2 Oracle Key Vaultのインストール要件

Oracle Key Vaultのインストール要件には、CPU、メモリー、ディスク領域、ネットワーク・インタフェースおよびサポートされているエンドポイント・プラットフォームなどの分野が含まれます。

• システム要件
  システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。
• ネットワーク・ポートの要件
  ネットワーク・ポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。
• サポートされるエンドポイント・プラットフォーム
  Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。
• エンドポイント・データベースの要件
  管理者は、オンライン・マスター暗号化キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

2.1 システム要件

システム要件には、CPU、メモリー、ディスク、ネットワーク・インタフェースおよびハードウェアの互換性が含まれます。

Oracle Key Vaultをインストールすると、サーバー上の既存のソフトウェアは削除されます。

Oracle Key Vaultは、専用のサーバーにインストールするか、仮想化プラットフォームへのゲストとしてインストールするか、またはOracle Cloud Infrastructure (OCI)テナンシのコンピュート・インスタンスへのゲストとしてインストールでき、Oracle Cloud Marketplaceから数分でデプロイできます。次のサイトを参照してください。

https://cloudmarketplace.oracle.com/marketplace/app/OracleKeyVault

専用ハードウェア上に、またはVMゲストとしてOracle Key Vaultをデプロイするための最小ハードウェア要件は次のとおりです:

• CPU: 最小: x86-64 16コア。推奨: 暗号化アクセラレーションがサポートされた24-48コア(Intel AESNI)。

• メモリー: 最小16 GB RAM推奨: 32–64 GB。

  ノート:

  • Oracle Key Vaultでは、ブート・ディスクに対するマルチパスを持つファイバ・チャネル・ストレージはサポートされていません。
  • Oracle Key VaultシステムにRAMをさらに追加することはできますが、RAMサイズを元のシステム構成より小さくすることはできません。システム・メモリーの削減は、Oracle Key Vaultではサポートされていません。

• ディスク: 最小2 TB。推奨: 6 TB。

  BIOSおよびUEFI両方のブート・モード。ディスク・サイズが2 TBを超えるシステムの場合、Oracle Key VaultはUEFIモードでのブートのみをサポートします。

• ネットワーク・インタフェース: 1つまたは2つのネットワーク・インタフェース。

• ハードウェアの互換性: Oracle Key Vaultの埋込みオペレーティング・システムでサポートされている任意のIntel x86 64ビット・ハードウェア・プラットフォーム。Oracle Key Vaultは、Unbreakable Enterprise Kernel (UEK)バージョン6とともにOracle Linux 8を使用します。互換性のあるハードウェアのリストは、関連項目のOracle LinuxおよびOracle VMのハードウェア動作保証リストを参照してください。このリストには、選択したハードウェアで動作保証されているOracle Linuxの最小バージョンが含まれています。特に明記しないかぎり、Oracle Linuxリリース8以降のすべてのOracle Linux更新も動作保証されています。オペレーティング・システム・プラットフォームの詳細は、Oracle Linuxのドキュメントを参照してください。

  Oracle Key Vaultでは、レガシーBIOSおよびUEFIのブート・モードの両方がサポートされます。UEFIブート・モードのサポートにより、UEFIのみをサポートしているサーバー、または使用しているディスクが2 TBを超えるサーバーでのOracle Key Vaultのインストールが可能になります。

  ノート:

  • サポートされているハードウェアは、Oracle LinuxおよびOracle VMのハードウェア動作保証リストから入手できます。「All Operating Systems」を選択し、「Oracle Linux 8」を選択して、結果をフィルタします。ただし、Oracle Key VaultではQLogic QL4*ネットワーク・カード・ファミリがサポートされていないことに注意してください。
  • 多数のエンドポイントがあるデプロイメントでは、ワークロードにあわせてハードウェア要件を拡大することが必要になる場合があります。
• RAID: Oracle Key Vaultでは、ソフトウェアRAIDのインストールはサポートされていません。RAID構成が必要な場合は、1つのディスクをOracle Key Vaultに提示するハードウェアRAIDを有効にします。

• RESTfulサービス・ユーティリティ: RESTfulサービスを使用してOracle Key Vaultでエンドポイントのオンボーディングを自動化する場合は、RESTfulスクリプトが実行される将来のエンドポイント上のJavaバージョンがリリース1.7.0.21以降であることを確認してください。

