4 Oracle Key Vaultマルチマスター・クラスタの管理

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultのマルチマスター・クラスタを作成、構成および管理できます。

• Oracle Key Vaultマルチマスター・クラスタの管理について
  クラスタからのノードの追加または削除、クラスタ・ノードの無効化または有効化、ノードの競合やレプリケーションなどのアクティビティの管理を実行できます。
• クラスタの設定
  最初のスタンドアロンOracle Key Vaultを初期ノードに変換した後にノードを追加して、読取り専用ノードまたは読取り/書込みノードのペアを作成できます。
• ノードのペアリングの終了
  コントローラ・ノードで、新規ノードのペアリング・プロセスを終了できます。
• クラスタ・ノードの無効化
  クラスタ・ノードを一時的に無効にできます。これは、アップグレードとメンテナンスに必要です。
• 無効化されたクラスタ・ノードの有効化
  以前に無効化された任意のクラスタ・ノードを有効化できます。この操作は、無効化されたノードから実行する必要があります。
• クラスタノードの削除
  クラスタからノードを完全に削除できます。
• クラスタ・ノードの強制削除
  使用不能なノード、応答していないノード、または無効化されているノードの最大時間制限を超えたノードを、クラスタから完全に削除できます。
• ノード間のレプリケーションの管理
  Oracle Key Vault管理コンソールからノードのレプリケーションを有効および無効にできます。
• クラスタ管理情報
  「Cluster Management」ページには、クラスタの概要と各ノードのステータスが簡潔に表示されます。
• クラスタ・モニタリング情報
  「Cluster Monitoring」ページには、クラスタのレプリケーションの状態と現在のノードが表示されます。
• ネーミング競合および解決
  Oracle Key Vaultでは、ユーザーがエンドポイント、エンドポイント・グループ、ユーザー・グループなどのオブジェクトを作成する際に発生する可能性があるネーミング競合を解決できます。
• マルチマスター・クラスタ・デプロイメントの推奨事項
  Oracleでは、2つ以上のノードを持つデプロイメントのデプロイメント推奨事項が提供されます。
• 代替名またはIPアドレスの追加
  特定のOracle Key Vaultサーバーまたはノードに対して2つの代替ホスト名を構成できます。

4.1 Oracle Key Vaultマルチマスター・クラスタの管理について

クラスタからのノードの追加または削除、クラスタ・ノードの無効化または有効化、ノードの競合やレプリケーションなどのアクティビティの管理を実行できます。

4.2 クラスタの設定

最初のスタンドアロンOracle Key Vaultを初期ノードに変換した後にノードを追加して、読取り専用ノードまたは読取り/書込みノードのペアを作成できます。

• クラスタの設定について
  単一のOracle Key Vaultサーバーを初期ノードになるよう変換して、マルチマスター・クラスタを作成します。
• クラスタの最初の(初期)ノードの作成
  クラスタを作成するには、既存のスタンドアロンOracle Key Vaultサーバーを、クラスタ内の最初のノードになるように変換する必要があります。
• クラスタへのノードの追加
  初期ノードを候補ノードに変換した後、クラスタの構築を開始できます。候補ノードの構成設定(FIPS設定など)がクラスタ設定に可能なかぎり近くなっていることを確認してください。

4.2.1 クラスタの設定について

単一のOracle Key Vaultサーバーを初期ノードになるよう変換して、マルチマスター・クラスタを作成します。

このOracle Key Vaultサーバーでは、クラスタ・データがシードされ、サーバーが初期ノードと呼ばれる最初のクラスタ・ノードに変換されます。

Oracle Key Vaultサーバーがマルチマスター・クラスタの初期ノードに変換された後、クラスタに必要な様々なタイプのノードを追加できます。追加のOracle Key Vaultサーバーをインダクションし、それらを読取り/書込みノードまたは単純な読取り専用ノードとして追加すると、クラスタが拡張されます。

4.2.2 クラスタの最初の(初期)ノードの作成

クラスタを作成するには、既存のスタンドアロンOracle Key Vaultサーバーをクラスタ内の最初のノードになるように変換する必要があります。

この最初のノードは初期ノードと呼ばれます。スタンドアロンOracle Key Vaultサーバーは、以前のリリースからアップグレードされたサーバーでも、プライマリ・スタンバイ構成からペアが解除されているプライマリ・サーバーでもかまいません。アンペア操作とアップグレードに関する既知の問題については、『Oracle Key Vaultリリース・ノート』を確認してください。

このノードを使用して、クラスタに1つ以上のノードを追加できます。ノードは、読取り/書込みペアの一部になるまで、読取り専用制限モードで動作します。

Oracle Key Vaultサーバーのフル・バックアップをリモートの宛先に作成します。

Oracle Key VaultのRESTful APIを使用して、Oracle Key Vaultサーバーをクラスタの初期ノードに変換します:

• okv cluster node create RESTfulコマンドを実行して、Oracle Key Vaultサーバーをクラスタの初期ノードに変換します。

