15 Oracle Key Vaultの一般的なシステム管理
一般的なシステム管理とは、ネットワークの詳細およびサービスの構成など、Oracle Key Vaultサーバーのシステム管理タスクを示します。
- Oracle Key Vaultの一般的なシステム管理の概要
システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。 - マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成
システムの「Settings」ページで、スタンドアロン環境またはプライマリ/スタンバイ環境のいずれかのネットワーク設定を構成できます。 - マルチマスター・クラスタ環境でのOracle Key Vaultの構成
マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。 - システム・リカバリの管理
システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。 - プライマリ/スタンバイ環境のサポート
Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。 - Commercial National Security Algorithmスイートのサポート
スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。 - 停止時間の最小化
業務上重大な操作では、最小限の停止時間でデータにアクセスし、リカバリできるようにする必要があります。
15.1 Oracle Key Vaultの一般的なシステム管理の概要
システム管理者は、Oracle Key Vault管理コンソールで、システム全体の現在のステータスの検索など、ほとんどの一般的な管理タスクを実行できます。
- Oracle Key Vaultの一般的なシステム管理について
システム管理者が、Oracle Key Vaultのシステム設定を構成します。 - Oracle Key Vaultダッシュボードの表示
ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。 - ダッシュボードでのステータス・ペインの使用
ダッシュボードのステータス・ペインには、アラートへのリンクや現在のユーザー・アクティビティの概要など、有益な高レベルの情報が提供されます。
親トピック: Oracle Key Vaultの一般的なシステム管理
15.1.1 Oracle Key Vaultの一般的なシステム管理について
システム管理者が、Oracle Key Vaultのシステム設定を構成します。
Oracle Key Vaultシステム設定には、管理、ローカルおよびリモート・モニタリング、電子メール通知、バックアップおよびリカバリ操作、監査などがあります。これらのタスクを実行するには、適切なロールが必要です。システム管理者ロールを持つユーザーはほとんどの管理タスクを実行でき、監査マネージャ・ロールを持つユーザーはアラート設定を構成して、監査レコードをエクスポートできます。ほとんどの場合、Oracle Key Vault管理コンソールでこれらのタスクを実行します。
Oracle Key Vaultシステムの現在のステータスに関する情報をすばやく見つけるために、Oracle Key Vaultダッシュボードを表示できます。
15.1.2 Oracle Key Vaultダッシュボードの表示
ダッシュボードは、Oracle Key Vaultの現在のステータスを高レベルで示すものであり、すべてのユーザーに公開されます。
管理コンソールにログインすると、その「Home」タブにダッシュボードが表示されます。
ログイン時に最初に表示されるセクションは、「Alerts」および「Managed Content」です。
「Home」ページの「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」ペインが「Alerts」および「Managed Content」の後に続きます。
図15-2 「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン
図15-2「「Data Interval」、「Operations」、「Endpoint Activity」および「User Activity」の各ペイン」の説明
15.2 マルチマスター以外のクラスタ環境でのOracle Key Vaultの構成
システムの「Settings」ページで、スタンドアロン環境またはプライマリ/スタンバイ環境のいずれかのネットワーク設定を構成できます。
- ネットワーク詳細の構成
マルチマスター以外のクラスタ環境では、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。 - ネットワーク・サービスの構成
マルチマスター以外のクラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。 - システム時間の構成
マルチマスター以外のクラスタ環境では、Oracle Key Vaultシステムのシステム時間を設定できます。 - DNSの構成
マルチマスター以外のクラスタ環境では、最大3つのDNSサーバーIPアドレスを入力できます。 - FIPSモードの構成
