1. 管理者ガイド
  2. Oracle Key Vaultの一般的なシステム管理

16 Oracle Key Vaultの一般的なシステム管理

一般的なシステム管理とは、ネットワークの詳細およびサービスの構成など、Oracle Key Vaultシステムのシステム管理タスクを示します。

16.1 Oracle Key Vaultの一般的なシステム管理の概要

システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

16.1.1 Oracle Key Vaultの一般的なシステム管理について

システム管理者が、Oracle Key Vaultのシステム設定を構成します。

Oracle Key Vaultシステム設定には、管理、ローカルおよびリモート・モニタリング、電子メール通知、バックアップおよびリカバリ操作、監査などがあります。これらのタスクを実行するには、適切なロールが必要です。システム管理者ロールを持つユーザーはほとんどの管理タスクを実行でき、監査マネージャ・ロールを持つユーザーはアラート設定を構成して、監査レコードをエクスポートできます。ほとんどの場合、Oracle Key Vault管理コンソールでこれらのタスクを実行します。

Oracle Key Vaultシステムの現在のステータスに関する情報をすばやく見つけるために、Oracle Key Vaultダッシュボードを表示できます。

関連項目

親トピック: Oracle Key Vaultの一般的なシステム管理の概要

16.1.2 Oracle Key Vaultダッシュボードの表示

ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。

  • 「Home」タブをクリックして、ダッシュボードを表示します。デフォルトでは、このページは、Oracle Key Vault管理コンソールにログインすると表示されます。

親トピック: Oracle Key Vaultの一般的なシステム管理の概要

16.1.3 ダッシュボードの各種ステータス・ペインの使用

ダッシュボードのステータス・ペインには、アラートへのリンクなど、有用な高レベルの情報が表示されます。

  1. Oracle Key Vault管理コンソールにログインします。
    「Home」タブにダッシュボードが表示されます。
  2. 特定のアラートに対して修正処理を実行する手順:
    1. アラートのサマリーを検索するには、「Show Details」をクリックします。
    2. アラートに対応するリンクをクリックします。適切なページが表示されます。
    3. 必要に応じて、アラートの修正処理を実行します。
  3. ダッシュボードに表示するアラートを構成する手順:
    1. 「Reports」タブをクリックし、左側のサイドバーで「Alerts」をクリックして「Alerts」ページを表示します。
    2. 右上から「Configure」をクリックして、「Configure Alerts」ページを表示します。
    3. 「Alert Type」を選択して、「Enabled」チェック・ボックスを選択して「Limit」を設定し、「Save」をクリックします。
  4. 管理対象コンテンツを表示するには、アラートに続くペインで適切なボタンをクリックします。

    ダッシュボードのこれらのペインには、Oracle Key Vaultで現在格納および管理されているセキュリティ・オブジェクトおよび製品の他の領域に関する集計情報が表示されます。内容は次のとおりです。

    • ページ上部のタブで、様々なタスクを実行できます。たとえば、新しいエンドポイントを作成するには、「Endpoints」タブをクリックします。
    • 「Alerts」を使用すると、アラートにアクセスできます。詳細を確認するには、「Show Details」または「All Alerts」をクリックします。
    • 管理対象エンティティを使用すると、カテゴリ(エンドポイント、エンドポイント・グループ、ユーザー、ユーザー・グループ、キー、シークレットおよびオブジェクト、ウォレット)のステータスを検索できます。各カテゴリは、そのカテゴリのアイテムがいくつ構成されているかを示します。たとえば、システムに23個のエンドポイントがある場合、エンドポイント・ラベルの上に23個表示されます。これらのエンドポイントの詳細を検索および変更するには、エンドポイント・ラベルをクリックします。
    • 管理対象キー、シークレットおよびオブジェクトには、サポートされている各セキュリティ・オブジェクト(TDEマスター暗号化キー、MySQLマスター暗号化キー、DBパスワード、シークレット・データ、対称キー、不透明オブジェクト、GoldenGateマスター・キー、ACFSボリューム暗号化キー)の様々な詳細が表示されます。管理対象エンティティの内容と同様に、セキュリティ・オブジェクトの詳細を検索して変更するには、そのラベルをクリックします。
    • システム概要には、インストールに関する情報(デプロイメント・モード、サービス・ステータス、使用済ディスク領域およびCPU使用率)が表示されます。
    • エンドポイントは、登録済エンドポイントのタイプ(Oracle Database、Oracle Non-Database、Non-Oracle)およびステータス(Registered、Enrolled、Suspended)のステータスとカウントを提供します。
    • キー、シークレット・ステータスは、オブジェクト(Pre-Active、Active、Deactivated、Compromised、Destroyed、Destroyed Compromised)のステータスとカウントを提供します。

    このページ全体で、アイテムのタイプおよびアイテム状態は、最後にリフレッシュされたときに表示されます。

関連項目

親トピック: Oracle Key Vaultの一般的なシステム管理の概要

16.2 マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

システムの「Settings」ページで、スタンドアロン環境またはプライマリ/スタンバイ環境のいずれかのネットワーク設定を構成できます。

  • ネットワーク詳細の構成
    マルチマスター以外のクラスタ環境では、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。
  • ネットワーク・サービスの構成
    マルチマスター以外のクラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。
  • システム時間の構成
    Oracle Key VaultをNTPタイム・ソースと同期させることをお薦めします。
  • DNSの構成
    マルチマスター以外のクラスタ環境では、最大3つのDNSサーバーIPアドレスを入力できます。
  • FIPSモードの構成
    マルチマスター以外のクラスタ環境では、Oracle Key VaultのFIPSモードを有効または無効にできます。
  • Syslogの構成
    マルチマスター以外のクラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
  • ネットワーク・インタフェース・モードの変更
    ネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。
  • RESTfulサービスの構成
    RESTfulサービスにより、エンドポイントのエンロールとプロビジョニングを自動化できます。
  • Oracle Audit Vault統合の構成
    マルチマスター以外のクラスタ環境では、Oracle Key Vaultが一元化された監査レポートおよびアラートのためにOracle Audit Vaultにデータを送信できるようにすることができます。
  • Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
    マルチマスター以外のクラスタ環境では、Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。
  • Oracle Key Vaultの再起動または電源切断
    メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultを手動で再起動または電源切断できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

16.2.1 ネットワーク詳細の構成

マルチマスター以外のクラスタ環境では、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。

高可用性を構成している場合、IPアドレスを変更する前に、プライマリおよびスタンバイOracle Key Vaultサーバーのペアを解除する必要があります。プライマリまたはスタンバイOracle Key VaultサーバーのIPアドレスを変更した後、2つのサーバーを再度ペアに設定します。ペアリング・プロセスが完了したら、Oracle Key Vaultエンドポイントを再エンロールして、プライマリとスタンバイの両方のOracle Key Vaultサーバーの新しいIPアドレスで更新されていることを確認します。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Details」領域で、「Network Info」をクリックします。
    「Network Details」領域の外観は、クラシック・モードまたはデュアルNICモードを使用しているかによって異なります。
  4. 次のフィールドの値を更新します。
    • Host Name: サーバーの名前を入力します。
    • IP Address: サーバーのIPアドレスを入力します。
    • Network Mask: サーバーのネットワーク・マスクを入力します。
    • Gateway: サーバーのネットワーク・ゲートウェイを入力します。
    このペインのフィールドには、Oracle Key VaultサーバーのIPアドレスおよびホスト名が自動的に移入されます。ただし、必要に応じて、Oracle Key Vaultインストールの「Host Name」「IP Address」「Network Mask」および「Gateway」を更新できます。
    MACアドレスおよびネットワーク・モードの設定は変更できません。デュアルNICモードを使用している場合も同様です。「Bonding Mode」「Active Interface」「Backup Interface」設定は変更できませんが、これらの値はステータスを確認する場合に役立ちます。
  5. 「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.2 ネットワーク・サービスの構成

