5 マルチマスター・クラスタ環境でのリリース18.xからのOracle Key Vaultのアップグレード

リリース18.xからのスタンドアロンまたはプライマリ/スタンバイのアップグレードと同様に、このタイプのアップグレードには、Oracle Key Vaultサーバー・ソフトウェアおよびエンドポイント・ソフトウェア関連のユーティリティが含まれます。

• マルチマスター・クラスタ環境でのリリース18.xからのOracle Key Vaultのアップグレードについて
  Oracle Key Vaultリリース18.xからのアップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。
• ステップ1: リリース18.xからのアップグレードのためのアップグレード前タスクの実行
  スタンドアロンやプライマリ/スタンバイ環境と同様に、Oracle Key Vaultサーバーのバックアップなどのアップグレード前タスクを実行する必要があります。
• ステップ2: Oracle Key Vaultリリース21.5へのアップグレード用にvg_rootを拡張するためのディスク領域の追加
  Oracle Key Vaultリリース18xからリリース21.5にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。
• ステップ3: マルチマスター・クラスタのアップグレード
  マルチマスター・クラスタ構成に応じて、デプロイメントに固有のステップに従う必要があります。
• ステップ3: ノード・バージョンおよびクラスタ・バージョンの確認
  1つ以上のノードのアップグレードを完了した後は、アップグレードしたノードのいずれかにログインしてノードおよびクラスタのバージョンを確認できます。
• ステップ4: アップグレードしたノードのネットワーク・インタフェースの変更(必要な場合)
  Oracle Key Vaultリリース21.1より前のリリースで作成されたノードでは、クラシック・モードが使用されます。クラシック・モードでは、単一のネットワーク・インタフェースのみが使用されていました。
• ステップ5: エンドポイント・ソフトウェアのアップグレード
  クラスタ内のすべてのノードをアップグレードした後は、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。
• ステップ6: スワップ領域を拡張するためのディスク領域の追加(必要な場合)
  必要に応じて、各ノードでスワップ領域を拡張します。Oracle Key Vaultリリース21.5では、1 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。
• ステップ7: 古いカーネルの削除(必要な場合)
  マルチマスター・クラスタ・ノードごとに、アップグレード後に残った古いカーネルをクリーン・アップすることをお薦めします。
• ステップ8: SSH関連のDSAキーの削除(必要な場合)
  マルチマスター・クラスタ・ノードごとに、アップグレード後に残ったSSH関連のDSAキーを削除する必要があります。これらによって、一部のコード分析ツールで問題が発生する可能性があるためです。

5.1 マルチマスター・クラスタ環境でのリリース18.xからのOracle Key Vaultのアップグレードについて

Oracle Key Vaultリリース18.xからのアップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。

マルチマスター・クラスタのアップグレードには、デプロイメントに応じて様々なステップがあります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタには、他のデプロイメントを必要としないアップグレード前スクリプトの実行が含まれます。読取り/書込み構成でデプロイされたマルチマスター・クラスタ・ノードは、読取り専用ノードとしてデプロイされたものとは異なるアップグレード・ステップに従う必要があります。

Oracleは、Oracle Key Vaultリリース18.1以前からの直接のアップグレードをサポートしていません。Oracle Key Vaultリリース21.5にアップグレードする前に、リリース18.2以降にアップグレードする必要があります。

アップグレード・プロセスでは、各マルチマスター・クラスタ・ノードでアップグレードを実行します。クラスタ・アップグレードを開始した後は、必ずクラスタ内のすべてのノードを順々にアップグレードし、2つのノードのアップグレードの間で時間が空きすぎないようにします。

Oracle Key Vaultマルチマスター・クラスタのアップグレードには、各クラスタ・ノードの新しいバージョンへのアップグレードが含まれます。すべてのノードを同じOracle Key Vaultバージョンにアップグレードする必要があります。まず、クラスタの読取り専用ノードをアップグレードし、次に読取り/書込みペアをアップグレードします。各クラスタ・ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultの新しいバージョンに更新されます。すべてのクラスタ・ノードのアップグレードを完了すると、クラスタ・バージョンはOracle Key Vaultの新しいバージョンに更新されます。ノード・バージョンまたはクラスタ・バージョンを確認するには、「Cluster」タブを選択した後、左側のナビゲーション・バーで「Management」を選択します。各クラスタ・ノードのノード・バージョンおよびクラスタ・バージョンが最新バージョンのOracle Key Vaultに更新されると、Oracle Key Vaultマルチマスター・クラスタのアップグレードは完了したと見なされます。

アップグレードを実行する前に、次の点に注意してください。

• すべてのマルチマスター・クラスタ・ノードで、中断なしにアップグレード・プロセス全体を実行します。つまり、クラスタのアップグレード・プロセスを開始した後、必ずすべてのノードを相互に、または読取り/書込みペアで個別にアップグレードしてください。環境内のすべてのノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更したりしないでください。
• すべてのマルチマスター・クラスタ・ノードのアップグレードを完了するまで、このリリースで導入された新機能は使用できないことに注意してください。アップグレードされたノードからそのような機能が使用されると、エラーが戻されます。すべてのクラスタ・ノードのアップグレードを互いに間隔を空けずに計画して、新機能が早く使用できるようにすることをお薦めします。
• Oracle Key Vaultリリース21.2以降、非アクティブ化または破棄されたオブジェクトに対する期限切れのアラートは生成されません。Oracle Key Vaultリリース21.1以前からアップグレードする場合、次の動作が予期されます。
  • クラスタ・ノードがアップグレードされるたびに、Oracle Key Vaultは証明書およびシークレット・オブジェクトと、取り消されるか破棄されたキー・オブジェクトに対する、すべての期限切れのアラートを削除します。
  • まだアップグレードされていないクラスタ・ノードは、引き続きこれらの同じオブジェクトに対してアラートを生成し、これらのアラートの電子メール通知を送信します。この動作によるアラートの削除と再作成は、最後のクラスタ・ノードがアップグレードされるまで繰り返される場合があります。
  • アップグレードが完了すると、証明書およびシークレット・オブジェクトの期限切れのアラートはそれぞれ、アラート・タイプがCertificate Object ExpirationおよびSecret Object Expirationになります。

