18 バックアップおよびリストア操作

バックアップにより、障害発生時にOracle Key Vaultを以前の状態にリストアできます。

• Oracle Key Vaultでのデータのバックアップおよびリストアについて
  Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。
• Oracle Key Vaultのバックアップ先
  バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。
• スケジュール済バックアップと状態
  Oracle Key Vaultでは、バックアップ先に応じたスケジュール済バックアップ・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。
• Oracle Key Vaultバックアップのスケジュールおよび管理
  特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。
• Oracle Key Vaultデータのリストア
  Oracle Key Vaultデータはリモートのバックアップ先から別のOracle Key Vaultサーバーにリストアできます。
• バックアップおよびリストアのベスト・プラクティス
  Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

18.1 Oracle Key Vaultでのデータのバックアップとリストアについて

Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。

停止時間を削減し、予期しないデータ損失およびシステム障害からリカバリするために、データを定期的にバックアップする必要があります。新規または既存のOracle Key Vaultサーバーをバックアップからリストアできます。

Oracle Key Vault管理コンソールから、またはOracle Key VaultのRESTfulサービス・コマンドを使用して、バックアップおよびリストア操作を実行できます。Oracle Key Vaultデータをバックアップおよびリストアするには、システム管理者ロールを持っているユーザーである必要があります。バックアップを定期的にスケジューリングして、指定した時間に自動的に実行できます。また、これらの操作をオンデマンドで実行することで、システムの現在のスナップショットを保存できます。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して新規または既存のOracle Key Vaultサーバーをリストアし、最小限のデータ損失で完全稼働できます。

Oracle Key Vaultでは、すべてのバックアップ済データが暗号化されます。リモート宛先を使用する場合、このデータはセキュア・コピー・プロトコル(SCP)またはセキュア・ファイル転送プロトコル(SFTP)を使用してコピーされます。このため、リモート・バックアップ先でSCPまたはSFTPがサポートされていることを確認する必要があります。

Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできる点に注意してください。そのため、クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。

18.2 Oracle Key Vaultのバックアップ先

バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。

• Oracle Key Vaultのバックアップ先について
  バックアップ先を使用すると、Oracle Key Vault自体または別のサーバーでバックアップ・データを使用できます。
• リモート・バックアップ先の作成
  Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。
• リモート・バックアップ先の設定の変更
  バックアップ先を作成した後は、SCPまたはSFTPポート番号およびユーザー・アカウントの詳細を変更できます。
• リモート・バックアップ先の削除
  リモート・バックアップ先(ローカル宛先ではない)を削除して、その宛先サーバーへの今後のバックアップを中止できます。

18.2.1 Oracle Key Vaultのバックアップ先について

バックアップ先を使用すると、Oracle Key Vault自体または別のサーバーでバックアップ・データを使用できます。

これにより、Oracle Key Vaultサーバーまたはハードウェアで致命的な障害が発生した場合に、関連するすべてのデータを確実にリカバリできます。

通常は、自分がアクセス権を持つ別のサーバーまたはコンピュータ・システムをバックアップ先として指定します。バックアップ先は追加、削除および変更できます。

バックアップ操作では、選択したバックアップ先にOracle Key Vaultデータがコピーされます。データは必要になるまでバックアップ先に格納しておきます。

Oracle Key Vaultでは、ローカルとリモートの2つのタイプのバックアップ先を使用できます。ローカル・バックアップ先はOracle Key Vaultサーバー自体に存在し、リモート・バックアップ先は外部の別のサーバーまたはコンピュータ・システムに存在します。可用性を高めるために、複数のバックアップ先を作成できます。

ローカルおよびリモートのバックアップ先には、次の特性があります。

• ローカル・バックアップ先: ローカル・バックアップ先LOCALはデフォルトで存在し、削除できません。ローカル・バックアップ先へのバックアップはローカル・バックアップです。

  LOCALへのバックアップは、最新状態のOracle Key Vaultを保存するのに役立ちます。こうしたバックアップはディスクに保存されるため、ハードウェアなどの致命的な障害が発生した場合に失われる可能性があります。また、プライマリ/スタンバイ構成では、フェイルオーバー後やスイッチオーバー後に使用できなくなります。最初にプライマリをスタンバイからアンペアリングせずにバックアップをプライマリ/スタンバイに復元することはできません。また、バックアップをクラスタ構成に復元することもできません。そのため、このような構成を使用しているときには、リモートの宛先にデータをバックアップする必要があります。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。