マルチマスター以外のクラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。

「Web Access」および「SSH Access」(セキュア・シェル・アクセス)のサービスをすべてのクライアントまたは一部のクライアント(IPアドレスで指定)に対して有効にすることや、完全に無効にすることができます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Details」領域で、「Web Access」を選択します。
  4. 次のオプションのいずれかを選択します。
    • All: すべてのIPアドレスが選択されます。
    • IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」のオプションとして「IP address(es)」を使用すると、組織のニーズに応じて特定のユーザーを指定し、Oracle Key Vault管理コンソールへのアクセスを一連の限られたユーザーのみに制限できます。
  5. 「Save」をクリックします。
  6. SSHアクセスを設定するには、「Settings」ページの「Network Details」の下の「SSH Access」を選択します。
    「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。SSHアクセスは、Oracle Supportの指示がある場合、またはアップグレードする場合にのみ使用されます。

    診断、トラブルシューティングまたはアップグレードの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化することをお薦めします。

    SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

  7. 「SSH Access」ウィンドウで、次の設定を入力します。
    • Disabled: すべてのIPアドレスのSSHアクセスを無効にする場合
    • IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。
    • All: すべてのIPアドレスからSSHアクセスを有効にする場合
  8. 「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.3 システム時間の構成

Oracle Key VaultをNTPタイム・ソースと同期させることをお薦めします。

Oracle Key Vaultとタイム・ソースとの同期は、監査レコードでの信頼できるタイムスタンプ、およびキーとシークレットのアクティブ化、非アクティブ化、protectStop日付およびprocessStart日付において重要となります。

NTPサーバーを使用して現在の時間との同期を維持するようにOracle Key Vaultを構成できます。(最大3つのサーバーのフィールドが表示されます。)NTPサーバーが使用できない場合は、手動で現在の時間を設定できます。カレンダ・アイコンを使用して日付と時間を設定し、これらの値が正しい形式で格納されるようにする必要があります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. ホスト名を使用するNTPサーバーのDNSが構成されていることを確認します。
  3. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  4. 「Network Services」領域で、「NTP」をクリックして「System Time」ウィンドウを表示します。

    次の画面に、「System Time」ウィンドウの一部を示します。ベストプラクティスとしては、IPアドレスではなくNTPサーバーのホスト名を使用し、3つすべてのサーバーを構成します。

    212_ntp_settings.pngの説明が続きます
    図212_ntp_settings.pngの説明
  5. 「Use Network Time Protocol」を選択します。
  6. 次のフィールドに値を入力します。
    • Synchronize After Save: この設定を保存すると、指定されたNTPサーバーのいずれかとシステム時間が即座に同期されます。
    • Synchronize Periodically: この設定により、事前に決められた間隔でシステム時間が同期されます。
    • Server 1: NTPサーバーのIPアドレスを入力します。サーバー1のアドレスを指定する必要があります。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
    • Server 2: 2番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
    • Server 3: 3番目のNTPサーバーのIPアドレスを入力します。この値はオプションです。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。
  7. 「Save」をクリックします。

関連項目

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.4 DNSの構成

マルチマスター以外のクラスタ環境では、最大3つのDNSサーバーIPアドレスを入力できます。

Oracle Key Vaultがホスト名の解決に使用するIPアドレスを使用して、最大3つのドメイン・ネーム・サービス(DNS)サーバーを構成できます。アクセス対象のサーバーのホスト名のみがわかり、IPアドレスはわからない場合に、このことが役立ちます。たとえば、電子メール通知のためにSMTPサーバーを構成しているとき、DNSを設定した後、オプションで、IPアドレスではなくホスト名を入力できます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」領域で、「DNS」をクリックします。
  4. DNSサーバーのIPアドレスを最大3つまで入力します。
    少なくともServer 1のDNS設定を構成する必要があります。
  5. 「Save」をクリックします。

関連項目

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.5 FIPSモードの構成

マルチマスター以外のクラスタ環境では、Oracle Key VaultのFIPSモードを有効または無効にできます。

プライマリ/スタンバイ環境では、両方のサーバーのFIPSモード設定が一致していること(両方とも有効になっているか両方とも無効になっていること)を確認します。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「FIPS」をクリックします。
  4. 次の内の1つを実行します。
    • FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
    • FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
    FIPSモードを有効または無効にするには数分かかり、システムも自動的に再起動されます。
  5. 「Save」をクリックします。
    「Save」をクリックすると、確認ダイアログ・ボックスが表示されます。
  6. 確認ダイアログ・ボックスで「OK」をクリックして変更を適用し、Oracle Key Vaultシステムを再起動します。
    「OK」をクリックすると、操作を取り消すことができないことに注意してください。再起動操作はすぐに実行されます。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.6 Syslogの構成

マルチマスター以外のクラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

すべてシステム関連のアラートがsyslogに送信されます。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Syslog」をクリックします。
  4. 次のいずれかのプロトコルを選択します。
    • TCP: TCPプロトコルを使用してsyslogを有効にします。
    • UDP: UDPプロトコルを使用してsyslogを有効にします。
  5. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
    複数の宛先をスペースで区切って入力できます。
  6. 「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.7 ネットワーク・インタフェース・モードの変更

ネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。

ネットワーク・モードの切替えとIP情報の更新の両方を実行できます。プライマリ/スタンバイ構成を使用している場合、このモードは変更できません。最初に、Oracle Key Vaultアプライアンス・ソフトウェアをインストールしたときにネットワーク・インタフェース・モードを構成しました。
  1. Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. コマンドラインで、次のスクリプトを実行します。
    /usr/local/okv/bin/okv_configure_network
  4. 「Select Network Mode」ウィンドウで、使用するネットワーク・インタフェースを選択して「OK」を選択します。
  5. ネットワーク・モードにクラシック・モードを使用する場合は、次のステップを実行します。
    以前のリリースのOracle Key Vaultで使用されるクラシック・モードでは、使用できるネットワーク・インタフェースは1つです。後でデュアルNICモードに切り替えることはできますが、スタンドアロン構成を使用している場合のみです。マルチマスター・クラスタまたはプライマリ/スタンバイ構成を使用している場合は、モードを変更できません。サーバーにネットワーク・カードが1つしかない場合は、このオプションを選択します。
    1. 1を選択してクラシック・モードを選択し、「OK」を選択します。
    2. 選択のデフォルトのネットワーク・インタフェース画面で、使用可能なオプションから選択し、「OK」を選択します。
    3. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」「Network mask」および「Gateway」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。
    4. 「OK」を選択します。
  6. デュアルNICネットワーク・モードを使用する場合は、次のステップを実行します。
    デュアルNICモードでは、2つのネットワーク・インタフェースまたはイーサネット・ポートを使用するようにOracle Key Vaultを構成できます。これは、物理的障害またはソフトウェア障害に対するガードとして役立ち、ネットワーク・レイヤーに冗長性を追加します。操作の継続性がより必要な場合およびネットワークが長時間使用できないためにクラスタから削除されないようにするには、デュアルNICモードを選択します。デュアルNICモードは、ノードの接続が失われ、クラスタ内のデータに加えられた変更が失われる可能性がある状況を回避するのに役立ちます。
    1. 2を選択してデュアルNICモードを選択し、「OK」を選択します。
    2. 「Select Bond Mode」画面で、使用する2つのネットワーク・インタフェースの結合モードの選択肢から選択し、「OK」を選択します。
      • ラウンド・ロビンは、ネットワーク・パケットが最初に使用可能なインタフェースから最後まで順次送受信されるようにネットワーク・インタフェースを構成します。このボンディング・モードがデフォルトです。このモードでは、フォルト・トレランスおよびロード・バランシングが提供され、EtherChannelがサポートされているネットワーク・スイッチにリンクを接続する必要があります。
      • アクティブ・バックアップは、ネットワーク・インタフェースをアクティブおよびバックアップとして構成します。ボンド内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生した場合にのみ、別のインタフェースがアクティブになります。ネットワーク通信は、アクティブなインタフェースを介して行われます。このモードではフォルト・トレランスが提供され、スイッチのサポートは必要ありません。
      • 802.3adでは、同じ速度および二重設定を共有する集計グループが作成されます。ネットワーク・パケットは、すべてのインタフェースで送受信されます。このモードではフォルト・トレランスおよびロード・バランシングが提供され、IEEE 802.3ad動的リンク・アグリゲーションをサポートするスイッチが必要です。
    3. 選択の2つのネットワーク・インタフェース画面で、目的の2つのネットワーク・インタフェースを選択し、「OK」を選択します。
    4. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」「Network mask」「Gateway」および「Hostname」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。ホスト名には小文字のみを使用します。ホスト名は、完全修飾ホスト名または短縮ホスト名です。
    5. 「OK」を選択します。
ネットワーク・モードの変更後に、Oracle Key Vaultを再起動する必要はありません。

関連項目

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.8 RESTfulサービスの構成

RESTfulサービスを使用すると、エンドポイント・エンロールおよびプロビジョニングを自動化できます。

RESTfulサービスは、通常のキー管理アクティビティもサポートしています。
  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「RESTful Services」をクリックします。
  4. 「RESTful Services」セクションで「Enable」チェック・ボックスを選択します。
    RESTfulサービスを無効にするには、「Enable」チェック・ボックスの選択を解除します。
  5. 「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.9 Oracle Audit Vault統合の構成

マルチマスター以外のクラスタ環境では、Oracle Key Vaultが一元化された監査レポートおよびアラートのためにOracle Audit Vaultにデータを送信できるようにすることができます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
  4. 「Enable」チェック・ボックスを選択します。
  5. プロンプトが表示されたら、Oracle Audit Vaultスーパー管理者のパスワードを入力します。
  6. 「Save」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.10 Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成

マルチマスター以外のクラスタ環境では、Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Console Timeout」をクリックします。
  4. タイムアウトの値を分単位で入力します。
    デフォルト値は10です。入力できる範囲は、1から100です。
  5. 「Save」をクリックします。
    「Save」をクリックした後、現在アクティブなユーザーWebセッションおよび他のアクティブなセッションの場合、この設定は、セッションが延長されたとき、ユーザーがページをリフレッシュしたとき、またはユーザーが別のページに移動したときに有効になります。ユーザー・セッションは、ユーザーがボタンをクリックするか、マウスを移動するか、キーを押すか、または他のアクティビティを実行しているかぎり、アクティブなままです。ユーザー・セッションが管理コンソールのタイムアウト時間を超えてアイドル状態になっている場合、ユーザーはログアウトされ、ログイン画面が表示されます。
Webセッションが終了する直前に、タイムアウト値が大きい場合はそれよりも前に、ユーザーに通知され、タイムアウト値に設定されたのと同じ時間だけセッションを延長するオプションが提供されます。たとえば、タイムアウトが20分に設定されている場合、ユーザーはさらに20分間セッションを延長できます。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.2.11 Oracle Key Vaultの再起動または電源切断

メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultを手動で再起動または電源切断できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
  3. 「Status」ページの上部に移動します。
  4. 次の内の1つを実行します。
    • 再起動するには、「Reboot」をクリックします。
    • 電源を切断するには、「Power Off」をクリックします。

親トピック: マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成

16.3 マルチマスター・クラスタ環境でのOracle Key Vaultの構成

マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

16.3.1 マルチマスター・クラスタ環境でのOracle Key Vaultの構成について

個々のノードまたはマルチマスター・クラスタ全体の設定を構成するオプションがあります。

個々のノードとクラスタ全体の設定の一部は同じです。たとえば、個々のノードまたはクラスタ全体に対してDNSを設定できます。設定されて個々のノードに保存されている値は、クラスタ設定によってオーバーライドされません。クラスタ全体に値を設定すると、変更が他のノードに伝播されるまでに数分かかる場合があります。

構成を開始するときに、次の「View Settings」メニュー・オプションを設定できます。

  • 「Node only」は、そのノードでのみ設定でき、ノードにのみ適用されることを意味します。
  • 「Cluster only」は、設定がクラスタ全体の設定であることを意味し、これを更新すると、クラスタ全体の設定が変更されます。
  • 「Both」は、設定をノード・レベルとクラスタ・レベルの両方で設定できることを意味します。これらの設定では、それぞれの設定ページにある右矢印ボタンを使用して、ノード設定とクラスタ設定間を移動できます。たとえば、「DNS」を選択した場合は、個々のノードとクラスタ全体のDNS設定を一度の操作で構成できます。
  • 「All」では、使用可能なすべての設定がフィルタなしで表示されます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

16.3.2 個々のマルチマスター・クラスタ・ノードのシステム設定の構成

クラスタ・ノードに適用される設定を設定または変更できます。

これらの設定の例としては、ネットワーク詳細、ネットワーク・サービス、システム時間、FIPSモード、syslogおよびOracle Audit Vault統合があります。 ノードに設定された値はクラスタ設定をオーバーライドします。  ただし、個々のノード設定をクリアして、クラスタ設定に戻すことができます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

16.3.2.1 ノードのネットワーク詳細の構成

マルチマスター・クラスタでは、ノードのホスト名を変更できます。

  1. システム管理者ロールを持っているユーザーとしてノートのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Details」領域で、「Network Info」を選択します。
  4. 「Host Name」フィールドに、ノードのホスト名を入力します。
    自動的に移入される「IP Address」「Network Mask」「Gateway」および「MAC Address」フィールドは変更できません。
  5. 「Save」をクリックします。
16.3.2.2 ノードのネットワーク・サービスの構成

