2 Oracle Key Vaultのインストール要件

Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどの分野が含まれます。

• システム要件
  システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。
• ネットワーク・ポートの要件
  ネットワーク・ポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。
• サポートされるエンドポイント・プラットフォーム
  Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。
• エンドポイント・データベースの要件
  管理者は、オンライン・マスター・キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

2.1 システム要件

システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。

Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。

Oracle Key Vaultは、専用のサーバーにインストールするか、仮想化プラットフォームへのゲストとしてインストールするか、またはOracle Cloud Infrastructure (OCI)テナンシのコンピュート・インスタンスへのゲストとしてインストールでき、Oracle Cloud Marketplaceから数分でデプロイできます。次のサイトを参照してください。

https://cloudmarketplace.oracle.com/marketplace/app/OracleKeyVault

ただし、仮想マシンは、テストおよび概念の確認に役立ちます。

Oracle Key Vaultソフトウェア・アプライアンスをデプロイするための最小ハードウェア要件は次のとおりです。

• CPU: 最小: x86-64 16コア。推奨: 暗号化アクセラレーションがサポートされた24-48コア(Intel AESNI)。

• メモリー: 最小16 GB RAM推奨: 32–64 GB。

• ディスク: BIOSブート・モードとUEFIブート・モードの両方。ブート・ディスク・サイズが2 TBを超えるシステムの場合、Oracle Key VaultはUEFIモードでのブートのみをサポートします。

• ネットワーク・インタフェース: 1つまたは2つのネットワーク・インタフェース。

• ハードウェアの互換性: Oracle Key Vaultの埋込みオペレーティング・システムでサポートされている任意のIntel x86 64ビット・ハードウェア・プラットフォーム。Oracle Key Vaultは、Unbreakable Enterprise Kernel (UEK)バージョン5とともにOracle Linuxリリース7を使用します。互換性のあるハードウェアのリストは、関連項目のOracle LinuxおよびOracle VMのハードウェア動作保証リストを参照してください。このリストには、選択したハードウェアで動作保証されているOracle Linuxの最小バージョンが含まれています。特に明記しないかぎり、Oracle Linuxリリース7以降のすべてのOracle Linux更新も動作保証されています。オペレーティング・システム・プラットフォームの詳細は、Oracle Linuxのドキュメントを参照してください。

  ノート:

  サポートされているハードウェアは、Oracle LinuxおよびOracle VMのハードウェア動作保証リストから入手できます。「All Operating Systems」を選択し、「Oracle Linux 7.9」を選択して、結果をフィルタします。ただし、Oracle Key VaultではQLogic QL4*ネットワーク・カード・ファミリがサポートされていないことに注意してください。

  Oracle Key Vault では、レガシーBIOSおよびUEFI BIOSのブート・モードの両方がサポートされます。UEFI BIOSモードのサポートにより、Oracle X7-2サーバーなど、UEFI BIOSのみをサポートするサーバーでOracle Key Vaultのインストールが可能になります。

• RESTfulサービス・ユーティリティ: RESTfulサービスを使用してOracle Key Vaultでエンドポイントのオンボーディングを自動化する場合は、RESTfulスクリプトが実行される将来のエンドポイント上のJavaバージョンがリリース1.7.0.21以降であることを確認してください。

  Oracle Database 12.2.0.1以降に含まれているJavaのバージョンは、Oracle Key Vaultでサポートされています。これらのリリースの場合、JAVA_HOMEを$ORACLE_HOME/jdk/jreに設定し、JAVA_HOME/binをPATHに追加します。

  リリース12.2.0.1より前のOracleデータベースの場合、現在のJavaインストールを次のようにして見つけます。

  $ namei /usr/bin/java | grep "l java"

  出力は、次のようになります。

   l java -> /etc/alternatives/java
     l java -> /usr/java/jdk1.8.0_131/jre/bin/java