• リモート・バックアップ先: リモート・バックアップ先は外部サーバーに存在し、障害時リカバリの目的で地理的に分散できます。リモート・バックアップ先へのバックアップはリモート・バックアップです。

  外部サーバー上の各バックアップ先には、Oracle Key Vaultによりバックアップ先に保持されるバックアップ・カタログ・ファイル(okvbackup.mgr)が関連付けられます。okvbackup.mgrファイルは、実行されたバックアップをカタログ化したものであり、データをリストアする際に使用されます。

  ノート:

  別のOracle Key Vaultサーバーをリモート・バックアップ先として使用することはできません。

注意:

• バックアップ・カタログ・ファイルを削除または変更すると、Oracle Key Vaultでバックアップを検索できなくなることがあります。したがって、このファイルは削除または変更しないでください。

• 異なるOracle Key Vaultサーバーのバックアップ先として、同一のリモート・バックアップ先を構成しないでください。これは、異なるOracle Key Vaultサーバーから同時にバックアップが行われると、互いのカタログ・ファイルが上書きされ、Oracle Key Vaultでバックアップを正しく特定できなくなるためです。

• リモート・バックアップ先を含むバックアップをリストアした後、そのリモート・バックアップ先を継続して使用しないでください。そのバックアップ先にバックアップを送信するように構成されているバックアップ・ジョブを削除します。このバックアップ先を継続して使用すると、バックアップ・カタログ・ファイルが破損することがあります。Oracle Key Vaultが正しいバックアップを見つけられないことがあります。

• マルチマスター・クラスタの各ノードがバックアップを異なるバックアップ先に送信するように構成します。

18.2.2 リモート・バックアップ先の作成

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。

リモート・バックアップ先を作成するには、ユーザー・アカウント、外部サーバー上の一意の既存のディレクトリ場所、および認証方式(パスワード・ベースまたはキー・ベース)を入力する必要があります。この情報は、Oracle Key Vaultでリモート・サーバーとのセキュアな接続を確立するために必要になります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」を選択します。
   「Manage Backup Destinations」ウィンドウが表示されます。図21_manage_backup_dest.pngの説明
   
5. 「Create」をクリックします。

   「Create Backup Destination」ウィンドウが表示されます。

   
   図21_create_backup_dest.pngの説明

6. バックアップ先について次の情報を入力します。

   • Destination Name: バックアップ先を識別するための記述名を入力します。

   • Transfer Method: scpからsftpの間で選択し、ファイルをリモート先にコピーします。

   • Hostname: バックアップ先のリモート・サーバーのホスト名またはIPアドレスを入力します。ホスト名を入力する場合は、ホスト名が対応するIPアドレスに変換されるようにDNSを構成してください。リモート・バックアップ先にあるホスト名には、スペース、一重引用符または二重引用符を含めないでください。

   • Port: 外部サーバー上のSCPまたはSFTPポート番号を入力します。デフォルトは22です。

   • Destination Path: バックアップ・ファイルのコピー先として、外部サーバー上の既存のディレクトリのパスを入力します。バックアップ先を作成した後に、このディレクトリの場所を変更することはできません。このパスを、別のOracle Key Vaultサーバーからのバックアップ先にしないでください。リモート・バックアップ先にあるバックアップ先パスには、スペース、一重引用符または二重引用符を含めないでください。

   • Username: リモート・サーバーへのSCPまたはSFTP接続を確立するために使用できるユーザー・アカウントのユーザー名を入力します。このユーザーに、「Destination Path」で指定したディレクトリに対する書込み権限があることを確認します。リモート・バックアップ先にあるユーザー名には、スペース、一重引用符または二重引用符を含めないでください。

   • Authentication Method: 次のいずれかです。

     • Key-based Authentication: 表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

7. 「Save」をクリックします。

Oracle Key Vaultは、/tmpと、「Destination Path」フィールドに指定したディレクトリの両方の下に空のテスト・ファイルを作成して、バックアップ先を作成するために指定した入力を検証します。検証が失敗した場合、バックアップ先は作成されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード、またはキー)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

18.2.3 リモート・バックアップ先の設定の変更

バックアップ先を作成した後は、SCPまたはSFTPポート番号およびユーザー・アカウントの詳細を変更できます。

その他の設定は変更できません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Manage Backup Destinations」を選択します。

   ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。

5. リモート・バックアップ先名をクリックして、バックアップ先を編集します。

   「Edit Backup Destination」ページが表示されます。

6. 次の情報を変更します。

   • Port: 外部サーバー上のSCPまたはSFTPポート番号を変更します。

   • Destination Public Key: このフィールドには、Oracle Key Vaultが現在リモート・サーバーのknown_hostsファイルに格納している公開キー情報が表示されます。リモート・サーバーの公開キーが変更されると、Oracle Key Vaultはリモート・サーバーとの間でバックアップをコピーできなくなります。新しい公開キーをknown_hostsファイルに格納するには、「Reset Dest Public Key」ボタンをクリックすることで、リモート・サーバーから新しい公開キーを取得して保存します。「Reset Dest Public Key」をクリックした後で、正しい公開キーが保存されていることを確認します。

   • Username: リモート・サーバーへのSCPまたはSFTP接続を確立するために使用できるユーザー・アカウントのユーザー名を入力します。「Destination Path」で指定したパスは変更できないため、このディレクトリに対する書込み権限が新規ユーザーにあることを確認してください。

   • Authentication Method: 次のいずれかです。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

     • Key-based Authentication: Oracle Key Vault公開キーが変更された場合は、「Public Key」フィールドに表示されている公開キーを再コピーし、宛先サーバーの適切な構成ファイル(authorized_keysなど)に貼り付けます。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

7. 「Save」をクリックします。

バックアップ先を更新するために入力した情報がOracle Key Vaultにより検証されます。検証に失敗した場合、バックアップ先は更新されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

18.2.4 リモート・バックアップ先の削除

リモート・バックアップ先(ローカル宛先ではない)を削除して、その宛先サーバーへの今後のバックアップを中止できます。

Oracle Key Vaultからリモート・バックアップ先を削除しても、宛先にあるバックアップは削除されません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Manage Backup Destinations」を選択します。
5. 「Manage Backup Destinations」ページで、削除するバックアップ先のチェック・ボックスを選択します。
6. 「Delete」をクリックします。

18.3 スケジュール済バックアップと状態

Oracle Key Vaultでは、バックアップ先に応じたスケジュール済バックアップ・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。

• スケジュール・バックアップのタイプと状態について
  時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。
• Oracle Key Vaultバックアップのタイプ
  Oracle Key Vaultでは、ワンタイム・バックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。
• Oracle Key Vaultのスケジュール済バックアップの状態
  スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

18.3.1 スケジュール・バックアップのタイプと状態について

時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。

スケジュールした時間になると、バックアップ・プロセスが開始され、システム・バックアップ(バックアップ先に格納されるファイル)が生成されます。バックアップが完了する旅に、1つのバックアップ・ファイルが生成されます。

別のバックアップの進行中はバックアップを開始できません。ニーズの変化に応じて、バックアップのスケジュールを変更できます。バックアップの進行中も、Oracle Key Vaultの操作は続行できます。

システムを再起動すると、進行中のバックアップが終了します。バックアップが発生するようにスケジュールされている時間内にシステムを再起動する必要がある場合は、バックアップを一時停止して、システムの再起動後にバックアップを再開できます。

18.3.2 Oracle Key Vaultバックアップのタイプ

Oracle Key Vaultでは、ワンタイム・バックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。

• 1回限りのバックアップ: 1回限りのバックアップでは、Oracle Key Vaultシステムのフル・バックアップを作成します。それぞれに独自の開始時間を設定した複数の1回限りのバックアップ・ジョブをスケジュールできます。

  障害が発生してリカバリが必要になったときに備えて、Oracle Key Vaultの構成を大きく変更する場合は、事前に1回限りのローカル・バックアップを実行してください。

  LOCAL宛先には、最新の1回限りのバックアップのみ格納できます。LOCALへの1回限りのバックアップが完了すると、以前のバックアップは削除されます。

• 定期バックアップ: 定期バックアップをスケジュールしたら、Oracle Key Vaultは指定された開始時間にフル・バックアップを作成し、そのバックアップ・スケジュールをACTIVE状態にします。バックアップ期間が過ぎると、別のバックアップが開始されます。最後のフル・バックアップからの経過時間が7日未満の場合、次のバックアップは、最後のフル・バックアップ以降の変更を保持する累積増分バックアップになります。最後のフル・バックアップからの経過時間が7日以上の場合、次のバックアップはフル・バックアップになります。