マルチマスター・クラスタでは、ノードのネットワーク・サービスを構成できます。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Details」領域で、「Web Access」を選択します。
  4. 次のオプションのいずれかを選択します。
    • All: すべてのIPアドレスが選択されます。
    • IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。「Web Access」のオプションとして「IP address(es)」を使用すると、組織のニーズに応じて特定のユーザーを指定し、Oracle Key Vault管理コンソールへのアクセスを一連の限られたユーザーのみに制限できます。
  5. 「Save」をクリックします。
  6. SSHアクセスを設定するには、「Settings」ページの「Network Details」の下の「SSH Access」を選択します。
    「SSH Access」を有効化すると、コマンドラインからOracle Key Vaultにアクセスできるようになります。このことは、管理コンソールからすぐには理解できない問題の診断に役立ちます。ユーザーsupportとして、インストール時に作成したサポート・パスワードを使用してログインします。SSHアクセスは、Oracle Supportの指示がある場合、またはアップグレードする場合にのみ使用されます。

    診断、トラブルシューティングまたはアップグレードの目的でSSHアクセスを短期間だけ有効化し、作業が終了したらすぐに無効化することをお薦めします。

    SSHアクセスを有効化または無効化すると、Oracle Key VaultサーバーへのインバウンドSSH接続が有効化または無効化されます。この方法でSSHアクセスを有効化または無効化しても、SSHトンネル設定またはOracle Key Vaultサーバー自体が確立した他のアウトバウンドSSH接続に影響はありません。SSHトンネル設定の場合のように、Oracle Key Vaultでは他のサーバーへのSSH接続も確立できます。

  7. 「SSH Access」ウィンドウで、次の設定を入力します。
    • Disabled: すべてのIPアドレスのSSHアクセスを無効にする場合
    • IP Address(es): 隣のフィールドに一連のIPアドレスをスペースで区切って指定することで、それらが選択されます。
    • All: すべてのIPアドレスからSSHアクセスを有効にする場合
  8. 「Save」をクリックします。
16.3.2.3 ノードのシステム時間の構成

マルチマスター・クラスタでは、ノードのシステム時間を設定できます。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. ホスト名を使用してNTPサーバーを構成する場合は、DNSが最初に構成されていることを確認します。
  4. 必要に応じて、「System」タブの下の「Settings」を選択して、システム設定のページに戻ります。
  5. 「Network Services」領域で、「NTP」をクリックします。
    クラスタ・モードでは、ネットワーク・タイム・プロトコル(NTP)を使用する必要があるため、「Use Network Time Protocol」から「Set Manually」に選択を変更できません。
  6. 「System Time」ウィンドウで、「Node」ページの「Node Details - Effective on」が表示されていることを確認します。
    「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
  7. この「Node」ページの「Node Details - Effective」で、次のフィールドに値を入力します。
    • Synchronize After Save: これを設定して設定を保存すると、参照時間とノードのシステム時間が即座に同期されます。この設定は、NTP参照時間とローカル・システム時間との間に大きな差がある場合にのみ使用します。システム・クロックは、時間の経過とともにゆっくり調整されるのではなく、逆方向にジャンプするように強制できます。
    • Synchronize Periodically: これを設定すると、事前に決められた間隔でノードのシステム時間が同期されます。
    • Server 1: 1台目のNTPサーバーのホスト名(0.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
    • Server 2: 2台目のNTPサーバーのホスト名(1.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
    • Server 3: 3台目のNTPサーバーのホスト名(2.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。
  8. 「Save」(または「Save to Cluster」)をクリックします。
16.3.2.4 ノードのDNSの構成

マルチマスター・クラスタ・ノードにDNSを構成する場合は、複数のDNS IPアドレスを入力する必要があります。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」領域で、「DNS」をクリックします。
  4. 「DNS」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
    「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
  5. この「Node」ウィンドウの「Node Details - Effective」で、最大3つのDNSサーバーIPアドレスを入力します。
    最初の値のみ必須ですが、フォルト・トレランスのために他の2つの入力をお薦めします。
  6. 「Save」をクリックします。
16.3.2.5 ノードのFIPSモードの構成

すべてのマルチマスター・クラスタ・ノードでは同じFIPSモード設定を使用する必要があり、そうしないとアラートを受信します。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「FIPS」をクリックします。
  4. 「FIPS Mode」ウィンドウで、次のいずれかを実行します。
    • FIPSモードを有効にするには、「Enable」チェック・ボックスを選択します。
    • FIPSモードを無効にするには、「Enable」チェック・ボックスの選択を解除します。
    FIPSモードを有効または無効にするには数分かかり、システムも自動的に再起動されます。
  5. 「Save」をクリックします。
    「Save」をクリックすると、Oracle Key Vaultが自動的に再起動します。
16.3.2.6 ノードのSyslogの構成

ノードでは、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Syslog」をクリックします。
  4. 「Syslog」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
    「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
  5. この「Node」ページの「Node Details - Effective」で、次のプロトコルの1つを選択します。
    • TCP: TCPプロトコルを使用してsyslogを有効にします。
    • UDP: UDPプロトコルを使用してsyslogを有効にします。
  6. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
    複数の宛先をスペースで区切って入力できます。
  7. 「Save」をクリックします。
16.3.2.7 ノードのネットワーク・インタフェース・モードの変更

