19 バックアップおよびリストア操作

バックアップにより、障害発生時にOracle Key Vaultを以前の状態にリストアできます。

• Oracle Key Vaultでのデータのバックアップおよびリストアについて
  Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。
• Oracle Key Vaultのバックアップ先
  バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。
• スケジュール済バックアップと状態
  Oracle Key Vaultでは、バックアップ先に応じたスケジュール済バックアップ・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。
• Oracle Key Vaultバックアップのスケジュールおよび管理
  特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。
• Oracle Key Vaultデータのリストア
  Oracle Key Vaultデータはリモートのバックアップ先から別のOracle Key Vaultサーバーにリストアできます。
• 古いOracle Key Vaultバックアップのパージのスケジューリング
  リモートの宛先でOracle Key Vaultバックアップによって使用されるディスク領域をより適切に管理するために、その場所からの古いバックアップの定期的なパージをスケジュールできます。
• ローカルのOracle Key Vaultバックアップの手動削除
  Oracle Key Vault管理コンソールを使用して、ローカル・バックアップを手動で削除できます。
• Oracle Key Vaultバックアップを格納するためのOracle ZFS Storage Applianceの構成
  Oracle ZFS Storage Applianceは、Oracle Key VaultなどのOracle製品からのデータの格納用に設計されたエンタープライズ・ストレージ・システムです。
• バックアップおよびリストアのベスト・プラクティス
  Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

19.1 Oracle Key Vaultでのデータのバックアップとリストアについて

Oracle Key Vaultを使用して、Oracle Key Vaultデータをバックアップおよびリストアできます。

停止時間を削減し、予期しないデータ損失およびシステム障害からリカバリするために、データを定期的にバックアップする必要があります。新規または既存のOracle Key Vaultサーバーをバックアップからリストアできます。古いバックアップが不要になった場合は、定期的な削除をスケジュールできます。

Oracle Key Vault管理コンソールから、またはOracle Key VaultのRESTfulサービス・コマンドを使用して、バックアップおよびリストア操作を実行できます。Oracle Key Vaultデータをバックアップおよびリストアするには、システム管理者ロールを持っているユーザーである必要があります。バックアップを定期的にスケジューリングして、指定した時間に自動的に実行できます。また、これらの操作をオンデマンドで実行することで、システムの現在のスナップショットを保存できます。

Oracle Key Vaultデータを定期的にバックアップすることをお薦めします。このようにすることで、バックアップとそのデータが最新に保たれます。このバックアップを使用して新規または既存のOracle Key Vaultサーバーをリストアし、最小限のデータ損失で完全稼働できます。

Oracle Key Vaultでは、すべてのバックアップ済データが暗号化されます。リモート宛先を使用する場合、このデータはセキュア・コピー・プロトコル(SCP)またはセキュア・ファイル転送プロトコル(SFTP)を使用してコピーされます。このため、リモート・バックアップ先でSCPまたはSFTPがサポートされていることを確認する必要があります。

Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできる点に注意してください。そのため、クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。

19.2 Oracle Key Vaultのバックアップ先

バックアップ先とは、Oracle Key Vaultデータのコピーおよび格納先となる場所です。

• Oracle Key Vaultのバックアップ先について
  バックアップ先を使用すると、Oracle Key Vault自体または別のサーバーでバックアップ・データを使用できます。
• リモート・バックアップ先の作成
  Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。
• リモート・バックアップ先の設定の変更
  バックアップ先を作成した後は、SCPまたはSFTPポート番号およびユーザー・アカウントの詳細を変更できます。
• リモート・バックアップ先の削除
  リモート・バックアップ先(ローカル宛先ではない)を削除して、その宛先サーバーへの今後のバックアップを中止できます。

19.2.1 Oracle Key Vaultのバックアップ先について

バックアップ先を使用すると、Oracle Key Vault自体または別のサーバーでバックアップ・データを使用できます。

これにより、Oracle Key Vaultサーバーまたはハードウェアで致命的な障害が発生した場合に、関連するすべてのデータを確実にリカバリできます。

通常は、自分がアクセス権を持つ別のサーバーまたはコンピュータ・システムをバックアップ先として指定します。バックアップ先は追加、削除および変更できます。

バックアップ操作では、選択したバックアップ先にOracle Key Vaultデータがコピーされます。データは必要になるまでバックアップ先に格納しておきます。

Oracle Key Vaultでは、ローカルとリモートの2つのタイプのバックアップ先を使用できます。ローカル・バックアップ先はOracle Key Vaultサーバー自体に存在し、リモート・バックアップ先は外部の別のサーバーまたはコンピュータ・システムに存在します。可用性を高めるために、複数のバックアップ先を作成できます。

ローカルおよびリモートのバックアップ先には、次の特性があります。

• ローカル・バックアップ先: ローカル・バックアップ先LOCALはデフォルトで存在し、削除できません。ローカル・バックアップ先へのバックアップはローカル・バックアップです。

  LOCALへのバックアップは、最新状態のOracle Key Vaultを保存するのに役立ちます。こうしたバックアップはディスクに保存されるため、ハードウェアなどの致命的な障害が発生した場合に失われる可能性があります。また、プライマリ/スタンバイ構成では、フェイルオーバー後やスイッチオーバー後に使用できなくなります。最初にプライマリをスタンバイからアンペアリングせずにバックアップをプライマリ/スタンバイに復元することはできません。また、バックアップをクラスタ構成に復元することもできません。そのため、このような構成を使用しているときには、リモートの宛先にデータをバックアップする必要があります。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップで、LOCALへの新規のフル・バックアップが完了すると、以前の定期フル・バックアップや累積増分バックアップは削除されます。また、バックアップを手動で削除することもできます。

• リモート・バックアップ先: リモート・バックアップ先は外部サーバーに存在し、障害時リカバリの目的で地理的に分散できます。リモート・バックアップ先へのバックアップはリモート・バックアップです。リモート・バックアップ先で過度に多くのバックアップが蓄積して過度に多くのディスク容量が使用されないようにするため、これらの古いバックアップの定期的な自動パージをスケジュールできます。

  外部サーバー上の各バックアップ先には、Oracle Key Vaultによりバックアップ先に保持されるバックアップ・カタログ・ファイル(okvbackup.mgr)が関連付けられます。okvbackup.mgrファイルは、実行されたバックアップをカタログ化したものであり、データをリストアする際に使用されます。

  ノート:

  別のOracle Key Vaultサーバーをリモート・バックアップ先として使用することはできません。

注意:

• バックアップ・カタログ・ファイルを削除または変更すると、Oracle Key Vaultでバックアップを検索できなくなることがあります。したがって、このファイルは削除または変更しないでください。

• 異なるOracle Key Vaultサーバーのバックアップ先として、同一のリモート・バックアップ先を構成しないでください。これは、異なるOracle Key Vaultサーバーから同時にバックアップが行われると、互いのカタログ・ファイルが上書きされ、Oracle Key Vaultでバックアップを正しく特定できなくなるためです。