マルチマスター以外のクラスタ環境では、Oracle Key VaultのFIPSモードを有効または無効にできます。 - Syslogの構成
マルチマスター以外のクラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。 - RESTfulサービスの構成
マルチマスター以外のクラスタ環境では、RESTfulサービスを有効または無効にできます。 - Oracle Audit Vault統合の構成
マルチマスター以外のクラスタ環境では、Oracle Key Vaultが一元化された監査レポートおよびアラートのためにOracle Audit Vaultにデータを送信できるようにすることができます。 - Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
マルチマスター以外のクラスタ環境では、Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。 - Oracle Key Vaultの再起動または電源切断
メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultを手動で再起動または電源切断できます。
親トピック: Oracle Key Vaultの一般的なシステム管理
15.2.1 ネットワーク詳細の構成
マルチマスター以外のクラスタ環境では、任意のOracle Key Vault管理コンソールからネットワーク詳細を構成できます。
15.2.2 ネットワーク・サービスの構成
マルチマスター以外のクラスタでは、任意のOracle Key Vault管理コンソールからネットワーク・サービスを構成できます。
15.2.3 システム時間の構成
マルチマスター以外のクラスタ環境では、Oracle Key Vaultシステムのシステム時間を設定できます。
関連項目
15.2.4 DNSの構成
マルチマスター以外のクラスタ環境では、最大3つのDNSサーバーIPアドレスを入力できます。
関連項目
15.2.5 FIPSモードの構成
マルチマスター以外のクラスタ環境では、Oracle Key VaultのFIPSモードを有効または無効にできます。
15.2.6 Syslogの構成
マルチマスター以外のクラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
15.2.7 RESTfulサービスの構成
マルチマスター以外のクラスタ環境では、RESTfulサービスを有効または無効にできます。
15.2.8 Oracle Audit Vault統合の構成
マルチマスター以外のクラスタ環境では、Oracle Key Vaultが一元化された監査レポートおよびアラートのためにOracle Audit Vaultにデータを送信できるようにすることができます。
15.2.9 Oracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
マルチマスター以外のクラスタ環境では、Oracle Key Vault管理コンソールのWebセッションのタイムアウト値を分単位で構成できます。
20
分に設定されている場合、ユーザーはさらに20分間セッションを延長できます。
15.3 マルチマスター・クラスタ環境でのOracle Key Vaultの構成
マルチマスター・クラスタ環境でOracle Key Vaultを構成する場合、個々のノードまたはマルチマスター・クラスタ環境全体を構成できます。
- 個々のマルチマスター・クラスタ・ノードのシステム設定の構成
クラスタ・ノードに適用される設定を設定または変更できます。 - Oracle Key Vaultマルチマスター・クラスタの管理
Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultマルチマスター・クラスタを作成、構成および管理できます。
親トピック: Oracle Key Vaultの一般的なシステム管理
15.3.1 個々のマルチマスター・クラスタ・ノードのシステム設定の構成
クラスタ・ノードに適用される設定を設定または変更できます。
これらの設定の例としては、ネットワーク詳細、ネットワーク・サービス、システム時間、DNS、FIPSモード、syslogおよびOracle Audit Vault統合があります。 ノードに設定された値はクラスタ設定をオーバーライドします。 ただし、個々のノード設定をクリアして、クラスタ設定に戻すことができます。
- ノードのネットワーク詳細の構成
マルチマスター・クラスタでは、ノードのホスト名を変更できます。 - ノードのネットワーク・サービスの構成
マルチマスター・クラスタでは、ノードのネットワーク・サービスを構成できます。 - ノードのシステム時間の構成
マルチマスター・クラスタでは、ノードのシステム時間を設定できます。 - ノードのDNSの構成
マルチマスター・クラスタ・ノードのDNSを構成するときは、複数のDNS IPアドレスを入力する必要があります。 - ノードのFIPSモードの構成
すべてのマルチマスター・クラスタ・ノードで同じFIPSモード設定を使用する必要があります。使用しないとアラートを受信します。 - ノードのSyslogの構成
ノードでは、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。 - ノードのOracle Audit Vault統合の構成
