DBMS_RAを使用したTLSでのリカバリ・アプライアンス・レプリケーションの構成
前提条件および想定
環境が次の前提条件を満たしている必要があります。
-
アップストリームおよびダウンストリーム・リカバリ・アプライアンスが、ネットワークを超えて相互にやり取りできること。
-
ダウンストリーム・リカバリ・アプライアンスが起動され、バックアップを受け取るように構成されていること。
ケース1: 一方向レプリケーション、ダウンストリームでTLS無効
アップストリーム・リカバリ・アプライアンス(RA1)に、ダウンストリーム・リカバリ・アプライアンス(RA2)への一方向レプリケーションがあります。
-
アップストリーム・リカバリ・アプライアンスは、TLS有効、TLSのみ、またはTLS無効のモードにできます。
-
ダウンストリーム・リカバリ・アプライアンスはTLS無効になっています。
処置は必要ありません。
ケース2: 一方向レプリケーション、ダウンストリームでTLS有効
アップストリーム・リカバリ・アプライアンス(RA1)に、ダウンストリーム・リカバリ・アプライアンス(RA2)への一方向レプリケーションがあります。
-
アップストリーム・リカバリ・アプライアンス(RA1)は、TLS有効、TLSのみ、またはTLS無効のモードにできます。
-
ダウンストリーム・リカバリ・アプライアンス(RA2)は、TLS有効またはTLSのみになっています。
ダウンストリームとしてRA2を使用して次のステップを実行します。
-
tnsnames.ora
を新しいTCPS情報で更新します。-
ダウンストリーム・リカバリ・アプライアンス上
cat /u01/app/oracle/product/19.0.0.0/dbhome_1/network/admin/tnsnames.ora
-
アップストリーム・リカバリ・アプライアンスで、ダウンストリーム・リカバリ・アプライアンスからのTCPS情報で新しいエントリを追加するか既存のエントリを更新します。たとえば:
(ADDRESS = (PROTOCOL = TCPS)(HOST = <FULL_SCAN_NAME>)(PORT = 2484)
-
-
pem
拡張子が付いた信頼できる証明書(<NAME>.pem
など)を更新します。-
その信頼できる証明書をダウンストリーム・リカバリ・アプライアンスからアップストリーム・リカバリ・アプライアンスの
tmp
ディレクトリにコピーします。ノート:
アップストリーム・リカバリ・アプライアンスがTLS有効の場合は別の場所または別の名前を使用して、アップストリーム・リカバリ・アプライアンス上の証明書が上書きされないようにします。scp DS_RA:<trusted_cert> US_RA:/tmp/<different_name_trusted_cert>
-
RAウォレットのパスワードを準備します。
ノート:
RAウォレットとレプリケーション・ウォレットに同じパスワードを使用します。mkstore -wrl /raacfs/raadmin/config/awallet/wallet/ -viewEntry oracle.security.client.password<NUMBER>
-
アップストリーム・リカバリ・アプライアンスもTLS有効である場合、RAウォレットではすでにその証明書がサポートされています。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
レプリケーションが双方向の場合は、同じ操作を実行しますが、ローカルのリカバリ・アプライアンスをダウンストリーム・リカバリ・アプライアンスとして扱います。
-
アップストリーム・リカバリ・アプライアンスがTLS有効でない場合は、それらの証明書をサポートするためにRAウォレットを移行する必要があります。
-
現在の資格証明をすべてリストします。
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet –listCredential
-
ウォレットをバックアップします。
mv /raacfs/raadmin/config/ra_wallet/wallet /raacfs/raadmin/config/ra_wallet/wallet_old
-
新しいRAウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/config/ra_wallet/wallet
-
コピーした信頼できる証明書をウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
ウォレットを自動ログインに更新します。
orapki wallet create –wallet /raacfs/raadmin/config/ra_wallet/wallet -auto_login
-
すべての資格証明をその新しいRAウォレットにリカバリします。古いウォレット内の資格証明ごとに、次のことを実行します:
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet -createCredential <alias> <user> <pw>
-
-
-
レプリケーション・ウォレットで証明書がサポートされていることを確認します。
ls -lart /raacfs/raadmin/replication/orapki
これは、RACLIで推奨され証明書がサポートされている、レプリケーション・ウォレット標準です。
-
レプリケーション・ウォレットが存在する場合は、次のことを実行します:
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
レプリケーション・ウォレットが存在しない場合は、次のことを実行します:
-
現在のレプリケーション・ウォレット内の資格証明をリストします。