マルチマスター・クラスタ環境では、ノードのネットワーク・インタフェースのデュアルNICモードとクラシック・モードを切り替えることができます。

プライマリ/スタンバイ構成を使用している場合、このモードは変更できません。最初に、Oracle Key Vaultアプライアンス・ソフトウェアをインストールしたときにネットワーク・インタフェース・モードを構成しました。ネットワーク・モードを変更する前に、クラスタ・ノードを無効にする必要があることに注意してください。
  1. システム管理ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. クラスタ・ノードを無効にします。
  3. コマンドラインで、supportユーザーとして接続します。
  4. rootユーザーに切り替えます。
    su - root
  5. コマンドラインで、次のスクリプトを実行します。
    /usr/local/okv/bin/okv_configure_network
  6. 「Select Network Mode」ウィンドウで、使用するネットワーク・インタフェースを選択して「OK」を選択します。
  7. ネットワーク・モードにクラシック・モードを使用する場合は、次のステップを実行します。
    以前のリリースのOracle Key Vaultで使用されるクラシック・モードでは、使用できるネットワーク・インタフェースは1つです。後でデュアルNICモードに切り替えることはできますが、スタンドアロン構成を使用している場合のみです。マルチマスター・クラスタまたはプライマリ/スタンバイ構成を使用している場合は、モードを変更できません。サーバーにネットワーク・カードが1つしかない場合は、このオプションを選択します。
    1. 1を選択してクラシック・モードを選択し、「OK」を選択します。
    2. 選択のデフォルトのネットワーク・インタフェース画面で、使用可能なオプションから選択し、「OK」を選択します。
    3. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」「Network mask」および「Gateway」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。
    4. 「OK」を選択します。
  8. デュアルNICネットワーク・モードを使用する場合は、次のステップを実行します。
    デュアルNICモードでは、2つのネットワーク・インタフェースまたはイーサネット・ポートを使用するようにOracle Key Vaultを構成できます。これは、物理的障害またはソフトウェア障害に対するガードとして役立ち、ネットワーク・レイヤーに冗長性を追加します。操作の継続性がより必要な場合およびネットワークが長時間使用できないためにクラスタから削除されないようにするには、デュアルNICモードを選択します。デュアルNICモードは、ノードの接続が失われ、クラスタ内のデータに加えられた変更が失われる可能性がある状況を回避するのに役立ちます。
    1. 2を選択してデュアルNICモードを選択し、「OK」を選択します。
    2. 「Select Bond Mode」画面で、使用する2つのネットワーク・インタフェースの結合モードの選択肢から選択し、「OK」を選択します。
      • ラウンド・ロビンは、ネットワーク・パケットが最初に使用可能なインタフェースから最後まで順次送受信されるようにネットワーク・インタフェースを構成します。このボンディング・モードがデフォルトです。このモードでは、フォルト・トレランスおよびロード・バランシングが提供され、EtherChannelがサポートされているネットワーク・スイッチにリンクを接続する必要があります。
      • アクティブ・バックアップは、ネットワーク・インタフェースをアクティブおよびバックアップとして構成します。ボンド内の1つのインタフェースのみがアクティブになります。アクティブなインタフェースに障害が発生した場合にのみ、別のインタフェースがアクティブになります。ネットワーク通信は、アクティブなインタフェースを介して行われます。このモードではフォルト・トレランスが提供され、スイッチのサポートは必要ありません。
      • 802.3adでは、同じ速度および二重設定を共有する集計グループが作成されます。ネットワーク・パケットは、すべてのインタフェースで送受信されます。このモードではフォルト・トレランスおよびロード・バランシングが提供され、IEEE 802.3ad動的リンク・アグリゲーションをサポートするスイッチが必要です。
    3. 選択の2つのネットワーク・インタフェース画面で、目的の2つのネットワーク・インタフェースを選択し、「OK」を選択します。
    4. ネットワーク設定画面で、デフォルトのネットワーク・インタフェースに「IP address」「Network mask」「Gateway」および「Hostname」設定を入力します。この情報は、サイトのネットワーク管理者が提供できます。ホスト名には小文字のみを使用します。ホスト名は、完全修飾ホスト名または短縮ホスト名です。
    5. 「OK」を選択します。
  9. 無効化されたクラスタ・ノードを再度有効にします。
ネットワーク・モードの変更後に、Oracle Key Vaultを再起動する必要はありません。
16.3.2.8 ノードの監査の構成

ノードの監査設定を有効または無効にできます。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Auditing」をクリックします。
    次の監査カテゴリを有効または無効にできます。
    • Enable Auditing: この設定では、監査をオンまたはオフにします。この設定をオフにすると、監査レコードは生成されません。
    • Replicate Audit Records: この設定はクラスタ構成にのみ適用されます。監査レコードがクラスタ・ノード間でレプリケートされるかどうかを示します。
    • Send Audit Records to Syslog: この設定では、監査レコードをsyslogに書き込みます。この設定を有効にするには、最初にsyslog宛先を構成する必要があります。
  4. これらの各カテゴリの「Audit Settings」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
    「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
  5. この「Node」ページの「Node Details - Effective」で、カテゴリごとに「Yes」または「No」を選択します。
  6. 「Save」をクリックします。
16.3.2.9 ノードのSNMP設定の構成

マルチマスター・クラスタ・ノードのSNMPアクセスを有効または無効にできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「SNMP」をクリックします。
  4. 「SNMP」ウィンドウで、この「Node」ページの「Node Details - Effective」が表示されていることを確認します。
    「Cluster Details」ページが表示されている場合は、右側の矢印をクリックしてこの「Node」の「Node Details - Effective」に戻ります。
  5. この「Node」ページの「Node Details - Effective」で、次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
    • All: すべてのIPアドレスからSNMPアクセスを許可します。
    • Disabled: SNMPアクセスは許可されません。
    • IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。  IPアドレスのスペース区切りリストを入力します。
  6. 次のフィールドに値を入力します。
    • Username: SNMPユーザー名を入力します。
    • Password: SNMPパスワードを入力します。
    • Reenter Password: SNMPパスワードを再入力します。
  7. 「Save」をクリックします。
    または、「Delete」を選択してSNMP設定を削除できます。
16.3.2.10 ノードのOracle Audit Vault統合の構成

ノードのOracle Audit Vault (Database Firewallコンポーネントではない)の統合を構成できます。

  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Audit Vault」をクリックします。
  4. 「Audit Vault Integration」ウィンドウで、「Enable」チェック・ボックスを選択してノードのOracle Audit Vault統合を有効にします。
  5. 「Enable」をクリックすると表示される「Password」および「Reenter password」フィールドに、Audit Vault and Database Firewallが監査レコードの抽出に使用するデータベースのユーザーのパスワードを入力します。
  6. 「Save」をクリックします。
16.3.2.11 ノードからのOracle Key Vaultの再起動または電源切断

メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultノードを手動で再起動または電源切断できます。

Oracle Key Vaultノードを再起動または電源切断すると、現在のノードのみが再起動または電源切断されます。クラスタ内の他のノードは、電源が切断されているノードとの間で情報を送信できません。ノードが再起動されると、再起動されたノードが停止中に発生したアクティビティに追い付くための時間が必要になります。
  1. システム管理者ロールを持っているユーザーとしてノードのOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Status」を選択します。
  3. 「Status」ページの上部で、次のいずれかを実行してノードを再起動するか、電源を切ります。
    • 再起動するには、「Reboot」をクリックします。
    • 電源を切断するには、「Power Off」をクリックします。

16.3.3 Oracle Key Vaultマルチマスター・クラスタの管理

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。

親トピック: マルチマスター・クラスタ環境でのOracle Key Vaultの構成

16.3.3.1 クラスタのシステム時間の構成

システム時間を構成するとき、複数のサーバーに対してシステム時間を設定し、同期を設定することもできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」領域で、「NTP」をクリックします。
  4. 「System Time」ページで、左側の矢印をクリックして「Cluster Details」ページに切り替えます。
  5. 「Cluster Details」ページで、次のフィールドに値を入力します。

    • Synchronize After Save: 設定の保存後に、クラスタ全体で時間を同期します。この設定は、NTP参照時間とローカル・システム時間との間に大きな差がある場合にのみ使用します。システム・クロックは、時間の経過とともにゆっくり調整されるのではなく、逆方向にジャンプするように強制できます。

    • Synchronize Periodically: 事前に決められた間隔でクラスタ全体で時間を同期します。選択して適用された後は、このオプションの選択を解除できません。

    • Server 1: 1台目のNTPサーバーのホスト名(0.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。このサーバーとシステム時間を即座に同期するには、「Apply Server」をクリックします。

    • Server 2: 2台目のNTPサーバーのホスト名(1.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。

    • Server 3: 3台目のNTPサーバーのホスト名(2.north-america.pool.ntp.orgなど)を入力します。NTPサーバーをテストするには、「Test Server」をクリックします。変更内容をNTP構成に保持するには、「Apply Server」をクリックします。

  6. 「Save」をクリックします。
16.3.3.2 クラスタのDNSの構成

クラスタのDNSを構成するとき、DNSサーバーのIPアドレスを最大で3つ入力できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Network Services」領域で、「DNS」をクリックします。
  4. 「DNS」ウィンドウで、左側の矢印をクリックして「Cluster Details」ページに切り替えます。
  5. 「Cluster Details」ページで、最大3つのDNS Server IPアドレスを入力します。
  6. 「Save」をクリックします。
16.3.3.3 クラスタの最大無効化ノード期間の構成

