1. 管理者ガイド
  2. Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5 Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

Oracle Cloud MarketplaceからOracle Cloud Infrastructure (OCI) VMコンピュート・インスタンスにOracle Key Vaultをインストールできます。

5.1 Oracle Cloud Infrastructureコンピュート・インスタンスへのOracle Key Vaultのデプロイについて

Oracle Cloud MarketplaceのOracle Key Vaultは、クラウドベースのOracle Key Vaultのバージョンであり、継続的で柔軟かつスケーラブルなキー管理を提供します。

Oracle Key Vaultは、OCIテナンシのシェイプまたはサイズのVMコンピュート・インスタンスに迅速かつ簡単に導入できます。これにより、ハードウェアを調達する必要がなくなり、完全に機能するOracle Key Vaultデプロイメントをプロビジョニングするための時間が大幅に短縮されます。OCI VMコンピュート・インスタンス(Oracle Key Vaultコンピュート・インスタンスと呼ばれます)にデプロイされたOracle Key Vaultは、テナントに対してプライベートであり、Oracle Key Vault管理者によって管理されます。導入されると、Oracle Key Vaultコンピュート・インスタンスは、オンプレミスのOracle Key Vaultインストールと同じルック・アンド・フィールであり、構成にも同じ柔軟性があります。

Oracle Cloud Infrastructure (OCI) VMコンピュート・インスタンスにデプロイされたOracle Key Vaultサーバーは、次の状況で動作します。

  • スタンドアロン環境
  • OCIまたはオンプレミスの別のノードとペアにして、マルチマスター・クラスタを形成する

Oracle Key Vaultのマルチマスター・クラスタ・ノードは、OCIにすべてのノードを配置してクラウドのみのOracle Key Vaultクラスタを形成するか、一部のノードをオンプレミスに配置してハイブリッドのOracle Key Vaultクラスタを形成することができます。この柔軟なデプロイメントでは、Oracle Key Vaultノードがオンプレミス環境またはクラウド環境のどちらにデプロイされているかにかかわらずスケーラビリティが提供されます。

Oracle Key Vaultコンピュート・インスタンスのデプロイメントでは、Oracle Key Vaultを使用して、OCIベースのデータベース・デプロイメントの暗号化キーを管理できます。これにより、クラウド環境での暗号化キーの制御を管理できます。最大16個までのOracle Key Vaultコンピュート・インスタンスをマルチマスター・クラスタに作成して、Oracle Cloudの各リージョンに分散し、グローバルに分散されたオンプレミス、ハイブリッドまたはクラウドのみのOracleデータベース・デプロイメントにキー管理サービスを提供できます。

Oracle Key Vaultコンピュート・インスタンスにエンドポイントをエンロールする場合は、それらがOracle Key Vaultコンピュート・インスタンス自体と同じVCNにあることを確認する必要があります。エンドポイントは、インスタンスのプライベートIPを使用して、Oracle Key Vaultコンピュート・インスタンスと通信します。必要に応じて、Oracle Key Vault管理コンソールへのアクセスに使用できるパブリックIPアドレスを持つように、Oracle Key Vaultコンピュート・インスタンスを構成できます。

Oracle Key Vaultは、パブリックIPを代替ホスト名として構成することで、エンドポイントでこのパブリックIPアドレスを使用してそれと通信できるように構成できます。Oracle Key Vaultインスタンスは、代替ホスト名として完全修飾ドメイン名(FQDN)を使用して構成することもできます。各Oracle Key Vaultインスタンスは最大2つの代替ホスト名を持つことができ、エンドポイントはそのいずれかを使用してインスタンスと通信できます。2つのうちどれを選択してエンドポイント通信に使用する必要があります。各Oracle Key Vaultコンピュート・インスタンス間およびエンドポイントとOracle Key Vaultコンピュート・インスタンスの間に接続が存在するようにするには、ネットワークを構成する必要があります。

関連トピック

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.2 Oracle Cloud InfrastructureでOracle Key Vaultを使用する利点

迅速なデプロイメントと使いやすさは、Oracle Cloud Infrastructure (OCI)コンピュート・インスタンスでOracle Key Vaultを使用する利点です。

  • OCIベースのデータベース環境のキー管理: Oracle Key Vaultコンピュート・インスタンスをデプロイすると、OCIベースのデータベース環境 (ExaDB-D)、オンプレミス環境およびハイブリッド・データベース環境(ExaDB-C@CおよびADB-C@Cを含む)にキー管理が提供されます。これにより、クラウド内のデータベース環境の暗号化キーに対する制御を所有、管理および維持できます。