mkstore –wrl /raacfs/raadmin/replication –listCredential
-
新しいレプリケーション・ウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/replication/orapki
-
コピーした信頼できる証明書を新しいレプリケーション・ウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert --cert /tmp/<different_name_trusted_cert>
-
自動ログインでウォレットを更新します。
orapki wallet create –wallet /raacfs/raadmin/replication/orapki -auto_login
-
すべての資格証明を新しいレプリケーション・ウォレットにリカバリします
mkstore –wrl /raacfs/raadmin/replication/orapki -createCredential <tns_alias> <repl_user> <repl_user_pw>
-
-
-
-
レプリケーション・サーバー・パラメータを更新します。
-
レプリケーション・サーバーを一時停止します。
dbms_ra.pause_replication_server()
-
レプリケーション・パラメータを更新します。
-
wallet_path
は、新しいレプリケーション・ウォレットの場所である必要があります。 -
wallet_alias
は、ステップ1においてtnsnames.ora
内で更新した別名である必要があります
dbms_ra.update_replication_server() wallet_path => 'file:/raacfs/raadmin/replication/orapki/’ wallet_alias => ‘TNS_ALIAS’
-
-
レプリケーション・サーバーを再開します
dbms_ra.resume_replication_server()
-
ケース3: 双方向レプリケーション、ダウンストリームでTLS無効
アップストリーム・リカバリ・アプライアンス(RA1)に、ダウンストリーム・リカバリ・アプライアンス(RA2)との双方向レプリケーションがあります。
-
アップストリーム・リカバリ・アプライアンスは、TLS有効またはTLSのみのモードにできます。
-
ダウンストリーム・リカバリ・アプライアンスはTLS無効になっています。
ダウンストリームとしてRA1を使用して、このステップを実行します。ダウンストリーム・リカバリ・アプライアンスで、
-
tnsnames.ora
を新しいTCPS情報で更新します。-
ダウンストリーム・リカバリ・アプライアンス上
cat /u01/app/oracle/product/19.0.0.0/dbhome_1/network/admin/tnsnames.ora
-
アップストリーム・リカバリ・アプライアンスで、ダウンストリーム・リカバリ・アプライアンスからのTCPS情報で新しいエントリを追加するか既存のエントリを更新します。たとえば:
(ADDRESS = (PROTOCOL = TCPS)(HOST = <FULL_SCAN_NAME>)(PORT = 2484)
-
-
pem
拡張子が付いた信頼できる証明書(<NAME>.pem
など)を更新します。-
その信頼できる証明書をダウンストリーム・リカバリ・アプライアンスからアップストリーム・リカバリ・アプライアンスの
tmp
ディレクトリにコピーします。ノート:
アップストリーム・リカバリ・アプライアンスがTLS有効の場合は別の場所または別の名前を使用して、アップストリーム・リカバリ・アプライアンス上の証明書が上書きされないようにします。scp DS_RA:<trusted_cert> US_RA:/tmp/<different_name_trusted_cert>
-
RAウォレットのパスワードを準備します。
ノート:
RAウォレットとレプリケーション・ウォレットに同じパスワードを使用します。mkstore -wrl /raacfs/raadmin/config/awallet/wallet/ -viewEntry oracle.security.client.password<NUMBER>
-
アップストリーム・リカバリ・アプライアンスもTLS有効である場合、RAウォレットではすでにその証明書がサポートされています。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
レプリケーションが双方向の場合は、同じ操作を実行しますが、ローカルのリカバリ・アプライアンスをダウンストリーム・リカバリ・アプライアンスとして扱います。
-
アップストリーム・リカバリ・アプライアンスがTLS有効でない場合は、それらの証明書をサポートするためにRAウォレットを移行する必要があります。
-
現在の資格証明をすべてリストします。
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet –listCredential
-
ウォレットをバックアップします。
mv /raacfs/raadmin/config/ra_wallet/wallet /raacfs/raadmin/config/ra_wallet/wallet_old
-
新しいRAウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/config/ra_wallet/wallet
-
コピーした信頼できる証明書をウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
ウォレットを自動ログインに更新します。