ノードのOracle Audit Vault (Database Firewallコンポーネントではない)の統合を構成できます。 - ノードからのOracle Key Vaultの再起動または電源切断
メンテナンスまたはパッチおよびアップグレード手順の必要に応じて、Oracle Key Vaultノードを手動で再起動または電源切断できます。
15.3.1.6 ノードのSyslogの構成
ノードでは、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
15.3.1.7 ノードのOracle Audit Vault統合の構成
ノードのOracle Audit Vault (Database Firewallコンポーネントではない)の統合を構成できます。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「System」タブを選択し、左側のナビゲーション・バーで「System Settings」を選択します。
- ノードのOracle Audit Vault統合に対して「Enable」チェック・ボックスを選択します。
- 「Enable」をクリックすると表示される「Password」および「Reenter password」フィールドに、Audit Vault and Database Firewallが監査レコードの抽出に使用するデータベースのユーザーのパスワードを入力します。
- 「Save」をクリックします。
15.3.2 Oracle Key Vaultマルチマスター・クラスタの管理
Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。
- クラスタ・システム設定の構成について
マルチマスター・クラスタ全体に適用される設定を設定または変更できます。 - クラスタのシステム時間の構成
システム時間を構成するときは、複数のサーバーに対して設定することも、同期を設定することもできます。 - クラスタのDNSの構成
クラスタのDNSを構成するときは、最大3つのDNSサーバーIPアドレスを入力できます。 - クラスタの最大無効化ノード期間の構成
クラスタの最大ノード継続時間の構成を時間単位で設定できます。 - クラスタのRESTfulサービスの構成
クラスタに対してRESTfulサービスを有効または無効にできます。 - クラスタのSyslogの構成
マルチマスター・クラスタ環境では、特定の宛先のsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。 - クラスタのSNMP設定の構成
マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。 - クラスタのOracle Key Vault管理コンソールのWebセッション・タイムアウトの構成
マルチマスター・クラスタ内のすべてのノードに対して、Oracle Key Vault管理コンソールのタイムアウト値を分単位で構成できます。
15.3.2.1 クラスタ・システム設定の構成について
マルチマスター・クラスタ全体に適用される設定を設定または変更できます。
システム時間、DNS、サーバーをクラスタから削除する前に無効化できる最大時間、RESTfulサービスの有効化、syslogに使用するプロトコル、syslog宛先、およびクラスタのモニタリング設定を設定できます。 設定されて個々のノードに保存されている値は、クラスタ設定によってオーバーライドされません。変更を他のノードに伝播するために数分かかる場合があります。
15.3.2.3 クラスタのDNSの構成
クラスタのDNSを構成するとき、DNSサーバーのIPアドレスを最大で3つ入力できます。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
- 「Cluster System Settings」ページの「DNS」セクションで、DNSサーバーのIPアドレスを最大で3つ入力します。
- 「DNS」セクションで「Save to Cluster」をクリックします。
15.3.2.5 クラスタのRESTfulサービスの構成
クラスタのRESTfulサービスを有効または無効にできます。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「System」タブを選択し、左側のナビゲーション・バーで「Cluster System Settings」を選択します。
- 「RESTful Services」セクションで「Enable」チェック・ボックスを選択します。
- 「RESTful Services」セクションで「Save to Cluster」をクリックします。
15.3.2.6 クラスタのSyslogの構成
マルチマスター・クラスタ環境では、特定の宛先に対してsyslogを有効にし、Transmission Control Protocol (TCP)またはUser Datagram Protocol (UDP)のいずれかを使用してレコードを転送できます。
15.3.2.7 クラスタのSNMP設定の構成
マルチマスター・クラスタのSNMPアクセスを有効または無効にできます。
- システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
- 「System」タブを選択し、左側のナビゲーション・バーで「Monitoring Settings」を選択します。
- 「Scope」で「Cluster」を選択します。
