2 Oracle Key Vaultのインストール要件
Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどの分野が含まれます。
- システム要件
システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。 - ネットワーク・ポートの要件
ネットワーク・ポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。 - サポートされるエンドポイント・プラットフォーム
Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。 - エンドポイント・データベースの要件
管理者は、オンライン・マスター暗号化キーおよびOracle DatabaseCOMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。
2.1 システム要件
システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。
Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。
Oracle Key Vaultは、専用のサーバーにインストールするか、仮想化プラットフォームへのゲストとしてインストールするか、またはOracle Cloud Infrastructure (OCI)テナンシのコンピュート・インスタンスへのゲストとしてインストールでき、Oracle Cloud Marketplaceから数分でデプロイできます。次のサイトを参照してください。
https://cloudmarketplace.oracle.com/marketplace/app/OracleKeyVault
ただし、仮想マシンは、テストおよび概念の確認に役立ちます。
Oracle Key Vaultソフトウェア・アプライアンスをデプロイするための最小ハードウェア要件は次のとおりです。
-
CPU: 最小: x86-64 16コア。推奨: 暗号化アクセラレーションがサポートされた24-48コア(Intel AESNI)。
-
メモリー: 最小16 GB RAM推奨: 32–64 GB。
-
ディスク: 最小2 TB。推奨: 4 TB。
Oracle Key Vaultでは、ブート・ディスクに対するマルチパスを持つファイバ・チャネル・ベースのストレージはサポートされていません。
BIOSおよびUEFI両方のブート・モード。ブート・ディスク・サイズが2 TBを超えるシステムの場合、Oracle Key VaultはUEFIモードでのブートのみをサポートします。ノート:
Oracle Key Vaultでは、ブート・ディスクに対するマルチパスを持つファイバ・チャネル・ストレージはサポートされていません。 -
ネットワーク・インタフェース: 1つまたは2つのネットワーク・インタフェース。
-
ハードウェアの互換性: Oracle Key Vaultの埋込みオペレーティング・システムでサポートされている任意のIntel x86 64ビット・ハードウェア・プラットフォーム。Oracle Key Vaultは、Unbreakable Enterprise Kernel (UEK)バージョン5とともにOracle Linuxリリース7を使用します。互換性のあるハードウェアのリストは、関連項目のOracle LinuxおよびOracle VMのハードウェア動作保証リストを参照してください。このリストには、選択したハードウェアで動作保証されているOracle Linuxの最小バージョンが含まれています。特に明記しないかぎり、Oracle Linuxリリース7以降のすべてのOracle Linux更新も動作保証されています。オペレーティング・システム・プラットフォームの詳細は、Oracle Linuxのドキュメントを参照してください。
ノート:
サポートされているハードウェアは、Oracle LinuxおよびOracle VMのハードウェア動作保証リストから入手できます。「All Operating Systems」を選択し、「Oracle Linux 7.9」を選択して、結果をフィルタします。ただし、Oracle Key VaultではQLogic QL4*ネットワーク・カード・ファミリがサポートされていないことに注意してください。Oracle Key Vaultでは、レガシーBIOSおよびUEFIのブート・モードの両方がサポートされます。UEFI BIOSモードのサポートにより、Oracle X7-2サーバーなど、UEFI BIOSのみをサポートするサーバーでOracle Key Vaultのインストールが可能になります。
- RAID: Oracle Key Vaultでは、ソフトウェアRAIDのインストールはサポートされていません。RAID構成が必要な場合は、1つのディスクをOracle Key Vaultに提示するハードウェアRAIDを有効にします。
-
RESTfulサービス・ユーティリティ: RESTfulサービスを使用してOracle Key Vaultでエンドポイントのオンボーディングを自動化する場合は、RESTfulスクリプトが実行される将来のエンドポイント上のJavaバージョンがリリース1.7.0.21以降であることを確認してください。
Oracle Database 12.2.0.1以降に含まれているJavaのバージョンは、Oracle Key Vaultでサポートされています。これらのリリースの場合、
JAVA_HOMEを$ORACLE_HOME/jdk/jreに設定し、JAVA_HOME/binをPATHに追加します。リリース12.2.0.1より前のOracleデータベースの場合、現在のJavaインストールを次のようにして見つけます。
$ namei /usr/bin/java | grep "l java"出力は、次のようになります。
l java -> /etc/alternatives/java l java -> /usr/java/jdk1.8.0_131/jre/bin/javaこの例では、
JAVA_HOME=/usr/java/jdk1.8.0_131/jreを設定してから、JAVA_HOME/binをPATH: PATH=$PATH:$JAVA_HOME/binに追加しています。OpenJDKはサポートされていません。
ノート:
多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。2.2 ネットワーク・ポート要件
ネットワークポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。
