機械翻訳について

Exadata Cloud InfrastructureのOracle Database機能の構成

このトピックでは、Exadata Cloud Infrastructureインスタンスで使用するOracle Multitenant、表領域暗号化およびヒュージ・ページを構成する方法について説明します。

Exadata Cloud InfrastructureインスタンスでのOracle Multitenantの使用

Oracle Database 12c以降を使用するExadata Cloud Infrastructureインスタンスを作成すると、Oracle Multitenant環境が作成されます。

マルチテナント・アーキテクチャを使用すると、Oracleデータベースを、0個以上のプラガブル・データベース(PDB)を含むマルチテナント・コンテナ・データベース(CDB)として機能させることができます。 PDBは、Oracle Netクライアントに非CDBとして表示されるスキーマ、スキーマ・オブジェクトおよび非スキーマ・オブジェクトのポータブル・コレクションです。 Oracle Database 12cより前のバージョンを使用しているすべてのOracleデータベースは、非CDBです。

プラガブル・データベース(PDB)でOracle Transparent Data Encryption (TDE)を使用するには、PDBのマスター暗号化キーを作成してアクティブにする必要があります。

マルチテナント環境では、各PDBに、すべてのコンテナによって使用される単一キーストアに格納される独自のマスター暗号化キーがあります。

Exadata Cloud InfrastructureインスタンスCDBに接続する暗号化されたPDBのマスター暗号化キーをエクスポートおよびインポートする必要があります。

ソースPDBが暗号化されている場合は、マスター暗号化キーをエクスポートしてからインポートする必要があります。

PDB内からTDEマスター暗号化キーをエクスポートおよびインポートすることで、PDBに属するすべてのTDEマスター暗号化キーをエクスポートおよびインポートできます。 TDEマスター暗号化キーのエクスポートおよびインポートでは、PDBのアンプラグおよびプラグ操作がサポートされます。 PDBのアンプラグとプラグでは、PDBに属するすべてのTDEマスター暗号化キー、およびメタデータが対象になります。

リリース191812.2または12.1については、「Oracle Database上級セキュリティ・ガイド」のPDBのTDEマスター暗号化キーのエクスポートおよびインポートに関する項を参照してください。

リリース191812.2または12.1については、「Oracle Database SQL言語リファレンス」のADMINISTER KEY MANAGEMENTを参照してください。

PDBの暗号化キーを作成してアクティブ化する必要があるかどうかを判断

PDB内にマスター暗号化キーを作成し、アクティブ化するには

暗号化キーをエクスポートおよびインポートするには

表領域の暗号化の管理

デフォルトでは、Exadataデータベースに作成するすべての新しい表領域が暗号化されます。

ただし、データベースの作成時に最初に作成される表領域は、デフォルトでは暗号化されない場合があります。

  • Oracle Database 12cリリース2以降を使用するデータベースの場合、データベースの作成時に最初に作成されたUSERS表領域のみが暗号化されます。 USERS以外の表領域を含む他の表領域は暗号化されません:
    • ルート・コンテナ(CDB$ROOT)。
    • シード・プラガブル・データベース(PDB$SEED)。
    • データベースの作成時に作成される最初のPDB。
  • Oracle Database 12cリリース1またはOracle Database 11gを使用するデータベースの場合、データベースの作成時に最初に作成された表領域はいずれも暗号化されません。

Exadataでの表領域暗号化の実装、および様々なデプロイメント・シナリオへの影響の詳細は、「Oracle Database Oracle Cloudの表領域暗号化動作」を参照してください。

暗号化された表領域の作成

ユーザー作成された表領域は、デフォルトで暗号化されます。

デフォルトでは、SQL CREATE TABLESPACEコマンドを使用して作成された新しい表領域は、AES128暗号化アルゴリズムで暗号化されます。 デフォルトの暗号化を使用するためにUSING 'encrypt_algorithm'句を含める必要はありません。

CREATE TABLESPACEコマンドにUSING 'encrypt_algorithm'句を含めることで、サポートされている別のアルゴリズムを指定できます。 サポートされているアルゴリズムは、AES256、AES192、AES128および3DES168です。

表領域の暗号化の管理

ソフトウェア・キーストア (Oracle Database 11gではOracleウォレットと呼ばれる)、マスター暗号化キー、および暗号化をデフォルトで有効にするかどうかの制御を管理できます。

マスター暗号化キーの管理

表領域の暗号化では、2層式のキー・ベースのアーキテクチャを使用して表領域を透過的に暗号化(および復号化)します。 マスター暗号化キーは、外部のセキュリティ・モジュール(ソフトウェア・キーストア)内で保管されます。 このマスター暗号化キーを使用して表領域の暗号化キーを暗号化し、これを使用して表領域でデータを暗号化および復号化します。

Exadata Cloud Serviceインスタンスでデータベースが作成されると、ローカル・ソフトウェア・キーストアが作成されます。 キーストアはコンピュート・ノードに対してローカルであり、データベース作成プロセス中に指定された管理パスワードによって保護されます。 自動ログインのソフトウェア・キーストアは、データベースが起動されたときに自動的に開かれます。

ADMINISTER KEY MANAGEMENT SQL文を使用して、マスター暗号化キーを変更(ローテーション)できます。 たとえば:

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

リリース191812.2または12.1「Oracle Database上級セキュリティ・ガイド」のTDEマスター暗号化キーの管理に関する項、またはリリース11.2「Oracle Database上級セキュリティ管理者ガイド」の「マスター暗号化キーの設定とリセット」を参照してください。

