Oracle Key Vaultのインストールと構成

4 Oracle Key Vaultのインストールと構成

Oracle Key Vaultのインストール・プロセスでは、インストールと構成を実行する前に、環境が必要な要件を満たしていることを確認する必要があります。

Oracle Key Vaultのインストールと構成について
Oracle Key Vaultは、ISOイメージとして配布されるソフトウェア・アプライアンスです。
Oracle Key Vaultのインストール要件
Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされるエンドポイント・プラットフォームなどのシステム要件が含まれています。
Oracle Key Vaultのインストールと構成
Oracle Key Vaultアプリケーション・ソフトウェアをダウンロードしてから、インストールを実行できます。
Oracle Key Vault管理コンソールへのログイン
Oracle Key Vaultを使用するには、Oracle Key Vault管理コンソールにログインします。
スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード
このアップグレードには、関連付けられたエンドポイント・ソフトウェアを制御するOracle Key Vaultサーバー・ソフトウェアおよびユーティリティが含まれます。
マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード
スタンドアロンまたはプライマリ/スタンバイのアップグレードと同様に、このタイプのアップグレードには、Oracle Key Vaultサーバー・ソフトウェアおよびエンドポイント・ソフトウェア関連のユーティリティが含まれます。
Oracle Key Vault管理コンソールの概要
Oracle Key Vault管理コンソールは、Oracle Key Vaultユーザー用のグラフィカル・ユーザー・インタフェースを提供します。
処理と検索の実行
Oracle Key Vault管理コンソールを使用すると、標準処理と検索操作を実行できる他、ヘルプ情報を取得できます。

4.1 Oracle Key Vaultのインストールと構成について

Oracle Key Vaultは、ISOイメージとして提供されているソフトウェア・アプライアンスです。

ソフトウェア・アプライアンスは、事前構成済のオペレーティング・システム、Oracle DatabaseおよびOracle Key Vaultアプリケーションから構成されています。Oracle Key Vaultは独自の専用サーバーにインストールする必要があります。

Oracle Key Vaultのインストールまたはアップグレード・プロセスを開始する前に、認識しておく必要がある既知の問題について『Oracle Key Vaultリリース・ノート』で確認してください。

親トピック: Oracle Key Vaultのインストールと構成

4.2 Oracle Key Vaultのインストール要件

Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどのシステム要件が含まれます。

システム要件
システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェース、ハードウェアの互換性およびRESTfulサービス・クライアントが含まれます。
ネットワーク・ポートの要件
ネットワーク・ポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。
サポートされるエンドポイント・プラットフォーム
Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。
エンドポイント・データベースの要件
管理者は、オンライン・マスター・キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

親トピック: Oracle Key Vaultのインストールと構成

4.2.1 システム要件

システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェース、ハードウェアの互換性およびRESTfulサービス・クライアントが含まれます。

Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。

本番システムの場合、仮想マシンのデプロイメントはお薦めしません。ただし、仮想マシンは、テストおよび概念の確認に役立ちます。

Oracle Key Vaultソフトウェア・アプライアンスをデプロイするための最小ハードウェア要件は次のとおりです。

CPU: 最小: x86-64 16コア。推奨: 暗号化アクセラレーションがサポートされた24-48コア(Intel AESNI)。
メモリー: 最小16 GB RAM推奨: 32–64 GB。
ディスク: BIOSブート・モードとUEFIブート・モードの両方。ブート・ディスク・サイズが2 TBを超えるシステムの場合、Oracle Key VaultはUEFIモードでのブートのみをサポートします。
ネットワーク・インタフェース: ネットワーク・インタフェース1つ
ハードウェアの互換性: Oracle Key Vaultの埋込みオペレーティング・システムでサポートされている任意のIntel x86 64ビット・ハードウェア・プラットフォーム。Oracle Key Vaultは、Unbreakable Enterprise Kernel (UEK)バージョン5とともにOracle Linuxリリース7を使用します。互換性のあるハードウェアのリストは、関連項目のOracle LinuxおよびOracle VMのハードウェア動作保証リストを参照してください。このリストには、選択したハードウェアで動作保証されているOracle Linuxの最小バージョンが含まれています。特に明記しないかぎり、Oracle Linuxリリース7以降のすべてのOracle Linux更新も動作保証されています。オペレーティング・システム・プラットフォームの詳細は、Oracle Linuxのドキュメントを参照してください。

ノート:
サポートされているハードウェアは、Oracle LinuxおよびOracle VMのハードウェア動作保証リストから入手できます。「All Operating Systems」を選択し、「Oracle Linux 7.9」を選択して、結果をフィルタします。ただし、Oracle Key VaultではQLogic QL4*ネットワーク・カード・ファミリがサポートされていないことに注意してください。

Oracle Key Vault では、レガシーBIOSおよびUEFI BIOSのブート・モードの両方がサポートされます。UEFI BIOSモードのサポートにより、Oracle X7-2サーバーなど、UEFI BIOSのみをサポートするサーバーでOracle Key Vaultのインストールが可能になります。Oracle Key Vaultは、スタンドアロン・サーバー、プライマリ・スタンバイ構成またはマルチマスター・クラスタ構成としてOracle X7–2サーバーにインストールできます。
RESTfulサービス・クライアント: RESTfulサービスが有効な場合は、Oracle Key Vault管理コンソールに接続する各エンドポイントには、少なくともJava 1.7.0.21がインストールされている必要があります。

ノート:

多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。

関連項目

Oracle LinuxおよびOracle VMのハードウェア動作保証リスト

親トピック: Oracle Key Vaultのインストール要件

4.2.2 ネットワーク・ポート要件

ネットワークポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。

Oracle Key Vaultとそのエンドポイントでは、一連の固有ポートを使用して通信します。ネットワーク管理者は、ネットワークのファイアウォールでこれらのポートを開く必要があります。

次の表に、Oracle Key Vaultで必要なネットワーク・ポートを示します。

表4-1 Oracle Key Vaultで必要なポート

ポート番号	プロトコル	説明
`22`	SSH/SCPポート	Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用
`161`	SNMPポート	モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用
`443`	HTTPSポート	ブラウザやRESTful管理コマンドなどのWebクライアントがOracle Key Vaultとの通信に使用
`5695`	HTTPSポート	RESTfulキー管理コマンドでOracle Key Vaultとの通信に使用
`1521`および`1522`	データベースのTCPSリスニング・ポート	プライマリ/スタンバイ構成で、プライマリ・サーバーとスタンバイ・サーバーの間の通信にOracle Data Guardで使用されるリスニング・ポート。クラスタ構成では、読取り/書込みノード間の通信に使用されるリスニング・ポート。
`7443`	HTTPSポート	プライマリ・スタンバイ構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。このポートは、クラスタに新規ノードを追加する場合にも使用されます。
`5696`	KMIPポート	Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用
`7093`	TCPポート	マルチマスター・クラスタ構成でOracle GoldenGateがデータを転送するために使用。

親トピック: Oracle Key Vaultのインストール要件

4.2.3 サポートされているエンドポイント・プラットフォーム

Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。

Oracleでは、64ビットLinuxのエンドポイントがサポートされますが、オンライン・マスター・キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。エンドポイントが実行されるオペレーティング・システムは、直接または適切なパッチを使用してTransport Layer Security (TLS) 1.2と互換性がある必要があります。

このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。

Oracle Linux (6および7)
Oracle Solaris (10および11)
Oracle Solaris Sparc (10および11)
RHEL 6および7
IBM AIX (6.1、7.1および7.2)
HP-UX (IA) (11.31)
Windows Server 2012

親トピック: Oracle Key Vaultのインストール要件

4.2.4 エンドポイント・データベース要件

管理者は、オンライン・マスター・キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

管理者は、オンライン・マスター・キーを使用して、Oracle Database 11.2以降のエンドポイントのTDEマスター暗号化キーを管理できます。Oracle Key Vaultをウォレット管理のみに使用するか、既存のウォレット・デプロイメントをOracle Key Vaultに移行する管理者は、okvutil uploadコマンドを使用してOracleウォレットをOracle Key Vaultにアップロードできます。

Oracle Databaseのエンドポイントを管理する管理者は、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。

Oracle Databaseリリース11.2以降のエンドポイントでは、COMPATIBLE初期化パラメータを11.2.0.0以上に設定します。COMPATIBLEを11.2以上に設定すると、Oracle Key Vaultで透過的データ暗号化が使用可能になります。次に例を示します。

SQL> ALTER SYSTEM SET COMPATIBLE = '11.2.0.0' SCOPE=SPFILE;

これは、オンライン・マスター・キーを使用してTDEマスター暗号化キーを管理するOracle Databaseエンドポイントに適用されます。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。

また、COMPATIBLEパラメータを11.2.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。

関連項目

『Oracle Database管理者ガイド』

親トピック: Oracle Key Vaultのインストール要件

4.3 Oracle Key Vaultのインストールと構成

Oracle Key Vaultアプリケーション・ソフトウェアをダウンロードした後に、インストールを実行できます。

Oracle Key Vaultアプライアンス・ソフトウェアのダウンロード
Oracle Key Vaultの新規インストールとアップグレードの両方のための実行可能ファイルをダウンロードできます。
Oracle Key Vaultアプライアンス・ソフトウェアのインストール
Oracle Key Vaultのインストール・プロセスでは、必要なすべてのソフトウェア・コンポーネントが専用サーバーまたは仮想マシンにインストールされます。
インストール後タスクの実行
Oracle Key Vaultをインストールした後、一連のインストール後タスクを完了する必要があります。