5.2 ステップ1: リリース18.xからのアップグレードのためのアップグレード前タスクの実行

スタンドアロンやプライマリ/スタンバイ環境と同様に、Oracle Key Vaultサーバーのバックアップなどのアップグレード前タスクを実行する必要があります。

1. Oracle Key Vaultがインストールされているサーバーで、ユーザーsupportとしてログインしてから、rootユーザーに切り替えます。
2. アップグレードが失敗した場合にデータをリカバリできるように、サーバーをバックアップします。
3. フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。
4. 次の仕様に従い、停止時間を計画します。

   Oracle Key Vaultの使用	停止時間の必要性
   ウォレットのアップロードまたはダウンロード	なし
   Javaキーストアのアップロードまたはダウンロード	なし
   Transparent Data Encryption (TDE)直接接続	はい(永続キャッシュを使用する場合は、いいえ)
   プライマリ・スタンバイ・デプロイメントにおけるプライマリ・サーバーのアップグレード	はい(永続キャッシュを使用する場合は、いいえ)

   Oracle Key Vaultでオンライン・マスター暗号化キーを使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。

5. Oracle Key Vaultシステムでsyslog宛先が構成されている場合は、リモートsyslog宛先がOracle Key Vaultシステムからアクセス可能であり、ログが正しく転送されることを確認してください。リモートsyslog宛先にOracle Key Vaultシステムからアクセスできない場合、アップグレード処理が通常より大幅に遅くなる可能性があります。
6. アップグレードを開始する前に、ディスク・サイズを確認します。問題のあるいずれかのノードでディスク・サイズが2 TBを超え、BIOSブート・モードを使用している場合は、そのシステムを新しいリリースにアップグレードできません。クラスタからノードを削除し、可能な場合はディスク・サイズが2 TB未満のノードと交換することをお薦めします。
7. ブート・パーティションのサイズを確認します。問題のあるいずれかのノードに500 MB未満のブート・パーティションがある場合は、そのシステムを新しいリリースにアップグレードできません。このサイズは、次のようにして確認できます。
   1. /bootパーティションをマウントします。

      /bin/mount /boot

   2. 次のコマンドで指定したSize列を確認します。

      /bin/df -h /boot

   3. /bootパーティションをアンマウントします。

      /bin/umount /boot

   このコマンドで指定したブート・パーティションが488 MB未満である場合は、現在のリリースにアップグレードできません。クラスタからノードを削除し、可能な場合には残りのクラスタ・ノードと同じOracle Key Vaultバージョンで新規にインストールされたノードに置き換えることをお薦めします。
8. 無効化されたクラスタ・ノードにアップグレードしてクラスタに戻すための十分な時間が確保されるように、必要に応じて「Maximum Disable Node Duration」設定を増やします。「Maximum Disable Node Duration」設定を増やすと、ディスク領域の使用率も増加することに注意してください。
9. Oracle Key Vaultリリース21.2以前でOracle Audit Vaultと統合されていたノードごとに、次の手順を実行して、Oracle Audit Vault統合を無効化および削除します。
   1. Oracle Audit Vault統合の無効化: Oracle Key Vault管理コンソールにシステム管理者としてログインし、「System」タブを選択し、左側のナビゲーション・バーから「System Settings」を選択します。表示される「Audit Vault integration」ペインで、Oracle Audit Vaultを無効にします。「Save」をクリックします。
   2. ユーザーsupportとしてSSHを介してOracle Key Vaultサーバーにログインし、ユーザーsuをrootに切り替えてから、ユーザーsuをoracleに切り替えます。
   3. 次のコマンドを実行して、エージェントを停止します。

      agent_installation_directory/bin/agentctl stop

   4. Oracle Audit Vault ServerコンソールにOracle Audit Vault管理者としてログインします。
   5. 対応するエージェントとターゲットを削除します。
   6. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。
   7. Oracle Audit Vaultエージェントのインストール・ディレクトリを削除します。
10. アップグレードを開始する前に、Oracle Key Vaultサーバー証明書の有効期限が切れていないこと、または有効期限が近くないことを確認します。
    Oracle Key Vaultサーバー証明書の有効期限が切れるまでの時間は、Oracle Key Vault管理コンソールの「Configure Alerts」ページで「OKV Server Certificate Expiration」設定を選択して確認できます。

5.3 ステップ2: Oracle Key Vaultリリース21.5にアップグレードするためのvg_root拡張用ディスク領域の追加

Oracle Key Vaultリリース18xからリリース21.5にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。

マルチマスター・クラスタ構成でOracle Key Vault 21.5にアップグレードするためのディスク領域を追加する場合、ノードを無効にした後にこのステップを実行する必要があります。この手順を開始する前に、すべてのエンドポイントで永続キャッシュが有効で使用中であることを確認します。

