9 Oracle Databaseの管理
Oracle Database ApplianceでOracle Databaseを管理します。
- Oracle Database Applianceの管理グループおよびユーザーについて
Oracle Database Applianceブラウザ・ユーザー・インタフェースのデプロイメントによって、オペレーティング・システム・グループおよびユーザーが作成され、そのメンバーにアプライアンスでのシステム管理権限が付与されます。 - Oracle Database Applianceのデータ移行オプションについて
Oracle Database Applianceは、標準的なOracle Databaseのロードおよび移行ツールの使用をサポートします。 - Oracle ACFSストレージでのデータベース・ホームの作成について
新しいOracle Databaseホームを作成すると、Oracle Database Applianceストレージ・ディスクに格納されているOracle ACFSファイル・システムに作成されます。odacli create-databaseまたはodacli create-dbhomeコマンドを使用して、あるいは既存のデータベース・ホームにパッチを適用するときに、新しいOracle Databaseホームを作成できます。 - Oracle Database ApplianceのStandard Edition高可用性について
Oracle Database Applianceは、Oracle Database 19c Standard Editionのクラスタベースのフェイルオーバーを提供するOracle Grid InfrastructureでのStandard Edition高可用性ソリューションをサポートしています。 - Oracle Database ApplianceのEnterprise Edition高可用性について
Oracle Database Applianceは、Oracle Database Enterprise Editionのクラスタベースのフェイルオーバーを提供するOracle Grid InfrastructureでのEnterprise Edition高可用性ソリューションをサポートしています。 - Oracle Database Applianceの透過的データベース暗号化(TDE)について
透過的データ暗号化(TDE)により、表および表領域に格納される機密データを暗号化できます。 - Oracle Key Vaultサーバーへの透過的データベース暗号化キーの格納
Oracle Database Applianceで透過的データベース暗号化(TDE)対応データベースを作成し、Oracle Key VaultサーバーにTDEキーを格納する方法を理解します。 - データベースの操作
ブラウザ・ユーザー・インタフェースを使用してデータベースのリストとデータベースの詳細を表示したり、データベースを作成および削除します。CLIコマンドを使用してデータベースを管理できます。 - データベース・ホームの操作
ブラウザ・ユーザー・インタフェースを使用してデータベース・ホームのリストと詳細を表示したり、データベース・ホームを作成および削除します。 - データベースの移行
次のトピックを参照して、データベースを準備してデータベース全体をOracle Database Applianceに移行する方法について学習します。 - TDE対応データベースの登録について
透過的データベース暗号化(TDE)対応データベースの登録プロセスを理解します。 - インスタンス・ケージングを使用した複数データベース・インスタンスの管理について
インスタンス・ケージングを使用してOracle Database Appliance上でシステム・リソースを管理します。 - Oracle EM ExpressおよびDBコンソール
Oracle Enterprise Manager Database Express (EM Express)またはDatabase Controlコンソール(DBコンソール)を使用してデータベースを管理できます。
Oracle Database Applianceの管理グループおよびユーザーについて
Oracle Database Applianceブラウザ・ユーザー・インタフェースのデプロイメントによって、オペレーティング・システム・グループおよびユーザーが作成され、そのメンバーにアプライアンスでのシステム管理権限が付与されます。
構成時に、2つの管理アカウントがOracle Database Applianceのために作成されます。それらは、ユーザーID (UID)が1001のgridユーザー、およびUIDが1000のoracleユーザーです。ユーザーgridは、Oracle Grid Infrastructureのインストール所有者です。ユーザーoracleはOracle Databaseのインストール所有者であり、すべてのOracle Databaseホーム(Oracleホーム)の所有者です。デフォルトで、これらのユーザーは、そのメンバーにOracle DatabaseおよびOracle Automatic Storage Managementを起動および管理する権限が付与されるオペレーティング・システム・グループのメンバーです。
次の表に、Oracleシステムの権限グループ、およびオペレーティング・システムの認証グループに関する情報を示します。
表9-1 Oracle Database Appliance上のオペレーティング・システムのグループおよびユーザー
| Oracleシステムの権限 | グループ名 | グループID (GID) | gridはメンバーである | oracleはメンバーである |
|---|---|---|---|---|
|
Oracleインベントリ・グループ(OINSTALL) |
|
1001 |