• リモート・バックアップ先を含むバックアップをリストアした後、そのリモート・バックアップ先を継続して使用しないでください。そのバックアップ先にバックアップを送信するように構成されているバックアップ・ジョブを削除します。このバックアップ先を継続して使用すると、バックアップ・カタログ・ファイルが破損することがあります。Oracle Key Vaultが正しいバックアップを見つけられないことがあります。

• マルチマスター・クラスタの各ノードがバックアップを異なるバックアップ先に送信するように構成します。

19.2.2 リモート・バックアップ先の作成

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先を作成できます。

リモート・バックアップ先を作成するには、ユーザー・アカウント、外部サーバー上の一意の既存のディレクトリ場所、および認証方式(パスワード・ベースまたはキー・ベース)を入力する必要があります。この情報は、Oracle Key Vaultでリモート・サーバーとのセキュアな接続を確立するために必要になります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」を選択します。
5. 「Create」をクリックします。

   「Create Backup Destination」ウィンドウが表示されます。

   
   図214_create_backup_dest.pngの説明

6. バックアップ先について次の情報を入力します。

   • Destination Name: バックアップ先を識別するための記述名を入力します。

   • Transfer Method: scpからsftpの間で選択し、ファイルをリモート先にコピーします。

   • Policy: リストからバックアップ・ポリシーを選択します。

   • Hostname: バックアップ先のリモート・サーバーのホスト名またはIPアドレスを入力します。ホスト名を入力する場合は、ホスト名が対応するIPアドレスに変換されるようにDNSを構成してください。リモート・バックアップ先にあるホスト名には、スペース、一重引用符または二重引用符を含めないでください。

   • Port: 外部サーバー上のSCPまたはSFTPポート番号を入力します。デフォルトは22です。

   • Destination Path: バックアップ・ファイルのコピー先として、外部サーバー上の既存のディレクトリのパスを入力します。バックアップ先を作成した後に、このディレクトリの場所を変更することはできません。このパスを、別のOracle Key Vaultサーバーからのバックアップ先にしないでください。リモート・バックアップ先にあるバックアップ先パスには、スペース、一重引用符または二重引用符を含めないでください。

   • Username: リモート・サーバーへのSCPまたはSFTP接続を確立するために使用できるユーザー・アカウントのユーザー名を入力します。このユーザーに、「Destination Path」で指定したディレクトリに対する書込み権限があることを確認します。リモート・バックアップ先にあるユーザー名には、スペース、一重引用符または二重引用符を含めないでください。

   • Authentication Method: 次のいずれかです。

     • Key-based Authentication: 表示される公開キーをコピーして、宛先サーバーにある適切な構成ファイル(authorized_keysなど)に貼り付けます。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

7. 「Save」をクリックします。

Oracle Key Vaultは、/tmpと、「Destination Path」フィールドに指定したディレクトリの両方の下に空のテスト・ファイルを作成して、バックアップ先を作成するために指定した入力を検証します。検証が失敗した場合、バックアップ先は作成されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード、またはキー)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

19.2.3 リモート・バックアップ先の設定の変更

バックアップ先を作成した後は、SCPまたはSFTPポート番号およびユーザー・アカウントの詳細を変更できます。

その他の設定は変更できません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Manage Backup Destinations」を選択します。

   ローカル・バックアップ先(LOCAL)とリモート・バックアップ先を示す「Manage Backup Destinations」ページが表示されます。

5. 変更するバックアップ先の「Edit」アイコンをクリックします。

   「Edit Backup Destination」ページが表示されます。

6. 次の情報を変更します。

   • Policy: リストからバックアップ先ポリシーを選択します。

   • Port: 外部サーバー上のSCPまたはSFTPポート番号を変更します。

   • Destination Public Key: このフィールドには、Oracle Key Vaultが現在リモート・サーバーのknown_hostsファイルに格納している公開キー情報が表示されます。リモート・サーバーの公開キーが変更されると、Oracle Key Vaultはリモート・サーバーとの間でバックアップをコピーできなくなります。新しい公開キーをknown_hostsファイルに格納するには、「Reset Dest Public Key」ボタンをクリックすることで、リモート・サーバーから新しい公開キーを取得して保存します。「Reset Dest Public Key」をクリックした後で、正しい公開キーが保存されていることを確認します。

   • Username: リモート・サーバーへのSCPまたはSFTP接続を確立するために使用できるユーザー・アカウントのユーザー名を入力します。「Destination Path」で指定したパスは変更できないため、このディレクトリに対する書込み権限が新規ユーザーにあることを確認してください。

   • Authentication Method: 次のいずれかです。

     • Password Authentication: 「Username」フィールドに入力したユーザー・アカウントのパスワード。

     • Key-based Authentication: Oracle Key Vault公開キーが変更された場合は、「Public Key」フィールドに表示されている公開キーを再コピーし、宛先サーバーの適切な構成ファイル(authorized_keysなど)に貼り付けます。特定のイベントによって公開キーの変更がトリガーされる可能性があることに注意してください。つまり、新しい公開キーがOracle Key Vaultから適切な構成ファイルに再コピーされるまで、Oracle Key Vaultはバックアップ先を使用できません。これらのイベントには、証明書のローテーション、IPアドレスの変更、クラスタ・ノードへの変換などが含まれますが、これらに限定されているわけではありません。

7. 「Save」をクリックします。

バックアップ先を更新するために入力した情報がOracle Key Vaultにより検証されます。検証に失敗した場合、バックアップ先は更新されません。その場合は、リモート・サーバー上のユーザー・アカウントの値(ユーザー名とパスワード)をチェックし、ユーザーにディレクトリに対する書込み権限があることを確認します。最後に、リモート・サーバーがアクティブであることを確認します。

19.2.4 リモート・バックアップ先の削除

リモート・バックアップ先(ローカル宛先ではない)を削除して、その宛先サーバーへの今後のバックアップを中止できます。

Oracle Key Vaultからリモート・バックアップ先を削除しても、宛先にあるバックアップは削除されません。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Manage Backup Destinations」を選択します。
5. 「Manage Backup Destinations」ページで、削除するバックアップ先のチェック・ボックスを選択します。
6. 「Delete」をクリックします。

19.3 スケジュール済バックアップと状態

Oracle Key Vaultでは、バックアップ先に応じたスケジュール済バックアップ・タイプと、バックアップ・アクティビティの進行状況を示す様々な状態が提供されています。

• スケジュール・バックアップのタイプと状態について
  時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。
• Oracle Key Vaultバックアップのタイプ
  Oracle Key Vaultでは、ワンタイム・バックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。
• Oracle Key Vaultのスケジュール済バックアップの状態
  スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

19.3.1 スケジュール・バックアップのタイプと状態について

時間およびバックアップ先を指定して、Oracle Key Vaultでバックアップをスケジュールできます。

スケジュールした時間になると、バックアップ・プロセスが開始され、システム・バックアップ(バックアップ先に格納されるファイル)が生成されます。バックアップが完了する旅に、1つのバックアップ・ファイルが生成されます。