1. アップグレードを実行するサーバーにログインし、rootとしてユーザーを切り替えます。
2. Oracle Key Vaultの永続キャッシュ設定が設定されていることを確認します。
   この手順の後半のステップでサーバーを停止する必要があるため、永続キャッシュが有効になっていることを確認する必要があります。Oracle Key Vaultサーバーを停止すると、停止時間が発生します。停止時間を回避するために、永続キャッシュをオンにすることをお薦めします。
3. vgsコマンドを実行して、空き領域の量を決定します。

   vgs

   VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

4. ノードを無効にします。
   「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
5. 新しいディスクを追加するには、サーバーの電源を切ります。

   /sbin/shutdown -h now

6. 容量が100 GB以上の新しいディスクをサーバーに追加します。
7. サーバーを起動します。
8. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root
   

9. Oracle Key Vaultサービスを停止します。

   service tomcat stop;
   service httpd stop;
   service kmipus stop;
   service kmip stop;
   service okvogg stop;
   service javafwk stop;
   service monitor stop;
   service controller stop;
   service dbfwlistener stop;
   service dbfwdb stop;
   service rsyslog stop;
   

10. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。

    fdisk -l

    この段階では、使用可能なパーティションはありません。
11. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。

    fdisk /dev/sdb

    表示されるプロンプトで、次のコマンドを順番に入力します。

    • 新しいパーティションを意味するn
    • プライマリを意味するp
    • パーティション番号の1
    • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
    • 書き込んで終了するためのw
12. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。

    pvcreate /dev/sdb1

    出力は、次のようになります。

    Physical volume "/dev/sdb1" successfully created

13. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdb1の場合は、次のように実行します。

    vgextend vg_root /dev/sdb1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended

14. vgsコマンドを再度実行して、VFreeに100 GBの増加が示されていることを確認します。

    vgs

    出力は、次のようになります。

    VG      #PV #LV #SN Attr   VSize   VFree
    vg_root   2  12   0 wz--n- 598.75g <121.41g
    

15. Oracle Key Vaultサーバーを再起動します。

    /sbin/reboot

    ディスクを正常に追加した後、ノードを再度有効にします。無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。

5.4 ステップ3: マルチマスター・クラスタのアップグレード

マルチマスター・クラスタ構成に応じて、デプロイメントに固有のステップに従う必要があります。

• マルチマスター・クラスタのアップグレードについて
  マルチマスター・クラスタをアップグレードする場合、読取り専用ノードを交互にアップグレードできます。読取り/書込みペアの場合、両方のノードを同時にアップグレードする必要があります。
• マルチマスター・クラスタ読取り専用ノードのアップグレード
  マルチマスター・クラスタ読取り専用ノードをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。
• マルチマスター・クラスタの読取り/書込みペアのアップグレード
  マルチマスター・クラスタの読取り/書込みペアをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

5.4.1 マルチマスター・クラスタのアップグレードについて

マルチマスター・クラスタをアップグレードする場合、読取り専用ノードを相互にアップグレードできます。読取り/書込みペアの場合、両方のノードを同時にアップグレードする必要があります。

これらのステップは、クラスタの読取り/書込みペアの両方のノードで、クラスタのすべての読取り/書込みペアに指定された順序で実行する必要があります。この方法を使用してアップグレードを実行するには、ペアのどの読取り/書込みノードをノードAにし、どのノードをノードBにするかを任意に決定する必要があります。次のステップでは、ノードAおよびノードBに対応するノードAおよびノードBを参照します。

アップグレードを実行するには、各マルチマスター・クラスタ・ノードをアップグレードする必要があります。マルチマスター・クラスタのアップグレードには、デプロイメントに応じて様々なステップがあります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタには、他のデプロイメントを必要としないアップグレード前スクリプトの実行が含まれます。読取り/書込み構成でデプロイされたマルチマスター・クラスタ・ノードの場合、読取り専用ノードとしてデプロイされたものとは異なるアップグレード・ステップに従う必要があります。

この項では、様々なデプロイメントのアップグレード方法について説明します。使用する構成に適した方法を選択します。読取り/書込みペアをアップグレードする場合、両方のノードを無効にした後、ノードを同時にアップグレードできます。ただし、クラスタ・ノードを一度に1つのアップグレードすることをお薦めします。3つ以上のノードがあるマルチマスター・クラスタの場合、停止時間なしで2つのノードを同時にアップグレードできます。

読取り/書込みペアをアップグレードする場合は、2つのノードで適切な順序でステップを実行することが重要です。

クラスタが読取り/書込み構成の2つのノードのみで構成されており、Oracle Key Vaultリリース18.2から18.5にアップグレードする場合は、アップグレードを実行する前にアップグレード前スクリプトを実行することが必要です。アップグレード前スクリプトは、他のマルチマスター・クラスタ構成では実行されません。

5.4.2 マルチマスター・クラスタ読取り専用ノードのアップグレード

マルチマスター・クラスタ読取り専用ノードをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

読取り専用ノードを一度に1つのアップグレードすることをお薦めします。読取り/書込みペアの前に読取り専用ノードをアップグレードする必要があります。リリース18.1以前からの直接アップグレードはサポートされていません。Oracle Key Vaultリリース21.5にアップグレードする前に、リリース18.2以降にアップグレードする必要があります。すべてのマルチマスター・クラスタ・ノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更しないでください。マルチマスター・クラスタ・ノードのアップグレードを開始する前に、Oracle Key Vaultを正常にバックアップしたことを確認してください。このステップを完了することなく先に進まないでください。