  Oracle Database 12.2.0.1以降に含まれているJavaのバージョンは、Oracle Key Vaultでサポートされています。これらのリリースの場合、JAVA_HOMEを$ORACLE_HOME/jdk/jreに設定し、JAVA_HOME/binをPATHに追加します。

  リリース12.2.0.1より前のOracleデータベースの場合、現在のJavaインストールを次のようにして見つけます。

  $ namei /usr/bin/java | grep "l java"

  出力は、次のようになります。

   l java -> /etc/alternatives/java
     l java -> /usr/java/jdk1.8.0_131/jre/bin/java

  この例では、JAVA_HOME=/usr/java/jdk1.8.0_131/jreを設定してから、JAVA_HOME/binをPATH: PATH=$PATH:$JAVA_HOME/binに追加しています。

  OpenJDKはサポートされていません。

• ブラウザ: Oracle Key Vaultでは、ブラウザの表示言語として英語がサポートされています。

その他のインストールの考慮事項:

• サードパーティ・ソフトウェアをOracle Key Vaultアプライアンスにインストールしないでください。詳細は、「追加またはサード・パーティのソフトウェア」を参照してください。
• Oracle Key Vaultはソフトウェア・アプライアンスであるため、OracleではOracle Key Vaultに割り当てられたCPUおよびRAMを減らすことをお薦めしません。CPUおよびRAMを増減させてOracle Key Vaultサーバーのバックアップを取得する場合は、必要なシステム構成でサーバーを再構築し、推奨されるシステム構成でバックアップを使用してリストアします。

• 追加またはサード・パーティのソフトウェア
  この項では、追加またはサード・パーティのソフトウェアについて説明します。

2.1.1 追加またはサード・パーティのソフトウェア

この項では、追加またはサード・パーティのソフトウェアについて説明します。

• サードパーティ・ソフトウェアをOracle Key Vaultアプライアンスにインストールしないでください。Oracle Key Vaultはセキュリティ・アプライアンスであり、サード・パーティ・ソフトウェアをインストールすると、Oracle Key Vaultのセキュリティが妨げられます。サード・パーティ・ソフトウェアのインストールは、Oracle Key Vaultアプライアンスの操作上の整合性にも影響する場合があります。たとえば:

  • サード・パーティ・ソフトウェアをインストールすると、アップグレードが失敗する可能性があります。
  • Oracle Key Vaultを再起動またはアップグレードすると、サード・パーティ・ソフトウェアによる構成の変更がオーバーライドされる場合があります。
  • サード・パーティ・ソフトウェアは、Oracle Key Vaultの構成および操作に予期しない影響を与える可能性があります。

    Oracleでは、サード・パーティ・ソフトウェアを使用したOracle Key Vaultのインストールはサポートされていません。

2.2 ネットワーク・ポート要件

ネットワークポートの要件には、SSH/SCP、SNMP、HTTPS、リスナー、KMIPおよびTCPポートの要件が含まれます。

Oracle Key Vaultとそのエンドポイントでは、一連の固有ポートを使用して通信します。ネットワーク管理者は、これらのポートを開く必要があります。

次の表に、Oracle Key Vaultで必要なネットワーク・ポートを示します。

表2-1 Oracle Key Vaultで必要なポート

ポート番号	プロトコル	ポート・タイプ	説明
22	SSH/SCPポート	TCP	Oracle Key Vault管理者およびサポート担当者がOracle Key Vaultのリモート管理に使用
161	SNMPポート	UDP	モニタリング・ソフトウェアでOracle Key Vaultをポーリングしてシステム情報を取得するために使用
443	HTTPSポート	TCP	ブラウザやRESTful管理コマンドなどのWebクライアントがOracle Key Vaultとの通信に使用
5695	HTTPSポート	TCP	RESTfulキー管理コマンドでOracle Key Vaultとの通信に使用
1521および1522	データベースのTCPSリスニング・ポート	TCP	プライマリ/スタンバイ構成で、プライマリ・サーバーとスタンバイ・サーバーの間の通信にOracle Data Guardで使用されるリスニング・ポート。クラスタ構成では、読取り/書込みノード間の通信に使用されるリスニング・ポート。
7443	HTTPSポート	TCP	プライマリ・スタンバイ構成でOSコマンド(HTTPSを介したウォレットや構成ファイルの同期など)を実行するために使用されるリスニング・ポート。このポートは、クラスタに新規ノードを追加する場合にも使用されます。
5696	KMIPポート	TCP	Oracle Key Vaultエンドポイントとサード・パーティ製KMIPクライアントがOracle Key VaultのKMIPサーバーとの通信に使用
7093	TCPポート	TCP	マルチマスター・クラスタ構成でOracle GoldenGateがデータを転送するために使用