別のバックアップの進行中はバックアップを開始できません。ニーズの変化に応じて、バックアップのスケジュールを変更できます。バックアップの進行中も、Oracle Key Vaultの操作は続行できます。

システムを再起動すると、進行中のバックアップが終了します。バックアップが発生するようにスケジュールされている時間内にシステムを再起動する必要がある場合は、バックアップを一時停止して、システムの再起動後にバックアップを再開できます。

19.3.2 Oracle Key Vaultバックアップのタイプ

Oracle Key Vaultでは、ワンタイム・バックアップと定期バックアップの2つのタイプのバックアップ・ジョブをスケジュールできます。

• 1回限りのバックアップ: 1回限りのバックアップでは、Oracle Key Vaultシステムのフル・バックアップを作成します。それぞれに独自の開始時間を設定した複数の1回限りのバックアップ・ジョブをスケジュールできます。

  障害が発生してリカバリが必要になったときに備えて、Oracle Key Vaultの構成を大きく変更する場合は、事前に1回限りのローカル・バックアップを実行してください。

  LOCAL宛先には、最新の1回限りのバックアップのみ格納できます。LOCALへの1回限りのバックアップが完了すると、以前のバックアップは削除されます。

• 定期バックアップ: 定期バックアップをスケジュールしたら、Oracle Key Vaultは指定された開始時間にフル・バックアップを作成し、そのバックアップ・スケジュールをACTIVE状態にします。バックアップ期間が過ぎると、別のバックアップが開始されます。最後のフル・バックアップからの経過時間が7日未満の場合、次のバックアップは、最後のフル・バックアップ以降の変更を保持する累積増分バックアップになります。最後のフル・バックアップからの経過時間が7日以上の場合、次のバックアップはフル・バックアップになります。

  たとえば、バックアップ期間が1日の場合、7回ごとにフル・バックアップが行われます。バックアップ期間が8日の場合、すべてのバックアップがフル・バックアップです。バックアップ期間が12時間の場合、累積バックアップが13回行われてから、フル・バックアップが行われます。

  データ損失を最小にするために、定期バックアップは1日以下の期間でスケジュールしてください。

  LOCAL宛先には、最後のフル・バックアップと、そのフル・バックアップ後の累積増分バックアップのみを格納できます。定期バックアップ・スケジュールで新しいフル・バックアップをLOCALに作成すると、LOCALの以前の定期フル・バックアップおよび累積バックアップが削除されます。

  累積増分バックアップは、フル・バックアップより高速です。常に、定期バックアップは1つのみスケジューリングできます。

19.3.3 Oracle Key Vaultのスケジュール済バックアップの状態

スケジュール済バックアップには、スケジュール済、進行中、完了、一時停止の4つの状態があります。

• ACTIVE: バックアップがスケジュールされており、次の開始時間に開始されます。(開始時間は、「Scheduled Backups」ページの「Start Time」列に示されます。)
• PAUSED: 今後のバックアップはすべて保留になり、開始時間を過ぎても開始されません。明示的に再開すると、開始されます。状態をアクティブから一時停止に変更したり、元に戻すことができます。次の状況では、スケジューリング済バックアップを一時停止状態に入れます。
  • Oracle Key Vaultとリモート宛先の間の通信が切断された場合
  • リモート宛先が使用不可の場合
  • バックアップを遅延させる場合
• ONGOING: バックアップが進行中です。
• DONE: バックアップが完了しています。

19.4 Oracle Key Vaultバックアップのスケジュールおよび管理

特定のバックアップ先および時間を指定して、Oracle Key Vaultバックアップをスケジュールできます。

使用するバックアップ先は事前に作成しておく必要があり、バックアップ・スケジュールは変更または削除できます。

• Oracle Key Vaultのバックアップのスケジュール
  ローカルまたはリモートのバックアップ先に対して、1回かぎりのバックアップまたは定期バックアップをスケジュールできます。
• Oracle Key Vaultのバックアップ・スケジュールの変更
  進行中のバックアップのスケジュールは変更できません。
• Oracle Key Vaultからのバックアップ・スケジュールの削除
  バックアップ・スケジュールは、Oracle Key Vault管理コンソールから削除できます。
• プライマリ/スタンバイがOracle Key Vaultバックアップに与える影響
  プライマリ/スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。
• クラスタの使用がOracle Key Vaultバックアップに及ぼす影響
  マルチマスター・クラスタ環境では、個々のノードとクラスタ全体におけるバックアップ・プロセスの動作内容について把握しておく必要があります。
• リカバリ・パスフレーズを使用したバックアップの保護
  Oracle Key Vaultでは、システム・バックアップをリストアできるユーザーを制御するためにリカバリ・パスフレーズを使用します。

19.4.1 Oracle Key Vaultのバックアップのスケジューリング

ローカルまたはリモートのバックアップ先に対して1回限りのバックアップまたは定期バックアップをスケジューリングできます。

1回限りのバックアップを開始する場合は、時間を設定せずに即時に開始できます。ただし、証明書のローテーションやクラスタの操作が進行中の場合は、バックアップ操作をスケジュールしないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Backup」ページで、「Backup」をクリックします。

   「Backup」ページが表示されます。次の図は、「PERIODIC」を選択した場合の表示方法を示しています。

   
   図21_backup.pngの説明

5. 「Name」フィールドにバックアップの名前を入力します。
6. 定期バックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後に最初のバックアップをすぐに実行する場合は、「Now」を選択します。
   2. 「Type」で、「PERIODIC」を選択します。
      「Days」、「Hours」および「Mins」の追加フィールドが表示されます。
   3. 「Days」、「Hours」および「Mins」フィールドで、定期バックアップが発生する間隔を指定します。
   4. 「Destination」で、バックアップ先を選択します。
   5. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。
7. 1回限りのバックアップを実行する場合は、次の手順を実行します。
   1. 「Start Time」フィールドで、「Calendar」アイコンを使用してバックアップの開始時間を指定します。「Schedule」をクリックした後にバックアップをすぐに実行する場合は、「Now」を選択します。
   2. 「Type」で、「ONE-TIME」を選択します。
   3. 「Destination」で、リストからバックアップ先を選択します。
   4. 「Schedule」をクリックし、スケジュールしたバックアップを「Scheduled Backup(s)」ページに追加します。

19.4.2 Oracle Key Vaultのバックアップ・スケジュールの変更

進行中のバックアップのスケジュールは変更できません。

バックアップ・スケジュールを変更するには、状態がアクティブまたは一時停止中である必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Scheduled Backup(s)」ページで、スケジュール済バックアップの名前をクリックします。
5. 「Start Time」を手動で入力するか、カレンダ・アイコンをクリックしてバックアップ・スケジュールの「Start Time」を選択します。

   スケジュール済の開始時間を変更できるのは、まだその時間が過ぎていない場合のみです。つまり、状態が進行中または完了のものは対象外になります。定期バックアップの開始時間は、スケジュール済の開始時間を過ぎていない場合には変更できます。