これらのステップは、クラスタの各読取り専用ノードで1つずつ実行する必要があります。

1. アップグレード前のステップを実行したことを確認します。
2. システム管理者ロールを持っているユーザーとして管理コンソールにログインします。
3. マルチマスター・クラスタ・ノードを無効にします。
   1. システム管理者ロールを持っているユーザーとして任意のクラスタOracle Key Vault管理コンソールにログインします。
   2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
   3. 「Cluster Details」の下の「Select Node」列で、無効にするノードのチェック・ボックスを選択します。
   4. 「Disable」をクリックします。

      ノードの「Management」ページ(「Cluster」タブ下)で、ノードのステータスがDISABLINGからDISABLEDに変更されます。

4. リリース21.5にアップグレードするためにvg_rootを拡張するためのディスク領域を追加してあることを確認します。
5. ノードでSSHアクセスが有効になっていることを確認します。
   システム管理者ロールを持つユーザーとして、Oracle Key Vault管理コンソールで、「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。
6. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root

   アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を回避するために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認することをお薦めします。

   screenコマンドを使用すると、ネットワークの切断によってアップグレードが中断されるのを防ぎます。セッションが終了した場合は、次のように再開します。

   root# screen -r

8. SSHか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

   root# scp remote_host:remote_path/okv-upgrade-disc-new_software_release.iso /var/lib/oracle

   この指定内容についての説明は次のとおりです。

   • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
   • remote_pathはISOアップグレード・ファイルのディレクトリです。このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
9. mountコマンドを使用して、アップグレードをアクセス可能にします。

   root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-new_software_release.iso /images

10. clean allコマンドを使用してキャッシュをクリアします。

    root# yum -c /images/upgrade.repo clean all

11. upgrade.rbコマンドを使用してアップグレードを適用します。

    root# /usr/bin/ruby /images/upgrade.rb --confirm

    /usr/bin/ruby /images/upgrade.rb --confirmコマンドを実行すると、アップグレード前ステップを完了したことを確認するように求められます(それらが必要な場合)。

    システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

    Remove media and reboot now to fully apply changes.

    エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

12. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。

    root# /sbin/reboot

    アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。Oracle Key Vault Server new_software_releaseという見出しの画面が表示され、new_software_releaseにアップグレードされたバージョンのリリース番号が反映された状態で、クラスタ・ノードのアップグレードが完了します。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。

13. Entrust (旧nCipher)を使用してHSMアップグレードを実行する場合は、Oracle Key Vaultルート・オブ・トラストHSM構成ガイドに記載されている追加ステップを実行します。
14. そのノードを再度有効にします。
    1. システム管理者ロールを持っているユーザーとして任意のクラスタOracle Key Vault管理コンソールにログインします。
    2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
    3. 「Cluster Details」セクションの「Name」で、無効にしていたノードの名前をクリックします。
    4. 「Enable」をクリックします。
       無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
15. 必要に応じて、このノードのSSHアクセスを無効にします。
    「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。
16. この手順を正常に完了した後で、これらのアップグレード・ステップをすべてのマルチマスター・クラスタ・ノードで繰り返します。

5.4.3 マルチマスター・クラスタの読取り/書込みペアのアップグレード

マルチマスター・クラスタ読取り/書込みペアをアップグレードする前に、このようなアップグレードを実行するための要件を理解しておく必要があります。

すべてのマルチマスター・クラスタ・ノードのアップグレードが完了するまで、重要な操作を実行したり、Oracle Key Vaultの構成を変更しないでください。

これらのステップは、クラスタの読取り/書込みペアの両方のノードで、クラスタのすべての読取り/書込みペアに指定された順序で実行する必要があります。この方法を使用してアップグレードを実行するには、ペアのどの読取り/書込みノードをノードAにし、どのノードをノードBにするかを任意に決定する必要があります。次のステップでは、使用するノードAとノードBに対応するノードAとノードBを参照します。

Oracle Key Vaultリリース18.1以前から21.5への直接アップグレードはサポートされていません。Oracle Key Vaultリリース21.5にアップグレードする前に、リリース18.2以降にアップグレードする必要があります。Oracle Key Vaultリリース18.5以前を実行し、単一の読取り/書込みペアとして構成されている2ノード・クラスタをアップグレードする場合、ISOをマウントした後、完全アップグレードを実行する前に、各マルチマスター・クラスタ・ノードでアップグレード前スクリプトを実行する必要があります。

通常、クラスタ・ノードが無効になると、使用できなくなります。したがって、読取り/書込みペアとして構成されている2ノード・クラスタをアップグレードするときに操作の継続性を確保するために、両方のノードでアップグレード前スクリプトを適用すると、ノードが無効になっていてもノードを読取り専用モードで使用できるようになります。両方のノードを無効にした後、ノードを一度に1つずつアップグレードできます。順序は自由に決定できます。ただし、アップグレード後にノードを有効にした場合は、無効にした順序とは逆の順序で有効にする必要があります。

デプロイメントでアップグレード前スクリプトを実行する必要がある場合は、アップグレード前スクリプトを実行した後、次のように標準アップグレード・プロセスに進みます。読取り/書込みペアの両方のノード(問題のあるノードを無効にする順序)を無効にし、必要に応じてディスク領域を追加してから、アップグレードおよび再起動を実行します。アップグレードおよび再起動コマンドを実行する場合、Oracleでは、停止時間を回避するために、ペアの1つのノードでコマンドを実行してから、もう一方のノードで実行することをお薦めします。

18.xから21.yへのアップグレードでは、両方のノードが無効になっているときに、これらをアップグレードします。つまり、ノード1の無効化、ノード2の無効化、両方のノードのアップグレード、ノード2の有効化、ノード1の有効化の順に実行します(逆順で有効にする必要があります)。アップグレードしてから、逆順で有効にします。実際のアップグレード・ステップは順次実行できますが、ノードを有効化できるのは、もう一方のノードがアップグレードされた後です。この要件は、21.xから21.yへのアップグレードには適用されません。