Oracle Key Vaultとそのエンドポイントでは、一連の固有ポートを使用して通信します。ネットワーク管理者は、ネットワークのファイアウォールでこれらのポートを開く必要があります。これらのポートは構成できません。
次の表に、Oracle Key Vaultで必要なネットワーク・ポートを示します。
表2-1 Oracle Key Vaultで必要なポート
| ポート番号 | プロトコル | 説明 |
|---|---|---|
|
|
SSH/SCPポート |
Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用 |
|
|
SNMPポート |
モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用 |
|
|
HTTPSポート |
ブラウザやRESTful管理コマンドなどのWebクライアントがOracle Key Vaultとの通信に使用 |
|
|
HTTPSポート |
RESTfulキー管理コマンドでOracle Key Vaultとの通信に使用 |
|
|
データベースのTCPSリスニング・ポート |
プライマリ/スタンバイ構成で、プライマリ・サーバーとスタンバイ・サーバーの間の通信にOracle Data Guardで使用されるリスニング・ポート。クラスタ構成では、読取り/書込みノード間の通信に使用されるリスニング・ポート。 |
|
|
HTTPSポート |
プライマリ・スタンバイ構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。このポートは、クラスタに新規ノードを追加する場合にも使用されます。 |
|
|
KMIPポート |
Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用 |
|
|
TCPポート |
マルチマスター・クラスタ構成でOracle GoldenGateがデータを転送するために使用 |
- 上の表に示されているポートを開くためのルールを追加します。
- 次のイングレス・ルールを追加します。
- ICMPタイプ3、コード4 (宛先到達不能、フラグメンテーションが必要で
Don't Fragmentフラグが設定されている)。 - ICMPタイプ8、コード0 (エコー・リクエスト、宛先ネットワークに到達不能)。
- ICMPタイプ3、コード4 (宛先到達不能、フラグメンテーションが必要で
- サイト間VPNまたはfastConnectを使用する場合は、必ず、マルチマスター・クラスタのノード間のトラフィックがルーターで許可されるようにします。
- ポートを開くためのルールを追加します。
- きわめてセキュアなルーターの場合、レイヤー3、4および7でオンプレミス・サブネットのURL例外を追加します。
- ルーターで脅威として解釈されるパケットがないことを確認します。
親トピック: Oracle Key Vaultのインストール要件
2.3 サポートされているエンドポイント・プラットフォーム
Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。
Oracleでは、64ビットLinuxのエンドポイントがサポートされますが、オンライン・マスター暗号化キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。エンドポイントが実行されるオペレーティング・システムは、直接または適切なパッチを使用してTransport Layer Security (TLS) 1.2と互換性がある必要があります。
このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。
-
Oracle Linux (6および7)
-
Oracle Solaris x86 (10および11)
-
Oracle Solaris SPARC (10および11)
-
RHEL 6および7
-
IBM AIX (6.1、7.1および7.2)
アップグレード元のリリースでAIX 5.3を使用していた場合は、Oracle Key Vaultリリース21.1以降でサポートされなくなったため、そのプラットフォームからエンドポイントを削除する必要があります。
-
HP-UX (IA) (11.31)
-
Windows Server 2012
親トピック: Oracle Key Vaultのインストール要件
2.4 エンドポイント・データベース要件
管理者は、オンライン・マスター暗号化キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。
管理者は、オンライン・マスター暗号化キーを使用して、Oracle Database 12.1.0.2以降のエンドポイントのTDEマスター暗号化キーを管理できます。Oracle Key Vaultをウォレット管理のみに使用するか、既存のウォレット・デプロイメントをOracle Key Vaultに移行する管理者は、okvutil uploadコマンドを使用してOracleウォレットをOracle Key Vaultにアップロードできます。
Oracle Databaseのエンドポイントを管理する管理者は、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。
Oracle Databaseリリース12.1以降のエンドポイントの場合は、COMPATIBLE初期化パラメータを12.1.0.0以上に設定します。COMPATIBLEを12.1.0.0以上に設定すると、Oracle Key VaultでTransparent Data Encryptionを使用できるようになります。たとえば:
SQL> ALTER SYSTEM SET COMPATIBLE = '12.1.0.0' SCOPE=SPFILE;
これは、オンライン・マスター暗号化キーを使用してTDEマスター暗号化キーを管理するOracle Databaseエンドポイントに適用されます。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。
また、COMPATIBLEパラメータを12.1.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。
Microsoft Windowsエンドポイントの場合、Oracle Key Vaultでは、Oracle Key Vaultリリース時に使用可能な最新のデータベース・リリース・バージョン(アップグレードされた可能性がある、関連するManufacturing Execution Systems (MES)ライブラリを含む)がサポートされています。
親トピック: Oracle Key Vaultのインストール要件