  • 迅速なデプロイメント: Oracle Key Vaultコンピュート・インスタンスは、ハードウェアを管理したり、仮想マシンをセットアップすることなく、数分以内で導入できます(Oracle Key Vaultコンピュート・インスタンスの起動を参照してください)。導入後、Oracle Key Vaultコンピュート・インスタンスは、スタンドアロンでの実行またはマルチマスター・クラスタへの追加が可能になります。エンドポイントはOracle Key Vaultコンピュート・インスタンスにエンロールできます。このようにして、本番環境を迅速にセットアップできます。また、Oracle Key Vaultコンピュート・インスタンスを使用すると、テスト環境および開発環境を迅速にセットアップして、Oracle Key Vaultの様々なユースケースやデプロイメント・シナリオを検証および試行できます。

  • ピーク負荷またはハードウェアを使用できない状態での本番環境のスケール・アウト: OCIでFastConnectまたはIPSec VPNを使用している場合は、Oracle Key Vaultクラウド・デプロイメントをオンプレミス環境に拡張できます。FastConnectまたはIPSec VPNを使用して、オンプレミスのOracle Key VaultノードとOCIのOracle Key Vaultコンピュート・インスタンスをペアにすることで、ハイブリッド・クラスタを形成できます。ハイブリッド・クラスタは、OCIで本番のOracle Key Vaultサーバーを実行したり、一時的にOracle Key Vaultクラスタを拡張するために使用できます。Oracle Key Vaultコンピュート・インスタンスは、オンプレミス、OCIまたはハイブリッドOracle Key Vaultクラスタに新しいノードとして迅速に追加できます。このタイプのデプロイメントでは、Oracle Key Vaultクラスタに自動的な弾力性が提供されます。また、Oracle Key Vaultクラスタのノードでの負荷の一時的な増加に対処するために使用できます。

  • ハイブリッド・データベース環境での待機時間の削減: データがオンプレミスのデータベースとクラウドのデータベースの間で共有されるユースケースの場合は、ハイブリッドのOracle Key Vaultクラスタでキーを管理することによって参照の局所性が提供されます。キーはクラスタのすべてのノードで使用できるため、クラスタ・サブグループをセットアップできます。クラウド内のデータベースは主にOCIのクラスタ・ノードからキーをフェッチし、オンプレミスのデータベースは主にオンプレミスにプロビジョニングされているクラスタ・ノードからキーをフェッチするというような方法が考えられます。

  • オンプレミスからOCIベースのOracle Key Vaultクラスタへの移行の簡略化: FastConnectまたはIPSec VPNを使用してOCIに接続している場合は、Oracle Key Vaultコンピュート・インスタンスをクラスタに追加することによって、オンプレミスのOracle Key Vaultクラスタを拡張できます。OCIのOracle Key VaultノードのIPアドレスが、データベース・エンドポイントのスキャン・リストに追加されます。OCIテナントのOracle Key Vaultノードが適切な数になったら、クラスタからオンプレミスのOracle Key Vaultノードを削除できます。同じ手順に従って、OCIのOracle Key VaultクラスタからオンプレミスのOracle Key Vaultクラスタにシームレスに移行できます。

  • OCIインフラストラクチャとサービスの組合せ: Oracle Cloud Infrastructureの独自の利点を活用できます。同じリージョンに複数のOracle Key Vaultコンピュート・インスタンスをインストールする場合は、それらを異なる可用性ドメインにデプロイすることもできます(フォルト・ドメインは自動的に選択されますが、変更できます)。これにより、キー管理サービスの可用性を最大限に高めることができます。DNS、NTPなどのサービスも、OCIでネイティブに使用できます。これらをセットアップする必要がないため、Oracle Key Vaultのプロビジョニングが簡略化されます。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.3 Oracle Key Vaultコンピュート・インスタンスのプロビジョニング

Oracle Key Vaultコンピュート・インスタンスのプロビジョニング・プロセスでは、コンピュート・インスタンスの導入、導入後およびインストール後のタスクの実行を行う必要があります。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.3.1 Oracle Key Vaultコンピュート・インスタンスのプロビジョニングについて

Oracle Key Vaultコンピュート・インスタンスをプロビジョニングするには、カスタム・イメージとしてOracle Key Vaultイメージを選択します。

このイメージは、コンピュート・シェイプでOCI Marketplaceから導入します。この処理を完了すると、Oracle Key Vaultコンピュート・イメージは使用している環境に固有のものになります。このイメージのディスク・サイズは4 TBです。

導入が完了すると、Oracle Key Vaultコンピュート・イメージをすぐに使用できるようになります。導入後に実行する必要があるステップは、オンプレミスのOracle Key Vaultのインストールの場合に実行するステップと似ています。