  $ ./bin/okv cluster node create --cluster-name OCEAN11 --cluster-subgroup WEST_COAST --node-name OKV01
  {
    "result" : "Success",
    "value" : {
      "requestId" : "1518"
    }
  }

Oracle Key Vault管理コンソールを使用して、Oracle Key Vaultサーバーをクラスタの初期ノードに変換します:

1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
2. Oracle Key VaultサーバーがOracle Key Vaultリリース12.2 (バンドル・パッチ8)より前のリリースからアップグレードされている場合は、ノードに対して新しい証明書を生成してアクティブ化(ローテーション)します。
   このステップは、自分のデプロイメントに当てはまらない場合は省略できます。
3. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Configure」を選択します。
4. 「Configure as Candidate Node」ページで、次の設定を入力します。

   • First Node of Cluster: 「Yes」ボタンを選択します。

   • Node Name: このノードの一意の名前を入力します。このフィールドには、ノード名としてOracle Key Vaultサーバー名が自動的に移入されます。別の名前を指定することもできます。この名前は後からの変更ができません。

   • Cluster Name: ノードのこのクラスタの名前を入力します。この名前は後からの変更ができません。

   • Cluster Subgroup: データ・センター名や論理グループ名など、ノードのこのサブグループの名前を入力します。

5. 「Convert to Candidate Node」をクリックします。

この変換には数分かかります。変換が完了すると、「Cluster Management」ページが表示され、ノードが読取り専用制限モードで動作します。この段階で、別のノード(初期ノードと同じOracle Key Vaultバージョンに新しくインストールしたシステム)を追加して、このクラスタの構築を開始できます。その場合、初期ノードがコントローラ・ノードになり、新しいノードが候補ノードになります。コントローラ・ノード上のデータは、候補ノードにレプリケートされます。

4.2.3 クラスタへのノードの追加

初期ノードを候補ノードに変換した後、クラスタの構築を開始できます。候補ノードの構成設定(FIPS設定など)がクラスタ設定に可能なかぎり近くなっていることを確認してください。

• ノードの追加による読取り/書込みペアの作成
  初期ノードを作成した後は、クラスタにさらに読取り/書込みピアを追加する必要があります。
• 読取り専用ノードとしてのノードの追加
  新しい読取り専用クラスタ・ノードを追加するには、既存のクラスタ・ノードから新しく構成したサーバーを追加します。
• クラスタでの読取り/書込みペアの追加作成
  ノードは、他のノード1つのみと読取り/書込みペアにでき、クラスタ内に複数の読取り/書込みペアが存在できます。

4.2.3.1 ノードの追加による読取り/書込みペアの作成

初期ノードを作成した後は、クラスタにさらに読取り/書込みピアを追加する必要があります。

任意の2つのノードを読取り/書込みペアとして構成できます。ただし、ノードは、他の1つのノードとのみ読取り/書込みペアにできます。

クラスタ内の2つのノードを使用して読取り/書込みペアを作成するには、ノード(コントローラ・ノードと呼ばれます)を、新しく構成したサーバー(候補ノードと呼ばれます)とペアにします。これにはある程度の時間を要することに注意してください。使用環境のサーバーの速度、ネットワークおよびクラスタ内のデータ量によっては1時間以上の時間がかかります。この操作の特定の部分では、コントローラ・ノードがエンドポイントにサービスを提供できなくなる点に注意してください。また、ペアリングを開始する前にコントローラ・ノードと同様の候補ノード・システム設定(FIPS、NTP、ルート・オブ・トラストなど)を構成することをお薦めします。

1. コントローラ・ノードのフル・バックアップをリモートの宛先に作成してから、次の手順に進みます。
2. 次のネットワーク要件を満たしていることを確認します。
   • 候補ノードをホストするサーバーとコントローラ・ノードの間にネットワーク接続があること。
   • ネットワーク・ファイアウォールでOracle Key Vaultに必要なポートがオープンされていること。これらのポートの詳細は、Oracle Key Vaultインストレーションおよびアップグレード・ガイドを参照してください。Oracle Key Vaultリリース21.9以降では、コントローラ・ノードと候補ノードがこれらのポートで相互に通信できない場合、ノード追加プロセスが次のようなエラーで失敗することがあります:

     Operation not allowed, network port is closed

     その場合は、候補ノードでのペアリングを中止し、両方のシステム間で必要なポートを開いて、ノードの追加を再試行する必要があります。
3. システム管理者ロールを付与されたユーザーで、コントローラ・ノードとして使用するノードのOracle Key Vault管理コンソールにログインします。
   この操作では、最初のノードを含め、読取り/書込みピアのない既存の任意のノードをコントローラ・ノードとして使用できます。必要に応じて、最初に読取り専用ノードを追加します。
4. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
5. 「Cluster Details」の下で、「Add」を選択します。
6. 「Add Candidate Node to Cluster」ページの「Add Cluster Details」で、「Recovery Passphrase of the Cluster」フィールドにリカバリ・パスフレーズを入力します。
   この値は、後で候補ノードとペアにするときに使用されます。リカバリ・パスフレーズは、クラスタの最初のノードであり、後ですべてのクラスタ・ノードで使用されます。
7. 「Add Candidate Node Details」の下に、次の詳細を入力します。