はい(プライマリ・グループ) |
はい(プライマリ・グループ) |
|
dbaoperグループ用のOSOPER |
|
1002 |
はい |
はい |
|
OSDBAグループ |
|
1003 |
いいえ |
はい |
|
Oracle ASM用のOSASMグループ |
|
1004 |
はい |
いいえ |
|
ASMグループのOSOPER |
|
1005 |
はい |
いいえ |
|
ASMグループのOSDBA |
|
1006 |
はい |
はい |
グループ名およびGIDをOracle Database Applianceベア・メタル・プラットフォームのデフォルト値から変更するには、デプロイメント中にブラウザ・ユーザー・インタフェースからデフォルト値を変更します。デプロイメント中に初期データベースを作成する場合、SYSおよびSYSTEMユーザーのパスワードはブラウザ・ユーザー・インタフェースで設定したパスワードです。
グループ名およびGIDをOracle Database Appliance仮想化プラットフォームのデフォルト値から変更するには、コマンドoakcli deployで-advanceパラメータを使用します。デプロイメント中に初期データベースを作成する場合、SYSおよびSYSTEMユーザーのパスワードはコンフィギュレータのROOTパスワードです。
ノート:
構成後に両方のユーザーのパスワードを速やかに変更し、これらの特権アカウントを使用したデータベースへの不正アクセスを防止します。親トピック: Oracle Databaseの管理
Oracle Database Applianceのデータ移行オプションについて
Oracle Database Applianceは、標準的なOracle Databaseのロードおよび移行ツールの使用をサポートします。
既存のデータベースからOracle Database Applianceにデータをロードまたはデータを移行する場合は、標準的なOracle Databaseのロードおよび移行ツールを使用できます。このようなツールには、次のものがあります。
-
Oracle GoldenGate
-
SQL*Loader
-
Oracle Data Pump
-
トランスポータブル表領域
-
RMAN
また、RMANユーティリティはOracle Database Applianceでデータベースをバックアップおよびリカバリする場合にも使用できます。
親トピック: Oracle Databaseの管理
Oracle ACFSストレージでのデータベース・ホームの作成について
新しいOracle Databaseホームを作成すると、Oracle Database Applianceストレージ・ディスクに格納されているOracle ACFSファイル・システムに作成されます。odacli create-databaseまたはodacli create-dbhomeコマンドを使用して、あるいは既存のデータベース・ホームにパッチを適用するときに、新しいOracle Databaseホームを作成できます。
Oracle Databaseホームは、Oracle ACFS管理ファイル・システムに作成されます。データベース・ユーザーoracleについては、/u01/app/odaorahome/oracle/の下に新しいデータベース・ホームが作成されます。
マウント/u01/app/odaorahomeは、高可用性システムの共有ファイル・システムです。高可用性システムでは、/u01/app/odaorahome/はノード間の共有ORACLE_HOMEです。既存のデータベース・ホームは、引き続きローカル・ディスクに残ります。
ORACLE_BASEの場所もOracle ACFSベースのファイル・システムに変更されました。高可用性システムでは、ORACLE_BASEはノード間で共有されません。各ノードには、ORACLE_BASE用の独自のOracle ACFSファイル・システムがあります。データベース・ホームの新しいORACLE_BASEは、マウント/u01/app/odaorabase/の下に作成されます。
Oracle ACFSファイル・システムのディスク領域は、DATAまたはRECOディスク・グループにあります。Oracle ACFSファイル・システムのディスク・グループを指定する必要があります。Oracle Database Appliance X8-2ハードウェア・モデルおよび単一ノード・システムの場合、Oracle ACFSファイル・システムはDATAディスク・グループに配置する必要があります。ORACLE_HOMEボリュームの初期サイズを指定できます。デフォルト値は80 GBです。25 GBから1024 GBの値を設定できます。ORACLE_BASEの初期ボリューム・サイズは10GBに固定されます。これらのボリュームについては、AUTOEXTENDはオフであることに注意してください。ボリューム・サイズは、odacli modify-dbhome-storageコマンドを使用して拡張できます。
Oracle Database Applianceリリース19.25のプロビジョニング時の変更
プロビジョニング・リクエストの一部として、sysOraHomeStorageセクションのjsonファイルでボリュームのディスク・グループおよびサイズを指定する必要があります。
"sysOraHomeStorage" : {
"diskgroup" : "DATA",
"volumeSize" : "80"
},jsonファイルで値を指定しない場合、プロビジョニング中に次のエラーが表示されます。
DCS-10045:Validation error encountered: Missing argument : sysOraHomeStorage値が無効な場合は、プロビジョニング中に次のエラーが表示される場合があります。