6. 定期バックアップ・スケジュールを変更する場合は、「Days」、「Hours」および「Mins」フィールドで、定期バックアップが発生する間隔を指定します。
7. Saveを選択します。

19.4.3 Oracle Key Vaultからのバックアップ・スケジュールの削除

Oracle Key Vault管理コンソールからバックアップ・スケジュールを削除できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「Scheduled Backup(s)」ページにリストされているスケジュール済バックアップのチェック・ボックスを選択します。
5. 「Delete」をクリックして、選択したバックアップ・スケジュールを削除します。

19.4.4 プライマリ・スタンバイのOracle Key Vaultバックアップへの影響

プライマリ・スタンバイ・デプロイメントでは、プライマリ・サーバーでバックアップを実行する必要があります。

スタンバイはプライマリと状態が同期されるため、スタンバイをバックアップする必要はありません。

プライマリ・スタンバイ・デプロイメントでフェイルオーバーまたはスイッチオーバーを操作するには、次の動作に注意してください。

• フェイルオーバーまたはプライマリ・スタンバイ・スイッチオーバーがあった場合、進行中のバックアップはすべて終了します。LOCALへのバックアップはOracle Key Vaultサーバー専用なので、フェイルオーバーまたはスイッチオーバーの後にプライマリ・サーバーのローカル・バックアップは利用できません。

• パスワード認証でスケジューリングされているバックアップは、フェイルオーバーまたはスイッチオーバーの後、通常どおり開始されます。

• バックアップはスタンドアロンのサーバーに対してのみリストアできるため、プライマリ/スタンバイ・デプロイメントのペアを解除してから、以前のプライマリにバックアップのリストア操作を実行する必要があります。

19.4.5 クラスタの使用がOracle Key Vaultバックアップに及ぼす影響

マルチマスター・クラスタ環境では、個々のノードとクラスタ全体におけるバックアップ・プロセスの動作内容について把握しておく必要があります。

• Oracle Key Vaultマルチマスター・クラスタ環境では、レプリケーションによって本質的にクラスタ内の別のノードにデータのコピーが作成されます。ただし、バックアップやバックアップ関連操作は、すべての個々のOracle Key Vaultクラスタ・ノードで実行することもできます。
• クラスタのバックアップは完全なクラスタ障害が発生した際の障害時リカバリのために作成し、すべてのバックアップはリモートの場所に保持する必要があります。
• バックアップは、スタンドアロンのOracle Key Vaultサーバーに対してのみリストアできます。クラスタ・ノードはスタンドアロン・サーバーに戻せないため、リモート・バックアップのみを作成する必要があります。

19.4.6 リカバリ・パスフレーズを使用したバックアップの保護

Oracle Key Vaultでは、システム・バックアップをリストアできるユーザーを制御するためにリカバリ・パスフレーズを使用します。

バックアップをリストアするには、バックアップが開始された時点のOracle Key Vaultリカバリ・パスフレーズを使用します。これは、たとえバックアップの完了後にリカバリ・パスフレーズが変更された場合も必要です。常に最新のリカバリ・パスフレーズによって保護されているバックアップのコピーが確実に存在するようにするには、リカバリ・パスフレーズが変更されるたびに新しいバックアップを作成することをお薦めします。

19.5 Oracle Key Vaultデータのリストア

リモート・バックアップ先のOracle Key Vaultデータは、別のOracle Key Vaultサーバーにリストアできます。

このリストア操作により、停止時間とデータ損失が最小限に抑えられます。

• Oracle Key Vaultのリストア・プロセスについて
  リストア・プロセスによって、データベースがバックアップ・データに置き換えられます。
• Oracle Key Vaultデータのリストアの手順
  Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用してスタンドアロン・サーバーにリストアできます。
• マルチマスター・クラスタとリストア操作
  マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• プライマリ/スタンバイとリストア操作
  プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。
• 証明書とリストア操作
  バックアップ時にインストールされていたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。
• システム状態のリストアによる変化
  Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

19.5.1 Oracle Key Vaultのリストア・プロセスについて

リストア・プロセスによって、データベースがバックアップ・データに置き換えられます。

Oracle Key Vaultデータをサーバーにリストアする前に、サーバーのスケジュールされたすべてのバックアップが完了していることを確認する必要があります。

Oracle Key Vaultサーバーにデータをリストアすると、サーバー上のデータがバックアップのデータに置き換えられます。リストアされたデータは、単純にバックアップ時点のものになります。リストア操作によって、Oracle Key Vaultサーバーがバックアップで置き換えられます。これにより、一部のデータが失われる場合があります。エンドポイント・データベースをリストアすることが必要になる場合があります。リストアされるバックアップ内にないデータはすべて失われます。バックアップは、バックアップが作成されたのと同じバージョンのOracle Key Vaultにのみリストアできます。

バックアップの有効期限は最大1年です。

バックアップからデータをリストアするには、バックアップの時点で有効だったリカバリ・パスフレーズが必要です。Oracle Key Vaultをインストールしてからリカバリ・パスフレーズを変更していない場合は、インストール後に作成したリカバリ・パスフレーズを使用する必要があります。

Oracle Key Vaultのデータをリストアするには、次の一般的なステップが必要です。

1. バックアップ環境の設定(Oracle Key Vaultインストール後のバックアップ先の構成など)。

2. ローカルまたはリモートのバックアップ先から使用するバックアップを決定し、リストア・プロセスを開始するリカバリ・パスフレーズを指定して、リストア操作を実行します。

19.5.2 Oracle Key Vaultデータのリストアの手順

Oracle Key Vaultデータは、Oracle Key Vault管理コンソールを使用してスタンドアロン・サーバーにリストアできます。

リストアを開始する前に、正しいリカバリ・パスフレーズがあることを確認してください。リストア・プロセス中にこのパスフレーズを入力する必要があります。また、証明書のローテーション・プロセスが進行中の間は、リストア操作を実行しないでください。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Restore」をクリックします。

   「Restore」ページが表示されます。

   
   図21_restore.pngの説明

5. ドロップダウン・リストから「Source」を選択します。
   値はLOCALまたは構成されたリモートの宛先の名前です。
6. リストア元として使用するバックアップの横にある「Restore」を選択します。
7. 「Restore」をクリックすると、リストアまたはリカバリ・プロセスが開始されます。

   リカバリ・パスフレーズを尋ねてきます。

8. リカバリ・パスフレーズを入力し、「Restore」をクリックして開始します。

   バックアップからリストアが実行され、システムが再起動します。

9. バックアップが完了し、システムが再起動したら、一時停止された定期バックアップ・ジョブを削除してから、新しいバックアップ先を使用して再作成します。
   バックアップ・カタログ・ファイルの破損を避けるために、このようなジョブは削除することをお薦めします。
10. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、リストア操作が完了した後に、これらのアルゴリズムをOracle Key Vaultサーバーに再インストールします。
11. リストア・プロセス前にOracle Audit VaultをOracle Key Vaultと統合していた場合は、次の手順を実行します。
    1. Audit Vault Serverコンソールに管理者としてログインし、Oracle Key Vaultのターゲットおよびエージェントを削除します。
    2. Oracle Key Vault管理コンソールにログインし、Oracle Audit VaultとOracle Key Vaultを再統合します。