   これらの詳細を入力しても、ステップ14に進むまで、この情報を保存したり、「Add Node」ボタンをクリックしないでください。

   • Add Node as Read-Write Peer: 「Yes」を選択します。

   • Node ID: 候補ノードの一意のIDを選択します。IDを作成した後、このIDは変更できません。「Node ID」は自動的に移入されますが、変更できます。候補ノードIDがクラスタ内で一意であることを確認してください。

   • Node Name: 候補ノードの一意の名前を入力します。名前を作成した後、この名前は変更できません。

   • Cluster Subgroup: 候補ノードのサブグループ名を入力します。既存のサブグループ名を指定できます。存在しないサブグループ名を指定すると作成されます。(このフィールドには、コントローラ・ノードのクラスタ・サブグループ名が自動的に移入されます。)

   • 「Cluster Name」は自動移入され、変更できません。

   • IP Address: 候補ノードのIPアドレスを入力します。

   • Certificate of Candidate Node: 次のステップで、候補ノードの証明書を検索する方法について説明します。

   このページを終了しないでください。

8. 新しいブラウザ・ウィンドウで、システム管理者ロールを持っているユーザーとして候補ノードのOracle Key Vault管理コンソールにログインします。
9. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Configure」を選択します。
10. 「Configure as Candidate Node」ページで、次の詳細情報を入力します。
    • First Node of the Cluster: 「No」を選択します。「No」を選択すると、入力するフィールドがさらに表示されます。
    • Recovery Passphrase of the Cluster: 以前にコントローラ・ノードに対して入力した、クラスタのリカバリ・パスフレーズを入力します。
    • IP Address: コントローラ・ノードのIPアドレスを入力します。
    • Certificate of Controller Node: これらのステップを使用してコントローラ・ノードの証明書を入力します。
      • コントローラ・ノードのブラウザ・ウィンドウで、画面の下部までスクロールします。「Certificate of Controller Node」に表示される証明書値全体を選択してコピーします。
      • 候補ノードのブラウザ・ウィンドウで、コントローラ・ノードからコピーした証明書を「Certificate of the Controller Node」フィールドに貼り付けます。
    • リカバリ・パスフレーズ、IPアドレスおよび貼り付けた証明書を慎重にチェックして、正しくコピーされていることを確認します。「Convert to Candidate Node」をクリックした後に間違いが見つかったときには、ペアリング・プロセスの終了が必要になることや、このノードへのOracle Key Vaultの再インストールが必要になることがあります。
11. 「Convert to Candidate Node」をクリックします。
    変換には数分かかることがあります。変換が完了すると、画面がリフレッシュされ、「Adding Candidate Node to Cluster」ページが表示されます。候補者ノードの証明書がこのページに表示されます。
12. 候補ノード証明書全体を選択してコピーします。
13. コントローラ・ノードのブラウザ・ウィンドウで、候補ノードからコピーした証明書を「Certificate of Candidate Node」ボックスに貼り付けます。
14. 「Add Node」をクリックします。

    このプロセスは、使用環境のサーバーの速度、ネットワークおよびクラスタ内のデータ量によっては1時間以上の時間がかかります。この間に、Oracle Key Vaultのネットワーク管理インタフェースが再起動され、すぐに、サーバー・エラー500、または「不正なゲートウェイ」というエラーがコントローラ・ノードに表示されることがあります。また、候補ノードで、「不正なゲートウェイ」などのエラーが表示される場合があります。候補ノードは、インダクション・プロセスの一環として再起動されます。これは正常です。ペアリング・プロセスの間は、候補ノードのステータスが、すべてのクラスタ・ノードで「PAIRING」と表示されます。

    サーバーのステータスを表示するには、管理コンソールで出力を表示します。

    候補ノードの再起動とペアリング・プロセスの完了後に、いずれかのクラスタ・ノードにログインし、「Cluster」タブを選択することでクラスタのステータスを確認できます。新しいノードのステータスが、クラスタ内のすべてのノードでACTIVE と表示されることを確認します。候補ノードは、自動的に再起動した後、読取り専用制限モードになっていることが一時的に表示される場合があります。このノードは同期的にペア・クラスタ・ノードであり、すでに候補ノードではありません。ノードがクラスタの一部になると、コンソール・ヘッダーの右上の領域に、ノード名、サブグループ名およびクラスタ名が表示されます。

4.2.3.2 読取り専用ノードとしてのノードの追加

新しい読取り専用クラスタ・ノードを追加するには、既存のクラスタ・ノードから新しく構成したサーバーを追加します。

既存のクラスタ・ノードはコントローラ・ノードと呼ばれ、新たに構成されたサーバーは候補ノードと呼ばれます。このプロセスは、使用環境のサーバーの速度、ネットワークおよびクラスタ内のデータ量によっては1時間以上の時間がかかります。