1. システム管理者ロールを持っているユーザーとしてノードAのOracle Key Vault管理コンソールにログインします。
2. SSHアクセスが有効になっていることを確認します。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

3. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
4. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root

   アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を回避するために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認することをお薦めします。

   screenコマンドを使用すると、ネットワークの切断によってアップグレードが中断されるのを防ぎます。セッションが終了した場合は、次のように再開します。

   root# screen -r

5. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

   root# scp remote_host:remote_path/okv-upgrade-disc-new_software_release.iso /var/lib/oracle

   • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
   • remote_pathはISOアップグレード・ファイルのディレクトリです。このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
6. mountコマンドを使用して、アップグレードをアクセス可能にします。

   root# /bin/mount -o loop,ro /var/lib/oracle/okv-upgrade-new_software_release.iso /images

7. Oracle Key Vaultのデプロイメントが、Oracle Key Vault 18.5以前を実行する読取り/書込み構成の2つのクラスタ・ノードのみで構成されている場合は、両方のノードでアップグレード前スクリプトを実行して、アップグレード・プロセス用にクラスタを準備する必要があります。
   このアップグレード前のステップは、Oracle Key Vault 18.5以前を実行している2ノード・クラスタを単一の読取り/書込みペアとして構成してアップグレードする場合にのみ実行する必要があります。他の構成のクラスタでこのアップグレード前スクリプトを実行しないでください。
   1. アップグレード・スクリプトを解凍し、/tmpに保存します。このステップは、両方のノードで実行します。

      root# /usr/bin/unzip -d /tmp/ /images/preupgrade/cluster_preupgrade_211.zip

   2. アップグレードする各ノードでアップグレード・スクリプトを実行します。

      root# /tmp/cluster_preupgrade_211.sh

   3. 次のコマンドを実行して、各ノードのエラーを確認します。

      root# echo $?

   4. 各ノードのアップグレード・スクリプト・ログ/tmp/cluster_preupgrade_211.logでエラーがあるかどうかを確認します。
8. ノードAを無効にします。
   「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
9. ノードAが無効になるまで待ってから続行します。
10. システム管理者ロールを持っているユーザーとしてノードB管理コンソールにログインします。
11. ノードBを無効にします。
    「Cluster」タブを選択して、左側のナビゲーション・バーで「Management」を選択します。「Cluster Details」の下で、無効にするノードのチェック・ボックスを選択し、「Disable」をクリックします。ノードのステータスがDISABLINGからDISABLEDに変更されます。
12. ノードBが無効になるまで待ってから続行します。
13. 両方のノードのvg_rootを拡張するためのディスク領域が追加されていることを確認します。
14. 読取り/書込みペアの各ノードに対して、次の操作を行います。
    読取り/書込みペアの各ノードで次のステップを順番に完了します。つまり、無効にしたノードAでステップを実行し、アップグレードを完了できるようにしてから、無効にしたノードBでステップを実行します。
    1. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

       ssh support@okv_server_IP_address
       su - root

    2. clean allコマンドを使用してキャッシュをクリアします。

       root# yum -c /images/upgrade.repo clean all

    3. upgrade.rbコマンドを使用してアップグレードを適用します。

       root# /usr/bin/ruby /images/upgrade.rb --confirm

       アップグレード中に/usr/bin/ruby /images/upgrade.rb --confirmステップを実行すると、アップグレード前ステップを完了したことを確認するように求められる場合があります。

       upgrade.rbコマンドを実行する場合、このステップと次のステップ(reboot)を最初にあるノードで実行し、次は最初のノードが完了した後で実行することをお薦めします。マルチマスター・クラスタ・デプロイメントが3つ以上のノードで構成されている場合、読取り/書込みペアの両方のノードを同時にアップグレードして、停止時間を回避できます。

       システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

       Remove media and reboot now to fully apply changes.

       エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

    4. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します。

       root# /sbin/reboot

       アップグレード後にコンピュータを初めて再起動すると、必要な変更が適用されます。これには数時間かかる場合があります。この間システムを停止しないでください。

       クラスタ・ノードのアップグレードは、「Oracle Key Vault Server version. This appliance was upgraded from previous_release_version.」という見出しの画面で完了します。リビジョンには、アップグレードされたリリースが反映されます。見出しの下には、「Display Appliance Info」というメニュー項目が表示されます。「Display Appliance Info」を選択し、[Enter]キーを押して、アプライアンスのIPアドレス設定を表示します。

15. 各ノードのアップグレード後、ログインを試みる前にブラウザのキャッシュをクリアします。
16. まずノードBを再度有効にします(無効にした順序とは逆の順序でノードを有効にする必要があります)。
    無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
17. ノードAを再度有効にします。
    無効にしたマルチマスター・クラスタ・ノードを再度有効にすると、ステータスがDISABLEDからENABLINGに変更された後、ACTIVEに変更されます。ノードと他のすべてのノード間の双方向レプリケーションが正常に行われないかぎり、ノードのステータスはENABLINGのままになり、ACTIVEに変更されません。
18. 必要に応じて、各ノードでSSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