- 次のいずれかのオプションを選択して、マルチマスター・クラスタへのSNMPアクセス権を持つユーザーを選択します。
- All: すべてのIPアドレスからSNMPアクセスを許可します。
- Disabled: SNMPアクセスは許可されません。
- IP address(es): アドレス・ボックスに指定されたIPアドレスのリストからSNMPアクセスを許可します。 IPアドレスのスペース区切りリストを入力します。
- 次のフィールドに値を入力します。
- Username: SNMPユーザー名を入力します。
- Password: SNMPパスワードを入力します。
- Reenter Password: SNMPパスワードを再入力します。
- 「Save to Cluster」をクリックします。
15.4 システム・リカバリの管理
システム・リカバリには、失われた管理パスワードのリカバリなどのタスクが含まれます。
- システム・リカバリの管理について
システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。 - 管理者の資格証明のリカバリ
管理ユーザーの資格証明を追加することで、システムをリカバリできます。 - クラスタ以外の環境でのリカバリ・パスフレーズの変更
リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。 - マルチマスター・クラスタでのリカバリ・パスフレーズの変更
マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。 - インストール・パスフレーズの変更
インストール・パスフレーズは、システム・コンソールから変更できます。
親トピック: Oracle Key Vaultの一般的なシステム管理
15.4.1 システム・リカバリの管理について
システム・リカバリを実行するには、リカバリ・パスフレーズを使用します。
緊急時に管理ユーザーがいない場合、または管理ユーザーのパスワードを変更する必要がある場合は、Oracle Key Vaultのインストール時に作成したリカバリ・パスフレーズを使用してシステムをリカバリできます。また、セキュリティのベスト・プラクティスに従ってリカバリ・パスフレーズを変更することもできます。
親トピック: システム・リカバリの管理
15.4.3 非クラスタ環境でのリカバリ・パスフレーズの変更
リカバリ・パスフレーズを定期的に変更することがセキュリティ上のよい習慣です。
親トピック: システム・リカバリの管理
15.4.4 マルチマスター・クラスタのリカバリ・パスフレーズの変更
マルチマスター・クラスタでのリカバリ・パスフレーズの変更は、2ステップのプロセスです。
マルチマスター・クラスタのリカバリ・パスフレーズを変更するには、リカバリ・パスフレーズを変更する前に最初にマルチマスター・クラスタ環境のノード全体で変更を開始する必要があります。
- ステップ1: ノード間でのリカバリ・パスフレーズの変更の開始
システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。 - ステップ2: リカバリ・パスフレーズの変更
リカバリ・パスフレーズの変更が近いことがマルチマスター・クラスタ・ノードに通知された後に、リカバリ・パスフレーズを変更できます。
親トピック: システム・リカバリの管理
15.4.4.1 ステップ1: ノード間のリカバリ・パスフレーズ変更の開始
システム管理者ロールを持つユーザーは、リカバリ・パスフレーズが変更されるたびに新しいバックアップを実行する必要があります。
15.4.5 インストール・パスフレーズの変更
インストール・パスフレーズは、システム・コンソールから変更できます。
- インストール・パスフレーズの変更について
インストール・パスフレーズは、特定の期間中にのみ変更できます。 - インストール・パスフレーズの変更
インストール・パスフレーズはシステム・コンソールで変更する必要があります。
親トピック: システム・リカバリの管理
15.4.5.1 インストール・パスフレーズの変更について
インストール・パスフレーズは、特定の期間中にのみ変更できます。
インストール・パスフレーズは、インストール時に指定します。インストール・パスフレーズを使用してOracle Key Vaultにログインし、インストール後のタスクを完了する必要があります。インストール・パスフレーズは、インストールした後、インストール後タスクを実行する前にのみ変更できます。インストール後タスクが完了した後、このオプションはコンソールに表示されなくなります。
インストール・パスフレーズを忘れた場合は、新しいインストール・パスフレーズを作成できます。Oracle Key Vaultのすべてのパスフレーズと同様に、インストール・パスフレーズは安全な方法で格納することが重要です。
親トピック: インストール・パスフレーズの変更
15.5 プライマリ・スタンバイ環境のサポート
Oracle Key Vaultが常にセキュリティ・オブジェクトにアクセスできるように、Oracle Key Vaultをプライマリ/スタンバイ(可用性の高い)構成にデプロイできます。
この構成は、障害時リカバリ・シナリオもサポートします。
プライマリ/スタンバイ構成では、2台のOracle Key Vaultサーバーをデプロイできます。プライマリ・サーバーは、エンドポイントからのリクエストにサービスを提供します。プライマリ・サーバーで障害が発生した場合、事前に設定された構成可能な遅延の後にスタンバイ・サーバーが引き継ぎます。この構成可能な遅延によって、通信が短時間断絶した場合にスタンバイ・サーバーによる不必要な引継ぎが発生しないようにできます。