1. 続行する前にサーバー・バックアップを実行します。
2. 次のネットワーク要件を満たしていることを確認します。
   • コントローラ・ノードと候補ノードをホストするサーバー間に良好なネットワーク接続があること。
   • ネットワーク・ファイアウォールでOracle Key Vaultに必要なポートがオープンされていること。これらのポートの詳細は、Oracle Key Vaultインストレーションおよびアップグレード・ガイドを参照してください。Oracle Key Vaultリリース21.9以降では、コントローラ・ノードと候補ノードがこれらのポートで相互に通信できない場合、ノード追加プロセスが次のようなエラーで失敗することがあります:

     Operation not allowed, network port is closed

     その場合は、候補ノードでのペアリングを中止し、両方のシステム間で必要なポートを開いて、ノードの追加を再試行する必要があります。
3. システム管理者ロールを付与されたユーザーで、コントローラ・ノードとして使用するノードのOracle Key Vault管理コンソールにログインします。
   この操作のコントローラとして既存のノードを使用できます。
4. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
5. 「Cluster Details」セクションで、「Add」をクリックします。
6. 「Add Cluster Details」セクションで、「Recovery Passphrase of the Cluster」フィールドにクラスタのリカバリ・パスフレーズを入力します。
   この値は、後で候補ノードとペアにするときに使用されます。
7. 「Add Candidate Node Details」で、次の情報を入力します。
   • Add Node as Read-Write Peer: 「No」を選択します。
   • Node ID: 候補ノードの一意のIDを選択します。IDを作成した後、このIDは変更できません。「Node ID」は自動的に移入されますが、変更できます。候補ノードIDがクラスタ内で一意であることを確認してください。
   • Node Name: 候補ノードの一意の名前を入力します。名前を作成した後、この名前は変更できません。
   • Cluster Subgroup: 候補ノードのサブグループ名を入力します。既存のサブグループ名を指定できます。存在しないサブグループ名を指定すると作成されます。
   • Cluster Name: この名前は自動的に移入されます。
   • IP Address: 候補ノードのIPアドレスを入力します。

   このページを終了しないでください。

8. 新しいブラウザ・ウィンドウで、システム管理者ロールを持っているユーザーとして候補ノードのOracle Key Vault管理コンソールにログインします。
9. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Configure」を選択します。
   「Configure as Cluster Candidate」ページが表示されます。
10. 「Configure as Candidate Node」ページで、次の詳細情報を入力します。
    • First Node of the Cluster: 「No」を選択します。「No」を選択すると、入力するフィールドがさらに表示されます。
    • Recovery Passphrase of the Cluster: 以前にコントローラ・ノードに対して入力した、クラスタのリカバリ・パスフレーズを入力します。
    • IP Address: コントローラ・ノードのIPアドレスを入力します。
    • Certificate of Controller Node: これらのステップを使用してコントローラ・ノードの証明書を入力します。
      • コントローラ・ノードのブラウザ・ウィンドウで、画面の下部までスクロールします。「Certificate of Controller Node」に表示される証明書値全体を選択してコピーします。
      • 候補ノードのブラウザ・ウィンドウで、コントローラ・ノードからコピーした証明書を「Certificate of the Controller Node」フィールドに貼り付けます。
    • リカバリ・パスフレーズ、IPアドレスおよび貼り付けた証明書を慎重にチェックして、正しくコピーされていることを確認します。「Convert to Candidate Node」をクリックした後に間違いが見つかったときには、ペアリング・プロセスの終了が必要になることや、このノードへのOracle Key Vaultの再インストールが必要になることがあります。
11. 「Convert to Candidate」をクリックします。
    変換には数分かかることがあります。変換が完了すると、画面がリフレッシュされ、「Adding Candidate Node to Cluster」ページが表示されます。候補者ノードの証明書がこのページに表示されます。
12. 候補ノード証明書全体を選択してコピーします。
13. コントローラ・ノードのブラウザ・ウィンドウで、候補ノードからコピーした証明書を「Certificate of Candidate Node」ボックスに貼り付けます。
14. 「Add Node」をクリックします。

    このプロセスは、使用環境のサーバーの速度、ネットワークおよびクラスタ内のデータ量によっては1時間以上の時間がかかります。この間に、コントローラ・ノードのOracle Key Vaultコンソールが反応せず、Server Error 500などのエラーが表示されることがあります。また、候補ノードでは、Bad Gatewayなどのエラーが表示される場合があります。候補ノードは、同期プロセスの一環として再起動されます。これは正常です。ペアリング・プロセスでは、このペアリング・プロセスに関係しない他のすべてのクラスタ・ノードで候補ノードのステータスがPAIRINGと表示されます。

    サーバーのステータスを表示するには、サーバー・コンソールで出力を表示します。

    候補ノードの再起動とペアリング・プロセスの完了後に、いずれかのクラスタ・ノードにログインし、「Cluster」タブを選択することでクラスタのステータスを確認できます。新しいノードのステータスが、クラスタ内のすべてのノードで ACTIVE と表示されることを確認します。候補ノードは、自動的に再起動した後、読取り専用制限モードになっていることが一時的に表示される場合があります。このノードは読取り専用のペア・クラスタ・ノードであり、すでに候補ノードではありません。ノードがクラスタの一部になると、コンソール・ヘッダーの右上の領域にノード名、サブグループ名およびクラスタ名が表示されます。