親トピック: Oracle Key Vaultのインストールと構成

4.3.1 Oracle Key Vaultアプライアンス・ソフトウェアのダウンロード

Oracle Key Vaultの新規インストールとアップグレードの両方のための実行可能ファイルをダウンロードできます。

新規インストールの場合、Software Delivery CloudからOracle Key Vaultアプライアンス・ソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。アップグレードの場合、My Oracle SupportのWebサイトからOracle Key Vaultアップグレード・ソフトウェアをダウンロードできます。

WebブラウザでOracle Software Delivery Cloudポータルにアクセスします。
```
https://edelivery.oracle.com
```
「Sign In」をクリックし、プロンプトが表示された場合は、「User ID」と「Password」を入力します。
「All Categories」メニューで、「Release」を選択します。次のフィールドで、「Oracle Key Vault」と入力して、「Search」をクリックします。
表示されたリストから「Oracle Key Vault 21.1.0.0.0」を選択するか、「Oracle Key Vault 21.1.0.0.0」の横にある「+Add to Cart」ボタンをクリックします。
ダウンロードがカートに追加されます。(カートの内容を確認するには、画面の右上にある「View Cart」をクリックします。)
「Checkout」をクリックします。
次のページでインストール・パッケージの詳細を確認して、「Continue」をクリックします。
「Oracle Standard Terms and Restrictions」ページで、「I have reviewed and accept the terms of the Commercial License, Special Programs License, and/or Trial License」を選択して「Continue」をクリックします。
ダウンロード・ページが表示され、Oracle Key Vaultの次のISOファイルがリストされます。
- Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート1)
- Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート2)
- Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート3)
- Vpart_number.iso (Oracle Key Vault 21.1.0.0.0 - パート4)
「Print」ボタンの右側にある「View Digest Details」をクリックします。

ISOファイルのリストが展開され、各ISOファイルのSHA-1およびSHA-256チェックサム参照番号が表示されます。
SHA-256チェックサム参照番号をコピーし、後から参照するために保存します。
「Download」をクリックして、ISOファイルを保存する場所を選択します。
各ファイルを個別に保存するには、ファイル名をクリックしてダウンロードの場所を指定します。
「Save」をクリックします。

ISOファイルの合計サイズは4 GBを超えるため、ネットワーク速度によってはダウンロードに時間がかかることがあります。ダウンロードの推定時間と推定速度が「File Download」ダイアログ・ボックスに表示されます。
ISOファイルが指定された場所にダウンロードされたら、ダウンロードしたファイルのSHA-256チェックサムを確認します。
1. 1番目のVpart_number.isoのSHA256チェックサムを生成します。
```
$ sha256sum Vpart_number.iso
```
  チェックサムが、手順9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。
2. 2番目のVpart_number.isoのSHA-256チェックサムを生成します。
```
$ sha256sum Vpart_number.iso
```
  チェックサムが、手順9で「File Download」ダイアログ・ボックスからコピーした値と一致することを確認します。

ダウンロードしたファイルを解凍して、.isoファイルを単一の.isoイメージに連結します。

cat okv_21.1_installer_disc_part1.iso okv_21.1_installer_disc_part2.iso okv_21.1_installer_disc_part3.iso okv_21.1_installer_disc_part4.iso > okv_21.1_installer_disc.iso

次のいずれかの方法を使用して、連結した.isoイメージを転送します。
- 連結した.isoイメージをブート可能DVDに書き込みます。
- 連結した.isoイメージをブート可能USBスティックにコピーします。
- 連結した.isoイメージを仮想化ソフトウェアとともにマウントし、仮想マシンとしてOracle Key Vaultを実行するために、連結した.isoイメージからブートします。

これで、Oracle Key Vaultをサーバーにインストールできます。

親トピック: Oracle Key Vaultのインストールと構成

4.3.2 Oracle Key Vaultアプライアンス・ソフトウェアのインストール

Oracle Key Vaultのインストール・プロセスでは、専用のサーバーまたは仮想マシン上に必要なすべてのソフトウェア・コンポーネントをインストールします。

インストール・プロセスは、Oracle Key Vaultをインストールするサーバー・リソースによって異なりますが、完了までに30分以上かかる場合があります。

注意:

Oracle Key Vaultのインストールでは、サーバーがワイプされ、ディスクが再パーティション化され、強化されたOracle Linux 7 Update 9がインストールされます。インストールによって、サーバー上の既存のソフトウェアおよびデータが消去されます。

サーバーが推奨要件を満たしていることを確認します。
ネットワーク管理者に固定IPアドレス、ネットワーク・マスクおよびゲートウェイ・アドレスをリクエストします。ネットワークを構成するには、この情報が必要になります。

Oracle Key Vaultアプライアンスをインストールするには:

Oracle Key Vaultアプライアンス・ソフトウェアのダウンロードのステップ14の説明に従って、次の3つのいずれかの方法を使用して.isoイメージをインストール先のコンピュータで使用可能にし、コンピュータを再起動します。

USBスティックまたはDVDからブートするには、サーバーのブート順序の変更が必要になる場合があります。

図21_initial_installation_screen.pngの説明
上矢印および下矢印キーを使用して、目的のインストール・オプションまたはメモリー・テストを実行するオプションを選択し、[Enter]を押します。

FIPSモードを有効にしたOracle Key Vaultをインストールするために「Press Enter」を選択すると、システムでFIPSモードが自動的に有効になります。

インストールが開始され、数分後に、rootユーザー・パスワードを(確認のために再度)設定するよう求められます。rootユーザー・パスワードを安全に格納することが重要です。これは、Oracle Key Vault管理コンソールでの認証とインストール後タスクの完了のために必要になります。

図21_set_root_user_password.pngの説明
rootユーザー・パスワードの設定後、プロンプトが表示されたら、rootとしてログインし、インストール・ステータスを確認します。rootと入力し、[Enter]を押し、rootユーザー・パスワードを入力して、再度[Enter]を押します。

図21_log_in_and_reinsert_disc.pngの説明

その後、「Select Network Mode」ウィンドウが表示されます。

図21_select_network_mode.pngの説明
ネットワーク・モードにクラシック・モードを使用する場合は、次のステップを実行します。
以前のリリースのOracle Key Vaultで使用されるクラシック・モードでは、使用できるネットワーク・インタフェースは1つです。後でデュアルNICモードに切り替えることはできますが、スタンドアロン構成を使用している場合のみです。プライマリ/スタンバイ構成を使用している場合はモードを変更できませんが、マルチマスター・クラスタまたはスタンドアロン環境では変更できます。サーバーにネットワーク・カードが1つしかない場合は、このオプションを選択します。
1. 1を選択してクラシック・モードを選択し、「OK」を選択します。
2. 選択のデフォルトのネットワーク・インタフェース画面で、使用可能なオプションから選択し、「OK」を選択します。
3. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」および「Gateway」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。
4. 「OK」を選択します。
デュアルNICネットワーク・モードを使用する場合は、次のステップを実行します。
デュアルNICモードでは、2つのネットワーク・インタフェースまたはイーサネット・ポートを使用するようにOracle Key Vaultを構成できます。これは、物理的障害またはソフトウェア障害に対するガードとして役立ち、ネットワーク・レイヤーに冗長性を追加します。操作の継続性がより必要な場合およびネットワークが長時間使用できないためにクラスタから削除されないようにするには、デュアルNICモードを選択します。デュアルNICモードは、ノードの接続が失われ、クラスタ内のデータに加えられた変更が失われる可能性がある状況を回避するのに役立ちます。
1. 2を選択してデュアルNICモードを選択し、「OK」を選択します。
2. 「Select Bond Mode」画面で、使用する2つのネットワーク・インタフェースの結合モードの選択肢から選択し、「OK」を選択します。
  - ラウンド・ロビンは、ネットワーク・パケットが最初に使用可能なインタフェースから最後まで順次送受信されるようにネットワーク・インタフェースを構成します。このボンディング・モードがデフォルトです。このモードでは、フォルト・トレランスおよびロード・バランシングが提供され、EtherChannelがサポートされているネットワーク・スイッチにリンクを接続する必要があります。
  - アクティブ・バックアップは、ネットワーク・インタフェースをアクティブおよびバックアップとして構成します。ボンド内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生した場合にのみ、別のインタフェースがアクティブになります。ネットワーク通信は、アクティブなインタフェースを介して行われます。このモードではフォルト・トレランスが提供され、スイッチのサポートは必要ありません。
  - 802.3adでは、同じ速度および二重設定を共有する集計グループが作成されます。ネットワーク・パケットは、すべてのインタフェースで送受信されます。このモードではフォルト・トレランスおよびロード・バランシングが提供され、IEEE 802.3ad動的リンク・アグリゲーションをサポートするスイッチが必要です。
3. 選択の2つのネットワーク・インタフェース画面で、目的の2つのネットワーク・インタフェースを選択し、「OK」を選択します。
4. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」、「Network mask」、「Gateway」および「Hostname」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。ホスト名には小文字のみを使用します。ホスト名は、完全修飾ホスト名または短縮ホスト名です。
5. 「OK」を選択します。
プロンプトが表示されたら、インストールを完了するために「Reboot」を選択して、[Enter]キーを押します。