プライマリ・スタンバイ構成は、以前は高可用性構成と呼ばれていました。プライマリ・スタンバイ構成とマルチマスター・クラスタ構成は相互に排他的です。
Oracle Key Vaultでは、プライマリ・スタンバイ読取り専用制限モードをサポートしています。プライマリOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ/スタンバイ読取り専用制限モードでは、Oracle Key Vaultサーバーはエンドポイントにサービスを提供できるため、操作の継続性が保証されます。ただし、監査ログの生成などの操作は影響を受けませんが、キーの生成などの重要で機密性の高い操作は無効になります。
計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントは読取り専用モードでプライマリ・サーバーを使用できます。
15.6 Commercial National Security Algorithmスイートのサポート
スクリプトを使用して、Oracle Key Vault HSMのバックアップおよびアップグレード操作のためにCommercial National Security Algorithm (CNSA)操作を実行できます。
- Commercial National Security Algorithm (CNSA)のサポートについて
Commercial National Security Algorithm (CNSA)スイートに準拠するようにOracle Key Vaultを構成できます。 - Commercial National Security Algorithmスクリプトの実行
Commercial National Security Algorithm (CNSA)スクリプトでは、okv_security.conf
ファイルを更新します。 - CNSAを使用したバックアップおよびリストア操作の実行
Oracle Key Vaultのバックアップおよびリストア後に、/usr/local/okv/bin/okv_cnsa
を使用して、拡張されたCommercial National Security Algorithm (CNSA)スイートを使用します。 - CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード
okv_cnsa
スクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、スタンドアロンOracle Key Vaultをアップグレードできます。 - CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード
okv_cnsa
スクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、Oracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。
親トピック: Oracle Key Vaultの一般的なシステム管理
15.6.1 Commercial National Security Algorithmスイートのサポートについて
Commercial National Security Algorithm (CNSA)スイートに準拠するようにOracle Key Vaultを構成できます。
この準拠は、Oracle Key Vaultアプライアンスとの間のTLS接続に適用されます。
CNSAスイートは強力な暗号化アルゴリズムとキー長のリストで、将来のセキュリテイおよび関連性を高めます。
Oracle Key Vaultリリース12.2 BP3以降では、システム内のあらゆるコンポーネントで完全に準拠しているわけではありません。CNSAアルゴリズム(入手できる場合)には、Oracle Key Vault ISOでパッケージ化されている次のスクリプトによって切り替えることができます。
-
/usr/local/okv/bin/okv_cnsa
は構成ファイルを変更し、できるだけ多くのコンポーネントを更新して拡張されたアルゴリズムを使用します。 -
/usr/local/okv/bin/okv_cnsa_cert
は、CNSA準拠の公開キー・ペアと証明書を再生成します。ノート:
/usr/local/okv/bin/okv_cnsa
スクリプトと/usr/local/okv/bin/okv_cnsa_cert
スクリプトはいずれも破壊的で、これは古いキー・ペアを新しいもので置き換えるためです。このため、次の操作を実行します。-
エンドポイントのエンロール: 可能な場合、このスクリプトの実行後にエンドポイントをエンロールします。CNSAスクリプトを実行する前にエンドポイントがエンロールされている場合、これらを再度エンロールして、CNSAアルゴリズムを使用してCNSA準拠の新しいキーを生成します。
-
プライマリ/スタンバイ: 可能な場合、両方のOracle Key VaultインスタンスでCNSAスクリプトを実行してからプライマリ/スタンバイ構成でこれらをペアにします。CNSAスクリプトの実行前にプライマリ/スタンバイを設定していた場合、次のようにプライマリ/スタンバイを再構成する必要があります: プライマリおよびスタンバイのサーバーのペアを解除し、スタンバイ・サーバーを再インストールし、サーバーごとにCNSAスクリプトを個々に実行してから、それらを再度ペアにします。