19.5.3 マルチマスター・クラスタとリストア操作

マルチマスター・クラスタ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• クラスタ内のすべてのノードが失われた場合にのみリストアする必要があります。
• バックアップが作成されたノードと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにバックアップをリストアする必要があります。そうしないと、リストアされたバックアップに接続するためのエンドポイントの機能に影響する可能性があります。
• リストア操作の後、リストアされたサーバーを新しいクラスタの最初のノードとして使用する必要があります。

19.5.4 プライマリ・スタンバイとリストア操作

プライマリ/スタンバイ・デプロイメントでは、Oracle Key Vaultにデータをリストアする前に、いくつかの要因を考慮する必要があります。

• リストア操作は、プライマリ・データとスタンバイ・データの両方が失われた場合にのみ実行する必要があります。
• バックアップがプライマリから行われた場合でも、バックアップのリストア先はスタンドアロンのOracle Key Vaultサーバーのみにする必要があります。
• プライマリ・ノードから作成したバックアップをリストアする場合は、新規スタンバイとして新しくインストールしたOracle Key Vaultサーバーを使用する必要があります。
• スタンバイ・サーバーがプライマリを引き継いでいて、以前のプライマリが失われている場合は、バックアップのデータを新規スタンバイ・サーバーにリストアする必要はありません。この新規スタンバイ・サーバーをプライマリ/スタンバイ・デプロイメントに追加するだけで、自動的に新しいプライマリと同期されます。

19.5.5 証明書とリストア操作

バックアップ時にインストールされたサード・パーティの証明書は、このバックアップから別のサーバーをリストアするときにはコピーされません。

バックアップ時に使用されているサード・パーティの署名付きコンソール証明書は、Oracle Key Vaultバックアップの一部ではありません。Oracle Key Vaultサーバーをバックアップからリストアする場合、Oracle Key Vaultはサード・パーティの署名付きコンソールをリストアしません。新しくリストアされたOracle Key Vaultサーバーにサード・パーティのコンソール証明書を再インストールする必要があります。

Oracle Key Vaultサービス証明書(CAまたはサーバー証明書)は、Oracle Key Vaultバックアップに含まれています。バックアップをリストアすると、新しくリストアされたOracle Key Vaultサーバーには、バックアップからのサービス証明書が含まれます。ただし、これらの証明書はバックアップが作成された時点のものです。リストアされたCAまたはサーバー証明書は、その後で期限切れになった可能性があります。

バックアップの取得後にCA証明書のローテーションを実行することもできるため、バックアップのCA証明書は、CA証明書のローテーションが行われる前のものになる場合があります。CA証明書のローテーションはすでに完了しているため、すべてのエンドポイントには、バックアップの取得後に作成された新しいCA証明書を使用した新しいエンドポイント証明書が発行されています。リストア後に、古いCA証明書が使用されて、新しいCA証明書を使用して発行された証明書を持つエンドポイントは接続できなくなります。CA証明書のローテーションの前のバックアップをリストアする場合は、古いCA証明書を期限切れとして扱う必要があります。

CAまたはサーバー証明書の有効期限が近づいているか、リストアしたバックアップの後で証明書をローテーションした場合は、リストアの直後にCAおよびサーバー証明書をローテーションしてから、リストアしたサーバーを使用してプライマリ/スタンバイまたはクラスタ・デプロイメントの設定に進むことをお薦めします。

CAまたはサーバー証明書がすでに期限切れになっている場合は、Oracleサポートに問い合せてください。

ベスト・プラクティスとして、CA証明書のローテーションの実行前および実行後にOracle Key Vaultサーバーをバックアップします。

19.5.6 システム状態のリストアによる変化

Oracle Key Vaultサーバーをリストアすると、システム状態は、バックアップが最後に実行された時点まで戻されます。

したがって、バックアップが実行された後に加えられた変更は、リストアしたシステムには存在しません。たとえば、あるユーザーのパスワードがバックアップ操作後に変更された場合、リストアしたシステムで新しいパスワードを使用することはできません。リストアしたシステムのパスワードは、バックアップが作成されたときに有効だったものになります。

ノート:

また、リストアを実行すると、リカバリ・パスフレーズもバックアップ中に有効だったものに変更されます。

必要に応じて、ユーザー・パスワードを変更し、バックアップ後に作成されるエンドポイントをエンロールし、その他、同様の変更を行ってください。リストア後には、すべてが正しく構成されていることを確認してください。

適切なバックアップをリストアしたかどうかがわからない場合は、Oracle Key Vaultがスタンドアロン・サーバーの状態を維持していれば、別のバックアップをリストアできます。別のバックアップをリストアするには、まずリストア済のOracle Key Vault自体にあるこのバックアップのリモート宛先を構成してから、リストア・プロセスを開始します。Oracle Key Vaultアプライアンスを再インストールする必要はありません。

Oracle Key Vaultサーバーがリストアされて機能するようなると、それまでのようにOracle Key Vaultデータを新規または以前のリモートの宛先にバックアップできます。

リストア操作後には、ユーザー・パスワードを変更して、Oracle Key Vaultをバックアップすることをお薦めします。

19.6 古いOracle Key Vaultバックアップのパージのスケジューリング

リモートの宛先でOracle Key Vaultバックアップによって使用されるディスク領域をより適切に管理するために、その場所からの古いバックアップの定期的なパージをスケジュールできます。

• 古いOracle Key Vaultバックアップのパージのスケジューリングについて
  古いOracle Key Vaultバックアップをリモートの宛先から自動的にパージできます。
• バックアップ先ポリシーの作成
  Oracle Key Vault管理コンソールを使用すると、リモートの宛先からのOracle Key Vaultバックアップの定期的なパージを管理できます。
• リモート・バックアップ先へのバックアップ先ポリシーの追加
  バックアップ先ポリシーを作成したら、それを1つ以上のリモート・バックアップ先に関連付けることができます。
• バックアップ先ポリシーの変更
  Oracle Key Vault管理コンソールを使用して、バックアップ先ポリシーを変更できます。
• バックアップ先ポリシーの一時停止
  Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先のバックアップ先ポリシーを一時停止できます。
• 一時停止されたバックアップ先ポリシーの再開
  Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先の一時停止されたバックアップ先ポリシーを再開できます。
• バックアップ先ポリシーの削除
  Oracle Key Vault管理コンソールを使用して、バックアップ先ポリシーを削除できます。
• バックアップ先ポリシーに関する情報の確認
  「Manage Backup Destinations」ページで、バックアップ先ポリシーに関する情報を確認できます。