インストーラがサーバー上にオペレーティング・システム、データベースおよびOracle Key Vaultをインストール、構成して、自己完結した強化アプライアンスにします。インストールおよび構成プロセスには、1時間以上かかる場合があります。

関連項目

デュアルNICネットワーク・インタフェースのサポート

親トピック: Oracle Key Vaultのインストールと構成

4.3.3 インストール後タスクの実行

Oracle Key Vaultのインストール後は、一連のインストール後タスクを完了する必要があります。

これらのタスクには、リカバリ用の管理ユーザー・アカウントとパスワードの構成、rootおよびsupportに対するオペレーティング・システム・アカウントおよびパスワードの構成が含まれます。

WebブラウザでOracle Key Vaultサーバーに接続します。

たとえば、IPアドレスが192.0.2.254のOracle Key Vaultサーバーに接続するには、アドレス・バーに次のように入力します。

https://192.0.2.254
Webブラウザに、信頼できないセキュリティ証明書または自己署名セキュリティ証明書でWebサイトに接続していることを示すセキュリティ警告メッセージが表示された場合は、セキュリティ警告メッセージを受け入れて、Oracle Key Vaultサーバーへの接続を続行します。

これは一時的なメッセージです。サード・パーティの証明書を構成すると、このメッセージは表示されなくなります。インストール後タスクの完了後、セキュリティ警告メッセージが表示されずにOracle Key Vaultサーバーに接続できるように、ブラウザが信頼するカスタム証明書または証明書チェーンをアップロードすることができます。カスタム証明書のアップロードの詳細は、コンソール証明書の管理を参照してください。
rootパスワード画面で、rootパスワードを入力します。

図21_root_password_screen.pngの説明

Oracle Key Vaultサーバーに初めて接続すると、インストール後タスクを完了するために、rootパスワード画面が表示されます。インストール後タスクの完了後、Webブラウザを介してOracle Key Vault管理コンソールにアクセスすると、Oracle Key Vaultログイン画面が表示されます。

rootユーザー・パスワードを使用してログインすると、「Post-Install Configuration」画面が表示されます。
「User Setup」ペインで、キー管理者、システム管理者および監査マネージャ用の3つの管理ユーザー・アカウントを作成します。
図21_user_setup.pngの説明
- 各管理ユーザー・アカウントにユーザー名、パスワード、フルネーム(オプション)および電子メール(オプション)を入力します。
  
  このパスワードは1回かぎり使用するパスワードで、ユーザーの初回ログイン時に変更する必要があります。
- 必要に応じて、義務を厳密に区別したり、ロールを組み合せるために、これらの管理ロールごとに別のユーザー・アカウントを作成することをお薦めします。
- パスワードが8文字以上で、英大文字、英小文字、数字および1つの特殊文字(ピリオド(.)、カンマ(,)、アンダースコア(_)、プラス記号(+)、コロン(:)、感嘆符(!))をそれぞれ1つ以上含むことを確認します。また、パスフレーズの先頭または最後の文字として使用しない場合は、パスフレーズに空白文字( )を含めることができます。
「Recovery Passphrase」セクションで、リカバリ・パスフレーズを作成します。
図21_recovery_password.pngの説明

リカバリ・パスフレーズの最小要件は、ユーザー・パスワードと同じです。セキュリティ強化のため、リカバリ・パスフレーズを長く複雑なものにすることをお薦めします。これは重要なパスワードであるため、リカバリ・パスワードを適切に保護する必要があります。リカバリ・パスワードは、次のシナリオで必要です。
- Oracle Key Vaultにアクセスできる管理ユーザーがいない場合の緊急時
- バックアップからOracle Key Vaultデータをリストアする場合
- リカバリ・パスワードをリセットする場合
- マルチマスター・クラスタに新規ノードをインダクションする場合
- ハードウェア・セキュリティ・モジュール (HSM)を構成する場合
注意:
リカバリ・パスフレーズ(以前のパスフレーズも含めて)の保管と取得に安全なプロセスを確立することが重要です。リカバリ・パスフレーズの紛失からリカバリする唯一の方法は、Key Vaultを再インストールすることです。これらのパスワードのいずれかを3回続けて誤って入力した場合、アカウントは15分間ロックされます。
rootおよびsupportユーザー・パスワードを設定します。

図21_password_ntp_dns.pngの説明

ルート・パスワードは、Oracle Key Vaultをホストするオペレーティング・システムのスーパー・ユーザー・アカウントです。サポート・パスワードは、SSHプロトコルを使用してリモートでOracle Key Vaultにログインするときに必要になります。

注意:
ルート・パスワードとサポート・ユーザー・パスワードはインストール後においてのみ設定するため、安全に保管してください。インストール後の後は、Oracle Key Vault管理コンソールからこれらを変更できません。

「Time Setup」および「DNS Setup」の設定は、この段階ではオプションです。これらは、システム管理者が後から構成できます。
「Post-Install Configuration」画面の右上にある「Save」をクリックします。

Oracle Key Vault管理コンソールのログイン画面が表示されます。

図21_new_login.pngの説明

インストール後プロセスで作成されたいずれかのユーザー・アカウントの資格証明を使用して、Oracle Key Vault管理コンソールにログインできます。

関連項目

親トピック: Oracle Key Vaultのインストールと構成

4.4 Oracle Key Vault管理コンソールへのログイン

Oracle Key Vaultを使用するには、Oracle Key Vault管理コンソールにログインします。

Webブラウザを開きます。
HTTPS接続およびOracle Key VaultのIPアドレスを使用して接続します。

たとえば、IPアドレスが192.0.2.254のサーバーにログインする場合は、次のように入力します。

https://192.0.2.254
ログイン画面が表示されたら、ユーザー名とパスワードを入力します。
「Login」をクリックします。

親トピック: Oracle Key Vaultのインストールと構成

4.5 スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

このアップグレードには、関連付けられたエンドポイント・ソフトウェアを制御するOracle Key Vaultサーバー・ソフトウェアおよびユーティリティが含まれます。

Oracle Key Vaultサーバー・ソフトウェアのアップグレードについて
Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。
ステップ1: アップグレード前のサーバーのバックアップ
Oracle Key Vaultサーバーをアップグレードする前に、アップグレードに失敗した場合にデータをリカバリできるように、リモート宛先に1回限りのバックアップを実行します。
ステップ2: アップグレード前のタスクの実行
Oracle Key Vaultへのスムーズなアップグレードを保証するために、アップグレードするサーバーを準備する必要があります。
ステップ3: リリース21.1アップグレード用にvg_rootを拡張するためのディスク領域の追加
Oracle Key Vaultリリース21.1にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。
ステップ4: Oracle Key Vaultサーバーまたはプライマリ/スタンバイ・ペアのアップグレード
スタンドアロンのOracle Key Vaultサーバーまたはプライマリ/スタンバイ・デプロイメントのOracle Key Vaultサーバーのペアをアップグレードできます。
ステップ5: エンドポイント・ソフトウェアのアップグレード
アップグレードの一環として、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。
ステップ6: スワップ領域を拡張するためのディスク領域の追加(必要な場合)
必要な場合、スワップ領域を拡張します。Oracle Key Vaultリリース21.1では、1 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。
ステップ7: 古いカーネルの削除(必要な場合)
アップグレード後に残された古いカーネルをクリーン・アップすることをお薦めします。
ステップ8: SSH関連のDSAキーの削除(必要な場合)
アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。
ステップ9: アップグレードしたOracle Key Vaultサーバーのバックアップ
アップグレードが正常に完了した後、サーバー・バックアップおよびユーザー・パスワード・タスクを実行する必要があります。

親トピック: Oracle Key Vaultのインストールと構成

4.5.1 Oracle Key Vaultサーバー・ソフトウェアのアップグレードについて

Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。

ただし、以前のOracle Key Vaultリリースからダウンロードしたエンドポイント・ソフトウェアは、引き続き、アップグレードされたOracle Key Vaultサーバーとともに機能します。古いエンドポイント・ソフトウェアはアップグレードしたOracle Key Vaultサーバーで引き続き動作しますが、新しいエンドポイント機能は動作しない可能性があることに注意してください。

アップグレードは、次に示す順序で実行する必要があります。最初にOracle Key Vaultのフル・バックアップを実行し、Oracle Key Vaultサーバーまたはサーバー・ペア(プライマリ・スタンバイ・デプロイメントの場合)をアップグレードして、エンドポイント・ソフトウェアをアップグレードし、最後に、アップグレード済のサーバーに対して再度フル・バックアップを実行します。アップグレードする場合は、Oracle Key Vaultサーバーの再起動が必要になることに注意してください。

アップグレード中の限られた時間、エンドポイントではOracle Key Vaultサーバーを使用できません。永続キャッシュ機能を有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

アップグレードを始める前に、アップグレードするための詳細情報を『Oracle Key Vaultリリース・ノート』で参照してください。

4.5.2 ステップ1: アップグレード前のサーバーのバックアップ

Oracle Key Vaultサーバーをアップグレードする前に、アップグレードに失敗した場合にデータをリカバリできるように、リモート宛先に1回限りのバックアップを実行します。

注意:

このステップはスキップしないでください。アップグレードの実行前にサーバーをバックアップして、データを安全かつリカバリ可能な状態にします。

関連項目

『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.3 ステップ2: アップグレード前のタスクの実行

Oracle Key Vaultにスムーズにアップグレードするために、アップグレードするサーバーを準備する必要があります。

SSHを使用して、Oracle Key Vaultがインストールされているサーバーにログインします。
サーバーがアップグレードの最小ディスク領域要件を満たしていることを確認します。/usr/local/dbfw/tmpディレクトリに十分な空き領域がない場合、診断.zipファイルがそのディレクトリに格納されている場合は、それらをすべて削除します。
ディスク・サイズが2 TB以下であることを確認します。この場合、現行リリースにアップグレードすることはできません。現在の構成のバックアップを2 TB未満のサイズのディスクを持つシステムにリストアし、かわりに新しいリリースにアップグレードすることをお薦めします。
使用可能なディスク領域を増やす必要がある場合は、/usr/local/okv/sslにある一時jarファイルを削除します。その際には注意が必要です。/usr/local/okv/sslのjarファイル以外のファイルを誤って削除すると、Oracle Key Vaultサーバーは機能しなくなります。
vg_rootサイズを拡張して、ディスク領域を増やします。
- スタンドアロンおよびプライマリ/スタンバイ・デプロイメントの場合、アップグレードを実行する前に、vg_rootを拡張してディスク領域を増やす必要があります。
- マルチマスター・クラスタ・デプロイメントの場合は、アップグレード前に、ただしノードを無効にした後にvg_rootを拡張してディスク領域を増やす必要があります。
フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。

次の仕様に従い、停止時間を計画します。

Oracle Key Vaultの使用	停止時間の必要性
ウォレットのアップロードまたはダウンロード	いいえ
Javaキーストアのアップロードまたはダウンロード	いいえ
Transparent Data Encryption (TDE)直接接続	はい(永続キャッシュを使用する場合は、いいえ)
プライマリ・スタンバイ・デプロイメントにおけるプライマリ・サーバーのアップグレード	はい(永続キャッシュを使用する場合は、いいえ)

停止時間の計画:
- Oracle Key Vaultでオンライン・マスター・キーを使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。
- プライマリ/スタンバイ・デプロイメントでプライマリ・サーバーをアップグレードする場合は、数時間の停止時間を計画してください。永続キャッシュを使用すると、データベースを停止せずにOracle Key Vaultサーバーをアップグレードできます。Oracle Key Vaultサーバーが使用できなくなった時点からの永続キャッシュのデフォルトの有効期間は1,440分(1日)です。
エンドポイント・ソフトウェアのアップグレード・プロセスを正常に完了できるように、エンドポイントがインストールされている場所を$OKV_HOMEを設定します。
Oracle Key Vaultシステムでsyslog宛先が構成されている場合は、リモートsyslog宛先がOracle Key Vaultシステムからアクセス可能であり、ログが正しく転送されることを確認してください。リモートsyslog宛先にOracle Key Vaultシステムからアクセスできない場合、アップグレード処理が通常より大幅に遅くなる可能性があります。
HSMをルート・オブ・トラストとして使用しているときにアップグレードを実行する場合は、必要になる可能性のある追加のステップについて、Oracle Key Vaultルート・オブ・トラストHSM構成ガイドを参照してください。

4.5.4 ステップ3: リリース21.1アップグレードするためのvg_root拡張用ディスク領域の追加

Oracle Key Vaultリリース21.1にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。

この手順を開始する前に、すべてのエンドポイントで永続キャッシュが有効で使用中であることを確認します。

アップグレードを実行するサーバーにログインし、rootとしてユーザーを切り替えます。
Oracle Key Vaultの永続キャッシュ設定が設定されていることを確認します。
この手順の後半のステップでサーバーを停止する必要があるため、永続キャッシュが有効になっていることを確認する必要があります。Oracle Key Vaultサーバーを停止すると、停止時間が発生します。停止時間を回避するために、永続キャッシュをオンにすることをお薦めします。
vgsコマンドを実行して、空き領域の量を決定します。
```
vgs
```
VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。
新しいディスクを追加するには、サーバーの電源を切ります。
```
/sbin/shutdown -h now
```
容量が100 GB以上の新しいディスクをサーバーに追加します。
サーバーを起動します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
```
ssh support@okv_server_IP_address
su - root
```

Oracle Key Vaultサービスを停止します。

service tomcat stop;
service httpd stop;
service kmipus stop;
service kmip stop;
service okvogg stop;
service javafwk stop;
service monitor stop;
service controller stop;
service dbfwlistener stop;
service dbfwdb stop;
service rsyslog stop;

fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
```
fdisk -l
```
この段階では、使用可能なパーティションはありません。
fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。
```
fdisk /dev/sdb
```
表示されるプロンプトで、次のコマンドを順番に入力します。
- 新しいパーティションを意味するn
- プライマリを意味するp
- パーティション番号の1
- シリンダのデフォルト値を受け入れます([Enter]を2回押します)
- 書き込んで終了するためのw
pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。
```
pvcreate /dev/sdb1
```
出力は、次のようになります。
```
Physical volume "/dev/sdb1" successfully created
```
vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
たとえば、パーティション/dev/sdb1の場合は、次のように実行します。
```
vgextend vg_root /dev/sdb1
```
出力は、次のようになります。
```
Volume group "vg_root" successfully extended
```
vgsコマンドを再度実行して、VFreeに100 GBの増加が示されていることを確認します。
```
vgs
```
出力は、次のようになります。
```
VG      #PV #LV #SN Attr   VSize   VFree
vg_root   2  12   0 wz--n- 598.75g <121.41g
```
Oracle Key Vaultサーバーを再起動します。
```
/sbin/reboot
```
プライマリ/スタンバイ・デプロイメントの場合は、次のステップに進む前に、プライマリ・ノードとスタンバイ・ノードが同期していることを確認します。

関連項目

永続マスター暗号化キー・キャッシュの使用

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.5 ステップ4: Oracle Key Vaultサーバーまたはプライマリ/スタンバイ・ペアのアップグレード

プライマリ・スタンバイ・デプロイメントでは、スタンドアロンOracle Key VaultサーバーまたはOracle Key Vaultサーバーのペアをアップグレードできます。

Oracle Key Vaultサーバーまたはプライマリ/スタンバイ・ペアのアップグレードについて
スタンドアロン・デプロイメントでは、単一のOracle Key Vaultサーバーをアップグレードする必要がありますが、プライマリ/スタンバイ・デプロイメントでは、プライマリとスタンバイの両方のOracle Key Vaultサーバーをアップグレードする必要があります。
スタンドアロンOracle Key Vaultサーバーのアップグレード
スタンドアロン・デプロイメント内の単一のOracle Key Vaultサーバーが、テストおよび開発環境で最も一般的なデプロイメントです。
プライマリ/スタンバイ・デプロイメントにおけるOracle Key Vaultサーバーのペアのアップグレード
スタンバイのアップグレード後にプライマリ・サーバーをアップグレードするには、数時間割り当てておく必要があります。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.5.1 Oracle Key Vaultサーバーまたはプライマリ/スタンバイ・ペアのアップグレードについて

スタンドアロン・デプロイメントでは単一のOracle Key Vaultサーバーをアップグレードする必要がありますが、プライマリ・スタンバイ・デプロイメントではプライマリとスタンバイの両方のOracle Key Vaultサーバーをアップグレードする必要があります。

永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

ノート:

メモリーが4GBのシステムからアップグレードする場合は、まずアップグレード前に12GBのメモリーをシステムに追加してください。

関連項目

永続マスター暗号化キー・キャッシュについて

親トピック: ステップ4: Oracle Key Vaultサーバーまたはプライマリ/スタンバイ・ペアのアップグレード

4.5.5.2 スタンドアロンOracle Key Vaultサーバーのアップグレード

スタンドアロン・デプロイメントでの単一のOracle Key Vaultサーバーは、テスト環境や開発環境で最も一般的なデプロイメントです。

データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
このステップを完了することなく先に進まないでください。
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
SSHアクセスが有効になっていることを確認します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を回避するために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認することをお薦めします。
セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。
```
scp remote_host:remote_path/okv-upgrade-disc-new_software_release.iso /var/lib/oracle
```
このように指定した場合:
- remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
- remote_pathはISOアップグレード・ファイルのディレクトリです。
mountコマンドを使用して、アップグレードをアクセス可能にします。
```
/bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-new_software_release.iso /images
```
clean allコマンドを使用してキャッシュをクリアします。
```
root# yum -c /images/upgrade.repo clean all
```
upgrade.rbコマンドを使用してアップグレードを適用します。
```
root# /usr/bin/ruby /images/upgrade.rb --confirm
```
システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

Remove media and reboot now to fully apply changes

エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。
rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。
```
root# /sbin/reboot
```
アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

アップグレードは、Oracle Key Vault Server new_software_releaseという見出しの画面が表示された時点で完了します。リビジョンには、アップグレードされたリリースが反映されます。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。
Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、「Status」を選択します。
3. 最新のリリース番号のバージョンが表示されていることを確認します。
  リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをスタンドアロン・サーバーに再インストールします。
SSHアクセスを無効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

4.5.5.3 プライマリ/スタンバイ・デプロイメントにおけるOracle Key Vaultサーバーのペアのアップグレード

スタンバイのアップグレード後に、プライマリ・サーバーをアップグレードするには数時間割り当てる必要があります。

スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードを実行し、スタンバイのアップグレードとプライマリのアップグレードの間に時間を空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化します。データ量が多いと、アップグレード時間が数時間を超える場合があります。