親トピック: Oracle Key Vaultコンピュート・インスタンスのプロビジョニング

5.3.2 Oracle Key Vaultコンピュート・インスタンスの導入

Oracle Key Vaultコンピュート・インスタンスの導入処理には、約2分から5分かかります。

親トピック: Oracle Key Vaultコンピュート・インスタンスのプロビジョニング

5.3.2.1 Oracle Key Vaultコンピュート・インスタンスの導入について

導入処理を実行するには、システムでいくつかの簡単な準備作業が必要となります。

導入処理を開始する前に、使用する予定のエンドポイントがOracle Key Vaultインスタンスと同じVCNにあることを確認します。エンドポイントは、コンピュート・インスタンスのプライベートIPを使用してOracle Key Vaultと通信します。必要に応じて、Oracle Key Vaultコンピュート・インスタンスは、Oracle Key Vault管理コンソールへのアクセスに使用できるパブリックIPを持つことができます。オプションで、Oracle Key Vaultを、エンドポイントでこのパブリックIPアドレス(または、関連付けられている完全修飾ドメイン名)を使用してそれと通信できるように構成することもできます。また、ネットワークをセットアップし、エンドポイントとOCIコンピュート・インスタンスの間のネットワーク接続が確立されるように構成します。

5.3.2.2 ステップ1: 前提条件が満たされていることの確認

Oracle Key Vaultのコンピュート・インスタンスを導入する前に、Oracleクラウドで前提条件が満たされていることを確認する必要があります。

次の条件が満たされていることを確認します。
  • Oracleクラウドのアカウントを持っている。
  • 割り当てられているOracleクラウドのテナントにアクセスできる。
  • Oracleクラウド・テナント内に新しいコンピュート・リソースを作成するための、十分なサービス制限と割当て制限があります。
5.3.2.3 ステップ2: Oracle Key Vaultのイメージの検索

Oracle Key Vaultイメージは、Oracle Cloud MarketplaceのWebサイトで入手できます。

  1. Oracle Cloud MarketplaceのWebサイトに移動します。
  2. OCIテナンシにログインし、「Launch Instance」をクリックします。
  3. OCIテナンシ内から、次の手順を実行します。
    1. 「All Applications」をクリックします。
    2. 検索バーにKey Vaultと入力して、使用可能なOracle Key Vaultリリースを検索します。
    3. メニューから、必要なOracle Key Vaultのリリースを選択します。
5.3.2.4 ステップ3: Oracle Key Vault VMコンピュート・インスタンスの導入

Oracle Cloud Marketplaceで導入処理全体を実行します。

  1. 「Oracle Key Vault」ページで、「Launch Instance」を選択します。
  2. 「NAME」フィールドで、自動的に生成されたインスタンス名をデプロイメントにとって意味のあるもの(OKV01OKV02など)に置き換えます。
    VMStandard 2.2シェイプが事前選択されています。本番デプロイメントでは、より大きなシェイプをお薦めします。
  3. シェイプには、「VM.Standard 2.2」以上を選択します。次に、「Select Shape」をクリックします。
    これで、ネットワークを構成する準備ができました。
  4. 「Virtual Cloud Network (VCN)」を選択します。
  5. サブネットを選択します。
  6. オプションで、Oracle Key VaultのWebインタフェースへのアクセスのためにのみ、パブリックIPアドレスを割り当てます。
    エンドポイントとOracle Key Vault間のすべての通信(RESTfulサービスを含む)は、プライベートIPアドレスを使用します。起動後とインストール後のすべての手順が完了したら、オプションで、Oracle Key Vaultを、エンドポイントでそのパブリックIPアドレス(または関連する完全修飾ドメイン名)を使用してそれと通信できるように構成できます。
  7. 「Advanced Options」をクリックして、「Network」タブを選択します。
    ここで、デフォルトのプライベート・アドレスを別のプライベート・アドレスに置き換えることができます。これらのアドレスはどちらも、現在のサブネットの範囲内にある必要があります。また、命名規則に一致するようにホスト名を変更できます。それ以外の場合は、okv|MAC-address-of-NICからホスト名が作成されます。
  8. SSH公開キーをアップロードします。
  9. 「Boot Volume」領域では、設定を何も選択しないでください。
  10. 「Create」をクリックして、インスタンスの作成を完了します。
    直後に、Oracle Key Vaultコンピュート・イメージが起動され、Oracle Key Vaultサーバーとして使用できるようになります。
この時点で、導入後およびインストール後のステップを実行する必要があります。
5.3.2.5 ステップ4: 導入後およびインストール後のタスクの実行