19.6.1 古いOracle Key Vaultバックアップのパージのスケジューリングについて

古いOracle Key Vaultバックアップをリモートの宛先から自動的にパージできます。

古いOracle Key Vaultバックアップの定期的にスケジュールされた削除を実行することで、バックアップ先に新しいバックアップを格納できる十分な領域を確保できます。このタスクは、Oracle Key Vault管理コンソールまたはOracle Key VaultのRESTfulサービス・コマンドを使用して実行できます。定期的にリモートの宛先からバックアップを自動的にパージするには、バックアップ先ポリシーを作成し、リモートの宛先に割り当てます。バックアップ先ポリシーにより、パージする必要があるバックアップを選択するためのルールが定義されます。バックアップ先ポリシーを複数のリモートの宛先に関連付けることができます。リモートの宛先のバックアップ先ポリシーを個別に一時停止または再開できます。ポリシーを作成してバックアップ先に割り当てるには、システム管理者ロールを持つユーザーである必要があります。

19.6.2 バックアップ先ポリシーの作成

Oracle Key Vault管理コンソールを使用すると、リモートの宛先からのOracle Key Vaultバックアップの定期的なパージを管理できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Manage Backup Destinations」ページで、「Manage Policies」をクリックします。
6. 「Manage Backup Destination Policies」ページで、「Create」をクリックします。
   「Create Backup Destination Policy」ページが表示されます。

   
   図214_purge_backups.pngの説明

7. 次の値を入力します。
   • Name: バックアップ先ポリシーの名前を入力します。
   • Recent Backups to Preserve: 常に保持する必要がある最新のバックアップの数を入力します。有効な値は1から999です。たとえば、10の値を構成すると、経過期間に関係なく最新の10個のバックアップがパージされなくなります。これらのバックアップは引き続き使用できます。
   • Purge Backup After (in days): バックアップをパージするまでの日数を入力します。パージの対象となるバックアップは、「Recent Backups to Reserve」フィールドに指定されている最新のバックアップの数に含まれる場合は、引き続き使用できます。有効な値は1から999です。たとえば、30の値を構成すると、保持する最新の必要なバックアップ数に含まれていないかぎり、30日より古いバックアップがパージされます。
8. 「Save」をクリックします。

ポリシーの作成後、このポリシーを使用するようにリモート・バックアップ先を変更できます。

19.6.3 リモート・バックアップ先へのバックアップ先ポリシーの追加

バックアップ先ポリシーを作成したら、それを1つ以上のリモート・バックアップ先に関連付けることができます。

バックアップ先ポリシーをリモート・バックアップ先に追加した後は、宛先でバックアップ・ジョブが実行されるたびに、Oracle Key Vaultによってポリシーに従ってバックアップが削除されます。

ノート:

リモート・バックアップ先が転送方法としてSCPを使用する場合、宛先で削除されたバックアップに関連付けられたファイルは、0バイトのサイズのファイルに置き換えられます。これらの0バイトのサイズのファイルは安全に削除できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. バックアップ先ポリシーに関連付けるバックアップ先の「Edit」アイコンをクリックします。
   「Edit Backup Destination」ページが表示されます。
6. 「Policy」メニューから、バックアップ先ポリシーを選択します。
7. 「Save」をクリックします。

19.6.4 バックアップ先ポリシーの変更

Oracle Key Vault管理コンソールを使用して、バックアップ先ポリシーを変更できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Manage Backup Destinations」ページで、「Manage Policies」をクリックします。
   「Manage Backup Destination Policies」に、既存のポリシーがリストされます。
6. 変更するバックアップ先ポリシーの「Edit」アイコンをクリックします。
7. 「Edit Backup Destination Policy」ページで、次のフィールドを変更します。
   • Recent Backups to Preserve: 常に保持する必要がある最新のバックアップの数を入力します。有効な値は1から999です。たとえば、10の値を構成すると、経過期間に関係なく最新の10個のバックアップがパージされなくなります。これらのバックアップは引き続き使用できます。
   • Purge Backup After (in days): バックアップをパージするまでの日数を入力します。パージの対象となるバックアップは、「Recent Backups to Reserve」フィールドに指定されている最新のバックアップの数に含まれる場合は、引き続き使用できます。有効な値は1から999です。たとえば、30の値を構成すると、保持する最新の必要なバックアップ数に含まれていないかぎり、30日より古いバックアップがパージされます。
8. 「Save」をクリックします。

19.6.5 バックアップ先ポリシーの一時停止

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先のバックアップ先ポリシーを一時停止できます。

宛先に関連付けられたバックアップ先ポリシーが一時停止されている場合、Oracle Key Vaultはリモートの宛先からバックアップをパージしません。関連するリモートの宛先ごとに、バックアップ先ポリシーを個別に一時停止する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Manage Backup Destinations」ページで、ポリシーを一時停止する宛先の名前をクリックします。
   「Backup Destination Policy」領域に、関連するポリシーが表示されます。
6. 「Backup Destination Policy」で、「Suspend」をクリックします。
   成功すると、「State」が「Suspended」に変わります。

19.6.6 一時停止されたバックアップ先ポリシーの再開

Oracle Key Vault管理コンソールを使用して、リモート・バックアップ先の一時停止されたバックアップ先ポリシーを再開できます。

宛先に関連付けられたバックアップ先ポリシーが再開されている場合、Oracle Key Vaultはリモートの宛先からのバックアップのパージを再開します。関連するリモートの宛先ごとに、バックアップ先ポリシーを個別に再開する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Manage Backup Destinations」ページで、ポリシーを一時停止する宛先の名前をクリックします。
   「Backup Destination Policy」領域に、関連するポリシーが表示されます。
6. 「Backup Destination Policy」で、「Resume」をクリックします。
   成功すると、「State」が「Active」に変わります。

19.6.7 バックアップ先ポリシーの削除

Oracle Key Vault管理コンソールを使用して、バックアップ先ポリシーを削除できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Manage Backup Destinations」ページで、「Manage Policies」をクリックします。
6. 「Manage Backup Destination Policies」ページで、削除するバックアップ先ポリシーのチェック・ボックスを選択し、「Delete」をクリックします。
7. 確認のダイアログ・ボックスで、「OK」をクリックします。

19.6.8 バックアップ先ポリシーに関する情報の確認

「Manage Backup Destinations」ページで、バックアップ先ポリシーに関する情報を確認できます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
   「Manage Backup Destinations」ページには、現在構成されているバックアップ先がリストされます。

   • 宛先の使用可能なバックアップ
   • バックアップ先に関連付けられたポリシー
5. 「Manage Backup Destinations」ページで、「Manage Policies」をクリックします。
   「Manage Backup Destination Policies」ページには、現在構成されているバックアップ先ポリシーがリストされます。ポリシー名をクリックすると、ポリシーによってパージされたバックアップが表示されます。「Purged」のステータス値は、バックアップがポリシーによって正常に削除されたことを示します。「Unknown」の値は、バックアップの削除中に問題が発生したことを示します。問題の例として、リモートの宛先の使用できないバックアップや、このリモート・バックアップを削除する権限がないOracle Key Vaultなどがあります。