プライマリ/スタンバイ構成のプライマリ・サーバーとスタンバイ・サーバーの両方で、アップグレードの準備をします。
- プライマリ・システムとスタンバイ・システムの両方に8 GB以上のメモリーがあることを確認します。
- ディスク領域を追加してvg_rootを拡張します。
- アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。
- 永続キャッシュを構成していない場合は、アップグレード中にエンドポイントを停止する必要があるため、計画されたメンテナンス・ウィンドウ期間にOracle Key Vaultサーバーをアップグレードしてください。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。
データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
Oracle Backup and Recovery (Oracle RMAN)を使用して、このバックアップを実行できます。Oracle Key Vaultサーバーをバックアップしてから停止するまでの時間に、データベースでキーの設定または更新操作(ADMINISTER KEY MANAGEMENT文など)を実行すると、それらの新しいキーがバックアップに含まれないため、これらの操作をしないでください。

このステップを完了することなく先に進まないでください。
最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

スタンドアロンOracle Key Vaultサーバーのアップグレードのステップ2から10を実行します。
アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
スタンドアロンOracle Key Vaultサーバーのアップグレードのステップ2から10に従って、プライマリOracle Key Vaultサーバーをアップグレードします。

スタンバイおよびプライマリの両方のOracle Key Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。
次のステップをスタンバイ・サーバーで実行します。
1. SSHを介して、ユーザーsupportとしてOracle Key Vaultスタンバイ・サーバーにログインし、ユーザーsuをroot、次にoracleに切り替えます。
2. SYSDBA管理権限を持つユーザーとしてスタンバイ・データベースに接続します。
```
sqlplus / as sysdba
```
3. 次のコマンドを実行します。
```
ALTER SYSTEM SET COMPATIBLE='19.0.0.0.0' SCOPE=SPFILE;
SHUTDOWN IMMEDIATE
STARTUP
```
システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「System」タブを選択し、「Status」を選択します。
「Version」フィールドに、新しいソフトウェア・バージョンが表示されていることを確認します。
サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをプライマリおよびスタンバイのサーバーに再インストールします。

4.5.6 ステップ5: エンドポイント・ソフトウェアのアップグレード

アップグレードの一環として、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。

以前のリリースから最新のリリースのOracle Key Vaultにアップグレードする場合は、エンドポイント・ソフトウェアをアップグレードするかわりに、エンドポイントを再エンロールする必要があります。エンドポイントを再エンロールすると、エンドポイントのソフトウェアが自動的に更新されます。

Oracle Key Vaultサーバーをアップグレードしていることを確認します。直接接続用に構成された、Oracle Databaseのためのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。
次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar)をダウンロードします。
1. Oracle Key Vault管理コンソールのログイン画面に移動します。
2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
3. 「Download Endpoint Software Only」セクションで、ドロップダウン・リストから適切なプラットフォームを選択します。
4. 「Download」ボタンをクリックします。
アップグレード対象となる、既存のエンドポイントのインストールへのパスを指定します(例: /home/oracle/okvutil)。
次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。
```
java -jar okvclient.jar -d existing_endpoint_directory_path
```
次に例を示します。
```
java -jar okvclient.jar -d /home/oracle/okvutil
```
Oracle Databaseリリース11.2.0.4のみのWindowsエンドポイント・システムにokvclient.jarファイルをインストールする場合は、-db112オプションを指定します。(このオプションは、他の組合せのエンドポイントのプラットフォームまたはOracle Databaseバージョンでは必要ありません。)次に例を示します。
```
java -jar okvclient.jar -d /home/oracle/okvutil -v -db112
```
更新されたPKCS#11ライブラリ・ファイルをインストールします。
このステップは、Oracle Key VaultによるオンラインTDEマスター暗号化キーの管理のためにのみ必要です。
- UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。
```
$ sudo $OKV_HOME/bin/root.sh
```
  または
```
$ su - root
# bin/root.sh
```
- Windowsプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。使用中のデータベースのバージョンを指定するよう求められます。
```
bin\root.bat
```
エンドポイントが停止している場合は再起動します。

関連項目

エンドポイントの再エンロール

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.7 ステップ6: スワップ領域を拡張するためのディスク領域の追加(必要な場合)

必要に応じて、スワップ領域を拡張します。Oracle Key Vaultリリース21.1では、1 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。

システムがこの要件を満たしていない場合は、次の手順に従ってスワップ領域を拡張します。swapon -sコマンドを実行して、使用しているスワップ領域の量を確認できます。デフォルトでは、リリース18.1より前のOracle Key Vaultリリースは、約4 GBのスワップ領域でインストールされていました。リリース18.1以降へのアップグレードが完了したら、Oracle Key Vaultをアップグレードしたサーバーに割り当てられているスワップ領域を増やすことをお薦めします。Oracle Key Vaultの新しいインストールには十分なスワップ領域が自動的に構成されます。ただし、以前のリリースからアップグレードし、システムに必要な量のスワップ領域が構成されていない場合、特にアップグレードしたサーバーをマルチマスター・クラスタの最初のノードに変換することを意図している場合、ディスク領域を手動で追加してスワップ領域を拡張する必要があります。

Oracle Key Vaultをアップグレードしたサーバーにログインし、rootとして接続します。
スワップ領域の現在の量を確認します。
```
[root@my_okv_server support]# swapon -s
```
出力は、次のようになります。この例は、システムのスワップ領域が4 GBであることを示しています。
```
Filename Type Size Used Priority
/dev/dm-0 partition 4194300 3368 -1
```
ディスクのサイズが1 TBを超える場合は、64 GBのスワップ領域が必要です。
vgsコマンドを実行して、使用可能な空き領域の量を決定します。
```
vgs
```
VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。
新しいディスクを追加するには、サーバーの電源を切ります。
```
/sbin/shutdown -h now
```
VFree値が64 GBを超えるサイズのサーバーに新しいディスクを追加します。
サーバーを起動します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
```
ssh support@okv_server_IP_address
su - root
```
fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
```
fdisk -l
```
この段階では、使用可能なパーティションはありません。
fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
たとえば、/dev/sdcという名前のディスク・デバイスを作成するには、次のようにします。
```
fdisk /dev/sdc
```
表示されるプロンプトで、次のコマンドを順番に入力します。
- 新しいパーティションを意味するn
- プライマリを意味するp
- パーティション番号の1
- シリンダのデフォルト値を受け入れます([Enter]を2回押します)
- 書き込んで終了するためのw
pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdc1にしたディスク・デバイスの場合は、次のようにします。
```
pvcreate /dev/sdc1
```
出力は、次のようになります。
```
Physical volume "/dev/sdc1" successfully created
```
vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
たとえば、パーティション/dev/sdc1の場合は、次のように実行します。
```
vgextend vg_root /dev/sdc1
```
出力は、次のようになります。
```
Volume group "vg_root" successfully extended
```
vgsコマンドを再度実行して、VFreeに64 GBの増加が示されていることを確認します。
```
vgs
```

スワッピングを無効にします。

[root@my_okv_server support]# swapoff -v /dev/vg_root/lv_swap

スワップ領域を拡張するには、lvresizeコマンドを実行します。

[root@my_okv_server support]# lvresize -L +60G /dev/vg_root/lv_swap

出力は、次のようになります。

Size of logical volume vg_root/lv_swap changed from 4.00 GiB (128 extents) to 64.00 GiB (2048 extents)
Logical volume lv_swap successfully resized.

新しく追加したスワップ領域をフォーマットします。

[root@my_okv_server support]# mkswap /dev/vg_root/lv_swap

出力は、次のようになります。

mkswap: /dev/vg_root/lv_swap: warning: don't erase bootbits sectors
on whole disk. Use -f to force.
Setting up swapspace version 1, size = 67108860 KiB
no label, UUID=fea7fc72-0fea-43a3-8e5d-e29955d46891

スワッピングを再度有効にします。

[root@my_okv_server support]# swapon -v /dev/vg_root/lv_swap

使用可能なスワップ領域の容量を確認します。

[root@my_okv_server support]# swapon -s

出力は、次のようになります。

Filename Type Size Used Priority 
/dev/dm-0 partition 67108860 0 -1

Oracle Key Vaultサーバーを再起動します。
```
/sbin/reboot
```
プライマリ/スタンバイ・デプロイメントの場合は、次のステップに進む前に、プライマリ・ノードとスタンバイ・ノードが同期していることを確認します。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.8 ステップ7: 古いカーネルの削除(必要な場合)