4.2.3.3 クラスタでの読取り/書込みペアの追加作成

ノードは、他のノード1つのみと読取り/書込みペアにでき、クラスタ内に複数の読取り/書込みペアが存在できます。

1. 新しい候補ノードとペアにするコントローラ・ノードとして読取り専用クラスタ・ノードを選択します。
2. クラスタでノードの読取り/書込みペアを作成するには、次の手順に従います。

4.3 ノードのペアリングの終了

コントローラ・ノードで、新規ノードのペアリング・プロセスを終了できます。

コントローラ・ノードがこの操作を実行すると、一時的にエンドポイントの処理を妨げるネットワーク変更が発生することに注意してください。

1. コントローラ・ノードの「Adding Candidate Node to Cluster」ページの「Status」で、「Abort」ボタンをクリックします。

   
   図21_abort.pngの説明

2. ダイアログに「Are you sure you want to ABORT the addition of the new node?」というメッセージが表示されます。「OK」を選択します。
   ペアリング・プロセスが終了すると、コントローラ・ノードの「Add Node to Cluster」ページに戻ります。

コントローラ・ノードから候補ノードのペアリングを終了する場合は、候補ノードのインダクション・プロセスがどの程度進行しているかに応じて、候補ノードをスタンドアロン状態に戻せる場合と戻せない場合があります。ペアリング・プロセスは候補ノードから終了させてみることもできます。候補ノードからペアリング・プロセスを終了できない場合、その候補ノードは現在の状態では使用できなくなり、候補ノードの再イメージ化が必要になります。

4.4 クラスタ・ノードの無効化

クラスタ・ノードを一時的に無効にできます。これは、アップグレードとメンテナンスに必要です。

ただし、ノードは一定時間のみ無効化できることに注意してください。その時間を超えると、再度有効化できなくなります。デフォルトの最大無効化ノード期間は24時間ですが、最大240時間に設定できます。この値を大きくすると、クラスタ関連のデータによって消費されるディスク領域の平均量も大きくなる点に注意してください。

すべてのノード間のレプリケーションが正常でないときには、ノードを無効化しないでください。そうしないと、ノードがDISABLING状態でスタックします。このようなノードをACTIVE状態に戻すには、「Cancel Disable」ボタンをクリックして無効化操作を取り消すことができます。

1. システム管理者ロールを持っているユーザーとして、任意のクラスタのOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
3. 「Cluster Details」の下の「Select Node」列で、無効にするノードのチェック・ボックスを選択します。
4. 「Disable」をクリックします。
   無効化されているノードでは、無効化プロセス中のノードのステータスはDISABLINGと表示されます。他のノードには、このノードのステータスがDISABLEDとして表示されます。無効化プロセスが完了すると、無効化したノードにはDISABLEDステータスが表示されます。

4.5 無効なクラスタ・ノードの有効化

以前に無効化されたクラスタ・ノードを有効化できます。この操作は、無効化されたノードから実行する必要があります。

1. システム管理者ロールを持っているユーザーとして、クラスタの任意のアクティブ・ノードのOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
3. 「Cluster Details」セクションで、ノードが無効になった日付に注意してください。
   無効化された逆順でノードを有効化することをお薦めします。そうしないと、有効化アクションを完了できない可能性があります。
4. 「Cluster Details」セクションの「Name」の下で、最後に無効化されたノードの名前をクリックします。
   ノード名をクリックすると、無効なノードにログインできます。無効なノードは、無効なノード自体からのみ有効にできます。
5. 「Enable」を選択します。
   「Cluster Details」表で、無効化されているノードのチェック・ボックスを選択する必要はありません。
6. 無効化されたノードごとに、最後に無効化されたノードから最初に無効化されたノードまで、このステップを繰り返します。

4.6 クラスタ・ノードの削除

クラスタからノードを完全に削除できます。

削除したノードは、削除元の現在のクラスタのみでなく、どのクラスタにも戻すことはできません。ただし、このサーバーにOracle Key Vaultアプライアンス・ソフトウェアを再インストールして、削除したノードをクラスタに追加できます。すべてのデータは、ノードが削除される前にクラスタと同期されます。ノード自体は削除できません。削除されたノードに読取り/書込みピアがある場合に、この読取り/書込みピアのノードでネットワーク変更が発生して、一時的にエンドポイントの処理が妨げられることに注意してください。

Ensure to shutdown the node before deleting from the cluster.