DCS-10024:Input parameter 'Disk Group' contains unacceptable value 'DATAL'. Allowed values are '[DATA, RECO]'. (case insensitive)
DCS-10045:Validation error encountered: Required volumeSize value in sysOraHomeStorage should be in the range of 25GB to 1024GB.Oracle Database Applianceリリース19.25へのパッチ適用時の変更
アプライアンスにパッチを適用してOracle Database Applianceリリース19.6以降から19.25に更新した場合は、新しいデータベース・ホームを作成する前に、
odacli configure-dbhome-storageコマンドを実行します。それ以外の場合は、新しいデータベース・ホームの作成時に次のエラーが表示されます。# odacli create-dbhome -v 19.8.0.0.200714
DCS-10601:The system is not set up to create database homes on ACFS.ボリュームのディスク・グループを設定すると、Oracle ACFSファイル・システムに新しいデータベース・ホームが作成されます。
Oracle Database ApplianceのStandard Edition高可用性について
Oracle Database Applianceは、Oracle Database 19c Standard Editionのクラスタベースのフェイルオーバーを提供するOracle Grid InfrastructureでのStandard Edition高可用性ソリューションをサポートしています。
Oracle Database 19cのStandard Edition高可用性について
Standard Edition高可用性では、インスタンス障害またはノード障害が発生した場合に、ローカル・ノードで再起動しようとすると、データベースは自動的に他のノードにフェイルオーバーします。データベースは残存ノードで再起動されるため、Oracle Standard Editionデータベースの高可用性が実現します。
Oracle Databaseデプロイメントに19cより前のリリースのStandard Edition 2 Oracle Real Application Cluster (Oracle RAC)データベースが含まれている場合は、Oracle Database 19cへのアップグレードの一環としてStandard Edition高可用性構成に変換する必要があります。
この機能の詳細は、Oracle Databaseドキュメント・ライブラリ(https://docs.oracle.com/en/database/oracle/oracle-database/index.html)を参照してください。
Oracle Database Applianceリリース19.25のStandard Edition高可用性について
Oracle Database 19cのStandard Edition高可用性は、高可用性デプロイメント、つまり、2つのサーバー・ノード、共有ストレージおよびサーバー・インターコネクトがあるデプロイメントの場合のOracle Database Applianceでサポートされています。
Oracle Database Applianceでは、Oracle Database 19c Standard Edition単一インスタンス・データベースのデプロイメント時にフェイルオーバーの自動構成が有効になります。両方のノードにStandard Edition単一インスタンス・データベースのOracleホームがあります。
ODACLIコマンドまたはブラウザ・ユーザー・インタフェース(BUI)を使用して作成された単一インスタンスのOracle Database 19c Standard Editionデータベースでは、デフォルトでStandard Edition高可用性が有効になっています。「High Availability」オプションを無効にすることもできます。19cより前のリリースの既存のStandard Edition Oracle RACデータベースに対してStandard Edition高可用性を有効にするには、これらのOracle RACまたはOracle One Nodeデータベースを単一インスタンス・データベースに変換してから、デフォルトでStandard Edition高可用性が有効になっている単一インスタンスのOracle Database 19c Standard Editionデータベースにアップグレードする必要があります。Standard Edition高可用性のOracle Databaseのプロビジョニング、アップグレードおよび再配置について
Standard Edition高可用性を備えた単一インスタンスのOracle Database 19cを作成するには、次のコマンドを使用します。
odacli create-database -u db_unique_name -n db_name -dh db_home -y SI -g target_nodeStandard Edition Oracle RACデータベースをOracle Database 19c Standard Editionにアップグレードするには、Oracle RACデータベースを単一インスタンスのOracle Databaseに変換します。
odacli modify-database -in db_name -y single-instance次に、次のように、単一インスタンス・データベースをStandard Edition高可用性を備えたOracle Database 19cにアップグレードします。