アップグレード後に残された古いカーネルをクリーン・アップすることをお薦めします。

古いカーネルは使用されませんが、一部のコード分析ツールによって問題としてマークされることがあります。

Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
rootユーザーに切り替えます。
```
su - root
```
/bootがシステムにマウントされていない場合はマウントします。
1. /bootがマウントされているかどうかを確認します。/bootがマウントされている場合は、次のコマンドで情報を表示できます。
```
df -h /boot;
```
2. /bootがマウントされていない場合はマウントします。
```
/bin/mount /boot;
```
インストールされているカーネルと実行中のカーネルを確認してください。
1. インストールされているすべてのカーネルを検索します。
```
rpm -q kernel-uek | sort;
```
  次の出力例は、2つのカーネルがインストールされていることを示しています。
```
kernel-uek-4.1.12-103.9.4.el6uek.x86_64
kernel-uek-4.1.12-112.16.7.el6uek.x86_64
```
2. 最新のカーネルを確認します。
```
uname -r;
```
  次の出力は、その時点でインストールされていたカーネル・バージョンの例を示しています。
```
4.1.12-112.16.7.el6uek.x86_64
```
  この例では、4.1.12-112.16.7.el6uek.x86_64が最新バージョンですが、現在は新しいバージョンを使用できる可能性があります。この出力によれば、kernel-uek-4.1.12-103.9.4.el6uek.x86_64のカーネルを削除する必要があります。最新のカーネルより前のすべてのカーネルを削除してください。

古いカーネルとそれに関連するRPMを削除します。

たとえば、kernel-uek-4.1.12-103.9.4.el6uek.x86_64のカーネルを削除するには、次のようにします。

yum --disablerepo=* remove `rpm -qa | grep 4.1.12-103.9.4.el6uek`;

出力は、次のようになります。

Loaded plugins: security
Setting up Remove Process
Resolving Dependencies
--> Running transaction check
---> Package kernel-uek.x86_64 0:4.1.12-103.9.4.el6uek will be erased
---> Package kernel-uek-devel.x86_64 0:4.1.12-103.9.4.el6uek will be erased
---> Package kernel-uek-firmware.noarch 0:4.1.12-103.9.4.el6uek will be erased
--> Finished Dependency Resolution

Dependencies Resolved

=================================================================================================================
 Package               Arch    Version                Repository                                            Size
=================================================================================================================
Removing:
 kernel-uek            x86_64  4.1.12-103.9.4.el6uek  @anaconda-OracleLinuxServer-201410181705.x86_64/6.6  241 M
 kernel-uek-devel      x86_64  4.1.12-103.9.4.el6uek  @anaconda-OracleLinuxServer-201410181705.x86_64/6.6   38 M
 kernel-uek-firmware   noarch  4.1.12-103.9.4.el6uek  @anaconda-OracleLinuxServer-201410181705.x86_64/6.6  2.9 M

Transaction Summary
=================================================================================================================
Remove        3 Package(s)

Installed size: 282 M
Is this ok [y/N]:

「y」を入力して、削除出力を受け入れます。
最新のカーネルより古いすべてのカーネルについて、ステップ4以降のステップを繰り返します。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.9 ステップ8: SSH関連のDSAキーの削除(必要な場合)

アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
SSHを有効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
SSHを使用してOracle Key Vaultのsupportアカウントにログインします。
```
ssh support@OracleKeyVault_serverIPaddress
```
rootユーザーに切り替えます。
```
su - root
```
/etc/sshディレクトリに移動します。
```
cd /etc/ssh
```

次のキーの名前を変更します。

mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.retire
mv ssh_host_dsa_key ssh_host_dsa_key.retire

SSHアクセスを無効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.5.10 ステップ9: アップグレードしたOracle Key Vaultサーバーのバックアップ

アップグレードが正常に完了した後、サーバー・バックアップおよびユーザー・パスワード・タスクを実行する必要があります。

アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。
前のステップで定義した新しい宛先への新しい定期増分バックアップをスケジュールします。
Oracle Key Vault管理パスワードを変更します。
パスワード・ハッシュは、以前のリリースよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワードのsupportとrootに影響があります。アップグレードした後、よりセキュアなハッシュを活用するために、Oracle Key Vaultの管理パスワードを変更する必要があります。

関連項目

『Oracle Databaseバックアップおよびリカバリ・ユーザーズ・ガイド』

親トピック: スタンドアロンまたはプライマリ/スタンバイのOracle Key Vaultサーバーのアップグレード

4.6 マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

スタンドアロンまたはプライマリ/スタンバイのアップグレードと同様に、このタイプのアップグレードには、Oracle Key Vaultサーバー・ソフトウェアおよびエンドポイント・ソフトウェア関連のユーティリティが含まれます。

マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレードについて
このアップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。
ステップ1: アップグレード前タスクの実行
スタンドアロンまたはプライマリ/スタンバイの環境と同様に、アップグレード前のマルチマスター・クラスタ・プロセス用にOracle Key Vaultサーバーを準備をする必要があります。
ステップ2: Oracle Key Vaultリリース21.1にアップグレードするためのvg_root拡張用ディスク領域の追加
Oracle Key Vaultリリース21.1にアップグレードするには、vg_rootを拡張できるようにディスクを追加してディスク領域を追加する必要があります。
ステップ3: マルチマスター・クラスタのアップグレード
マルチマスター・クラスタ構成に応じて、デプロイメントに固有のステップに従う必要があります。
ステップ4: ノード・バージョンおよびクラスタ・バージョンの確認
少なくとも1つのノードのアップグレードを完了すると、アップグレードしたノードのいずれかにログインしてノードおよびクラスタのバージョンを確認できます。
ステップ5: アップグレードしたノードのネットワーク・インタフェースの変更(必要な場合)
リリース21.1より前のOracle Key Vaultリリースで作成されたノードでは、クラシック・モードを使用します。クラシック・モードでは、単一のネットワーク・インタフェースのみが使用されていました。

親トピック: Oracle Key Vaultのインストールと構成

4.6.1 マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレードについて

このアップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。

マルチマスター・クラスタのアップグレードには、デプロイメントに応じて様々なステップがあります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタには、他のデプロイメントを必要としないアップグレード前スクリプトの実行が含まれます。読取り/書込み構成でデプロイされたマルチマスター・クラスタ・ノードは、読取り専用ノードとしてデプロイされたものとは異なるアップグレード・ステップに従う必要があります。

Oracleは、Oracle Key Vaultリリース18.1以前からの直接のアップグレードをサポートしていません。リリース21.1にアップグレードする前に、Oracle Key Vaultリリース18.2以降にアップグレードする必要があります。

アップグレード・プロセスでは、各マルチマスター・クラスタ・ノードでアップグレードを実行します。クラスタ・アップグレードを開始した後は、必ずクラスタ内のすべてのノードを順々にアップグレードし、2つのノードのアップグレードの間で時間が空きすぎないようにします。

Oracle Key Vaultマルチマスター・クラスタのアップグレードには、各クラスタ・ノードの新しいバージョンへのアップグレードが含まれます。すべてのノードを同じOracle Key Vaultバージョンにアップグレードする必要があります。まず、クラスタの読取り専用ノードをアップグレードし、次に読取り/書込みペアをアップグレードします。各クラスタ・ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultの新しいバージョンに更新されます。すべてのクラスタ・ノードのアップグレードを完了すると、クラスタ・バージョンはOracle Key Vaultの新しいバージョンに更新されます。ノード・バージョンまたはクラスタ・バージョンを確認するには、「Cluster」タブを選択した後、左側のナビゲーション・バーで「Management」を選択します。各クラスタ・ノードのノード・バージョンおよびクラスタ・バージョンが最新バージョンのOracle Key Vaultに更新されると、Oracle Key Vaultマルチマスター・クラスタのアップグレードは完了したと見なされます。

アップグレードを実行する前に、次の点に注意してください。

すべてのマルチマスター・クラスタ・ノードで、中断なしにアップグレード・プロセス全体を実行します。つまり、クラスタのアップグレード・プロセスを開始した後、必ずすべてのノードを相互に、または読取り/書込みペアで個別にアップグレードしてください。環境内のすべてのノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更したりしないでください。
すべてのマルチマスター・クラスタ・ノードのアップグレードを完了するまで、このリリースで導入された新機能は使用できないことに注意してください。アップグレードされたノードからそのような機能が使用されると、エラーが戻されます。すべてのクラスタ・ノードのアップグレードを互いに間隔を空けずに計画して、新機能が早く使用できるようにすることをお薦めします。

4.6.2 ステップ1: アップグレード前タスクの実行

スタンドアロンまたはプライマリ/スタンバイの環境と同様に、アップグレード前のマルチマスター・クラスタ・プロセス用にOracle Key Vaultサーバーを準備をする必要があります。

アップグレードが失敗した場合にデータをリカバリできるように、サーバーをバックアップします。
スタンドアロンまたはプライマリ/スタンバイ環境用に説明されているアップグレード前のタスクを実行します。これには、vg_rootを拡張するための新しいディスクを追加し、フル・バックアップ・ジョブまたは増分バックアップ・ジョブが実行されていないことを確認し、停止時間を計画することにより、サーバーが最小ディスク領域要件を満たしていることの確認などのタスクが含まれます。マルチマスター・クラスタ・ノードに新しいディスクを追加するには、ノードを停止して新しいディスクを追加する前にノードを無効にし、ディスクが正常に追加された後で再度有効にする必要があります。
アップグレードを開始する前に、ディスク・サイズを確認します。問題のノードのディスク・サイズが2 TBを超える場合は、そのシステムを新しいリリースにアップグレードできません。クラスタからノードを削除し、可能な場合はディスク・サイズが2 TB未満のノードと交換することをお薦めします。
無効化されたクラスタ・ノードにアップグレードしてクラスタに戻すための十分な時間が確保されるように、必要に応じて「Maximum Disable Node Duration」設定を増やします。「Maximum Disable Node Duration」設定を増やすと、ディスク領域の使用率も増加することに注意してください。