19. この手順が正常に完了したら、残りのすべてのマルチマスター・クラスタの読取り/書込みペアでこれらのアップグレード・ステップを繰り返します。

5.5 ステップ3: ノード・バージョンおよびクラスタ・バージョンの確認

少なくとも1つのノードのアップグレードを完了すると、アップグレードしたノードのいずれかにログインしてノードおよびクラスタのバージョンを確認できます。

Oracle Key Vaultでは、各クラスタ・ノードのバージョン情報とクラスタ全体のバージョンを追跡管理します。ノード・バージョンは、特定のノードのOracle Key Vaultソフトウェアのバージョンを表します。ノードがアップグレードされると、ノード・バージョンがOracle Key Vaultソフトウェアの新しいバージョンに更新されます。クラスタ・バージョンは、クラスタ・ノードのバージョン情報から導出され、クラスタ・ノードの最小バージョンに設定されます。クラスタのアップグレード時に、各クラスタ・ノードが新しいバージョンにアップグレードされると、ノード・バージョンが更新されます。すべてのクラスタ・ノードがアップグレードされると、クラスタ・バージョンは新しいバージョンに更新されます。(「Cluster Version」および「Node Version」フィールドは、Oracle Key Vaultリリース18.2以降で使用できます。)

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択します。
3. 左側のナビゲーション・バーで、「Management」を選択します。
4. 次の領域をチェックします。
   • ノード・バージョンを確認するには、「Cluster Details」領域をチェックします。
   • クラスタ・バージョンを確認するには、「Cluster Information」領域をチェックします。

5.6 ステップ4: アップグレードしたノードのネットワーク・インタフェースの変更(必要な場合)

リリース21.1より前のOracle Key Vaultリリースで作成されたノードでは、単一のネットワーク・インタフェースのみが使用されていたクラシック・モードが使用されます。

2つのネットワーク・インタフェースの使用をサポートするデュアルNICネットワーク・モードを使用する場合は、コマンドラインからこのモードを使用するようにノードを切り替えることができます。

5.7 ステップ5: エンドポイント・ソフトウェアのアップグレード

クラスタ内のすべてのノードをアップグレードしたら、以前のリリースのOracle Key Vaultで作成されたエンドポイントを再エンロールするか、エンドポイント・ソフトウェアを更新する必要があります。

以前のリリースから最新のリリースのOracle Key Vaultにアップグレードする場合は、エンドポイント・ソフトウェアをアップグレードするかわりに、エンドポイントを再エンロールする必要があります。エンドポイントを再エンロールすると、エンドポイントのソフトウェアが自動的に更新されます。

Oracle Key VaultによるオンラインTDEマスター暗号化キー管理を使用するエンドポイントで、暗号操作中にOracle Key Vaultからのオブジェクトの抽出を制御する機能を利用できるようにするには、Oracle Key Vaultリリース21.5にアップグレードする必要があります。

1. Oracle Key Vaultサーバーをアップグレードしていることを確認します。オンラインTDEマスター暗号化キー管理用に構成されたOracleデータベースのエンドポイント・ソフトウェアをアップグレードする場合は、データベースを停止します。
2. 次のように、Oracle Key Vaultサーバーから、プラットフォームに適したエンドポイント・ソフトウェア(okvclient.jar)をダウンロードします。
   1. Oracle Key Vault管理コンソールのログイン画面に移動します。
   2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
   3. 「Download Endpoint Software Only」セクションで、ドロップダウン・リストから適切なプラットフォームを選択します。
   4. 「Download」ボタンをクリックします。
3. アップグレード対象となる、既存のエンドポイントのインストールへのパスを指定します(たとえば、/home/oracle/okvutil)。
4. 次のコマンドを実行して、エンドポイント・ソフトウェアをインストールします。

   java -jar okvclient.jar -d existing_endpoint_directory_path

   たとえば:

   java -jar okvclient.jar -d /home/oracle/okvutil

   java -jar okvclient.jar -d /home/oracle/okvutil -v -db112

5. 更新されたPKCS#11ライブラリ・ファイルをインストールします。
   このステップは、Oracle Key VaultによるオンラインTDEマスター暗号化キーの管理のためにのみ必要です。エンドポイントがOracle Key VaultによるオンラインTDEマスター暗号化キー管理を使用する場合は、エンドポイント・ソフトウェアのアップグレード中にPKCS#11ライブラリをアップグレードする必要があります。
   • UNIX/Linuxプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.shを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.soファイルをコピーします。

     $ sudo $OKV_HOME/bin/root.sh

     または

     $ su - root
     # bin/root.sh

   • Windowsプラットフォーム: エンドポイントのインストール・ディレクトリのbinディレクトリから、root.batを実行して、Oracle Databaseエンドポイントの最新のliborapkcs.dllファイルをコピーします。使用中のデータベースのバージョンを指定するよう求められます。

     bin\root.bat

6. SDKソフトウェアを更新します。
   Oracle Key Vaultリリース21.5へのアップグレードの完了後に、SDKソフトウェアを同じ場所に再デプロイすることをお薦めします。これにより、アップグレード元のOracle Key Vaultバージョン以降に導入された新しいSDK APIにアクセスできます。
   1. Oracle Key Vault管理コンソールのログイン画面に移動します。
   2. 「Endpoint Enrollment and Software Download」リンクをクリックします。
   3. 「Download Software Development Kit」セクションで、サイトに適した言語およびプラットフォームを選択します。
   4. 「Download」ボタンをクリックして、SDK zipファイルを入手します。
   5. SDKソフトウェアがすでにデプロイされている既存の場所を特定します。
   6. SDK zipファイルを保存したディレクトリに移動します。
   7. SDK zipファイルを解凍します。