odacli upgrade-database -i db_id -to destination_dbhome -shあるノードから、フェイルオーバーの外部の別のノードにStandard Edition高可用性のOracle Databaseを再配置するには、次のコマンドを使用します(コマンドにターゲット・ノードまたはターゲット・ホストを指定します)。
odacli modify-database -in db_name -g target_nodeまたは:
odacli modify-database -in db_name -th target_hostこれらのODACLIコマンドのオプションの詳細は、このガイドのOracle Database Applianceコマンドライン・リファレンスの章を参照してください。
Oracle Database ApplianceのEnterprise Edition高可用性について
Oracle Database Applianceは、Oracle Database Enterprise Editionのクラスタベースのフェイルオーバーを提供するOracle Grid InfrastructureでのEnterprise Edition高可用性ソリューションをサポートしています。
Oracle DatabaseのEnterprise Edition高可用性について
Enterprise Edition高可用性では、インスタンス障害またはノード障害が発生した場合に、ローカル・ノードで再起動しようとすると、データベースは自動的に他のノードにフェイルオーバーします。データベースは残存ノードで再起動されるため、Oracle Enterprise Editionデータベースの高可用性が実現します。
この機能の詳細は、Oracle Databaseドキュメント・ライブラリ(https://docs.oracle.com/en/database/oracle/oracle-database/index.html)を参照してください。
Oracle Database Applianceリリース19.25のEnterprise Edition高可用性について
Oracle Database 19.25のEnterprise Edition高可用性は、高可用性デプロイメント(サーバー・ノード2つ、共有ストレージおよびサーバー・インターコネクトがあるデプロイメント)のOracle Database Applianceでサポートされています。
Oracle Database Applianceでは、Oracle Database 19.25 Enterprise Edition単一インスタンス・データベースのデプロイメント時にフェイルオーバーの自動構成が有効になります。Enterprise Edition単一インスタンス・データベースのOracleホームは両方のノードにあります。
リリース19.25の既存のEnterprise Edition Oracle RACデータベースに対してEnterprise Edition高可用性を有効にするには、これらのOracle RACデータベースを単一インスタンスのデータベースに変換した後、デフォルトでEnterprise Edition高可用性が有効になっている単一インスタンスのOracle Database 19.25 Enterprise Editionデータベースにアップグレードする必要があります。Enterprise Edition高可用性のOracle Databaseのプロビジョニング、アップグレードおよび再配置について
Enterprise Edition高可用性を備えた単一インスタンスのOracle Database 19.25を作成するには、次のコマンドを使用します。
odacli create-database -u db_unique_name -n db_name -dh db_home -y SI -g target_node -haEnterprise Edition Oracle RACデータベースをOracle Database 19.25 Enterprise Editionにアップグレードするには、Oracle RACデータベースを単一インスタンスのOracle Databaseに変換します。
odacli modify-database -in db_name -y single-instance次に、次のように、単一インスタンス・データベースをEnterprise Edition高可用性を備えたOracle Database 19.25にアップグレードします。
odacli upgrade-database -i db_id -to destination_dbhome -haあるノードから、フェイルオーバーの外部の別のノードにEnterprise Edition高可用性のOracle Databaseを再配置するには、次のコマンドを使用します(コマンドにターゲット・ノードまたはターゲット・ホストを指定します)。
odacli modify-database -in db_name -g target_nodeまたは:
odacli modify-database -in db_name -th target_hostこれらのODACLIコマンドのオプションの詳細は、このガイドのOracle Database Applianceコマンドライン・リファレンスの章を参照してください。
Oracle Database Applianceの透過的データベース暗号化(TDE)について
透過的データ暗号化(TDE)により、表および表領域に格納される機密データを暗号化できます。
データは暗号化された後、認可されているユーザーまたはアプリケーションによってアクセスされたときに、透過的に復号化されます。TDEは、ストレージ・メディアまたはデータ・ファイルが盗まれた場合に、メディアに格納されているデータ(保存データとも呼ばれる)を保護するために役立ちます。