4.6.3 ステップ2: Oracle Key Vaultリリース21.1にアップグレードするためのvg_root拡張用ディスク領域の追加

Oracle Key Vaultリリース21.1にアップグレードするには、vg_rootを拡張できるようにディスクを追加してディスク領域を追加する必要があります。

マルチマスター・クラスタ構成でOracle Key Vault 21.1にアップグレードするためのディスク領域を追加する場合、ノードを無効にした後にこのステップを実行する必要があります。この手順を開始する前に、すべてのエンドポイントで永続キャッシュが有効で使用中であることを確認します。

アップグレードを実行するサーバーにログインし、rootとしてユーザーを切り替えます。
Oracle Key Vaultの永続キャッシュ設定が設定されていることを確認します。
この手順の後半のステップでサーバーを停止する必要があるため、永続キャッシュが有効になっていることを確認する必要があります。Oracle Key Vaultサーバーを停止すると、停止時間が発生します。停止時間を回避するために、永続キャッシュをオンにすることをお薦めします。
vgsコマンドを実行して、空き領域の量を決定します。
```
vgs
```
VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。
ノードを無効にします。
「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
新しいディスクを追加するには、サーバーの電源を切ります。
```
/sbin/shutdown -h now
```
容量が100 GB以上の新しいディスクをサーバーに追加します。
サーバーを起動します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
```
ssh support@okv_server_IP_address
su - root
```

Oracle Key Vaultサービスを停止します。

service tomcat stop;
service httpd stop;
service kmipus stop;
service kmip stop;
service okvogg stop;
service javafwk stop;
service monitor stop;
service controller stop;
service dbfwlistener stop;
service dbfwdb stop;
service rsyslog stop;

fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
```
fdisk -l
```
この段階では、使用可能なパーティションはありません。
fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。
```
fdisk /dev/sdb
```
表示されるプロンプトで、次のコマンドを順番に入力します。
- 新しいパーティションを意味するn
- プライマリを意味するp
- パーティション番号の1
- シリンダのデフォルト値を受け入れます([Enter]を2回押します)
- 書き込んで終了するためのw
pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。
```
pvcreate /dev/sdb1
```
出力は、次のようになります。
```
Physical volume "/dev/sdb1" successfully created
```
vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
たとえば、パーティション/dev/sdb1の場合は、次のように実行します。
```
vgextend vg_root /dev/sdb1
```
出力は、次のようになります。
```
Volume group "vg_root" successfully extended
```
vgsコマンドを再度実行して、VFreeに100 GBの増加が示されていることを確認します。
```
vgs
```
出力は、次のようになります。
```
VG      #PV #LV #SN Attr   VSize   VFree
vg_root   2  12   0 wz--n- 598.75g <121.41g
```
Oracle Key Vaultサーバーを再起動します。
```
/sbin/reboot
```
ディスクを正常に追加した後、ノードを再度有効にします。無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。

関連項目

永続マスター暗号化キー・キャッシュの使用

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.4 ステップ3: マルチマスター・クラスタのアップグレード

マルチマスター・クラスタ構成に応じて、デプロイメントに固有のステップに従う必要があります。

マルチマスター・クラスタのアップグレードについて
マルチマスター・クラスタをアップグレードする場合、読取り専用ノードを交互にアップグレードできます。読取り/書込みペアの場合、両方のノードを同時にアップグレードする必要があります。
マルチマスター・クラスタ読取り専用ノードのアップグレード
マルチマスター・クラスタ読取り専用ノードをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。
マルチマスター・クラスタの読取り/書込みペアのアップグレード
マルチマスター・クラスタの読取り/書込みペアをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.4.1 マルチマスター・クラスタのアップグレードについて

マルチマスター・クラスタをアップグレードする場合、読取り専用ノードを相互にアップグレードできます。読取り/書込みペアの場合、両方のノードを同時にアップグレードする必要があります。

アップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。マルチマスター・クラスタのアップグレードには、デプロイメントに応じて様々なステップがあります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタには、他のデプロイメントを必要としないアップグレード前スクリプトの実行が含まれます。読取り/書込み構成でデプロイされたマルチマスター・クラスタ・ノードの場合、読取り専用ノードとしてデプロイされたものとは異なるアップグレード・ステップに従う必要があります。

この項では、様々なデプロイメントのアップグレード方法について説明します。使用する構成に適した方法を選択します。読取り/書込みペアをアップグレードする場合、両方のノードを無効にした後、ノードを同時にアップグレードできます。ただし、クラスタ・ノードを一度に1つのアップグレードすることをお薦めします。3つ以上のノードがあるマルチマスター・クラスタの場合、停止時間なしで2つのノードを同時にアップグレードできます。

読取り/書込みペアをアップグレードする場合は、2つのノードで適切な順序でステップを実行することが重要です。

クラスタが読取り/書込み構成の2つのノードのみで構成されており、Oracle Key Vaultリリース18.2から18.5にアップグレードする場合は、アップグレードを実行する前にアップグレード前スクリプトを実行することが必要です。アップグレード前スクリプトは、他のマルチマスター・クラスタ構成では実行されません。

親トピック: ステップ3: マルチマスター・クラスタのアップグレード

4.6.4.2 マルチマスター・クラスタ読取り専用ノードのアップグレード

マルチマスター・クラスタ読取り専用ノードをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

読取り専用ノードを一度に1つのアップグレードすることをお薦めします。読取り/書込みペアの前に読取り専用ノードをアップグレードする必要があります。リリース18.1以前からの直接アップグレードはサポートされていません。リリース21.1にアップグレードする前に、Oracle Key Vaultリリース18.2以降にアップグレードする必要があります。すべてのマルチマスター・クラスタ・ノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更しないでください。

これらのステップは、クラスタの各読取り専用ノードで1つずつ実行する必要があります。

アップグレード前のステップを実行したことを確認します。
システム管理者ロールを持っているユーザーとして管理コンソールにログインします。
マルチマスター・クラスタ・ノードを無効にします。
「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
リリース21.1にアップグレードするためにvg_rootを拡張するためのディスク領域が追加されていることを確認します。
ステップ2から10を実行して、スタンドアロンOracle Key Vaultサーバーをアップグレードする場合と同様にアップグレードを実行します(ただし、プライマリ/スタンバイ・ペアは実行しません)。
アップグレード中に/usr/bin/ruby /images/upgrade.rb --confirmステップを実行すると、アップグレード前ステップを完了したことを確認するように求められる場合があります。
ノードが正常にアップグレードされたら、再度有効にします。
これを有効にするには、「Cluster」タブを選択し、左ナビゲーション・バーの「Management」を選択します。「Cluster Details」の下で、有効にするノードのチェック・ボックスを選択し、「Enable」をクリックします。

無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
必要に応じて、このノードのSSHアクセスを無効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。
この手順が正常に完了したら、残りのすべての読取り専用マルチマスター・クラスタ・ノードでこれらのアップグレード・ステップを繰り返します。

関連項目

親トピック: ステップ3: マルチマスター・クラスタのアップグレード

4.6.4.3 マルチマスター・クラスタの読取り/書込みペアのアップグレード

マルチマスター・クラスタ読取り/書込みペアをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

すべてのマルチマスター・クラスタ・ノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更しないでください。

これらのステップは、クラスタの読取り/書込みペアの両方のノードで、クラスタのすべての読取り/書込みペアに指定された順序で実行する必要があります。この方法を使用してアップグレードを実行するには、ペアのどの読取り/書込みノードをノードAにし、どのノードをノードBにするかを任意に決定する必要があります。次のステップでは、使用するノードAとノードBに対応するノードAとノードBを参照します。

リリース18.1以前からOracle Key Vault 21.1への直接アップグレードはサポートされていません。リリース21.1にアップグレードする前に、Oracle Key Vaultリリース18.2以降にアップグレードする必要があります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタをアップグレードする場合、ISOをマウントした後、完全アップグレードを実行する前に、各マルチマスター・クラスタ・ノードでアップグレード前スクリプトを実行する必要があります。

通常、クラスタ・ノードが無効になると、使用できなくなります。したがって、読取り/書込みペアとして構成されている2ノード・クラスタをアップグレードするときに操作の継続性を確保するために、両方のノードでアップグレード前スクリプトを適用すると、ノードが無効になっていてもノードを読取り専用モードで使用できるようになります。両方のノードを無効にした後、ノードを一度に1つずつアップグレードできます。順序は自由に決定できます。ただし、アップグレード後にノードを有効にした場合は、無効にした順序とは逆の順序で有効にする必要があります。

デプロイメントでアップグレード前スクリプトを実行する必要がある場合は、アップグレード前スクリプトを実行した後、次のように標準アップグレード・プロセスに進みます。読取り/書込みペアの両方のノード(問題のあるノードを無効にする順序)を無効にし、必要に応じてディスク領域を追加してから、アップグレードおよび再起動を実行します。アップグレードおよび再起動コマンドを実行する場合、Oracleでは、停止時間を回避するために、ペアの1つのノードでコマンドを実行してから、もう一方のノードで実行することをお薦めします。