      たとえば、LinuxでJava SDK zipファイルを解凍するには、次のコマンドを使用します。

      unzip -o okv_jsdk.zip -d existing_endpoint_sdk_directory_path

      C SDK zipファイルの場合は、次のコマンドを使用します。

      unzip -o okv_csdk.zip -d existing_endpoint_sdk_directory_path

   8. このページを終了しないでください。
7. 前のリリースでRESTfulサービス・ユーティリティをデプロイした場合は、最新のokvrestclipackage.zipファイルを再デプロイします。
   最新のokvrestclipackage.zipファイルを使用すると、アップグレード元のOracle Key Vaultバージョン以降に導入された新しいRESTfulサービス・ユーティリティ・コマンドにアクセスできます。
   wgetまたはcurlを使用して、okvrestclipackage.zipをダウンロードできます。

   wget --no-check-certificate https://Oracle_Key_Vault_IP_address:5695/okvrestclipackage.zip
   
   curl -O -k https://Oracle_Key_Vault_IP_address:5695/okvrestservices.jar

8. エンドポイントが停止している場合は再起動します。
   この段階で、エンドポイントは完全にアップグレードされます。
9. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Real Application Clusters (Oracle RAC)環境を使用している場合は、各Oracle RACノードで次のステップを実行します。
   1. 各Oracle RACノードでエンドポイントのアップグレードを実行します。
   2. 対称キーの抽出可能属性値を設定します。
      デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定する必要があります。次のように、抽出可能属性値を設定できます。

      • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
      • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
      • 既存の対称キーの抽出可能属性を変更します。
      Oracle Key Vault管理者ガイドを参照してください。
   3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、Oracle RACノードでキー更新操作を実行します。次の構文を使用します。

      ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
      [FORCE KEYSTORE]
      [USING TAG 'tag_name'] 
      IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
      [WITH BACKUP [USING 'backup_identifier']];

      TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

10. TDEマスター暗号化キーがOracle Key Vaultから離れるのを制限することがサイトで必要とされる場合、かつ、Oracle Data Guard環境を使用している場合は、プライマリおよびスタンバイ・データベースで次のことを行います。
    1. プライマリおよびスタンバイ・データベースでエンドポイントのアップグレードを実行します。
    2. 対称キーの抽出可能属性値を設定します。
       デフォルトでは、抽出可能属性値はtrueであり、これは、特定の操作中に対称キーのキー・マテリアルをOracle Key Vaultから抽出できることを意味します。対称キーが抽出されないようにする場合は、この値をfalseに設定する必要があります。次のように、抽出可能属性値を設定できます。

       • エンドポイント設定で新しい対称キーの抽出可能属性のデフォルト値を設定します。エンドポイント固有の設定は、グローバルなエンドポイント設定より優先されます。
       • 新しい対称キーを作成または登録するときに、抽出可能属性の値を明示的に指定します。
       • 既存の対称キーの抽出可能属性を変更します。
       Oracle Key Vault管理者ガイドを参照してください。
    3. SYSDBAまたはSYSKM管理権限を持つユーザーとして、プライマリおよびスタンバイ・データベースでキー更新操作を実行します。

       ADMINISTER KEY MANAGEMENT SET [ENCRYPTION] KEY 
       [FORCE KEYSTORE]
       [USING TAG 'tag_name'] 
       IDENTIFIED BY [EXTERNAL STORE | keystore_password] 
       [WITH BACKUP [USING 'backup_identifier']];

       TDEマスター暗号化キーのキー更新の詳細は、Oracle Database Advanced Securityガイドを参照してください。

5.8 ステップ6: スワップ領域を拡張するためのディスク領域の追加(必要な場合)

必要に応じて、各ノードでスワップ領域を拡張します。Oracle Key Vaultリリース21.5では、1 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。

システムがこの要件を満たしていない場合は、次の手順に従ってスワップ領域を拡張します。swapon -sコマンドを実行して、使用しているスワップ領域の量を確認できます。デフォルトでは、リリース18.1より前のOracle Key Vaultリリースは、約4 GBのスワップ領域でインストールされていました。リリース18.1以降へのアップグレードが完了したら、Oracle Key Vaultをアップグレードしたサーバーに割り当てられているスワップ領域を増やすことをお薦めします。Oracle Key Vaultの新しいインストールには十分なスワップ領域が自動的に構成されます。ただし、以前のリリースからアップグレードし、システムに必要な量のスワップ領域が構成されていない場合、特にアップグレードしたサーバーをマルチマスター・クラスタの最初のノードに変換することを意図している場合、ディスク領域を手動で追加してスワップ領域を拡張する必要があります。

1. Oracle Key Vaultをアップグレードしたサーバーにログインし、rootとして接続します。
2. スワップ領域の現在の量を確認します。

   [root@my_okv_server support]# swapon -s

   出力は、次のようになります。この例は、システムのスワップ領域が4 GBであることを示しています。

   Filename Type Size Used Priority
   /dev/dm-0 partition 4194300 3368 -1
   

   ディスクのサイズが1 TBを超える場合は、64 GBのスワップ領域が必要です。

3. vgsコマンドを実行して、使用可能な空き領域の量を決定します。

   vgs

   VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

4. 新しいディスクを追加するには、サーバーの電源を切ります。

   /sbin/shutdown -h now

5. VFree値が64 GBを超えるサイズのサーバーに新しいディスクを追加します。
6. サーバーを起動します。
7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsuをrootに切り替えます。

   ssh support@okv_server_IP_address
   su - root
   

8. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。

   fdisk -l

   この段階では、使用可能なパーティションはありません。

9. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
   たとえば、/dev/sdcという名前のディスク・デバイスを作成するには、次のようにします。

   fdisk /dev/sdc

   表示されるプロンプトで、次のコマンドを順番に入力します。

   • 新しいパーティションを意味するn
   • プライマリを意味するp
   • パーティション番号の1
   • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
   • 書き込んで終了するためのw
10. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdc1にしたディスク・デバイスの場合は、次のようにします。

    pvcreate /dev/sdc1

    出力は、次のようになります。

    Physical volume "/dev/sdc1" successfully created

11. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdc1の場合は、次のように実行します。

    vgextend vg_root /dev/sdc1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended

12. vgsコマンドを再度実行して、VFreeに64 GBの増加が示されていることを確認します。

    vgs

13. スワッピングを無効にします。

    [root@my_okv_server support]# swapoff -v /dev/vg_root/lv_swap

14. スワップ領域を拡張するには、lvresizeコマンドを実行します。

    [root@my_okv_server support]# lvresize -L +60G /dev/vg_root/lv_swap

    出力は、次のようになります。

    Size of logical volume vg_root/lv_swap changed from 4.00 GiB (128 extents) to 64.00 GiB (2048 extents)
    Logical volume lv_swap successfully resized.
    

15. 新しく追加したスワップ領域をフォーマットします。

    [root@my_okv_server support]# mkswap /dev/vg_root/lv_swap

    出力は、次のようになります。

    mkswap: /dev/vg_root/lv_swap: warning: don't erase bootbits sectors
    on whole disk. Use -f to force.
    Setting up swapspace version 1, size = 67108860 KiB
    no label, UUID=fea7fc72-0fea-43a3-8e5d-e29955d46891
    

16. スワッピングを再度有効にします。

    [root@my_okv_server support]# swapon -v /dev/vg_root/lv_swap

17. 使用可能なスワップ領域の容量を確認します。

    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。

    Filename Type Size Used Priority 
    /dev/dm-0 partition 67108860 0 -1

18. Oracle Key Vaultサーバーを再起動します。

    /sbin/reboot

    プライマリ/スタンバイ・デプロイメントの場合は、次のステップに進む前に、プライマリ・ノードとスタンバイ・ノードが同期していることを確認します。

5.9 ステップ7: 古いカーネルの削除(必要な場合)

マルチマスター・クラスタ・ノードごとに、アップグレード後に残った古いカーネルをクリーン・アップすることをお薦めします。

古いカーネルは使用されませんが、一部のコード分析ツールによって問題としてマークされることがあります。

1. Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
2. rootユーザーに切り替えます。

   su - root

3. /bootがシステムにマウントされていない場合はマウントします。
   1. /bootがマウントされているかどうかを確認します。/bootがマウントされている場合は、次のコマンドで情報を表示できます。

      df -h /boot;

   2. /bootがマウントされていない場合はマウントします。

      /bin/mount /boot;

4. インストールされているカーネルと実行中のカーネルを確認してください。
   1. インストールされているすべてのカーネルを検索します。

      rpm -q kernel-uek | sort;

      次の出力例は、2つのカーネルがインストールされていることを示しています。

      kernel-uek-4.14.35-2047.504.2.el7uek.x86_64 
      kernel-uek-5.4.17-2136.304.4.5.el7uek.x86_64

   2. 最新のカーネルを確認します。

      uname -r;

      次の出力は、その時点でインストールされていたカーネル・バージョンの例を示しています。

      5.4.17-2136.304.4.5.el7uek.x86_64

      # uname-r

      5.4.17-2136.304.4.5.el7uek.x86_64

      この例では、5.4.17-2136.304.4.5.el7uek.x86_64を最新バージョンと仮定しています(現在は、これよりも新しいバージョンを使用できる可能性があります)。前述のコマンドからの出力に基づいて、古いカーネル(kernel-uek-4.14.35-2047.504.2.el7uek.x86_64)を削除します。最新のカーネルより前のすべてのカーネルを削除してください。

5. 古いカーネルとそれに関連するRPMを削除します。

   たとえば、kernel-uek-4.14.35-2047.504.2.el7uek.x86_64 kernelのカーネルを削除するには、次のようにします。

   yum --disablerepo=* remove `rpm -qa|grep 4.14.35-2047.504.2.el7uek`

   出力は、次のようになります。

     Resolving Dependencies
   -->   Running transaction check
   ---> Package kernel-uek.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
   ---> Package kernel-uek-devel.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
   --> Finished Dependency Resolution
   
   Dependencies Resolved
   
   =================================================================================================================
    Package               Arch        Version                           Repository                          Size
   =================================================================================================================
   Removing:
    kernel-uek          x86_64         4.14.35-2047.504.2.el7uek       @anaconda/7.7                        58 M
    kernel-uek-devel    x86_64         4.14.35-2047.504.2.el7uek       @avs-ol-dependencies                 63 M
   
   Transaction Summary
   =================================================================================================================
   Remove        2 Package(s)
   
   Installed size: 121 M
   Is this ok [y/N]:

6. 「y」を入力して、削除出力を受け入れます。
7. 最新のカーネルより古いすべてのカーネルについて、ステップ4以降のステップを繰り返します。

5.10 ステップ8: SSH関連のDSAキーの削除(必要な場合)

マルチマスター・クラスタ・ノードごとに、アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. SSHを有効にします。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

3. SSHを使用してOracle Key Vaultのsupportアカウントにログインします。

   ssh support@OracleKeyVault_serverIPaddress

4. rootユーザーに切り替えます。

   su - root

5. /etc/sshディレクトリに移動します。

   cd /etc/ssh

6. 次のキーの名前を変更します。

   mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.retire
   mv ssh_host_dsa_key ssh_host_dsa_key.retire

7. SSHアクセスを無効にします。

   システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。