Oracle Databaseは、認証、認可および監査のメカニズムを使用してデータベース内のデータを保護しますが、オペレーティング・システムのデータ・ファイルに格納されているデータは保護しません。これらのデータ・ファイルを保護するために、Oracle Databaseでは透過的データ暗号化(TDE)が提供されています。
TDEにより、データ・ファイルに格納されている機密データが暗号化されます。許可なく復号化されるのを防止するため、TDEによって暗号化キーはデータベース外部のキーストアと呼ばれるセキュリティ・モジュールに格納されます。
Oracle Database Applianceには、Oracle Database ApplianceまたはOracle Key Vaultのソフトウェア・キーストアにTDEキーを格納できるTDE対応データベースを作成するオプションが用意されています。TDEキーがソフトウェア・キーストアに格納されている場合、Oracle Database Applianceには、TDEウォレットのバックアップおよびリストアを行うオプションもあります。
使用されるキーストアに基づいて、Oracle Database ApplianceのTDEは次のタイプのいずれかとして構成できます:
- ソフトウェア・キーストアに格納されたTDEキー: このタイプのTDEメソッドでは、TDEキーはOracle Database Applianceのウォレットに格納されます。
- Oracle Key Vaultのウォレットに格納されているTDEキー: このタイプのTDEメソッドでは、TDEキーはOracle Key Vaultのウォレットに格納されます。Oracle Key Vaultでユーザーの資格証明を指定しない場合は、Oracle Key Vaultですでに作成されているエンドポイントを使用し、Oracle Database Applianceでデータベースを作成またはリストアするときにエンドポイントを直接指定できます。それ以外の場合は、Oracle Key Vaultユーザーの詳細を使用してOracle Database ApplianceでOracle Key Vaultサーバー構成を作成し、これらのユーザー資格証明を使用してOracle Database Applianceでデータベースを作成およびリストアできます。
TDEキーは、次のいずれかの方法でOracle Key Vaultキーストアを使用して構成できます:
- Oracle Key Vaultでのユーザーの資格証明の使用:この構成では、TDEキーはOracle Key Vaultのウォレットに格納され、Oracle Key Vaultユーザー資格証明を介してアクセスされます。
- Oracle Key Vaultですでに作成されているエンドポイントおよびウォレットの使用: この構成では、TDEキーはOracle Key Vaultのウォレットに格納され、Oracle Key Vaultエンドポイントを介してアクセスされます。
ノート:
透過的データ暗号化(TDE)を有効にするには、Oracle Database 19c以降でOracle Database Enterprise Editionをデプロイする必要があります。透過的データ暗号化(TDE)は、Oracle Database Enterprise Editionで使用可能なアドバンスト・セキュリティ・オプション(ASO)です。関連項目:
Oracle Database Advanced Securityガイドの透過的データ暗号化の使用方法注意:
ソフトウェア・キーストアまたはOracle Key Vaultキーストアを使用して、すでにOracle Key Vaultに作成されているエンドポイントとウォレットでデータベースでTDEを有効にすると、TDEウォレットのパスワードを設定するように求められます。セキュリティ準拠のための強力なパスワードを指定します。パスワードを慎重に設定し、データベース管理操作のために常にこのパスワードを使用できるようにします。プロンプトが表示されたときにTDEウォレット・パスワードを指定しないと、データベース表にアクセスすることはできません。親トピック: Oracle Databaseの管理
Oracle Key Vaultサーバーへの透過的データベース暗号化キーの格納
Oracle Database Applianceで透過的データベース暗号化(TDE)対応データベースを作成し、Oracle Key VaultサーバーにTDEキーを格納する方法を理解します。
- Oracle Key Vaultについて
Oracle Key Vaultは、フォルト・トレラントで、可用性と拡張性が高い、セキュアな標準準拠のキーおよびシークレット管理アプライアンスであり、ここでセキュリティ・オブジェクトを格納、管理および共有できます。 - ユーザー資格証明を使用したTDE対応データベースの作成
Oracle Key Vaultでユーザーの資格証明を使用して、Oracle Database ApplianceでTDE対応データベースを作成する方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。 - Oracle Key Vaultのエンドポイントを含むOracle Key Vaultを使用したTDE対応データベースの作成
Oracle Key Vaultにすでに存在するエンドポイントおよびウォレットを使用して、Oracle Database ApplianceでTDE対応データベースを作成する方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。 - ODACLIコマンドを使用したOracle Key Vaultサーバー構成操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成操作を管理する方法を理解します。 - Oracle Key Vaultに格納されたTDEキーを使用したTDE対応データベースでのデータベース操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceのOracle Key Vaultに格納されているTDEキーを使用して、TDE対応データベースを管理する方法を理解します。 - BUIを使用したOracle Key Vaultユーザーの作成