OCI MarketplaceインスタンスにOracle Key Vaultをインストールする場合、またはオンプレミス・ノードとOCIノードの間にハイブリッド・マルチマスター・クラスタを作成する場合は、次のネットワーク構成を検討してください。

1. 上の表に示されているポートを開くためのルールを追加します。
2. 次のイングレス・ルールを追加します。
   • ICMPタイプ3、コード4 (宛先到達不能、フラグメンテーションが必要でDon't Fragmentフラグが設定されている)。
   • ICMPタイプ8、コード0 (エコー・リクエスト、宛先ネットワークに到達不能)。
3. サイト間VPNまたはfastConnectを使用する場合は、必ず、マルチマスター・クラスタのノード間のトラフィックがルーターで許可されるようにします。
   • ポートを開くためのルールを追加します。
   • きわめてセキュアなルーターの場合、レイヤー3、4および7でオンプレミス・サブネットのURL例外を追加します。
   • ルーターで脅威として解釈されるパケットがないことを確認します。

ノート:

Oracle Key Vaultでは、ネットワーク・ポートのカスタマイズは許可されません。

2.3 サポートされているエンドポイント・プラットフォーム

Oracle Key Vaultでは、UNIXおよびWindowsの両方のエンドポイント・プラットフォームがサポートされています。

Oracleでは、64ビットLinuxのエンドポイントがサポートされますが、オンライン・マスター暗号化キーを使用するOracle Databaseでは、64ビットのエンドポイントのみがサポートされます。エンドポイントが実行されるオペレーティング・システムは、直接または適切なパッチを使用してTransport Layer Security (TLS) 1.2と互換性がある必要があります。

このリリースでサポートされているエンドポイント・プラットフォームは次のとおりです。

• Oracle Linux (6、7および8)

• Oracle Solaris x86 (10および11)

• Oracle Solaris SPARC (10および11)

• SUSE Linux Enterprise Server 15

• Red Hat Enterprise Linux 6、7、および8

• IBM AIX (6.1、7.1、7.2および7.3)

  アップグレード元のリリースでAIX 5.3を使用していた場合は、Oracle Key Vaultリリース21.1以降でサポートされなくなったため、そのプラットフォームからエンドポイントを削除する必要があります。

• HP-UX (IA) (11.31)

• Windows Server 2012、2016および2019

2.4 エンドポイント・データベース要件

管理者は、オンライン・マスター暗号化キーおよびOracle Database COMPATIBLE初期化パラメータを使用して、Oracle Databaseエンドポイントを管理できます。

管理者は、オンライン・マスター暗号化キーを使用して、Oracle Database 12.1.0.2以降のエンドポイントのTDEマスター暗号化キーを管理できます。Oracle Key Vaultをウォレット管理のみに使用するか、既存のウォレット・デプロイメントをOracle Key Vaultに移行する管理者は、okvutil uploadコマンドを使用してOracleウォレットをOracle Key Vaultにアップロードできます。

Oracle Databaseのエンドポイントを管理する管理者は、COMPATIBLE初期化パラメータを設定することが必要になる場合があります。

Oracle Databaseリリース12.1以降のエンドポイントの場合は、COMPATIBLE初期化パラメータを12.1.0.0以上に設定します。COMPATIBLEを12.1.0.0以上に設定すると、Oracle Key VaultでTransparent Data Encryptionを使用できるようになります。たとえば:

SQL> ALTER SYSTEM SET COMPATIBLE = '12.1.0.0' SCOPE=SPFILE;

これは、オンライン・マスター暗号化キーを使用してTDEマスター暗号化キーを管理するOracle Databaseエンドポイントに適用されます。この互換性モードの設定は、Oracle Walletのアップロード操作またはダウンロード操作には必要ありません。

また、COMPATIBLEパラメータを12.1.0.0に設定した後で、より低い値(10.2など)に設定できないので注意してください。COMPATIBLEパラメータを設定したら、データベースを再起動する必要があります。

Microsoft Windowsエンドポイントの場合、Oracle Key Vaultでは、Oracle Key Vaultリリース時に使用可能な最新のデータベース・リリース・バージョン(アップグレードされた可能性がある、関連するManufacturing Execution Systems (MES)ライブラリを含む)がサポートされています。