1. システム管理者ロールを持っているユーザーとして、別のノードでOracle Key Vault管理コンソールにログインします。
   ノード自体は削除できません。
2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
3. 「Cluster Details」の下の「Select Node」列で、削除するノードのチェック・ボックスを選択します。
4. 「Delete」をクリックします。
   ノードのステータスはDELETINGと表示されます。これは、削除するとDELETEDと表示され、その後、クラスタ管理ページから削除されます。

   このアクションは即時です。ノードのステータスはDELETINGと表示されます。削除したサーバーは、「Cluster Management」ページの「Cluster Details」表に表示されなくなるまで停止しないでください。ただし、クラスタ・ノードを削除してから、削除したノードのノードIDを再利用する前に、1時間待機することをお薦めします。

4.7 クラスタ・ノードの強制削除

使用不能なノード、応答していないノード、または無効化されているノードの最大時間制限を超えたノードを、クラスタから完全に削除できます。

クラスタの一部となっているノードを強制的に削除すると、クラスタ内で矛盾が生じる可能性があります。強制削除されたノードからクリティカル・データすべてが他のノードに到達したことを確認する前に、強制削除されたノードの読取り/書込みピアもクラスタから削除されると、データが消失する可能性があることに注意してください。ノードを強制的に削除する場合は、削除するノードが最初に停止されていることを確認します。ノード自体の管理コンソールからそのノードを削除することはできません。削除されたノードをクラスタに戻すことはできません。ただし、削除されたノードを新しいOracle Key Vaultアプライアンスで置き換えることができます。削除されたノードに読取り/書込みピアがある場合に、この読取り/書込みピアのノードでネットワーク変更が発生して、一時的にエンドポイントの処理が妨げられることに注意してください。

Ensure to shutdown the node before deleting from the cluster.

1. 別のノードで、システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
   ノード自体は削除できません。削除するノードに読取り/書込みピアがある場合は、そのノードを読取り/書込みピアから強制的に削除してください。
2. 「Cluster」タブを選択して、左側のナビゲーション・バーから「Management」を選択します。
3. 「Cluster Details」の下の「Select Node」列で、無効にするノードのチェック・ボックスを選択します。
4. 「Force Delete」をクリックします。
   ノードのステータスはDELETINGと表示されます。これは、削除するとDELETEDと表示され、その後、クラスタ管理ページから削除されます。クラスタ・ノードを強制削除してから、削除したノードのノードIDを再利用する前に、1時間待機することをお薦めします。

4.8 ノード間のレプリケーションの管理

Oracle Key Vault管理コンソールからノード・レプリケーションを有効化および無効化できます。

• クラスタ・サービスの再起動
  ノード間のレプリケーションの管理中に、ノードのクラスタ・サービスのステータスが「down」のときにノードのクラスタ・サービスを再起動できます。
• ノード・レプリケーションの無効化
  現在のノードとクラスタ内の他のノードとの間のレプリケーション・リンクを無効にできます。
• ノード・レプリケーションの有効化
  現在のノードとクラスタ内の他のノードとの間のレプリケーション・リンクを有効にできます。

4.8.1 クラスタ・サービスの再起動

ノード間のレプリケーションの管理中に、ノードのクラスタ・サービスのステータスが「down」のときにノードのクラスタ・サービスを再起動できます。

1. システム管理者ロールを持っているユーザーとして、任意のクラスタ・ノードのOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Monitoring」を選択します。
3. 「Node State」ペインで、「Restart Cluster Services」ボタンをクリックします。

4.8.2 ノード・レプリケーションの無効化

現在のノードとクラスタ内の他のノードとの間のレプリケーション・リンクを無効にできます。

1. システム管理者ロールを持っているユーザーとして、任意のクラスタ・ノードのOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Monitoring」を選択します。
3. 「Cluster Link State」の下で、レプリケーションを無効にするノードのチェック・ボックスを選択します。
4. 「Disable」をクリックします。
5. ダイアログ・ボックスで「OK」をクリックして確認します。

4.8.3 ノード・レプリケーションの有効化

現在のノードとクラスタ内の他のノードとの間のレプリケーション・リンクを有効にできます。

1. システム管理者ロールを持っているユーザーとして、レプリケーションを管理するノードのOracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Monitoring」を選択します。
3. 「Cluster Link State」の下で、レプリケーションを有効にするノードのチェック・ボックスを選択します。
4. 「Enable」をクリックします。
5. ダイアログ・ボックスで「OK」をクリックして確認します。

4.9 クラスタ管理情報

「 Cluster Management」ページには、クラスタの概要と各ノードのステータスが表示されます。 

クラスタの詳細セクションからクラスタを管理することもできます。ノードがクラスタ操作を実行している場合、そのノードはコントローラ・ノードになります。

クラスタ全体のレプリケーションには時間を要するため、「Cluster Management」ページが新しいクラスタ・ステータスでリフレッシュされるまでに時間がかかる場合があります。モニタリング・ページのレプリケーション・ラグは、遅延の推定に役立ちます。

「Cluster Management」ページを表示するには、「Cluster」タブをクリックし、左側のナビゲーション・バーから「Management」をクリックします。