マルチユーザー・アクセス対応のOracle Database Applianceで、Oracle Key Vaultサーバー構成の権限を持つユーザーを作成します。 - BUIを使用したOracle Key Vaultサーバー構成オブジェクトの作成
BUIを使用して、ベア・メタルおよびDBシステムのOracle Key Vaultに格納されているTDEキーによってOracle Database ApplianceでTDE対応データベースを作成する方法を理解します。 - BUIを使用したOracle Key Vaultサーバー構成でのアクセス権の付与および取消し
BUIを使用して、ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成へのアクセス権を付与および取り消す方法を理解します。 - BUIを使用したOracle Key Vaultサーバー構成操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成操作を管理する方法を理解します。 - TDE対応データベースへのデータの手動移行および暗号化
Oracle Database Applianceでトランスポータブル表領域をTDE対応データベースに移行する方法を理解します。
親トピック: Oracle Databaseの管理
Oracle Key Vaultについて
Oracle Key Vaultは、フォルト・トレラントで、可用性と拡張性が高い、セキュアな標準準拠のキーおよびシークレット管理アプライアンスであり、ここでセキュリティ・オブジェクトを格納、管理および共有できます。
セキュリティ・オブジェクトには、ユーザーによって提供されるクリティカル・データが含まれています。Oracle Key Vaultで管理できるセキュリティ・オブジェクトには、暗号化キー、Oracleウォレット、Javaキーストア(JKS)、Java Cryptography Extensionキーストア(JCEKS)および資格証明ファイルがあります。資格証明ファイルには、リモート・サーバー(OCIコンピュート・インスタンスなど)への公開キー認証に使用されるSSH秘密キーまたは定期的にスケジュールされたメンテナンス・スクリプトの自動実行用のデータベース・アカウント・パスワードを含めることができます。キーおよびシークレットの可用性を高めるために、最大16個の(地理的に分散された)ノードを持つマルチマスター・クラスタとしてOracle Key Vaultをインストールできます。
Oracle Key Vaultは、組織全体で、迅速かつ効率的にキーおよびシークレット管理を集中管理します。Oracle Key Vaultは、Oracle Linux、Oracle Database、Oracle Databaseセキュリティ機能(Oracle Transparent Data Encryption、Oracle Database Vault、Oracle Virtual Private DatabaseおよびOracle GoldenGateなど)のテクノロジ上に構築され、その一元化され、可用性と拡張性に優れたセキュリティ・ソリューションは、組織が今日直面しているキー管理に関する最大の課題を克服するのに役立ちます。Oracle Key Vaultを使用すると、セキュリティ・オブジェクトを保持、バックアップおよびリストアしたり、過失による損失を防止したり、保護された環境でライフサイクルを管理することができます。Oracle Key Vaultは、Oracle Stack (データベース、ミドルウェア、システム)およびOracle Advanced Security Transparent Data Encryption (TDE)用に最適化されています。また、業界標準のOASIS Key Management Interoperability Protocol (KMIP)に準拠することで、MongoDBなど、KMIPベースのクライアントとの互換性を確保します。
Oracle Database Appliance上のTDE対応データベースのTDEキーをOracle Key Vaultに格納するときに使用される用語
Oracle Database ApplianceのデータベースでのOracle Key Vaultサーバーの使用に関する次の概念を理解します:
- ロール分離: Oracleでは、データベース管理およびTDEキー操作に異なるユーザーを割り当てることをお薦めします。データベース管理ロールを持つユーザーに、Oracle Key Vaultサーバーの資格証明を提供しないでください。これにより、データ・ファイル・アクセス権を持つデータベース・ユーザーは、TDEウォレット・パスワードを知らないとデータベースを開けなくなります。このロール分離を設定するには、Oracle Database Applianceでマルチユーザー・アクセス機能を有効にします。マルチユーザー・アクセスの構成の詳細は、Oracle Database Applianceでのマルチユーザー・アクセスの実装のトピックを参照してください。Oracle Database Applianceでは、Oracle Key Vaultユーザーの資格証明をODA-DBユーザーと共有する必要はありません。ODA-Administratorにより、リソース(Oracle Key Vaultサーバー構成)に目的のDBユーザーへのアクセス権が付与され、DBユーザーはTDE対応データベースの作成時にOracle Key Vaultサーバー構成を使用してTDEキーをOracle Key Vaultサーバーに格納できます。