-
制限事項:
-
CNSA準拠は、Oracle Key Vaultインフラストラクチャの一部のコンポーネント(SSHやTransparent Data Encryption (TDE)など)ではサポートされていません。
-
Firefoxブラウザでは、CNSAを有効化している場合にOracle Key Vault管理コンソールでの使用がサポートされていません。これは、FirefoxブラウザがCNSAで承認されている暗号スイートをサポートしていないためです。
15.6.2 Commercial National Security Algorithmスクリプトの実行
Commercial National Security Algorithm (CNSA)スクリプトでは、okv_security.conf
ファイルを更新します。
/usr/local/okv/etc/okv_security.conf
が次の行で更新されます。USE_ENHANCED_ALGORITHMS_ONLY="1"
15.6.3 CNSAを使用したバックアップおよびリストア操作の実行
Oracle Key Vaultのバックアップおよびリストア後に、/usr/local/okv/bin/okv_cnsa
を使用して、拡張されたCommercial National Security Algorithm (CNSA)スイートを使用します。
15.6.4 CNSAを使用したスタンドアロンOracle Key Vaultサーバーのアップグレード
okv_cnsa
スクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、スタンドアロンのOracle Key Vaultをアップグレードできます。
15.6.5 CNSAを使用するためのプライマリ/スタンバイOracle Key Vaultサーバーのアップグレード
okv_cnsa
スクリプトをアップグレードして実行することで、Commercial National Security Algorithm (CNSA)準拠を使用しながら、Oracle Key Vaultプライマリ/スタンバイ・サーバーをアップグレードできます。
15.7 停止時間の最小化
業務上重大な操作には、データにアクセスしやすいことと、最小限の停止時間でリカバリできることが必要です。
次の方法で、停止時間を最小限に抑えるようにOracle Key Vaultを構成できます。
-
マルチマスター・クラスタの構成: 追加のノードの形式で冗長性を追加することで、マルチマスター・クラスタを構成できます。クライアントは使用可能な任意のノードにアクセスできます。いずれかのノードが失敗した場合、クライアントはエンドポイント・ノード・スキャン・リストの別のノードに自動的に接続します。これにより、停止時間が減少したり、停止時間がなくなる可能性もあります。
-
プライマリ・スタンバイ環境の構成: プライマリ・スタンバイ環境は、スタンバイ・サーバーの形式で冗長性を追加することで構成されます。障害発生時にはスタンバイ・サーバーがプライマリ・サーバーから後を引き継ぐことで、単一障害点を排除し、停止時間を最小限に抑えます。
-
読取り専用制限モードの有効化: プライマリまたはスタンバイOracle Key Vaultサーバーがサーバー、ハードウェアまたはネットワークの障害の影響を受けた場合、プライマリ・スタンバイ読取り専用制限モードにより、エンドポイントの操作の継続性が保証されます。計画外停止によってスタンバイ・サーバーにアクセスできなくなった場合でも、エンドポイントはプライマリ・サーバーを使用できます。
プライマリ・スタンバイ読取り専用制限モードが無効になっている場合、スタンバイでの障害発生時に、プライマリ・サーバーは使用できなくなり、リクエストの受け入れは停止されます。プライマリ・サーバーとスタンバイ・サーバーの間で接続が復元されるまで、Oracle Key Vaultに接続されたエンドポイントはキーを取得できません。
プライマリ・サーバーまたはスタンバイ・サーバーに障害が発生した場合のエンドポイントの操作の継続性を保証するには、読取り専用制限モードを有効にします。
-
永続マスター暗号化キー・キャッシュの有効化: 永続マスター暗号化キー・キャッシュにより、プライマリまたはスタンバイ・サーバーに障害が発生した場合にエンドポイントが確実にキーにアクセスできます。障害が発生したピアから存続するサーバーが後を引き継ぐため、エンドポイントは永続キャッシュからキーを取得して、正常に操作を続行できます。
-
エンドポイントでのTDE Heartbeatデータベース・パッチの適用: バグ22734547のデータベース・パッチを適用してOracle Key Vaultのハートビートを調整します。
Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して、新規または既存のOracle Key Vaultサーバーをリストアし、最小限の停止時間とデータ消失で完全稼働させることができます。
Oracle Key Vaultインストールでオンライン・マスター・キー(旧名はTDE直接接続)を使用する場合、停止時間合計を短縮するために、アップグレード中にデータベース・エンドポイントを並行してアップグレードします。
関連項目
親トピック: Oracle Key Vaultの一般的なシステム管理