図218_cluster_management.pngの説明

Cluster Information

• Cluster Name: クラスタの名前。

• Cluster Subgroups: クラスタ内のすべてのサブグループ。

• Maximum Disable Node Duration: ノードが使用不可になるまでにノードを無効化しておける最大時間(時間単位)。

• Cluster Version: クラスタが動作しているOracle Key Vaultのバージョン。

Current Node Information

• Node Name: このノードの名前。

• Node Type: ノードのタイプ(読取り専用、読取り/書込みなど)。

• Cluster Subgroup: このノードが属するサブグループ。

Cluster Details

• Select Node: 削除、強制削除、無効化など、特定の操作の対象ノードを選択する場合に使用します。

• Node ID: ノードのID。

• Node Name: ノードの名前。ノード名をクリックすると、そのノードの「Cluster Management」ページに移動します。

• IP Address: ノードのIPアドレス。

• Mode: ノードの動作モード(読取り/書込み、読取り専用制限など)。

• Status: ノードのステータス(active、pairing、disabling、disabled、enabling、deleting、deletedなど)。

• Read-Write Peer: ノードの読取り/書込みピア。空白の場合、読取り/書込みピアはありません。

• Cluster Subgroup: ノードが属するサブグループ。これを変更するには、1)ノードの横のチェック・ボックスを選択、2)「Edit」ボタンをクリックしてウィンドウを表示、3)フィールドに新しいクラスタ・サブグループを入力、4)「Save」をクリックします。

• Join Date: ノードがクラスタに追加された日時またはノードが有効化された直近の日時

• Disable Date: ノードを無効にした日時。

• Node Version: Oracle Key Vaultノードの現在のバージョン。

4.10 クラスタ・モニタリング情報

「Cluster Monitoring」ページには、クラスタおよび現在のノードのレプリケーション状態が表示されます。

このページには、クラスタで有効になっている設定に関する簡潔な概要も表示されます。このページでは設定を更新できません。クラスタ全体のレプリケーションには時間を要するため、「Cluster Monitoring」ページが新しいクラスタ状態にリフレッシュされるまでに時間がかかる場合があります。レプリケーション・ラグは遅延の推定に役立ちます。

「cluster monitoring」ページを表示するには、「Cluster」タブをクリックし、左側のナビゲーション・バーから「Monitoring」をクリックします。

「Cluster Settings State」ペインのチェックマークまたはXにマウス・カーソルを合せます。状態に関する次のいずれかの説明が表示されます。

• Enabled in Cluster
• Enabled in Node
• Disabled in Cluster
• Disabled in Node

図21_cluster_monitoring_information.pngの説明

Cluster Link State

• Select Node: レプリケーションの有効化または無効化など、特定の操作の対象ノードを選択する場合に使用します。ラベル行のチェック・ボックスをクリックすると、すべてのノードを選択できます。

• Node ID: ノードのID。

• Node Name: ノードの名前。

• State: ノードの現在の状態。サーバーは稼働中または停止中のいずれかになります。

• Heartbeat Lag: ハートビートがこのノードから最後に受信されてからの経過時間。この設定は60秒程度以下にする必要があります。この値が常に60秒を超えている場合は、1つ以上のレプリケーション・リンクが壊れている可能性があります。レプリケーションの問題が修正されると、60以下に戻ります。

• Replication Lag: このノードから現在のノードへのデータのレプリケートにかかる平均時間。

• Enable: 現在のノードと選択したノード間のレプリケーションを有効にします。

• Disable: 現在のノードと選択したノード間のレプリケーションを無効にします。

Cluster Settings State

• Node ID: ノードのID。

• Node Name: ノードの名前。

• Audit: 監査が有効か無効かを示します。

• FIPS: FIPSモードが有効か無効かを示します。

• HSM: HSM統合が有効か無効かを示します。

• SNMP: SNMPが有効か無効かを示します。

• SYSLOG: syslogが有効か無効かを示します。

• DNS: DNSが有効か無効かを示します。

4.11 ネーミング競合および解決

Oracle Key Vaultでは、ユーザーがエンドポイント、エンドポイント・グループ、ユーザー・グループなどのオブジェクトを作成する際に発生する可能性があるネーミング競合を解決できます。

• ネーミング競合および解決について
  別のノードにある別のオブジェクトと同じ名前のオブジェクトを作成すると、Oracle Key Vaultがこの競合を解決します。
• ネーミング競合解決情報
  「Cluster Conflict Resolution」ページには、異なるノードで作成されたオブジェクトと名前が競合するオブジェクトのリストが表示されます。
• 推奨される競合解決名の変更
  同じタイプの別のオブジェクトと競合するオブジェクトについて提示された名前を変更できます。
• 推奨される競合解決名の受入
  同じタイプの別のオブジェクトと競合するオブジェクトについて提示された名前を受け入れることができます。

4.11.1 ネーミング競合および解決について

別のノードにある別のオブジェクトと同じ名前のオブジェクトを作成すると、Oracle Key Vaultがこの競合を解決します。

別のノードで作成された同じタイプのオブジェクトと競合する名前で新しいオブジェクトを作成する可能性があります。競合が発生した場合、Oracle Key Vaultは、競合しているオブジェクトの名前に_OKVxxを追加することで名前を一意にします。このxxは、オブジェクトが作成されたノードのノードIDです。この新しい名前を受け入れるか、オブジェクト名を変更できます。