  たとえば、バックアップ期間が1日の場合、7回ごとにフル・バックアップが行われます。バックアップ期間が8日の場合、すべてのバックアップがフル・バックアップです。バックアップ期間が12時間の場合、累積バックアップが13回行われてから、フル・バックアップが行われます。

  データ損失を最小にするために、定期バックアップは1日以下の期間でスケジュールしてください。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップ・スケジュールで新しいフル・バックアップをLOCALに作成すると、LOCALの以前の定期フル・バックアップおよび累積バックアップが削除されます。

  累積増分バックアップは、フル・バックアップより高速です。常に、定期バックアップは1つのみスケジューリングできます。

18.3.3 Oracle Key Vaultのスケジュール済バックアップの状態

スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

• ACTIVE: バックアップがスケジュールされており、次の開始時間に開始されます。(開始時間は、「Scheduled Backups」ページの「Start Time」列に示されます。)
• PAUSED: 今後のバックアップはすべて保留になり、開始時間を過ぎても開始されません。明示的に再開すると、開始されます。状態をアクティブから一時停止に変更したり、元に戻すことができます。次の状況では、スケジューリング済バックアップを一時停止状態に入れます。
  • Oracle Key Vaultとリモート宛先の間の通信が切断された場合
  • リモート宛先が使用不可の場合
  • バックアップを遅延させる場合
• ONGOING: バックアップが進行中です。
• DONE: バックアップが完了しています。

18.4 Oracle Key Vaultバックアップのスケジュールおよび管理

特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。

使用するバックアップ先は事前に作成しておく必要があり、バックアップ・スケジュールは変更または削除できます。

• Oracle Key Vaultのバックアップのスケジュール
  ローカルまたはリモートのバックアップ先に対して、1回かぎりのバックアップまたは定期バックアップをスケジュールできます。
• Oracle Key Vaultのバックアップ・スケジュールの変更
  進行中のバックアップのスケジュールは変更できません。
• Oracle Key Vaultからのバックアップ・スケジュールの削除
  バックアップ・スケジュールは、Oracle Key Vault管理コンソールから削除できます。
• プライマリ/スタンバイがOracle Key Vaultバックアップに与える影響
  プライマリ/スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。
• クラスタの使用がOracle Key Vaultバックアップに及ぼす影響
  マルチマスター・クラスタ環境では、個々のノードとクラスタ全体におけるバックアップ・プロセスの動作内容について把握しておく必要があります。
• リカバリ・パスフレーズを使用したバックアップの保護
  Oracle Key Vaultでは、システム・バックアップをリストアできるユーザーを制御するためにリカバリ・パスフレーズを使用します。

18.4.1 Oracle Key Vaultのバックアップのスケジューリング

ローカルまたはリモートのバックアップ先に対して1回限りのバックアップまたは定期バックアップをスケジューリングできます。

1回限りのバックアップを開始する場合は、時間を設定せずに即時に開始できます。ただし、証明書のローテーションやクラスタの操作が進行中の場合は、バックアップ操作をスケジュールしないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Backup」ページで、「Backup」をクリックします。

   「Backup」ページが表示されます。次の図は、「PERIODIC」を選択した場合の表示方法を示しています。

   
   図21_backup.pngの説明

5. 「Name」フィールドにバックアップの名前を入力します。
6. 定期バックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後に最初のバックアップをすぐに実行する場合は、「Now」を選択します。
   2. 「Type」で、「PERIODIC」を選択します。
      「Days」、「Hours」および「Mins」の追加フィールドが表示されます。
   3. 「Days」、「Hours」および「Mins」フィールドで、定期バックアップが発生する間隔を指定します。
   4. 「Destination」で、バックアップ先を選択します。
   5. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。
7. 1回限りのバックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後にバックアップをすぐに実行する場合は、「Now」を選択します。
   2. 「Type」で、「ONE-TIME」を選択します。
   3. 「Destination」で、リストからバックアップ先を選択します。
   4. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。

18.4.2 Oracle Key Vaultのバックアップ・スケジュールの変更

進行中のバックアップのスケジュールは変更できません。

バックアップ・スケジュールを変更するには、状態がアクティブまたは一時停止中である必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Scheduled Backup(s)」ページで、スケジュール済バックアップの名前をクリックします。
5. 「Start Time」を手動で入力するか、カレンダ・アイコンをクリックしてバックアップ・スケジュールの「Start Time」を選択します。