OCIコンピュート・インスタンスでOracle Key Vaultを導入したら、まず導入後のタスクを実行してから、インストール後のタスクを実行します。

起動後のタスクは、rootおよびsupportユーザーのパスワードを設定することです。これらのパスフレーズの設定後、オンプレミスでのデプロイメントの場合に必要なタスクと同じインストール後のタスクを実行する必要があります。インストール後のタスクを完了したら、Oracle Key Vaultクラスタの構築を開始するか、Oracle Key Vaultをスタンドアロン・モードのままにすることができます。
  1. rootおよびsupportユーザーのパスワードを設定します。
    1. コマンド・プロンプトで、opcユーザーとしてログインします。
      ssh opc@Oracle_Key_Vault_OCI_IP_address
    2. rootおよびsupportユーザーのパスワードを設定します
      set_password
      プロンプトが表示されたら、rootパスワードを入力して確認します。rootパスワードを正常に入力した後、yesを選択してsupportユーザーのパスワードも設定します。両方のパスワードが設定されると、opcアカウントが削除され、Oracle Key VaultへのSSHが無効になります。
      アップグレード時またはOracle Supportから指示された場合にのみ、Oracle Key Vault管理コンソールからSSHを一時的に有効化できます。その後、SSHを使用して、opcユーザーと同じSSH公開キーを使用し、supportユーザーとしてOracle Key Vaultサーバーにログインできます。
  2. 次に示すインストール後タスクを実行します。詳細は、「インストール後のタスクの実行」を参照してください。

    • Oracle Key Vault管理者アカウントを作成し、リカバリ・パスフレーズを設定します。

    • 次のいずれかの選択肢を使用して、NTPおよびDNSのアドレスを入力します。
      • Oracle Cloud InfrastructureでNTPサーバー・アドレスとして169.254.169.254を使用します。残りのNTPフィールドは空のままにします。

      DNSの設定では、サブネットおよびテナンシでのDNSの構成に応じて複数のオプションがあるため、ネットワーク・チームに問い合せてください。

5.4 Oracle Key Vaultコンピュート・インスタンスの一般的な管理

Oracle Key Vaultコンピュート・インスタンスの一般的な管理タスクの多くは、Oracle Key Vault管理コンソールで実行できます。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.4.1 Oracle Key Vaultコンピュート・インスタンスの起動、再起動または停止

必要なアクションに応じて、Oracle Key Vault管理コンソールまたはOCIコンソールを使用できます。

Oracle Key Vault管理コンソールまたはOCIコンソールを使用してOracle Key Vaultコンピュート・インスタンスを再起動および停止することはできますが、すでに停止しているインスタンスを起動するには、OCIコンソールを使用する必要があります。
次のいずれかの方法を選択して、Oracle Key Vaultコンピュート・インスタンスを再起動または停止します。
  • Oracle Key Vault管理コンソールから、Oracle Key Vaultコンピュート・インスタンスを再起動または停止できます。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」を選択し、左側のナビゲーション・バーから「Status」を選択します。
    3. 「Status」ページで、次のいずれかを実行します。
      • 再起動するには、「Reboot」をクリックします。
      • 停止するには、「Power Off」をクリックします。

      ノート:

      管理コンソールからOracle Key Vaultの電源を切断した後、OCIコンソールのステータスが実行状態のままであるため、OCIコンソールからインスタンスを停止する必要があります。
  • OCIコンソールから、Oracle Key Vaultコンピュート・インスタンスを起動、再起動または停止できます。
    1. ナビゲーション・メニューを開きます。「Core Infrastructure」で、「Compute」に移動して「Instances」をクリックします。
    2. 停止または起動するOracle Key Vaultコンピュート・インスタンスを選択します。
    3. 次のアクションのいずれかをクリックします。
      • 停止したインスタンスを起動するには、「Start」をクリックします。
      • オペレーティング・システムに停止コマンドを送信してインスタンスを正常に停止するには、「Stop」をクリックします。

        Oracle Key Vaultコンピュート・インスタンスの停止に長時間かかる場合は、停止で異常が発生し、データが破損している可能性があります。これを回避するには、コンソールを使用してインスタンスを停止する前に、オペレーティング・システムで使用できるコマンドを使用してインスタンスを停止します。

      • オペレーティング・システムに停止コマンドを送信してからインスタンスの電源を投入しなおすことによって、Oracle Key Vaultコンピュート・インスタンスを正常に再起動するには、「Reboot」をクリックします。

親トピック: Oracle Key Vaultコンピュート・インスタンスの一般的な管理

5.4.2 Oracle Key Vaultコンピュート・インスタンスのシステム設定

Oracle Key Vaultコンピュート・インスタンスのほとんどのシステム設定は、オンプレミスでのデプロイメントと同じですが、いくつかの例外があります。

監査、電子メール、RESTfulサービス、Oracle Key VaultとOracle Audit Vaultの統合などのシステム機能の設定は、オンプレミスとOCIの両方のデプロイメントで同じです。

  • Oracle Key Vaultのホスト名は、OCIコンソールまたはOracle Key Vault管理コンソールで構成できます。ただし、後でOCIコンソールでホストのIPアドレスを設定した場合は、OCIコンソールまたはOracle Key Vault管理コンソールで変更できません。
  • SSHトンネル(非推奨)の設定は、OCIにデプロイされているOracleデータベースに対してオンプレミスのOracle Key Vaultクラスタからキー管理サービスを提供する場合に使用されます。OCIベースのOracle Key Vaultデプロイメントでは、SSHトンネルを設定しないでください。