   • 現在のバックアップ先ポリシー
   • パージされたバックアップ

19.7 ローカルのOracle Key Vaultバックアップの手動削除

Oracle Key Vault管理コンソールを使用して、ローカル・バックアップを手動で削除できます。

定期フル・バックアップを削除すると、すべての増分バックアップも削除されます。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」領域で、「Backup and Restore」をクリックします。
4. 「System Backup」ページで、「Manage Backup Destinations」をクリックします。
5. 「Backup Destinations」領域で、ローカル宛先の「Edit」アイコンをクリックします。
   ローカル宛先の「Edit Backup Destination」ページには、宛先の使用可能なバックアップがリストされます。
6. 「Available Backups」表で、削除するバックアップのチェック・ボックスを選択し、「Delete」をクリックします。
7. 確認のダイアログ・ボックスで、「OK」をクリックします。

19.8 Oracle Key Vaultバックアップを格納するためのOracle ZFS Storage Applianceの構成

Oracle ZFS Storage Applianceは、Oracle Key VaultなどのOracle製品からのデータの格納用に設計されたエンタープライズ・ストレージ・システムです。

• ステップ1: Oracle ZFS Storage Applianceでのストレージ・プロジェクトの作成
  Oracle ZFS Storage Applianceでは、Oracle Key Vaultバックアップの不変なスナップショットを作成できます。
• ステップ2: Oracle Key Vault公開キーのOracle ZFS Storage Applianceへのコピー
  Oracle ZFS Storage Applianceストレージ・プロジェクトには、Oracle Key Vaultバックアップの作成時に生成されるバックアップ・キーが必要です。
• ステップ3: Oracle ZFS Storage Applianceプロジェクトの作成の完了
  Oracle Key Vaultバックアップ・キーを使用すると、Oracle ZFS Storage Applianceプロジェクトの構成を完了できます。
• ステップ4: Oracle ZFS Storage Applianceプロジェクトに接続するためのOracle Key Vaultの構成
  Oracle ZFS Storage Applianceストレージ・プロジェクトには、Oracle Key Vaultバックアップの作成時に生成されるバックアップ・キーが必要です。

19.8.1 ステップ1: Oracle ZFS Storage Applianceでのストレージ・プロジェクトの作成

Oracle ZFS Storage Applianceでは、Oracle Key Vaultバックアップの不変なスナップショットを作成できます。

Oracle ZFS Storage Applianceの保存期間機能は、Oracle Key Vaultのバックアップ・ポリシー機能とうまく連携し、Oracle Key Vaultにセキュアで領域効率の高いバックアップ・ソリューションをもたらします。

Oracle Key Vaultのバックアップ先としてOracle ZFS Storage Applianceを構成するステップには、Oracle Key Vaultのログインが可能になるユーザー(セキュア・ファイル転送プロトコル(SFTP)のみを使用し、オプションで公開キー認証を使用して認証されます)をOracle ZFS Storage Applianceに作成することが含まれます。次に、不変なスナップショットを作成するプロジェクト、ファイルシステム、スケジュールを作成し、保存期間を定義する必要があります。最後に、Oracle Key Vaultで、Oracle ZFS Storage Applianceをバックアップ先として定義してから、バックアップ・スケジュールを作成する必要があります。

1. バックアップ・プロジェクトを作成する権限を持つユーザーとして、Oracle ZFS Storage Applianceにログインします。
2. 「Configuration」タブを選択し、「Configuration」ページでプラス(+)記号をクリックして「Users」を展開します。
3. 「User Properties」ページで、Oracle Key Vaultバックアップ・プロジェクトを担当するユーザーを作成します。「User Properties」ページで、次の手順を実行します。
   1. 「Type」メニューから「Local」を選択します。
   2. 「Username」フィールドおよび「Full Name」フィールドに、ユーザーの名前を入力します。
   3. 「Password」フィールドおよび「Confirm」フィールドに、ユーザー・パスワードを入力します。
   4. 「ADD」をクリックします。
4. SFTPを構成します。
   1. 「Configuration」ページで、「Services」を展開します。
   2. 「Data Services」で、「SFTP」を選択して有効にします。このページがそのように展開されて、SFTP構成の詳細を追加できるように、「SFTP Properties」ページが表示されます
   3. 「General Settings」で、「Port (for incoming connections)」フィールドが218に設定されていることを確認します。
5. このページを閉じないでください。バックアップ先の作成を完了するために、後のステップでこのページに戻る必要があります。

19.8.2 ステップ2: Oracle Key Vault公開キーのOracle ZFS Storage Applianceへのコピー

Oracle ZFS Storage Applianceストレージ・プロジェクトには、Oracle Key Vaultバックアップの作成時に生成されるバックアップ・キーが必要です。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vaultにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」で、「Backup and Restore」を選択します。
4. 「Manage Backup Destinations」を選択します。
5. 「Manage Backup Destinations」ページで、「Create」をクリックします。
6. 「Create Backup Destination」ページで、「Public Key」フィールドにスクロールします。
7. 行ssh-rsaを除く、フィールドの内容をコピーします。
8. Oracle Key Vaultを終了しないでください。後のステップで戻る必要があります。

19.8.3 ステップ3: Oracle ZFS Storage Applianceプロジェクトの作成の完了

Oracle Key Vaultバックアップ・キーを使用すると、Oracle ZFS Storage Applianceプロジェクトの構成を完了できます。

1. Oracle ZFS Storage Applianceで、SFTPの「Services」ページに戻ります。
2. 「Security Settings」の後に表示される「Keys」領域を展開します。
3. 「New Key」ダイアログ・ボックスで、次の手順を実行します。
   1. 「Cipher」で、「RSA」が選択されていることを確認します。
   2. 「Key」フィールドに、Oracle Key Vaultの公開キーを貼り付けます。
   3. 「ADD」をクリックします。
4. 「Shares」タブをクリックし、「Projects」をクリックします。
5. 「Projects」の横にあるプラス(+)記号をクリックします。
6. 「Create Project」ダイアログ・ボックスの「Name」フィールドに、プロジェクトの名前を入力します。「APPLY」をクリックします。
7. プロジェクト名の上にマウスを移動し、右に表示される鉛筆アイコンをクリックします
   新しいプロジェクトは、「Projects」の横にタブとして表示されます。
8. 「一般」タブをクリックします。
9. プロジェクト・ページの下部までスクロールして、「Default Settings」領域に移動します。
10. 「User」フィールドに、構成を開始したときに作成したユーザーの名前を入力します。
11. Oracle Key Vaultバックアップ接続のプロトコルを構成します。
    1. 「Protocols」タブをクリックします。
    2. 「SFTP」で、「Share mode」メニューから「Read/write」を選択します。
    3. 「APPLY」をクリックします。
12. Oracle Key Vault構成の保持を構成します。
    1. 「Snapshots」タブをクリックします。
    2. 「Properties」で、「Scheduled Snapshot Label」フィールドに、Oracle ZFS Storage Applianceの定期バックアップの名前を入力します。
    3. 「Enable retention policy for Scheduled Snapshots」オプションを選択して、保持を有効にします。
    4. 「APPLY」をクリックします。
13. バックアップ・スケジュールの頻度を構成します。
    1. 「Snapshots」領域で、「Schedules」の横にあるプラス記号(+)を選択します。
    2. 「FREQUENCY」で、バックアップの頻度(「every day」など)を設定します。
    3. 「scheduled time」の後で、バックアップを実行する時刻を設定します。
    4. 「KEEP AT MOST」で、保持するバックアップの合計数を選択します。
    5. 「RETENTION」で、バックアップが不変になるように「Locked」を選択します。
    6. 「APPLY」をクリックします。
14. Oracle Key Vaultバックアップ用のファイル・システムを作成します。
    1. 「Shares」タブを選択します。
    2. 「Filesystems」の横にあるプラス記号(+)をクリックします。
    3. 「Create Filesystem」ダイアログ・ボックスで、次の手順を実行します。
       • 「Project」メニューから、Oracle Key Vaultプロジェクトの名前を選択します。
       • 「Name」フィールドに、ファイル・システムの名前を入力します(たとえば、Oracle Key Vaultプロジェクトに使用されるものと同じ名前)。
       • 「User」フィールドに、Oracle Key Vaultプロジェクトを担当するユーザーの名前を入力します。
       • 「APPLY」をクリックします。
15. オプションで、Oracle ZFS Storage Applianceを終了します。