   スケジュール済の開始時間を変更できるのは、まだその時間が過ぎていない場合のみです。つまり、状態が進行中または完了のものは対象外になります。定期バックアップの開始時間は、スケジュール済の開始時間を過ぎていない場合には変更できます。

6. 定期バックアップ・スケジュールを変更する場合は、「Days」、「Hours」および「Mins」フィールドで、定期バックアップが発生する間隔を指定します。
7. Saveを選択します。

18.4.3 Oracle Key Vaultからのバックアップ・スケジュールの削除

Oracle Key Vault管理コンソールからバックアップ・スケジュールを削除できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Scheduled Backup(s)」ページにリストされているスケジュール済バックアップのチェック・ボックスを選択します。
5. 「Delete」をクリックして、選択したバックアップ・スケジュールを削除します。

18.4.4 プライマリ・スタンバイのOracle Key Vaultバックアップへの影響

プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。

スタンバイはプライマリと状態が同期されるため、スタンバイをバックアップする必要はありません。

プライマリ・スタンバイ・デプロイメントでフェイルオーバーまたはスイッチオーバーを操作するには、次の動作に注意してください。

• フェイルオーバーまたはプライマリ・スタンバイ・スイッチオーバーがあった場合、進行中のバックアップはすべて終了します。LOCALへのバックアップはOracle Key Vaultサーバー専用なので、フェイルオーバーまたはスイッチオーバーの後にプライマリ・サーバーのローカル・バックアップは利用できません。

• パスワード認証でスケジューリングされているバックアップは、フェイルオーバーまたはスイッチオーバーの後、通常どおり開始されます。

• バックアップはスタンドアロンのサーバーに対してのみリストアできるため、プライマリ/スタンバイ・デプロイメントのペアを解除してから、以前のプライマリにバックアップのリストア操作を実行する必要があります。

18.4.5 クラスタの使用がOracle Key Vaultバックアップに及ぼす影響

マルチマスター・クラスタ環境では、個々のノードとクラスタ全体におけるバックアップ・プロセスの動作内容について把握しておく必要があります。

• Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。
• クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。
• バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできます。クラスタ・ノードはスタンドアロン・サーバーに戻せないため、リモート・バックアップのみを作成する必要があります。

18.4.6 リカバリ・パスフレーズを使用したバックアップの保護

Oracle Key Vaultでは、システム・バックアップをリストアできるユーザーを制御するためにリカバリ・パスフレーズを使用します。

バックアップをリストアするには、バックアップが開始された時点のOracle Key Vaultリカバリ・パスフレーズを使用します。これは、たとえバックアップの完了後にリカバリ・パスフレーズが変更された場合も必要です。常に最新のリカバリ・パスフレーズによって保護されているバックアップのコピーが確実に存在するようにするには、リカバリ・パスフレーズが変更されるたびに新しいバックアップを作成することをお薦めします。

18.5 Oracle Key Vaultデータのリストア

リモート・バックアップ先のOracle Key Vaultデータは、別のOracle Key Vaultサーバーにリストアできます。

このリストア操作により、停止時間とデータ損失が最小限に抑えられます。

• Oracle Key Vaultのリストア・プロセスについて
  リストア・プロセスによって、データベースがバックアップ・データに置き換えられます。
• Oracle Key Vaultデータのリストアの手順
  Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用してスタンドアロン・サーバーにリストアできます。
• マルチマスター・クラスタとリストア操作
  マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• プライマリ/スタンバイとリストア操作
  プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• 証明書とリストア操作
  バックアップ時にインストールされていたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。
• システム状態のリストアによる変化
  Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

18.5.1 Oracle Key Vaultのリストア・プロセスについて

リストア・プロセスによって、データベースがバックアップ・データに置き換えられます。

Oracle Key Vaultデータをサーバーにリストアする前に、サーバーのスケジュールされたすべてのバックアップが完了していることを確認する必要があります。

Oracle Key Vaultサーバーにデータをリストアすると、サーバー上のデータがバックアップのデータに置き換えられます。リストアされたデータは、単純にバックアップ時点のものになります。リストア操作によって、Oracle Key Vaultサーバーがバックアップで置き換えられます。これにより、一部のデータが失われる場合があります。エンドポイント・データベースをリストアすることが必要になる場合があります。リストアされるバックアップ内にないデータはすべて失われます。バックアップは、バックアップが作成されたのと同じバージョンのOracle Key Vaultにのみリストアできます。