システム管理者ロールを持っているユーザーとしてノードAのOracle Key Vault管理コンソールにログインします。
SSHアクセスが有効になっていることを確認します。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を回避するために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認することをお薦めします。
screenコマンドを使用すると、ネットワークの切断によってアップグレードが中断されるのを防ぎます。セッションが終了した場合は、次のように再開します。
```
screen -r
```
セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。
```
scp remote_host:remote_path/okv-upgrade-disc-new_software_release.iso /var/lib/oracle
```
- remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
- remote_pathはISOアップグレード・ファイルのディレクトリです。
mountコマンドを使用して、アップグレードをアクセス可能にします。
```
/bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-new_software_release.iso /images
```
Oracle Key Vaultのデプロイメントが、Oracle Key Vault 18.5以前を実行する読取り/書込み構成の2つのクラスタ・ノードのみで構成されている場合は、両方のノードでアップグレード前スクリプトを実行して、アップグレード・プロセス用にクラスタを準備する必要があります。
このアップグレード前のステップは、Oracle Key Vault 18.5以前を実行している2ノード・クラスタを単一の読取り/書込みペアとして構成してアップグレードする場合にのみ実行する必要があります。他の構成のクラスタでこのアップグレード前スクリプトを実行しないでください。
1. アップグレード・スクリプトを解凍し、/tmpに保存します。このステップは、両方のノードで実行します。
```
/usr/bin/unzip -d /tmp/ /images/preupgrade/cluster_preupgrade_211.zip
```
2. アップグレードする各ノードでアップグレード・スクリプトを実行します。
```
/tmp/cluster_preupgrade_211.sh
```
3. 次のコマンドを実行して、各ノードのエラーを確認します。
```
echo $?
```
4. 各ノードのアップグレード・スクリプト・ログ/tmp/cluster_preupgrade_211.logでエラーがあるかどうかを確認します。
ノードAを無効にします。
「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
ノードAが無効になるまで待ってから続行します。
システム管理者ロールを持っているユーザーとしてノードB管理コンソールにログインします。
ノードBを無効にします。
「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
ノードBが無効になるまで待ってから続行します。
両方のノードのvg_rootを拡張するためのディスク領域が追加されていることを確認します。
読取り/書込みペアの各ノードに対して、次の操作を行います。
読取り/書込みペアの各ノードで次のステップを順番に完了します。つまり、読取り/書込みペアのいずれかの無効なノードでステップを実行し、アップグレードが完了するまで待ってから、読取り/書込みペアのもう一方の無効なノードでステップを実行します。
1. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
```
ssh support@okv_server_IP_address
su - root
```
2. clean allコマンドを使用してキャッシュをクリアします。
```
root# yum -c /images/upgrade.repo clean all
```
3. upgrade.rbコマンドを使用してアップグレードを適用します。
```
root# /usr/bin/ruby /images/upgrade.rb --confirm
```
  アップグレード中に/usr/bin/ruby /images/upgrade.rb --confirmステップを実行すると、アップグレード前ステップを完了したことを確認するように求められる場合があります。
  
  upgrade.rbコマンドを実行する場合、このステップと次のステップ(reboot)を最初にあるノードで実行し、次は最初のノードが完了した後で実行することをお薦めします。マルチマスター・クラスタ・デプロイメントが3つ以上のノードで構成されている場合、読取り/書込みペアの両方のノードを同時にアップグレードして、停止時間を回避できます。
  
  システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。
```
Remove media and reboot now to fully apply changes.
```
  エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。
4. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。
```
root# /sbin/reboot
```
  アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。
  
  Oracle Key Vault Server new_software_releaseという見出しの画面が表示され、new_software_releaseにアップグレードされたバージョンのリリース番号が反映された状態で、クラスタ・ノードのアップグレードが完了します。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。
各ノードのアップグレード後、ログインを試みる前にブラウザのキャッシュをクリアします。
両方のノードが正常にアップグレードされた後、まずノードBを再度有効にします(無効にした順序とは逆の順序でノードを有効にする必要があります)。
無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
ノードAを再度有効にします。
無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
必要に応じて、各ノードでSSHアクセスを無効にします。

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。
この手順が正常に完了したら、残りのすべてのマルチマスター・クラスタの読取り/書込みペアでこれらのアップグレード・ステップを繰り返します。

関連項目

親トピック: ステップ3: マルチマスター・クラスタのアップグレード

4.6.5 ステップ4: ノード・バージョンおよびクラスタ・バージョンの確認

少なくとも1つのノードのアップグレードを完了すると、アップグレードしたノードのいずれかにログインしてノードおよびクラスタのバージョンを確認できます。

Oracle Key Vaultでは、各クラスタ・ノードのバージョン情報とクラスタ全体のバージョンを追跡管理します。ノード・バージョンは、特定のノードのOracle Key Vaultソフトウェアのバージョンを表します。ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultソフトウェアの新しいバージョンに更新されます。クラスタ・バージョンは、クラスタ・ノードのバージョン情報から導出され、クラスタ・ノードの最小バージョンに設定されます。クラスタのアップグレード時に、各クラスタ・ノードが新しいバージョンにアップグレードされると、ノード・バージョンが更新されます。すべてのクラスタ・ノードがアップグレードされると、クラスタ・バージョンは新しいバージョンに更新されます。(「Cluster Version」および「Node Version」フィールドは、Oracle Key Vaultリリース18.2以降で使用できます。)

システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
「Cluster」タブを選択します。
左側のナビゲーション・バーで、「Management」を選択します。
次の領域をチェックします。
- ノード・バージョンを確認するには、「Cluster Details」領域をチェックします。
- クラスタ・バージョンを確認するには、「Cluster Information」領域をチェックします。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.6.6 ステップ5: アップグレードしたノードのネットワーク・インタフェースの変更(必要な場合)

リリース21.1より前のOracle Key Vaultリリースで作成されたノードでは、単一のネットワーク・インタフェースのみが使用されていたクラシック・モードが使用されます。

2つのネットワーク・インタフェースの使用をサポートするデュアルNICネットワーク・モードを使用する場合は、コマンドラインからこのモードを使用するようにノードを切り替えることができます。

関連項目

ネットワーク・インタフェース・モードの変更

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultのアップグレード

4.7 Oracle Key Vault管理コンソールの概要

Oracle Key Vault管理コンソールは、Oracle Key Vaultユーザー用のグラフィカル・ユーザー・インタフェースを提供します。

Oracle Key Vault管理コンソールは、httpsセキュア通信チャネルを使用してサーバーに接続するブラウザ・ベースのコンソールです。これにより、Oracle Key Vaultにグラフィカル・ユーザー・インタフェースが提供され、ユーザーはここで次のようなタスクを実行できます。

クラスタの設定および管理
ユーザー、エンドポイントおよびそれぞれのグループの作成および管理
仮想ウォレットおよびセキュリティ・オブジェクトの作成および管理
ネットワークや他のサービスなどのシステム設定の設定
プライマリ・スタンバイの設定
バックアップの実行

親トピック: Oracle Key Vaultのインストールと構成

4.8 処理と検索の実行

Oracle Key Vault管理コンソールを使用すると、標準処理と検索操作を実行できる他、ヘルプ情報を取得できます。

タブおよびメニュー・ページの多くには「Actions」メニューや検索バーがあり、リストや検索結果に対してアクションを実行できます。「Actions」リストの「Help」の選択肢には、これらの機能を使用するための詳細なヘルプが表示されます。

「Actions」メニュー
「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。
検索バー
「Actions」メニューとともに、Oracle Key Vault管理コンソールの多くのタブに検索バーが含まれています。

親トピック: Oracle Key Vaultのインストールと構成

4.8.1 「Actions」メニュー

「Actions」ドロップダウン・メニューから利用できるアクションは様々ですが、通常は標準的なメニュー項目のセットが含まれます。

アイテムは次のとおりです。

Select Columns: 表示する列を選択します。
Filter: 列または行と、ユーザー定義の式を基準にしてフィルタします。
Rows Per Page: 表示する行数を選択します。
Format: 次のような表示形式を選択します。「Sort」、「Control Break」、「Highlight」、「Compute」、「Aggregate」、「Chart」および「Group By」。
Save Report: レポートを保存します。
ヘルプ: レポート設定をリセットして、すべてのカスタマイズを削除します。
Help: これらのアクションに関する情報を表示します。
Download: 結果セットをCSVまたはHTML形式でダウンロードします。

親トピック: 処理と検索の実行

4.8.2 検索バー

「Actions」メニューとともに、Oracle Key Vault管理コンソールの多くのタブに検索バーが含まれています。

この例ではウォレットを検索しますが、列見出しが異なることを除き、プロセスは他の検索と同じです。ワイルドカード文字はサポートされません。入力したあらゆる文字または語句と一致する検索結果が表示されます。「Actions」の下にある「Filter」メニュー項目を使用して、検索結果をさらに絞り込めます。

検索フィールドに名前またはその他の識別子を入力するか、(オプションで)検索バーの虫めがねアイコンにカーソルを置き、いずれかの表見出し(この場合は「All Columns」、「Wallet Name」、「Name Status」、「Description」、「Creation Time」、「Created By」および「Creator Node」)を選択してから、検索語を入力します。

図21_search.pngの説明
「Go」をクリックします。

新しいウォレット・リストが表示され、検索基準を満たすウォレットが表示されます。フィルタ・アイコン(漏斗)に検索が実行されたことが示され、検索基準が表示されます。
検索を無効にしてリスト全体を表示するには、フィルタ・アイコンを選択または選択解除します。

親トピック: 処理と検索の実行