I SSHキー・ベースの認証の設定

ノート:

これらのステップは、ソースまたはターゲット(あるいはその両方)がSSHキー(共同管理データベース)を使用してアクセスされる物理移行、論理移行およびハイブリッド移行に適用されます。

これらのステップは、ターゲットがAutonomous Databaseである論理移行では適用できません。

次の手順を実行して、Zero Downtime Migrationサービス・ホストとソースおよびターゲットのデータベース・サーバー間で必要な接続を確保します。

1. Zero Downtime Migrationサービス・ホストで、Zero Downtime Migrationソフトウェア・インストール・ユーザーにRSA認証キー・ペアがパスフレーズなしで使用できることを確認します。
   新しいキー・ペアをパスフレーズなしで生成する必要がある場合は、Zero Downtime Migrationソフトウェア・インストール・ユーザーとして、パスフレーズなしのSSHキーの生成の説明に従って新しいキー・ペアを生成します。
2. 秘密キー・ファイルの名前を変更します。
   zdm_installed_user_home/.ssh/id_rsaファイルの名前をzdm_installed_user_home/.ssh/zdm_service_host.ppkに変更します。
3. 次の依存関係を使用して、zdm_installed_user_home/.ssh/id_rsa.pubファイルの内容をopc_user_home/.ssh/authorized_keysファイルに追加します。

   ソース・データベース・サーバーの場合:

   • ソース・データベース・サーバーにrootユーザーでアクセスする場合、アクションは必要ありません。
   • ソース・データベース・サーバーにSSHを介してアクセスする場合は、 zdm_installed_user_home/.ssh/id_rsa.pubファイルの内容をすべてのソース・データベース・サーバー上にあるopc_user_home/.ssh/authorized_keysファイルに追加します。

   ターゲット・データベース・サーバーの場合:

   • ターゲット・データベース・サーバーはクラウド上にのみあり、SSHを介したアクセスであるため、zdm_installed_user_home/.ssh/id_rsa.pubファイルの内容をすべてのターゲット・データベース・サーバー上にあるopc_user_home/.ssh/authorized_keysファイルに追加します。

   opcユーザーは、データベース・サーバーへのアクセスに使用される標準のOracleクラウド・ユーザーですが、sudo権限を持つ任意の特権ユーザーを使用できます。ソース・データベースとターゲット・データベースに異なるユーザーを使用することもできます。

4. ソースおよびターゲットのデータベース・サーバー名は、名前の解決サーバーまたはITインフラストラクチャで承認されている代替方法でZero Downtime Migrationサービス・ホストから解決可能であることを確認します。

   ソースおよびターゲットのデータベース・サーバー名の解決方法の1つとして、ソースおよびターゲットのデータベース・サーバー名およびIPアドレスの詳細をZero Downtime Migrationサービス・ホストの/etc/hostsファイルに追加します。

   次の例では、IPアドレス・エントリが192.x.x.xと表示されていますが、実際のパブリックIPアドレスを追加する必要があります。

   #OCI public IP two node RAC server details
   192.0.2.1 ocidb1
   192.0.2.2 ocidb2
   #OCIC public IP two node RAC server details
   192.0.2.3 ocicdb1
   192.0.2.4 ocicdb2

   オプションで、Zero Downtime Migrationでは、論理移行と物理移行の両方で要塞ホストを介した接続ができます。

5. ソースおよびターゲットのデータベース・サーバーのポート22がZero Downtime Migrationサービス・ホストからの着信接続要求を受け入れることを確認します。
6. Zero Downtime Migrationサービス・ホストからすべてのソースおよびターゲットのデータベース・サーバーへの接続をテストします。

   zdmuser> ssh -i zdm_service_host_private_key_file_location user@source/target_database_server_name

   たとえば、

   zdmuser> ssh -i /home/zdmuser/.ssh/zdm_service_host.ppk opc@ocidb1
   zdmuser> ssh -i /home/zdmuser/.ssh/zdm_service_host.ppk opc@ocicdb1

   ノート:

   Zero Downtime Migrationの操作時のSSH接続では、Zero Downtime Migrationサービス・ホストとソースおよびターゲットのデータベース・サーバーの間に、パスフレーズの入力を必要としない非対話型の直接アクセスが必要です。
7. TTYを無効にして、SSH特権ユーザーに対して無効になっていることを確認します。

   Zero Downtime Migrationがリモート・ホストで非対話形式でコマンドを実行できるように、TTYをオフにする必要があります。

   sudo権限を設定するには様々な方法があるため、zdmuserに対してTTYを無効にする多数の方法があります。たとえば、/etc/sudoersファイルで次のデフォルトを設定できます。

   Defaults:zdmuser !requiretty

   次のコマンドを実行して、TTYが無効になっていることを確認します。

   
   ssh -i zdm_service_host_private_key_file_location
    user@source_database/target_database_server_name
    "sudo_location_source/target_database /bin/sh -c date"

   TTYが無効になっている場合、前述のコマンドはエラーなしでリモート・ホストから日付を返します。

   オプションで、SSHがTTYを必要とするように構成されている場合、出力には次のようなエラーが表示されます:

   
   
   [opc@zdm-server ~]$ ssh -i /home/zdmuser/.ssh/zdm_service_host.ppk opc@ocidb1
    "/usr/bin/sudo /bin/sh -c date"
   
   sudo: sorry, you must have a tty to run sudo

   ノート:

   ここでは、sudoの使用はオプションです。

Zero Downtime Migrationのポートの要件