バックアップの有効期限は最大1年です。

バックアップからデータをリストアするには、バックアップの時点で有効だったリカバリ・パスフレーズが必要です。Oracle Key Vaultをインストールしてからリカバリ・パスフレーズを変更していない場合は、インストール後に作成したリカバリ・パスフレーズを使用する必要があります。

Oracle Key Vaultのデータをリストアするには、次の一般的なステップが必要です。

1. バックアップ環境の設定(Oracle Key Vaultインストール後のバックアップ先の構成など)。

2. ローカルまたはリモートのバックアップ先から使用するバックアップを決定し、リストア・プロセスを開始するリカバリ・パスフレーズを指定して、リストア操作を実行します。

18.5.2 Oracle Key Vaultデータのリストアの手順

Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用してスタンドアロン・サーバーにリストアできます。

リストアを開始する前に、正しいリカバリ・パスフレーズがあることを確認してください。リストア・プロセス中にこのパスフレーズを入力する必要があります。また、証明書のローテーション・プロセスが進行中の間は、リストア操作を実行しないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Restore」をクリックします。

   「Restore」ページが表示されます。

   
   図21_restore.pngの説明

5. ドロップダウン・リストから「Source」を選択します。
   値はLOCALまたは構成されたリモートの宛先の名前です。
6. リストア元として使用するバックアップの横にある「Restore」を選択します。
7. 「Restore」をクリックすると、リストアまたはリカバリ・プロセスが開始されます。

   リカバリ・パスフレーズを尋ねてきます。

8. リカバリ・パスフレーズを入力し、「Restore」をクリックして開始します。

   バックアップからリストアが実行され、システムが再起動します。

9. バックアップが完了し、システムが再起動したら、一時停止された定期バックアップ・ジョブを削除してから、新しいバックアップ先を使用して再作成します。
   バックアップ・カタログ・ファイルの破損を避けるために、このようなジョブは削除することをお薦めします。
10. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールします。
11. リストア・プロセス前にOracle Audit VaultをOracle Key Vaultと統合していた場合は、次の手順を実行します。
    1. Audit Vault Serverコンソールに管理者としてログインし、Oracle Key Vaultのターゲットおよびエージェントを削除します。
    2. Oracle Key Vault管理コンソールにログインし、Oracle Audit VaultとOracle Key Vaultを再統合します。

18.5.3 マルチマスター・クラスタとリストア操作

マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• クラスタ内のすべてのノードが失われた場合にのみリストアする必要があります。
• バックアップが作成されたノードと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにバックアップをリストアする必要があります。そうしないと、リストアされたバックアップに接続するためのエンドポイントの機能に影響する可能性があります。
• リストア操作の後、リストアされたサーバーを新しいクラスタの最初のノードとして使用する必要があります。

18.5.4 プライマリ・スタンバイとリストア操作

プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• リストア操作は、プライマリ・データとスタンバイ・データの両方が失われた場合にのみ実行する必要があります。
• バックアップがプライマリから行われた場合でも、バックアップのリストア先はスタンドアロンのOracle Key Vaultサーバーのみにする必要があります。
• プライマリ・ノードから作成したバックアップをリストアする場合は、新規スタンバイとして新しくインストールしたOracle Key Vaultサーバーを使用する必要があります。
• スタンバイ・サーバーがプライマリを引き継いでいて、以前のプライマリが失われている場合は、バックアップのデータを新規スタンバイ・サーバーにリストアする必要はありません。この新規スタンバイ・サーバーをプライマリ/スタンバイ・デプロイメントに追加するだけで、自動的に新しいプライマリと同期されます。

18.5.5 証明書とリストア操作

バックアップ時にインストールされたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。

新規サーバーでサード・パーティの証明書を使用するには、証明書を再インストールする必要があります。

(エンドポイントも新しい証明書を使用するように更新されるように)構成で証明書のローテーションを実行してから、証明書のローテーションが実行される前に作成されたバックアップからOracle Key Vaultサーバーをリストアすると、エンドポイントはリストアされたOracle Key Vaultシステムに接続できなくなります。