クラスタの最大ノード継続時間を時間単位で設定できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Maximum Disable Node Duration」をクリックします。
  4. 「Maximum Disable Node Duration」ウィンドウで、ノードをクラスタから削除する前に無効化できる期間の値を時間単位で入力します。
    この値を大きくすると、クラスタ関連のデータによって消費されるディスク領域の平均量も大きくなる点に注意してください。
  5. 「Save」をクリックします。
16.3.3.4 クラスタのSyslogの構成

マルチマスター・クラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitor and Alerts」領域で、「Syslog」をクリックします。
  4. 「Syslog」ページで、左側の矢印をクリックして「Cluster Details」ページに切り替えます。
  5. 「Cluster Details」ページで、次のいずれかのプロトコルを選択します。
    • TCP: TCPプロトコルを使用してsyslogを有効にします。
    • UDP: UDPプロトコルを使用してsyslogを有効にします。
  6. 「Syslog Destinationsフィールドに、syslog宛先IPアドレスとポート番号をIP_address:portの形式で入力します。
    複数の宛先をスペースで区切って入力できます。
  7. 「Save」をクリックします。
16.3.3.5 クラスタのRESTfulサービスの構成

クラスタのRESTfulサービスを有効または無効にできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「RESTful Services」をクリックします。
  4. 「RESTful Services」ウィンドウで、「Enable」チェック・ボックスを選択します。
  5. 「Save」をクリックします。
16.3.3.6 クラスタの監査の構成

クラスタの監査設定を有効または無効にできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「Auditing」をクリックします。
    次の監査カテゴリを有効または無効にできます。
    • Enable Auditing: この設定では、監査をオンまたはオフにします。この設定をオフにすると、監査レコードは生成されません。
    • Replicate Audit Records: この設定はクラスタ構成にのみ適用されます。監査レコードがクラスタ・ノード間でレプリケートされるかどうかを示します。
    • Send Audit Records to Syslog: この設定では、監査レコードをsyslogに書き込みます。この設定を有効にするには、最初にsyslog宛先を構成する必要があります。
  4. 「Audit Settings」ページで、これらの各カテゴリの左矢印をクリックして、「Cluster Details」ページに切り替えます。
  5. 「Cluster Details」ページで、カテゴリごとに「Yes」または「No」を選択します。
  6. 「Save」をクリックします。
16.3.3.7 クラスタのSNMP設定の構成

マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「Monitoring and Alerts」領域で、「SNMP」をクリックします。
  4. 次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
    • All: すべてのIPアドレスからSNMPアクセスを許可します。
    • Disabled: SNMPアクセスは許可されません。
    • IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。  IPアドレスのスペース区切りリストを入力します。
  5. 次のフィールドに値を入力します。
    • Username: SNMPユーザー名を入力します。
    • Password: SNMPパスワードを入力します。
    • Reenter Password: SNMPパスワードを再入力します。
  6. 「Save」をクリックします。
    または、「Delete」を選択してSNMP設定を削除できます。
16.3.3.8 クラスタのOracle Key Vault管理コンソールのWebセッション・タイムアウトの構成

マルチマスター・クラスタ内のすべてのノードについて、Oracle Key Vault管理コンソールのタイムアウト値を分単位で構成できます。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
  3. 「System Configuration」領域で、「Console Timeout」をクリックします。
  4. 「Management Console Timeout」ウィンドウで、タイムアウトの値を分単位で入力します。
    デフォルト値は10です。入力できる範囲は、1から100です。
  5. 「Save」をクリックします。
    「Save」をクリックすると、クラスタ内のすべてのノードに設定が適用されます。現在アクティブなユーザーWebセッションおよび他のアクティブなセッションの場合、この設定は、セッションが延長されたとき、ユーザーがページをリフレッシュしたとき、またはユーザーが別のページに移動したときに有効になります。ユーザー・セッションは、ユーザーがボタンをクリックするか、マウスを移動するか、キーを押すか、または他のアクティビティを実行しているかぎり、アクティブなままです。ユーザー・セッションが管理コンソールのタイムアウト時間を超えてアイドル状態になっている場合、ユーザーはログアウトされ、ログイン画面が表示されます。
Webセッションが終了する直前に、タイムアウト値が大きい場合はそれよりも前に、ユーザーに通知され、タイムアウト値に設定されたのと同じ時間だけセッションを延長するオプションが提供されます。たとえば、タイムアウトが20分に設定されている場合、ユーザーはさらに20分間セッションを延長できます。

16.4 システム・リカバリの管理

システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。

親トピック: Oracle Key Vaultの一般的なシステム管理

16.4.1 システム・リカバリの管理について

システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。

緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Oracle Key Vaultのインストール時に作成したリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。

親トピック: システム・リカバリの管理

16.4.2 管理者の資格証明のリカバリ

管理ユーザーの資格証明を追加して、システムをリカバリできます。

  1. HTTPSを使用するWebブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
  2. Oracle Key Vaultのログイン・ページで、ログインしないでください
  3. ページの右下隅にある「System Recovery」リンクをクリックします。
  4. 「Recovery Passphrase」フィールドにリカバリ・パスフレーズを入力し、「Login」をクリックします。
  5. 表示されるページで、「Administrator Recovery」タブを選択します。
  6. 「Key Administrator」、「System Administrator」および「Audit Manager」ペインのフィールドに記入して、これらのロールを新規や既存のユーザー・アカウントに割り当てます。
  7. 「Save」をクリックします。

親トピック: システム・リカバリの管理

16.4.3 非クラスタ環境でのリカバリ・パスフレーズの変更

リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。

リカバリ・パスフレーズを変更する場合は、常に、システム管理者ロールを持っているユーザーが新しくバックアップを行って、最新のリカバリ・パスフレーズで保護されたバックアップが常に存在する状態にする必要があります。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。
  1. サーバー・バックアップを実行します。
  2. Webブラウザで、Oracle Key VaultインストールのIPアドレスを入力します。
  3. Oracle Key Vaultのログイン・ページで、ログインしないでください
  4. 「System Recovery」リンクをクリックします。

    「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

  5. リカバリ・パスフレーズを入力し、「Login」をクリックします。
  6. 「Recovery Passphrase」タブを選択します。
  7. 「Recovery Passphrase」ページで、リカバリ・パスフレーズの新しいパスワードを入力して再入力します。
  8. 「Submit」をクリックします。

親トピック: システム・リカバリの管理

16.4.4 マルチマスター・クラスタのリカバリ・パスフレーズの変更

マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。

マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、リカバリ・パスフレーズを変更する前に最初にマルチマスター・クラスタ環境のノード全体で変更を開始する必要があります。

親トピック: システム・リカバリの管理

16.4.4.1 ステップ1: ノード間のリカバリ・パスフレーズ変更の開始

システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。

これは、現在のリカバリ・パスフレーズで保護されているバックアップが常に存在するようにするためです。これにより、最新のデータを含むバックアップが必ず1つ以上存在することになります。最初に、リカバリ・パスフレーズの変更を開始して、マルチマスター・クラスタのすべてのノードにその変更が通知されるようにする必要があります。
  1. サーバー・バックアップを実行します。
  2. すべてのノードがACTIVE状態で、すべてのノード間でレプリケーションが検証されていることを確認します。進行中のクラスタ操作(ノードの追加など)がないことを確認します。
  3. Webブラウザに、読取り専用制限モードではないOracle Key VaultインストールのIPアドレスを入力してください。
  4. Oracle Key Vaultのログイン・ページで、ログインしないでください
  5. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。