親トピック: Oracle Key Vaultコンピュート・インスタンスの一般的な管理

5.4.3 Oracle Key Vaultコンピュート・インスタンスのバックアップおよびリストア操作

OCI環境とオンプレミス環境の間でOracle Key Vaultのデータをバックアップおよびリストアできます。

オンプレミスのホストに格納されているOracle Key Vaultコンピュート・インスタンスをバックアップできます。これは、リストアされるバックアップと同じバックアップです。Oracle Key Vaultコンピュート・インスタンスにリストアされるサーバーのバックアップの場所として、別のオンプレミスのOracle Key Vaultサーバーを使用できます。

要件は次のとおりです。

  • Oracle Key Vaultコンピュート・インスタンスからOCIコンピュート・インスタンスへのバックアップまたはリストア操作を実行する場合は、Oracle Key Vaultコンピュート・インスタンスからのOCIコンピュート・インスタンスへの永続的なネットワーク接続が存在する必要があります。
  • Oracle Key Vaultコンピュート・インスタンスとオンプレミスのホストの間でバックアップまたはリストア操作を実行する場合は、VCNでオンプレミス・ホストに接続できることを確認します。

親トピック: Oracle Key Vaultコンピュート・インスタンスの一般的な管理

5.4.4 Oracle Key Vaultコンピュート・インスタンスの終了

Oracle Key Vaultコンピュート・インスタンスはOCIコンソールから終了させます。

コンピュート・インスタンスを終了させると、エンドポイントを保護するキーを含むすべてのデータが永久に失われ、バックアップからリカバリする場合を除いてリカバリできません。バックアップにも最新のキーがない場合があります。インスタンスを終了させると、すべてのエンドポイントのデータが失われる可能性があります。インスタンスを終了させる前に十分な注意を払ってください。Oracle Key Vaultコンピュート・インスタンスを終了させるのは、キーのコピーが別の安全な場所にあること、またはキーが不要であることが確実な場合のみにしてください。
  1. OCIコンソールにログインします。
  2. 「Core Infrastructure」で、「Compute」に移動して「Instances」をクリックします。
  3. 削除するOracle Key Vaultコンピュート・インスタンスの名前を選択します。
  4. 「Terminate」をクリックし、確認のプロンプトに応答します。
終了したインスタンスは、インスタンスのリストに「Terminated」のステータスで一時的に残ります。

親トピック: Oracle Key Vaultコンピュート・インスタンスの一般的な管理

5.5 オンプレミスとOCIの間のOracle Key Vaultデプロイメントの移行

Oracle Key Vaultのスタンドアロン、プライマリ・スタンバイまたはクラスタ・デプロイメントをオンプレミス環境からOCIに(またはその逆に)移行できます。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.5.1 Oracle Key Vaultコンピュート・インスタンスのデータ移行の実行について

オンプレミスからOCIおよびOCIからオンプレミスにOracle Key Vaultのデプロイメントを移行できます。

キー管理を早急に提供する必要性がある場合は、OCIに本番のOracle Key Vaultデプロイメントを迅速に設定し、その後、オンプレミスのデプロイメントに移行できます。また、Oracle Key Vaultコンピュート・インスタンスでは、ハードウェアおよびVM管理のオーバーヘッドが必要ないか、ほとんど必要となりません。このオーバーヘッドを排除するために、オンプレミスのOracle Key VaultのデプロイメントをOCIに移行できます。

Oracle Key Vaultのバックアップおよびリストア機能を使用して、オンプレミスからOCIに(またはその逆に)Oracle Key Vaultクラスタを移行できます。オンプレミスのOracle Key VaultクラスタのデプロイメントをOCIに移行するには、Oracle Key Vaultコンピュート・インスタンスをクラスタに追加し、クラスタからオンプレミスのOracle Key Vaultノードを削除します。クラスタにオンプレミスのOracle Key Vaultノードが残っていない場合、クラスタはOCIに完全に移行します。同様に、OCIのOracle Key Vaultクラスタをオンプレミスに移行することもできます。

親トピック: オンプレミスとOCIの間のOracle Key Vaultデプロイメントの移行

5.5.2 バックアップおよびリストアを使用したOCIへのOracle Key Vaultデプロイメントの移行

システム管理者ロールを持つユーザーは、バックアップおよびリストアを使用して、Oracle Key VaultのデプロイメントをオンプレミスからOCIに移行できます。