  この例では、JAVA_HOME=/usr/java/jdk1.8.0_131/jreを設定してから、JAVA_HOME/binをPATH: PATH=$PATH:$JAVA_HOME/binに追加しています。

  OpenJDKはサポートされていません。

ノート:

多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。

2.2 ネットワーク・ポート要件

ネットワークポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。

Oracle Key Vaultとそのエンドポイントでは、一連の固有ポートを使用して通信します。ネットワーク管理者は、ネットワークのファイアウォールでこれらのポートを開く必要があります。

次の表に、Oracle Key Vaultで必要なネットワーク・ポートを示します。

表2-1 Oracle Key Vaultで必要なポート

ポート番号	プロトコル	説明
22	SSH/SCPポート	Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用
161	SNMPポート	モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用
443	HTTPSポート	ブラウザやRESTful管理コマンドなどのWebクライアントがOracle Key Vaultとの通信に使用
5695	HTTPSポート	RESTfulキー管理コマンドでOracle Key Vaultとの通信に使用
1521および1522	データベースのTCPSリスニング・ポート	プライマリ/スタンバイ構成で、プライマリ・サーバーとスタンバイ・サーバーの間の通信にOracle Data Guardで使用されるリスニング・ポート。クラスタ構成では、読取り/書込みノード間の通信に使用されるリスニング・ポート。
7443	HTTPSポート	プライマリ・スタンバイ構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。このポートは、クラスタに新規ノードを追加する場合にも使用されます。
5696	KMIPポート	Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用
7093	TCPポート	マルチマスター・クラスタ構成でOracle GoldenGateがデータを転送するために使用

2.3 サポートされているエンドポイント・プラットフォーム

Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。

Oracleでは、64ビットLinuxのエンドポイントがサポートされますが、オンライン・マスター・キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。エンドポイントが実行されるオペレーティング・システムは、直接または適切なパッチを使用してTransport Layer Security (TLS) 1.2と互換性がある必要があります。

このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。

• Oracle Linux (6および7)

• Oracle Solaris x86 (10および11)

• Oracle Solaris SPARC (10および11)

• RHEL 6および7

• IBM AIX (6.1、7.1および7.2)

  アップグレード元のリリースでAIX 5.3を使用していた場合は、Oracle Key Vaultリリース21.1以降でサポートされなくなったため、そのプラットフォームからエンドポイントを削除する必要があります。

• HP-UX (IA) (11.31)

• Windows Server 2012

2.4 エンドポイント・データベース要件

管理者は、オンライン・マスター・キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

管理者は、オンライン・マスター・キーを使用して、Oracle Database 11.2以降のエンドポイントのTDEマスター暗号化キーを管理できます。Oracle Key Vaultをウォレット管理のみに使用するか、既存のウォレット・デプロイメントをOracle Key Vaultに移行する管理者は、okvutil uploadコマンドを使用してOracleウォレットをOracle Key Vaultにアップロードできます。

Oracle Databaseのエンドポイントを管理する管理者は、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。

Oracle Databaseリリース11.2以降のエンドポイントでは、COMPATIBLE初期化パラメータを11.2.0.0以上に設定します。COMPATIBLEを11.2以上に設定すると、Oracle Key Vaultで透過的データ暗号化が使用可能になります。次に例を示します。

SQL> ALTER SYSTEM SET COMPATIBLE = '11.2.0.0' SCOPE=SPFILE;

これは、オンライン・マスター・キーを使用してTDEマスター暗号化キーを管理するOracle Databaseエンドポイントに適用されます。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。

また、COMPATIBLEパラメータを11.2.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。

Microsoft Windowsエンドポイントの場合、Oracle Key Vaultでは、Oracle Key Vaultリリース時に使用可能な最新のデータベース・リリース・バージョンがサポートされています。たとえば、Oracle Key Vaultリリース21.2の場合、MESライブラリはRDBMSの最新バージョン(APRIL 2021 DBBP)にアップグレードされるため、Oracle Key Vaultでもそれらがアップグレードされています。