18.5.6 システム状態のリストアによる変化

Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

したがって、バックアップが実行された後に加えられた変更は、リストアしたシステムには存在しません。たとえば、あるユーザーのパスワードがバックアップ操作後に変更された場合、リストアしたシステムで新しいパスワードを使用することはできません。リストアしたシステムのパスワードは、バックアップが作成されたときに有効だったものになります。

ノート:

また、リストアを実行すると、リカバリ・パスフレーズもバックアップ中に有効だったものに変更されます。

必要に応じて、ユーザー・パスワードを変更し、バックアップ後に作成されるエンドポイントをエンロールし、その他、同様の変更を行ってください。リストア後には、すべてが正しく構成されていることを確認してください。

適切なバックアップをリストアしたかどうかがわからない場合は、Oracle Key Vaultがスタンドアロン・サーバーの状態を維持していれば、別のバックアップをリストアできます。別のバックアップをリストアするには、まずリストア済のOracle Key Vault自体にあるこのバックアップのリモート宛先を構成してから、リストア・プロセスを開始します。Oracle Key Vaultアプライアンスを再インストールする必要はありません。

Oracle Key Vaultサーバーがリストアされて機能するようなると、それまでのようにOracle Key Vaultデータを新規または以前のリモートの宛先にバックアップできます。

リストア操作後には、ユーザー・パスワードを変更して、Oracle Key Vaultをバックアップすることをお薦めします。

18.6 バックアップおよびリストアのベスト・プラクティス

Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

• バックアップの時点のリカバリ・パスフレーズは、バックアップからデータをリストアするときに必要になるため、すぐに利用できるようにしておきます。

• リカバリ・パスフレーズを変更するときには、常にデータをバックアップします。

• プライマリ・スタンバイ・デプロイメントでは少なくとも1つのリモート・バックアップ先を作成してください。ローカル・バックアップはOracle Key Vaultサーバー自体に存在するため、フェイルオーバーやスイッチオーバーが発生すると失われます。

• リモート・バックアップ先の使用を中止する場合でも、そのバックアップ先に関連付けられているバックアップ・カタログ・ファイルを編集または削除しないでください。該当するサーバーのバックアップからリストアすることが必要になった場合に、バックアップ・カタログ・ファイルが必要になります。

• 複数のバックアップ先に同じリモート・サーバーを使用する場合は、ディレクトリを固有にし、各バックアップ先に個別のバックアップ・カタログ・ファイルが関連付けられるようにします。このようにしないと、その後のバックアップ中にバックアップ・カタログ・ファイルが上書きされ、使用できなくなります。

• バックアップをリストアする場合は、バックアップが作成されたOracle Key Vaultサーバーと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにリストアします。そうしないと、エンドポイントがリストアされたバックアップに接続できない場合があります。

• データをリストアする前に、スケジュールされたすべてのバックアップが完了していることを確認します。

• リモート・バックアップ先を正常に作成する手順:

  • リモート・バックアップ先として使用されているサーバーが有効でアクティブになっていることを確認します。
  • バックアップ先として使用する予定のリモート・サーバーとOracle Key Vaultの間に接続があることを確認します。
  • バックアップ先として指定されたリモート・サーバーがセキュア・コピー・プロトコル(SCP)またはSSHファイル転送プロトコル(SFTP)をサポートしていることを確認します。
  • Oracle Key Vaultにバックアップ先を作成する前に、リモート・サーバーでユーザー・アカウントの資格証明を検証します。
  • バックアップ先ディレクトリへの書込み権限があることを確認します。
  • 複数のサーバーに複数のリモート・バックアップ先を作成し、冗長性を確保します。
  • 複数のバックアップ先に同じリモート・サーバーを使用する場合は、バックアップ先ディレクトリが固有になるようにします。前のバックアップが後のバックアップで上書きされないようにするために、このようにする必要があります。

• 7日ごとに1回限りのバックアップを実行します。

• 期間1日で定期バックアップをスケジューリングします。これにより、1週間に1つのフル・バックアップが保持されます。

• システム変更の前に、ローカルの1回限りのバックアップを実行します。このバックアップは、リストア・ポイントとして使用できます。

• Oracle Key Vaultサーバー・ソフトウェアのアップグレードの前後にバックアップを実行します。

• 証明書のローテーションなどの重要な操作の実行の前後にバックアップを実行します。

• アップグレードが終了するたびにバックアップ先を変更します。可能な場合、バックアップ先を再利用しないでください。