システム管理者ロールを持つユーザーは、次のネーミング競合を解決できます。

• ユーザー名
• エンドポイント名

キー管理者ロールを持つユーザーは、次のネーミング競合を解決できます。

• エンドポイント・グループ
• セキュリティ・オブジェクト
• ユーザー・グループ
• ウォレット

オブジェクトがPENDING状態のまま止まってACTIVEに遷移しない場合は、クラスタのレプリケーション・リンクが壊れていないかを確認します。Oracle Key Vault管理コンソールで「Cluster」タブを選択し、「Monitoring」を選択すると、クラスタ・リンクを検索できます。

4.11.2 ネーミング競合の解決情報

「Cluster Conflict Resolution」ページには、異なるノードで作成されたオブジェクトと名前が競合するオブジェクトのリストが表示されます。 

このページで、推奨される一意の名前を受け入れるか、オブジェクト名を編集できます。「Cluster Conflict Resolution」ページを表示するには、「Cluster」タブをクリックし、左側のナビゲーション・バーから「Conflict Resolution」をクリックします。または、ホーム・ページの「Alerts」表にある「Naming Conflict」アラートの「Click here for details」をクリックすることもできます。

図21_conflict.pngの説明

Wallet Name Conflicts

• Unique Name: システムによってオブジェクトに割り当てられた一意の名前。

• Supplied Name: このタイプの別のオブジェクトと競合するオブジェクトの元の名前。

• Name Status: オブジェクトのステータス。ステータスはPENDINGまたはACTIVEです。

• Created By: 競合するオブジェクト名を作成したユーザー。

• Creator Node: 競合しているオブジェクトが作成されたノード。

• Description: ユーザーが入力したオブジェクトの説明。

• Rename: 名前を変更できるオブジェクト・ページにリンクするボタン。編集アイコンをクリックすると、「Wallet Overview」ページが表示されます。「Make Unique」をクリックしてウォレットに一意の名前を付け、「Accept Rename」をクリックします。

• Accept: 選択したオブジェクトに提示された名前を受諾できます。

4.11.3 提示された競合解決名の変更

同じタイプの別のオブジェクトと競合するオブジェクトに提示された名前を変更できます。

1. 適切な管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Conflict Resolution」を選択します。
3. 名前の変更が必要なオブジェクトを見つけます。
4. 「Rename」の下で、オブジェクトの右側にある編集アイコンをクリックします。
5. オブジェクトの概要ページで、オブジェクトの新しい名前を入力します。
6. 「Save」をクリックします。

4.11.4 提示された競合解決名の受入

同じタイプの別のオブジェクトと競合するオブジェクトに提示された名前を受諾できます。

1. 適切な管理者ロールを持っているユーザーとして、Oracle Key Vault管理コンソールにログインします。
2. 「Cluster」タブを選択し、左側のナビゲーション・バーから「Conflict Resolution」を選択します。
3. 提示された名前を受け入れるオブジェクトを選択します。
4. 「Accept」をクリックします。

4.12 マルチマスター・クラスタ・デプロイメントの推奨事項

Oracleでは、2つ以上のノードを持つデプロイメントのデプロイメント推奨事項が提供されます。

2ノード・デプロイメントの推奨事項

次の状況では、2ノード・デプロイメントを使用します。

• テストや開発などの非クリティカルな環境
• 従来のプライマリ・スタンバイを置き換える、両方のノードがアクティブな読取り/書込みペアの単純なデプロイメント
• 単一データ・センター環境

2ノード・デプロイメントの考慮事項:

• 可用性は複数のノードによって提供されます。
• メンテナンスには停止時間が必要です。
• データ・センター間の良好なネットワーク接続が必要です。
• 障害時リカバリに備えて、定期的にリモートの宛先にバックアップを作成します。

3ノード・デプロイメントの推奨事項

次の状況では、3ノード・デプロイメントを使用します。

• 最小停止時間要件がある単一データ・センター環境
• 負荷に対処するために読取り専用ノードが追加された単一の読取り/書込みペア
• メンテナンス時に1つの読取り専用ノードを停止時間ゼロで使用可能

3ノード・デプロイメントの考慮事項:

• 障害時リカバリに備えて、定期的にリモートの宛先にバックアップを作成します。

4ノード以上のデプロイメントの推奨事項

次の状況では、4ノード以上のデプロイメントを使用します。

• 地理的に分散している大規模なデータ・センター
• ペア・メンバーが地理的に分散されている読取り/書込みペアのデプロイメント

大規模なデプロイメントの考慮事項:

• 可用性は複数のノードによって提供されます。
• 追加の読取り専用ノードを使用して負荷を処理できます。
• データ・センター間の良好なネットワーク接続が必要です。

4.13 代替名またはIPアドレスの追加

特定のOracle Key Vaultサーバーまたはノードに対して2つの代替ホスト名を構成できます。

詳細は、代替ホスト名を使用したOracle Key Vaultの構成を参照してください