19.8.4 ステップ4: Oracle ZFS Storage Applianceプロジェクトに接続するためのOracle Key Vaultの構成

Oracle ZFS Storage Applianceストレージ・プロジェクトには、Oracle Key Vaultバックアップの作成時に生成されるバックアップ・キーが必要です。

1. システム管理者ロールを持つユーザーとして、Oracle Key Vaultにログインします。
2. 「System」タブを選択し、左側のナビゲーション・バーで「Settings」を選択します。
3. 「System Configuration」で、「Backup and Restore」を選択します。
4. 「Manage Backup Destinations」を選択します。
5. 「Manage Backup Destinations」ページで、「Create」をクリックします。
6. 「Create Backup Destination」ページで、次の手順を実行します。
   1. 「Destination Name」フィールドに、バックアップ先の名前を入力します。
   2. 「Transfer Method」で、「sftp」を選択します。
   3. 「Hostname」に、Oracle ZFS Storage Applianceが存在するサーバーのホスト情報(IPアドレスまたはサーバーの名前)を入力します。
   4. 「Port」が、作成したOracle ZFS Storage Applianceプロジェクトで指定されたポート番号と一致していることを確認します。
   5. 「Destination Path」に、/export/に続けて、ファイル・システムを構成したときにOracle ZFS Storage Applianceで指定したファイル・システム名を入力します。
   6. 「User Name」フィールドに、Oracle ZFS Storage ApplianceでOracle Key Vaultバックアップ・プロジェクトを管理するように構成されたユーザーの名前を入力します
   7. 「Save」をクリックして、バックアップ先を作成します。
7. 左側のナビゲーション・バーで、「System Backup」、「Backup」の順に選択します。
8. 「Backup」ページで、次の手順を実行します。
   1. 「Name」フィールドにバックアップの名前を入力します。
   2. 「Start Time」で、カレンダ・アイコンを使用してバックアップを開始する時間を指定します。
   3. 「Destination」で、メニューから「ZFS」を選択します。
   4. 「Type」で、「Periodic」を選択し、バックアップの日数、時間数および分数を入力します。
   5. 「Schedule」をクリックします。
      スケジュール済バックアップが、「System Backup」ページの「Scheduled Backups」領域に表示されます。

19.9 バックアップおよびリストアのベスト・プラクティス

Oracleでは、最短の停止時間と最小限のデータ損失で致命的な障害からリカバリできるように、バックアップを最新の状態に維持するためのベスト・プラクティスが提供されています。

• バックアップの時点のリカバリ・パスフレーズは、バックアップからデータをリストアするときに必要になるため、すぐに利用できるようにしておきます。

• リカバリ・パスフレーズを変更するときには、常にデータをバックアップします。

• プライマリ・スタンバイ・デプロイメントでは少なくとも1つのリモート・バックアップ先を作成してください。ローカル・バックアップはOracle Key Vaultサーバー自体に存在するため、フェイルオーバーやスイッチオーバーが発生すると失われます。

• リモート・バックアップ先の使用を中止する場合でも、そのバックアップ先に関連付けられているバックアップ・カタログ・ファイルを編集または削除しないでください。該当するサーバーのバックアップからリストアすることが必要になった場合に、バックアップ・カタログ・ファイルが必要になります。

• 複数のバックアップ先に同じリモート・サーバーを使用する場合は、ディレクトリを固有にし、各バックアップ先に個別のバックアップ・カタログ・ファイルが関連付けられるようにします。このようにしないと、その後のバックアップ中にバックアップ・カタログ・ファイルが上書きされ、使用できなくなります。

• バックアップをリストアする場合は、バックアップが作成されたOracle Key Vaultサーバーと同じIPアドレスを持つスタンドアロンのOracle Key Vaultサーバーにリストアします。そうしないと、エンドポイントがリストアされたバックアップに接続できない場合があります。

• データをリストアする前に、スケジュールされたすべてのバックアップが完了していることを確認します。

• リモート・バックアップ先を正常に作成する手順:

  • リモート・バックアップ先として使用されているサーバーが有効でアクティブになっていることを確認します。
  • バックアップ先として使用する予定のリモート・サーバーとOracle Key Vaultの間に接続があることを確認します。
  • バックアップ先として指定されたリモート・サーバーがセキュア・コピー・プロトコル(SCP)またはSSHファイル転送プロトコル(SFTP)をサポートしていることを確認します。
  • Oracle Key Vaultにバックアップ先を作成する前に、リモート・サーバーでユーザー・アカウントの資格証明を検証します。
  • バックアップ先ディレクトリへの書込み権限があることを確認します。
  • 複数のサーバーに複数のリモート・バックアップ先を作成し、冗長性を確保します。
  • 複数のバックアップ先に同じリモート・サーバーを使用する場合は、バックアップ先ディレクトリが固有になるようにします。前のバックアップが後のバックアップで上書きされないようにするために、このようにする必要があります。

• 7日ごとに1回限りのバックアップを実行します。

• 期間1日で定期バックアップをスケジューリングします。これにより、1週間に1つのフル・バックアップが保持されます。

• システム変更の前に、ローカルの1回限りのバックアップを実行します。このバックアップは、リストア・ポイントとして使用できます。

• Oracle Key Vaultサーバー・ソフトウェアのアップグレードの前後にバックアップを実行します。

• 証明書のローテーションなどの重要な操作の実行の前後にバックアップを実行します。

• アップグレードが終了するたびにバックアップ先を変更します。可能な場合、バックアップ先を再利用しないでください。