orapki wallet create –wallet /raacfs/raadmin/config/ra_wallet/wallet -auto_login
-
すべての資格証明をその新しいRAウォレットにリカバリします。古いウォレット内の資格証明ごとに、次のことを実行します:
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet -createCredential <alias> <user> <pw>
-
-
-
レプリケーション・ウォレットで証明書がサポートされていることを確認します。
ls -lart /raacfs/raadmin/replication/orapki
これは、RACLIで推奨され証明書がサポートされている、レプリケーション・ウォレット標準です。
-
レプリケーション・ウォレットが存在する場合は、次のことを実行します:
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
レプリケーション・ウォレットが存在しない場合は、次のことを実行します:
-
現在のレプリケーション・ウォレット内の資格証明をリストします。
mkstore –wrl /raacfs/raadmin/replication –listCredential
-
新しいレプリケーション・ウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/replication/orapki
-
コピーした信頼できる証明書を新しいレプリケーション・ウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert --cert /tmp/<different_name_trusted_cert>
-
自動ログインでウォレットを更新します。
orapki wallet create –wallet /raacfs/raadmin/replication/orapki -auto_login
-
すべての資格証明を新しいレプリケーション・ウォレットにリカバリします
mkstore –wrl /raacfs/raadmin/replication/orapki -createCredential <tns_alias> <repl_user> <repl_user_pw>
-
-
-
-
レプリケーション・サーバー・パラメータを更新します。
-
レプリケーション・サーバーを一時停止します。
dbms_ra.pause_replication_server()
-
レプリケーション・パラメータを更新します。
-
wallet_path
は、新しいレプリケーション・ウォレットの場所である必要があります。 -
wallet_alias
は、ステップ1においてtnsnames.ora
内で更新した別名である必要があります
dbms_ra.update_replication_server() wallet_path => 'file:/raacfs/raadmin/replication/orapki/’ wallet_alias => ‘TNS_ALIAS’
-
-
レプリケーション・サーバーを再開します
dbms_ra.resume_replication_server()
-
ケース4: 双方向レプリケーション、ダウンストリームでTLS有効
アップストリーム・リカバリ・アプライアンス(RA1)に、ダウンストリーム・リカバリ・アプライアンス(RA2)との双方向レプリケーションがあります。
-
アップストリーム・リカバリ・アプライアンスは、TLS有効またはTLSのみのモードにできます。
-
ダウンストリーム・リカバリ・アプライアンスは、TLS有効またはTLSのみになっています。
このステップを2回実行します。1回はダウンストリームとしてRA1を使用し、もう1回はダウンストリームとしてRA2を使用します。
-
tnsnames.ora
を新しいTCPS情報で更新します。-
ダウンストリーム・リカバリ・アプライアンス上
cat /u01/app/oracle/product/19.0.0.0/dbhome_1/network/admin/tnsnames.ora
-
アップストリーム・リカバリ・アプライアンスで、ダウンストリーム・リカバリ・アプライアンスからのTCPS情報で新しいエントリを追加するか既存のエントリを更新します。たとえば:
(ADDRESS = (PROTOCOL = TCPS)(HOST = <FULL_SCAN_NAME>)(PORT = 2484)
-
-
pem
拡張子が付いた信頼できる証明書(<NAME>.pem
など)を更新します。-
その信頼できる証明書をダウンストリーム・リカバリ・アプライアンスからアップストリーム・リカバリ・アプライアンスの
tmp
ディレクトリにコピーします。ノート:
アップストリーム・リカバリ・アプライアンスがTLS有効の場合は別の場所または別の名前を使用して、アップストリーム・リカバリ・アプライアンス上の証明書が上書きされないようにします。scp DS_RA:<trusted_cert> US_RA:/tmp/<different_name_trusted_cert>
-
RAウォレットのパスワードを準備します。
ノート:
RAウォレットとレプリケーション・ウォレットに同じパスワードを使用します。mkstore -wrl /raacfs/raadmin/config/awallet/wallet/ -viewEntry oracle.security.client.password<NUMBER>
-
アップストリーム・リカバリ・アプライアンスもTLS有効である場合、RAウォレットではすでにその証明書がサポートされています。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
レプリケーションが双方向の場合は、同じ操作を実行しますが、ローカルのリカバリ・アプライアンスをダウンストリーム・リカバリ・アプライアンスとして扱います。