    「Recovery Passphrase」フィールドのみを含む新しいログイン・ページが表示されます。

  6. リカバリ・パスフレーズを入力し、「Login」をクリックします。
  7. 「Recovery Passphrase」タブをクリックします。
  8. 「Initiate Change」ボタンをクリックします。
  9. ログアウトします。
  10. 3分から4分待機してから続行します。

    この間に、パスフレーズの変更が実行されることがすべてのノードに通知されます。パスフレーズの変更を取り消すには、「Reset」ボタンをクリックします。

    すべてのノードで、複数のパスフレーズの変更が開始されたかどうかが判断されます。複数のパスフレーズの変更が開始されると、競合解決が実行されます。

    「Reset」ボタンを使用してパスフレーズの変更を取り消した後、問題を修正し、パスフレーズの変更を再度開始してから、クラスタ内のすべてのノードでパスフレーズを変更することをお薦めします。

16.4.4.2 ステップ2: リカバリ・パスフレーズの変更

リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。

  1. Webブラウザで、Oracle Key Vaultインストールのマルチマスター・クラスタ・ノードのIPアドレスを入力します。
    Oracle Key Vault管理コンソールで使用可能なノードのリストを確認するには、「Clusters」タブを選択し、「Cluster Details」セクションをチェックします。
  2. Oracle Key Vaultのログイン・ページで、ログインしないでください
  3. ログイン・ページの右下隅にある「System Recovery」リンクをクリックします。
  4. リカバリ・パスフレーズを入力し、「Login」をクリックします。
  5. 「Recovery Passphrase」タブをクリックします。
  6. 2つのフィールドに新しいリカバリ・パスフレーズを入力します。
  7. 「Submit」をクリックします。
  8. クラスタ内の各ノードに対して前述のステップを繰り返します。

    ノート:

    リカバリ・パスフレーズの変更中は、HSM逆移行を実行できません。

    注意:

    ユーザーは、クラスタ内のすべてのノードでリカバリ・パスフレーズを同一に保つ必要があります。クラスタ・ノード間で異なるリカバリ・パスフレーズを設定すると、クラスタ機能(ノードやHSM対応ノードの追加など)に悪影響を及ぼすことがあります。ノードおよびHSM対応ノードの追加に加えて、マルチマスター・クラスタ内の証明書のローテーションでも、同じリカバリ・パスフレーズをすべてのノードに設定しておく必要があります。

16.5 プライマリ・スタンバイ環境のサポート

Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。

この構成は、障害時リカバリ・シナリオもサポートします。

プライマリ/スタンバイ構成では、2台のOracle Key Vaultサーバーをデプロイできます。プライマリ・サーバーは、エンドポイントからのリクエストにサービスを提供します。プライマリ・サーバーで障害が発生した場合、事前に設定された構成可能な遅延の後にスタンバイ・サーバーが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。

プライマリ・スタンバイ構成は、以前は高可用性構成と呼ばれていました。プライマリ・スタンバイ構成とマルチマスター・クラスタ構成は相互に排他的です。

Oracle Key Vaultでは、プライマリ・スタンバイ読取り専用制限モードをサポートしています。プライマリOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ/スタンバイ読取り専用制限モードでは、Oracle Key Vaultサーバーはエンドポイントにサービスを提供できるため、操作の継続性が保証されます。ただし、監査ログの生成などの操作は影響を受けませんが、キーの生成などの重要で機密性の高い操作は無効になります。

計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントは読取り専用モードでプライマリ・サーバーを使用できます。

関連項目

親トピック: Oracle Key Vaultの一般的なシステム管理

16.6 Commercial National Security Algorithmスイートのサポート

スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。

親トピック: Oracle Key Vaultの一般的なシステム管理

16.6.1 Commercial National Security Algorithmスイートのサポートについて

Commercial National Security Algorithm (CNSA)スイートに準拠するようにOracle Key Vaultを構成できます。

この準拠は、Oracle Key Vaultアプライアンスとの間のTLS接続に適用されます。

CNSAスイートは強力な暗号化アルゴリズムとキー長のリストで、将来のセキュリテイおよび関連性を高めます。

Oracle Key Vaultリリース12.2 BP3以降では、システム内のすべてのコンポーネントにわたり完全に準拠しているわけではありません。CNSAアルゴリズム(入手できる場合)には、Oracle Key Vault ISOでパッケージ化されている次のスクリプトによって切り替えることができます。

  • /usr/local/okv/bin/okv_cnsaは構成ファイルを変更し、できるだけ多くのコンポーネントを更新して拡張されたアルゴリズムを使用します。

  • /usr/local/okv/bin/okv_cnsa_certは、CNSA準拠の公開キー・ペアと証明書を再生成します。

    ノート:

    /usr/local/okv/bin/okv_cnsaスクリプトと/usr/local/okv/bin/okv_cnsa_certスクリプトはいずれも破壊的で、これは古いキー・ペアを新しいもので置き換えるためです。このため、次の操作を実行します。

    • エンドポイントのエンロール: 可能な場合、このスクリプトの実行後にエンドポイントをエンロールします。CNSAスクリプトを実行する前にエンドポイントがエンロールされている場合、これらを再度エンロールして、CNSAアルゴリズムを使用してCNSA準拠の新しいキーを生成します。

    • プライマリ/スタンバイ: 可能な場合、両方のOracle Key VaultインスタンスでCNSAスクリプトを実行してからプライマリ/スタンバイ構成でこれらをペアにします。CNSAスクリプトの実行前にプライマリ/スタンバイを設定していた場合、次のようにプライマリ/スタンバイを再構成する必要があります: プライマリおよびスタンバイのサーバーのペアを解除し、スタンバイ・サーバーを再インストールし、サーバーごとにCNSAスクリプトを個々に実行してから、それらを再度ペアにします。

制限事項:

  • CNSA準拠は、Oracle Key Vaultインフラストラクチャの一部のコンポーネント(SSHやTransparent Data Encryption (TDE)など)ではサポートされていません。

  • Firefoxブラウザでは、CNSAを有効化している場合にOracle Key Vault管理コンソールでの使用がサポートされていません。これは、FirefoxブラウザがCNSAで承認されている暗号スイートをサポートしていないためです。

親トピック: Commercial National Security Algorithmスイートのサポート

16.6.2 Commercial National Security Algorithmスクリプトの実行

Commercial National Security Algorithm (CNSA)スクリプトでは、okv_security.confファイルを更新します。

  1. Oracle Key Vaultをバックアップします。
  2. 必要に応じて、SSHアクセスを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  3. supportユーザーとしてOracle Key VaultサーバーにSSHし、プロンプトが表示されたら、インストール後に作成したsupportユーザー・パスワードを入力します。
     $ ssh support@okv_instance
  4. rootユーザーに変更します。
    $  su root
  5. 次のようにスクリプトを実行します。
    root#  /usr/local/okv/bin/okv_cnsa
root#  /usr/local/okv/bin/okv_cnsa_cert
  6. SSHアクセスを無効にして、Oracle Key Vaultサーバーを再起動します。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。「System」タブ、「Status」の順に選択して、Oracle Key Vaultサーバーを再起動します。