デフォルトの表領域の暗号化の制御

ENCRYPT_NEW_TABLESPACES初期化パラメータは、新しい表領域のデフォルトの暗号化を制御します。 Exadataデータベースでは、このパラメータはデフォルトでCLOUD_ONLYに設定されます。

このパラメータの値は、次のとおりです。

説明
ALWAYS 作成時に、ENCRYPTION句に別のアルゴリズムが指定されていないかぎり、表領域はAES128アルゴリズムで透過的に暗号化されます。
CLOUD_ONLY Exadataデータベースに作成された表領域は、ENCRYPTION句に別のアルゴリズムが指定されていないかぎり、AES128アルゴリズムで透過的に暗号化されます。 非クラウド・データベースの場合、表領域はENCRYPTION句が指定されている場合にのみ暗号化されます。 ENCRYPTION がデフォルト値です。
DDL 作成中、表領域はデフォルトでは透過的に暗号化されず、ENCRYPTION句が指定された場合にのみ暗号化されます。

ノート:

Oracle Database 12cリリース2 (12.2)以降では、Exadataデータベースに暗号化されていない表領域を作成できなくなりました。 ENCRYPT_NEW_TABLESPACESDDLに設定し、ENCRYPTION句を指定せずにCREATE TABLESPACEコマンドを発行すると、エラー・メッセージが返されます。

ヒュージ・ページの管理

ヒュージ・ページを使用すると、大量のメモリーを使用するシステムにおいて、Oracle Databaseのパフォーマンスが大幅に向上します。 Exadata Cloud Infrastructureインスタンス上のOracle Databaseには、デフォルトでヒュージ・ページを使用する構成設定が用意されていますが、ヒュージ・ページの構成を最適化するために手動で調整できます。

ヒュージ・ページはLinuxカーネル2.6に統合されている機能です。 ヒュージ・ページを有効化すると、オペレーティング・システムで大規模なメモリー・ページをサポートすることが可能になります。 ヒュージ・ページを使用することで、仮想メモリー・アドレスと物理メモリー・アドレス間のマッピングを保存するLinuxページ表の管理に必要なシステムCPUとメモリー・リソースが削減され、システムのパフォーマンスが改善されます。 Oracle Databaseの場合、ヒュージ・ページを使用すると、システム・グローバル領域(SGA)に関連するページ表エントリの数を大幅に削減できます。

Exadata Cloud Infrastructureインスタンスでは、標準ページは4 KBですが、ヒュージ・ページはデフォルトで2 MBです。 したがって、50 GB SGAを持つExadata DBシステム上のOracle Databaseでは、25,600ヒュージ・ページのみと比較して、SGAを格納するために13,107,200の標準ページが必要です。 結果として、ページ表がより小さくなり、保存するために必要なメモリーとアクセスおよび管理するCPUリソースも少なくなります。

ヒュージ・ページの構成の調整

Oracle Databaseのヒュージ・ページの構成は、次の2つのステップからなるプロセスです:

  • オペレーティング・システム・レベルでは、ヒュージ・ページに割り当てられるメモリーの総量は/etc/sysctl.confファイルのvm.nr_hugepagesエントリで制御されます。 これは環境内の各コンピュート・ノードで設定されます。すべてのコンピュート・ノードで、この設定を同じにすることをお薦めします。 Huge Page割当てを変更するには、各コンピュート・ノードで次のコマンドをルート・ユーザーとして実行します:

    # sysctl -w vm.nr_hugepages=value 

    ここで、valueは割り当てるヒュージ・ページの数です。

    Exadata Cloud Infrastructureインスタンスでは、各ヒュージ・ページはデフォルトで2 MBです。 そのため、ヒュージ・ページに50 GBのメモリーを割り当てるには、次のコマンドを実行します。

    # sysctl -w vm.nr_hugepages=25600
  • Oracle Databaseレベルでは、ヒュージ・ページの使用はUSE_LARGE_PAGESインスタンス・パラメータ設定で制御されます。 この設定は、クラスタ・データベースの各データベース・インスタンスに適用されます。 Oracleでは、データベースに関連付けられているすべてのデータベース・インスタンスで一貫性のある設定を強くお薦めします。 次のオプションが使用できます。
    • TRUE - ヒュージ・ページが使用可能である場合に、データベース・インスタンスがこれを使用できることを指定します。 11.2.0.3より後のOracle Databaseのすべてのバージョンについて、Oracleはヒュージ・ページを使用してできるだけ多くのSGAを割り当てます。 Huge Page割当てを使い切ると、標準メモリー・ページが使用されます。
    • FALSE - データベース・インスタンスでヒュージ・ページを使用しないことを指定します。 ヒュージ・ページが使用可能である場合、一般的にこの設定はお薦めできません。
    • ONLY - データベース・インスタンスでヒュージ・ページを使用する必要があることを指定します。 この設定では、SGA全体がヒュージ・ページに収まらない場合、データベース・インスタンスの起動に失敗します。

オペレーティング・システムまたはOracle Databaseレベルで調整を行う場合は、構成全体が機能していることを確認します。

ヒュージ・ページの概要およびヒュージ・ページの構成の詳細は、リリース191812.1または11.2「Oracle Database LinuxおよびUNIXベースのオペレーティング・システムの管理者リファレンス」を参照してください。 リリース12.212.1または11.2については、「Oracle Databaseリファレンス」USE_LARGE_PAGESも参照してください。