-
アップストリーム・リカバリ・アプライアンスがTLS有効でない場合は、それらの証明書をサポートするためにRAウォレットを移行する必要があります。
-
現在の資格証明をすべてリストします。
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet –listCredential
-
ウォレットをバックアップします。
mv /raacfs/raadmin/config/ra_wallet/wallet /raacfs/raadmin/config/ra_wallet/wallet_old
-
新しいRAウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/config/ra_wallet/wallet
-
コピーした信頼できる証明書をウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
ウォレットを自動ログインに更新します。
orapki wallet create –wallet /raacfs/raadmin/config/ra_wallet/wallet -auto_login
-
すべての資格証明をその新しいRAウォレットにリカバリします。古いウォレット内の資格証明ごとに、次のことを実行します:
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet -createCredential <alias> <user> <pw>
-
-
-
レプリケーション・ウォレットで証明書がサポートされていることを確認します。
ls -lart /raacfs/raadmin/replication/orapki
これは、RACLIで推奨され証明書がサポートされている、レプリケーション・ウォレット標準です。
-
レプリケーション・ウォレットが存在する場合は、次のことを実行します:
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
レプリケーション・ウォレットが存在しない場合は、次のことを実行します:
-
現在のレプリケーション・ウォレット内の資格証明をリストします。
mkstore –wrl /raacfs/raadmin/replication –listCredential
-
新しいレプリケーション・ウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/replication/orapki
-
コピーした信頼できる証明書を新しいレプリケーション・ウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert --cert /tmp/<different_name_trusted_cert>
-
自動ログインでウォレットを更新します。
orapki wallet create –wallet /raacfs/raadmin/replication/orapki -auto_login
-
すべての資格証明を新しいレプリケーション・ウォレットにリカバリします
mkstore –wrl /raacfs/raadmin/replication/orapki -createCredential <tns_alias> <repl_user> <repl_user_pw>
-
-
-
-
レプリケーション・サーバー・パラメータを更新します。
-
レプリケーション・サーバーを一時停止します。
dbms_ra.pause_replication_server()
-
レプリケーション・パラメータを更新します。
-
wallet_path
は、新しいレプリケーション・ウォレットの場所である必要があります。 -
wallet_alias
は、ステップ1においてtnsnames.ora
内で更新した別名である必要があります
dbms_ra.update_replication_server() wallet_path => 'file:/raacfs/raadmin/replication/orapki/’ wallet_alias => ‘TNS_ALIAS’
-
-
レプリケーション・サーバーを再開します
dbms_ra.resume_replication_server()
-
ケース5: 双方向レプリケーション、アップストリームでTLS無効
アップストリーム・リカバリ・アプライアンス(RA1)に、ダウンストリーム・リカバリ・アプライアンス(RA2)との双方向レプリケーションがあります。
-
アップストリーム・リカバリ・アプライアンスはTLS無効になっています。
-
ダウンストリーム・リカバリ・アプライアンスは、TLS有効またはTLSのみになっています。
ダウンストリームとしてRA2を使用して、このステップを実行します。
-
tnsnames.ora
を新しいTCPS情報で更新します。-
ダウンストリーム・リカバリ・アプライアンス上
cat /u01/app/oracle/product/19.0.0.0/dbhome_1/network/admin/tnsnames.ora
-
アップストリーム・リカバリ・アプライアンスで、ダウンストリーム・リカバリ・アプライアンスからのTCPS情報で新しいエントリを追加するか既存のエントリを更新します。たとえば:
(ADDRESS = (PROTOCOL = TCPS)(HOST = <FULL_SCAN_NAME>)(PORT = 2484)
-
-
pem
拡張子が付いた信頼できる証明書(<NAME>.pem
など)を更新します。-
その信頼できる証明書をダウンストリーム・リカバリ・アプライアンスからアップストリーム・リカバリ・アプライアンスの
tmp
ディレクトリにコピーします。ノート:
アップストリーム・リカバリ・アプライアンスがTLS有効の場合は別の場所または別の名前を使用して、アップストリーム・リカバリ・アプライアンス上の証明書が上書きされないようにします。scp DS_RA:<trusted_cert> US_RA:/tmp/<different_name_trusted_cert>
-
RAウォレットのパスワードを準備します。
ノート:
RAウォレットとレプリケーション・ウォレットに同じパスワードを使用します。mkstore -wrl /raacfs/raadmin/config/awallet/wallet/ -viewEntry oracle.security.client.password<NUMBER>
-
アップストリーム・リカバリ・アプライアンスもTLS有効である場合、RAウォレットではすでにその証明書がサポートされています。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
レプリケーションが双方向の場合は、同じ操作を実行しますが、ローカルのリカバリ・アプライアンスをダウンストリーム・リカバリ・アプライアンスとして扱います。
-
アップストリーム・リカバリ・アプライアンスがTLS有効でない場合は、それらの証明書をサポートするためにRAウォレットを移行する必要があります。
-
現在の資格証明をすべてリストします。
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet –listCredential
-
ウォレットをバックアップします。
mv /raacfs/raadmin/config/ra_wallet/wallet /raacfs/raadmin/config/ra_wallet/wallet_old
-
新しいRAウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/config/ra_wallet/wallet
-
コピーした信頼できる証明書をウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/config/ra_wallet/wallet -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
ウォレットを自動ログインに更新します。
orapki wallet create –wallet /raacfs/raadmin/config/ra_wallet/wallet -auto_login
-
すべての資格証明をその新しいRAウォレットにリカバリします。古いウォレット内の資格証明ごとに、次のことを実行します:
mkstore –wrl /raacfs/raadmin/config/ra_wallet/wallet -createCredential <alias> <user> <pw>
-
-
-
レプリケーション・ウォレットで証明書がサポートされていることを確認します。
ls -lart /raacfs/raadmin/replication/orapki
これは、RACLIで推奨され証明書がサポートされている、レプリケーション・ウォレット標準です。
-
レプリケーション・ウォレットが存在する場合は、次のことを実行します:
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert -cert /tmp/<different_name_trusted_cert>
-
レプリケーション・ウォレットが存在しない場合は、次のことを実行します:
-
現在のレプリケーション・ウォレット内の資格証明をリストします。
mkstore –wrl /raacfs/raadmin/replication –listCredential
-
新しいレプリケーション・ウォレットを作成します。
orapki wallet create -wallet /raacfs/raadmin/replication/orapki
-
コピーした信頼できる証明書を新しいレプリケーション・ウォレットにインポートします。
orapki wallet add -wallet /raacfs/raadmin/replication/orapki -trusted_cert --cert /tmp/<different_name_trusted_cert>
-
自動ログインでウォレットを更新します。
orapki wallet create –wallet /raacfs/raadmin/replication/orapki -auto_login
-
すべての資格証明を新しいレプリケーション・ウォレットにリカバリします
mkstore –wrl /raacfs/raadmin/replication/orapki -createCredential <tns_alias> <repl_user> <repl_user_pw>
-
-
-
-
レプリケーション・サーバー・パラメータを更新します。
-
レプリケーション・サーバーを一時停止します。
dbms_ra.pause_replication_server()
-
レプリケーション・パラメータを更新します。
-
wallet_path
は、新しいレプリケーション・ウォレットの場所である必要があります。 -
wallet_alias
は、ステップ1においてtnsnames.ora
内で更新した別名である必要があります
dbms_ra.update_replication_server() wallet_path => 'file:/raacfs/raadmin/replication/orapki/’ wallet_alias => ‘TNS_ALIAS’
-
-
レプリケーション・サーバーを再開します
dbms_ra.resume_replication_server()
-