スクリプトにより、/usr/local/okv/etc/okv_security.confが次の行で更新されます。
USE_ENHANCED_ALGORITHMS_ONLY="1"

関連項目

親トピック: Commercial National Security Algorithmスイートのサポート

16.6.3 CNSAを使用したバックアップおよびリストア操作の実行

Oracle Key Vaultのバックアップおよびリストア後に、/usr/local/okv/bin/okv_cnsaを使用して、拡張されたCommercial National Security Algorithm (CNSA)スイートを使用します。

  1. バックアップおよびリストア操作を実行します。
  2. リストア操作が完了し、システムが再起動するまで待機します。
    このステップを完了することなく先に進まないでください。
  3. supportユーザーとしてOracle Key VaultサーバーにSSHします。
     $ ssh support@okv_instance
  4. rootユーザーに切り替えます。
    $ su root
  5. 次のCNSAスクリプトを実行します。
     root#  /usr/local/okv/bin/okv_cnsa

関連項目

親トピック: Commercial National Security Algorithmスイートのサポート

16.6.4 CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、スタンドアロンのOracle Key Vaultをアップグレードできます。

  1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    このステップを完了することなく先に進まないでください。
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  3. 必要に応じて、SSHアクセスを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  4. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
  5. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
  6. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。
    scp remote_host:remote_path/okv-upgrade-disc-new_software_release_number.iso /var/lib/oracle/destination_directory_for_iso_file

    このように指定した場合:

    • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
    • remote_pathはISOアップグレード・ファイルの場所です。
  7. mountコマンドを使用して、アップグレードをアクセス可能にします。
    root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-disc-new_software_release_number.iso /images
  8. clean allコマンドを使用してキャッシュをクリアします。
    root# yum -c /images/upgrade.repo clean all
  9. 次のアップグレードのrubyスクリプトを実行します。
    root# /usr/bin/ruby/images/upgrade.rb --confirm

    システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

    Remove media and reboot now to fully apply changes

    エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

  10. 最初のCNSAスクリプトを実行します。これは、Oracle Key Vault ISOファイルの場所から入手できます。
     root#  /usr/local/okv/bin/okv_cnsa
  11. Oracle Key Vaultサーバーを再起動します。
    root# /sbin/reboot

    アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

    アップグレードは、画面の見出しがOracle Key Vault Server release_number installation has completedになると完了します。release_number値は、アップグレードされたリリースを反映する必要があります。

  12. Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「Status」を選択します。
    3. 表示されたバージョンが、新しいソフトウェア・リリースのバージョンになっていることを確認します。
      リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
  13. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

関連項目

親トピック: Commercial National Security Algorithmスイートのサポート

16.6.5 CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード

okv_cnsaスクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、Oracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。

スタンバイ・サーバーとプライマリ・サーバーは1つのセッションでアップグレードを実行し、スタンバイのアップグレードとプライマリのアップグレードの間に時間をできるだけ空けないようにする必要があります。アップグレード時間は概算であり、Oracle Key Vaultで格納および管理されているデータのボリュームに応じて変化します。データ量が多いと、アップグレード時間が数時間を超える場合があります。
  1. アップグレードの準備をします。

    • アップグレードが進行している間に、設定を変更したり、次に示すアップグレード手順の一部ではない他の操作を実行しないでください。

    • 永続キャッシュを構成していない場合は、アップグレード中にエンドポイントを停止する必要があるため、計画されたメンテナンス・ウィンドウ期間にOracle Key Vaultサーバーをアップグレードしてください。永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

    • プライマリとスタンバイの両方のシステムに8GBのメモリーがあることを確認してください。

  2. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    Oracle Key Vaultサーバーをバックアップしてから停止するまでの時間に、データベースでキーの設定または更新操作(ADMINISTER KEY MANAGEMENT文など)を実行すると、それらの新しいキーがバックアップに含まれないため、これらの操作をしないでください。
    このステップを完了することなく先に進まないでください。
  3. 最初に、プライマリ・サーバーの実行中にスタンバイ・サーバーをアップグレードします。

    CNSAのスタンドアロン・サーバーのアップグレード・プロセスのステップ2から11を実行します。

  4. アップグレードされたスタンバイOracle Key Vaultサーバーが再起動し、実行されていることを確認します。
  5. スタンドアロン・サーバーのアップグレードのステップ1から11を実行して、プライマリOracle Key Vaultサーバーをアップグレードします。

    スタンバイおよびプライマリの両方のOracle Key Vaultサーバーがアップグレードされた後、2つのサーバーは自動的に同期されます。

  6. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  7. 「System」タブを選択し、「Status」を選択します。
  8. 「Version」フィールドに、新しいソフトウェア・バージョンのリリース番号が表示されていることを確認します。

関連項目

親トピック: Commercial National Security Algorithmスイートのサポート

16.7 停止時間の最小化

業務上重大な操作には、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要です。

次の方法で、停止時間を最小限に抑えるようにOracle Key Vaultを構成できます。

  • マルチマスター・クラスタの構成: 追加のノードの形式で冗長性を追加することで、マルチマスター・クラスタを構成できます。クライアントは使用可能な任意のノードにアクセスできます。いずれかのノードが失敗した場合、クライアントはエンドポイント・ノード・スキャン・リストの別のノードに自動的に接続します。これにより、停止時間が減少したり、停止時間がなくなる可能性もあります。

  • プライマリ・スタンバイ環境の構成: プライマリ・スタンバイ環境は、スタンバイ・サーバーの形式で冗長性を追加することで構成されます。障害発生時にはスタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐことで、単一障害点を排除し、停止時間を最小限に抑えます。

  • 読取り専用制限モードの有効化: プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ・スタンバイ読取り専用制限モードにより、エンドポイントの操作の継続性が保証されます。計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントはプライマリ・サーバーを使用できます。

    プライマリ・スタンバイ読取り専用制限モードが無効になっている場合、スタンバイでの障害発生時に、プライマリ・サーバーは使用できなくなり、リクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはキーを取得できません。

    プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合のエンドポイントの操作の継続性を保証するには、読取り専用制限モードを有効にします。

  • 永続マスター暗号化キー・キャッシュの有効化: 永続マスター暗号化キー・キャッシュにより、プライマリまたはスタンバイ・サーバーに障害が発生した場合にエンドポイントが確実にキーにアクセスできます。障害が発生したピアから存続するサーバーが後を引き継ぐため、エンドポイントは永続キャッシュからキーを取得して、正常に操作を続行できます。

  • エンドポイントでのTDE Heartbeatデータベース・パッチの適用: バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して、新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ消失で完全稼働させることができます。

Oracle Key Vaultインストールでオンライン・マスター・キー(旧名はTDE直接接続)を使用する場合、停止時間合計を短縮するために、アップグレード中にデータベース・エンドポイントを並行してアップグレードします。

関連項目

親トピック: Oracle Key Vaultの一般的なシステム管理