  1. システム管理者ロールを持つユーザーとして、オンプレミスのOracle Key Vaultサーバーにログインします。
  2. OCIコンピュート・インスタンスをバックアップ先として構成します。
  3. オンプレミスのOracle Key VaultサーバーをOCIコンピュート・インスタンスにバックアップします。
  4. オンプレミスのOracle Key Vaultサーバーと同じOracle Key VaultバージョンのOracle Key Vaultコンピュート・インスタンスを導入します。
  5. システム管理者ロールを持つユーザーとして、Oracle Key Vaultコンピュート・インスタンスにログインします。
  6. OCIコンピュート・インスタンスから新しくインストールされたOracle Key Vaultコンピュート・インスタンスに、バックアップをリストアします。
  7. Oracle Key Vaultマルチマスター・クラスタをセットアップするには、リストアしたOracle Key Vaultコンピュート・インスタンスをクラスタの最初(初期)のノードとして変換します。
  8. 必要に応じて、追加のOracle Key Vaultコンピュート・インスタンスを構成し、クラスタに追加します。

関連トピック

親トピック: オンプレミスとOCIの間のOracle Key Vaultデプロイメントの移行

5.5.3 バックアップおよびリストアを使用したOCIからのOracle Key Vaultデプロイメントの移行

システム管理者ロールを持つユーザーは、Oracle Key VaultのデプロイメントをOCIからオンプレミスに移行できます。

  1. システム管理者ロールを持つユーザーとして、Oracle Key Vaultコンピュート・インスタンスにログインします。
  2. Oracle Key Vaultコンピュート・インスタンスをオンプレミスのシステムにバックアップします。
  3. Oracle Key Vaultコンピュート・インスタンスと同じOracle Key Vaultバージョンの新しいOracle Key Vaultサーバーをオンプレミスにインストールします。
  4. システム管理者ロールを持つユーザーとして、オンプレミスのOracle Key Vaultサーバーにログインします。
  5. オンプレミスのバックアップ先から新しくインストールしたオンプレミスのOracle Key Vaultサーバーに、バックアップをリストアします。
  6. Oracle Key Vaultマルチマスター・クラスタをセットアップするには、リストアしたオンプレミスのOracle Key Vaultサーバーをクラスタの最初(初期)のノードとして変換します。
  7. 必要に応じて、追加のOracle Key Vaultコンピュート・インスタンスを構成し、クラスタに追加します。

関連トピック

親トピック: オンプレミスとOCIの間のOracle Key Vaultデプロイメントの移行

5.6 Microsoft AzureでのOracle Key Vaultイメージの作成

Oracle Key Vaultは、Azureでのデプロイメントおよびプロビジョニングを提供します。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.6.1 Microsoft AzureでのOracle Key Vaultのプロビジョニングについて

Microsoft AzureでOracle Key Vaultをプロビジョニングできます。

AzureのOracleデータベース(ExaDB-D@Azureを含む)で使い慣れた、継続的に使用可能な、非常にスケーラブルでフォルト・トレラントなキー管理を実現するには、Oracle Key Vaultマルチマスター・クラスタをMicrosoft Azureにインストールして作成するか、Microsoft AzureのOracle Key Vaultクラスタ・ノードを使用してオンプレミスのOracle Key Vaultデプロイメントを拡張します。クラスタからオンプレミス・ノードを削除することで、オンプレミスのOracle Key VaultクラスタをMicrosoft Azureに移動することもできます。

親トピック: Microsoft AzureでのOracle Key Vaultイメージの作成

5.6.2 Microsoft Azure用のOracle Key Vaultベース・イメージの作成

最初にベース・イメージを作成し、そこからOracle Key Vaultクラスタ・ノードを作成することで、Microsoft AzureにOracle Key Vaultクラスタを作成できるようになりました。

  • Azure CLIをインストールおよび構成していることを確認します。
  • 「Storage Accounts」の下にコンテナを設定して、Azure用のOracle Key Vaultイメージの準備に使用されるVMディスクを格納していることを確認します。
  1. 外部の別のマシンに、Oracle VM VirtualBoxをインストールします。
  2. オペレーティング・システムとしてLinux 8、Oracle (64ビット)を使用して、Oracle VM VirtualBoxに仮想マシンを作成します。
    1. ベース・イメージの最小RAMは「8 GB」です。
    2. 本番デプロイメントの最小ディスク・サイズは「2 TB (recommended 4 TB)」です。仮想ハード・ディスクは固定サイズとしてVHD形式で作成します。
  3. 前述の設定(OL8、RAM、ディスク・サイズ)を使用して空のVMシェルを作成します。この時点では何もインストールしないでください。
  4. installer.isoイメージをその仮想マシンにマウントし、その仮想マシンを起動します。

    ノート:

    インストール後のステップには進まないでください。かわりに、このOracle Key Vaultをクローニング対象のテンプレートにするスクリプトを実行します。
  5. その仮想マシンにOracle Key Vaultインスタンスをインストールします。インストール後のステップは完了しないでください。
  6. 仮想マシンのコンソールでrootとしてログインします。
  7. 次のステップでスクリプトを実行する前に、Oracle Key Vaultインストールのisoイメージを仮想マシンの最初のドライブに再アタッチします。
  8. 次のコマンドを実行します: /usr/local/okv/bin/okv_export_cloud_image azure。このスクリプトは、後でMicrosoft Azureにアップロードされるベース・イメージとしてのシステムのエクスポートを準備します。
  9. 仮想マシンを停止します。
  10. azure CLI az storage blob upload --account-name <storage_account_name> --container-name <container_name> --name <blob_name>.vhd --file <VM_DISK_FILE>.vhdを使用して、仮想マシンのディスク・ファイルをストレージ・アカウントの下のコンテナにアップロードします
  11. 次のステップを使用して、VHDファイルからイメージを作成します:
    1. Azureポータルにログインして、イメージに移動します。
    2. 「Create」をクリックします。
    3. 「Create an image」ページで、必要に応じて情報を入力します。必須オプションには次のようなものがあります。
      • Storage blob: このステップの前にアップロードしたストレージ・アカウント・コンテナからblob_name.vhdを指定します。
      • OS Type: Linux
      • VM generation: VirtualBoxの仮想マシンの設定と一致するように、「Gen1 (BIOS)」または「Gen2 (UEFI)」を選択します。
    4. 「Create + Review」をクリックします。イメージを作成する前に、その詳細を確認します。
    5. 「Create」をクリックします。
      デプロイメントが完了すると、イメージが使用可能になります。

親トピック: Microsoft AzureでのOracle Key Vaultイメージの作成

5.6.3 ベース・イメージからのOracle Key Vaultクラスタ・ノード(インスタンス)の起動

Oracle Key Vaultインスタンスを起動するステップを実行します。

  1. Azureポータルにログインして、「Images」に移動します
  2. Oracle Key Vaultイメージをクリックします。
    次のオプションに次の設定を検討します。
    • Size: 16 GB RAM (推奨32 GB)以上のVMサイズを選択します。
    • Authentication type: 「SSH public key」を選択します。
    • Username: 「opc」と入力します。デフォルトのユーザー名azureuserを使用しないでください。
    • Public inbound ports: 「Allow selected ports」を選択します。
    • Select inbound ports: 「Network settings」で、HTTPS (443)およびSSH (22)を許可するセキュリティ・グループを構成します。外部接続に必要なポートが開いています。追加のポートを開く必要がある場合があります。外部でOracle Key Vaultインスタンスの追加サービスまたは機能にアクセスできるようにするには、「ネットワーク・ポート要件」を参照してください。
  3. インストール後のステップを完了します。詳細は、「ステップ4: 導入後およびインストール後のタスクの実行」を参照してください。

親トピック: Microsoft AzureでのOracle Key Vaultイメージの作成

5.7 Amazon AWSでのOracle Key Vaultイメージの作成

Oracle Key Vaultは、AWSでのデプロイメントおよびプロビジョニングを提供します。

親トピック: Oracle Cloud Infrastructure VMコンピュート・インスタンスへのOracle Key Vaultのデプロイ

5.7.1 Amazon AWSでのOracle Key Vaultのプロビジョニングについて

Amazon AWSでOracle Key Vaultをプロビジョニングできます。

オンプレミス・データ・センター内のOracle Key Vaultデプロイメントは、Amazon AWSのOracle Key Vaultクラスタ・ノードを使用して拡張できます。クラスタからオンプレミス・ノードを削除することで、オンプレミスのOracle Key VaultクラスタをAmazon AWSに移動することもできます。

親トピック: Amazon AWSでのOracle Key Vaultイメージの作成

5.7.2 AWSでのOracle Key Vaultイメージの作成

最初にベース・イメージを作成して、Oracle Key Vaultクラスタ・ノード(インスタンス)を起動します。

  • 先に進む前に、AWS CLIがインストールされていることを確認します。ユーザー・ロールの作成も必要です。詳細は、「ユーザー・ロールの作成」を参照してください
  • AWS用のOracle Key Vaultイメージの準備に使用されるVMディスクを格納するためにAmazon S3バケットを設定していることを確認します。
  • AWSユーザーにvmimportロールがあることを確認します。
  1. 外部の別のマシンに、Oracle VM VirtualBoxをインストールします。
  2. オペレーティング・システムとしてLinux 8、Oracle (64ビット)を使用して、Oracle VM VirtualBoxに仮想マシンを作成します。
    1. ベース・イメージの最小RAMは「8 GB」です。
    2. 本番デプロイメントの最小ディスク・サイズは「2 TB (recommended 4 TB)」です。仮想ハード・ディスクはVHD形式で作成します。
  3. 前述の設定(OL8、RAM、ディスク・サイズ)を使用して空のVMシェルを作成します。この時点では何もインストールしないでください。
  4. installer.isoイメージをその仮想マシンにマウントし、その仮想マシンを起動します。

    ノート:

