
    • バックアップ先として指定されたリモート・サーバーがセキュア・コピー・プロトコル(SCP)またはSSHファイル転送プロトコル(SFTP)をサポートしていることを確認します。
    • Oracle Key Vaultにバックアップ先を作成する前に、リモート・サーバーでユーザー・アカウントの資格証明を検証します。
    • バックアップ先ディレクトリへの書込み権限があることを確認します。
    • 複数のサーバーに複数のリモート・バックアップ先を作成し、冗長性を確保します。
    • 複数のバックアップ先に同じリモート・サーバーを使用する場合は、バックアップ先ディレクトリが固有になるようにします。前のバックアップが後のバックアップで上書きされないようにするために、このようにする必要があります。

  • 7日ごとに1回限りのバックアップを実行します。

  • 期間1日で定期バックアップをスケジューリングします。これにより、1週間に1つのフル・バックアップが保持されます。

  • システム変更の前に、ローカルの1回限りのバックアップを実行します。このバックアップは、リストア・ポイントとして使用できます。

  • Oracle Key Vaultサーバー・ソフトウェアのアップグレードの前後にバックアップを実行します。

  • アップグレードが終了するたびにバックアップ先を変更します。可能な場合、バックアップ先を再利用しないでください。

親トピック: バックアップおよびリストア操作