    インストール後のステップには進まないでください。かわりに、このOracle Key Vaultをクローニング対象のテンプレートにするスクリプトを実行します。
  5. その仮想マシンにOracle Key Vaultインスタンスをインストールします。インストール後のステップは完了しないでください。
  6. 仮想マシンのコンソールでrootとしてログインします。
  7. 次のステップでスクリプトを実行する前に、Oracle Key Vaultインストールのisoイメージを仮想マシンの最初のドライブに再アタッチします。
  8. 次のコマンドを実行します: /usr/local/okv/bin/okv_export_cloud_image aws。このスクリプトは、後でAmazon Azureにアップロードされるベース・イメージとしてのシステムのエクスポートを準備します。
  9. 仮想マシンを停止します。
  10. AWS CLI: aws S3 cp <VM_DISK_FILE>.vhd S3://<s3_bucket_name>/<VM_DISK_FILE>.vhdを使用して、VMのディスク・ファイルをAmazon S3バケットにアップロードします。
  11. ディスク・コンテナJSONファイルを作成します。たとえば、次に示すcontainer.jsonです。
    {
    "Description": "<image_description>”,
    "Format": "vhd",
    "UserBucket": {
        "S3Bucket": “<s3_bucket_name>”,
        "S3Key": "<VM_DISK_FILE>.vhd"
    }
}
  12. ディスクをスナップショットとしてインポートします。コマンドaws ec2 import-snapshot --disk-container file://container.jsonを使用します。

    出力は、次のようになります。

    {
    "ImportTaskId": "import-snap-031f7b5abe599ae94",
    "SnapshotTaskDetail": {
        "DiskImageSize": 0.0,
        "Progress": "0",
        "Status": "active",
        "StatusMessage": "pending",
        "UserBucket": {
            "S3Bucket": "<s3_bucket_name>",
            "S3Key": "<VM_DISK_FILE>.vhd"
        }
    },
    "Tags": []
}
  13. 前述のコマンドの出力からImportTaskIdを使用して、スナップショット・インポートのステータスをミモニタリングできます。
    aws ec2 describe-import-snapshot-tasks --import-task-ids import-snap-031f7b5abe599ae94
    {
    "ImportSnapshotTasks": [
        {
            "ImportTaskId": "import-snap-031f7b5abe599ae94",
            "SnapshotTaskDetail": {
                "DiskImageSize": 7654604800.0,
                "Format": “VHD",
                "Progress": "43",
                "Status": "active",
                "StatusMessage": "downloading/converting",
                "UserBucket": {
                    "S3Bucket": "<s3_bucket_name>",
                    "S3Key": "<VM_DISK_FILE>.vhd"
                }
            },
            "Tags": []
        }
    ]
}
  14. インポートされたスナップショットからAMIイメージを作成します。
    1. AWS EC2ダッシュボードに移動します。
    2. 「Elastic Block Store」の下の「Snapshots」を選択します。
    3. 「snapshot ID」 (snap-031f7b5abe599ae94など)を検索します。
    4. 「snapshot ID」をクリックします。
    5. 「Actions」で、「Create image from snapshot」を選択します。
    6. イメージ設定を指定します。
      1. 「Image name」に入力します。
      2. 「Virtualization type」で、「Hardware-assisted virtualization」を選択します。
      3. 指定したVM設定に一致するブート・モードを選択します。
      4. 残りのフィールドのデフォルト設定を維持します。
    7. 「Create」をクリックします。作成に成功すると、イメージへのリンクを含むノートが表示されます。

親トピック: Amazon AWSでのOracle Key Vaultイメージの作成

5.7.3 ベース・イメージからのOracle Key Vaultクラスタ・ノード(インスタンス)の起動

Oracle Key Vaultクラスタ・ノード(インスタンス)を起動するステップを実行します。

  1. AWS EC2ダッシュボードに移動します。
  2. 左側のウィンドウ・ペインから「Images」フォルダの下のAMIを選択します。
  3. Oracle Key Vaultイメージをクリックして起動します。
  4. AMIから「Launch Instance」をクリックします。
  5. 「Launch an Instance」ページで詳細を指定します。
    次のオプションに次の設定を検討します。
    1. : 選択したインスタンス・タイプに、Oracle Key Vaultイメージで構成されている十分なメモリー領域があることを確認します。
    2. 「Network settings」で、HTTPS (443)およびSSH (22)を許可するセキュリティ・グループを構成します。外部接続に必要なポートが開いています。追加のポートを開く必要がある場合があります。外部でOracle Key Vaultインスタンスの追加サービスまたは機能にアクセスできるようにするには、「ネットワーク・ポート要件」を参照してください。
  6. 「Launch Instance」をクリックします。
  7. インストール後の手順を完了します。詳細は、「ステップ4: 導入後およびインストール後のタスクの実行」を参照してください。

親トピック: Amazon AWSでのOracle Key Vaultイメージの作成