- Oracle Key Vaultサーバー構成: この用語は、Oracle Key Vaultのメタデータを格納するOracle Database Applianceリソースを指します。Oracle Key Vaultサーバー構成には、Oracle Key Vaultサーバー上のTDEキーを管理するために作成されたユーザーの名前、Oracle Key VaultサーバーのIPアドレスまたはホスト名などの詳細が含まれます。Oracle Key Vaultサーバー構成を区別するために、Oracle Database Appliance上のOracle Key Vaultサーバー構成は名前で識別されます。この名前はOracle Database Applianceシステム内で一意であり、値は大/小文字が区別されます。Oracle Key Vaultサーバー構成を作成する場合は、Oracle Key Vaultサーバーでユーザーの資格証明を指定する必要があります。このユーザーは
Create Endpoint権限のみを持つ最小特権ユーザーにすることをお薦めします。Oracle Key Vaultサーバー構成の作成時に指定するユーザー名とパスワードは、Oracle Key Vaultサーバー上のユーザーに対応します。このオブジェクトの作成時に指定したパスワードは、Oracle Database Applianceには格納されません。Oracle Key Vaultクライアントの自動ログイン・ウォレットは、これらの資格証明を使用して作成され、Oracle Key Vaultサーバーへのすべてのリクエストはこのクライアントの自動ログイン・ウォレットを使用します。データベースは、必要なADMINISTER KEY MANAGEMENT SQLコマンドの自動ログイン・ウォレットを自動的に読み取ります。 - ODA-DBロールを持つユーザー: マルチユーザー・アクセス対応の環境またはマルチユーザー・アクセス対応のパスワードなしの環境でODA-DBロールを持つユーザーは、データベースを作成および保守できます。このユーザーにはODA-DBロールが付与され、作成、パッチ適用、変更、削除、バックアップ、リカバリなどのデータベース関連のすべての操作を実行できます。これらの操作は、ユーザーに属するデータベースに制限されます。詳細は、このガイドの「Oracle Database Applianceでのマルチユーザー・アクセスの実装」の章を参照してください。
- Oracle Key Vaultユーザー: Oracle Key Vaultサーバー構成の作成時に指定するOracle Key Vaultのユーザー名とパスワードは、Oracle Key Vaultサーバーの既存のユーザーおよびパスワードに対応している必要があります。そうしないと、Oracle Key Vaultへのアクセスで障害が発生する可能性があります。このユーザーは、作成したOracle Key Vaultサーバー構成オブジェクトに対して作成、削除、詳細表示およびリスト操作を実行することもできます。
- 仮想ウォレット: Oracle Key Vaultで作成された仮想ウォレットは、セキュアに格納する必要があるオブジェクトのコンテナです。Oracle Key Vaultをキーストアとして使用するOracle Database Appliance上のTDE対応データベースの場合、データベースのTDEキーはこの仮想ウォレット内に格納されます。
Oracle Key Vaultに格納されているキーを使用してTDE対応データベースを構成するための要件
- Oracle Key Vaultサーバーのバージョンは21.7.0以降である必要があります。
- Oracle Database Applianceでネットワーク・タイム・プロトコル・サービスを設定することをお薦めします。Oracle Key Vaultと対話するデータベース操作は、Oracle Database ApplianceおよびOracle Key Vaultサーバーのクロックが同期していない場合、失敗することがあります。時間がサーバー全体で一貫していることを確認するか、Oracle Database Applianceでネットワーク・タイム・プロトコルを使用する必要があります。
- ベア・メタル・システムでOracle Database Applianceをプロビジョニングし、初期データベースの作成を選択する場合、Oracle Key Vaultを使用してTDEを構成した初期データベースを作成することはできません。これは、Oracle Key Vaultを使用してTDEキーを格納するTDEデータベースの作成には、Oracle Key Vaultサーバー構成がすでに存在する必要があるためです。DBシステムでOracle Key Vaultを使用してTDEが構成されたデータベースを作成するには、まず初期データベースなしでDBシステムを作成し、Oracle Key Vaultを使用したOracle Database ApplianceでのTDE対応データベースの作成のトピックの説明に従って、Oracle Key Vaultを使用してTDEが構成されたデータベースを作成します。
- Oracle Key Vaultでユーザーの資格証明を使用してOracle Key Vaultに格納されたキーを使用してTDE対応データベースを構成するには、マルチユーザー・アクセス対応システムで、
ODA-OKVCONFIGVIEWMGMTおよびODA-OKVCONFIGMODIFYMGMTという権限があるODA-OKVCONFIGADMINロールを持つ新しいユーザーを作成する必要があります。ODA-OKVCONFIGVIEWMGMT権限を使用すると、Oracle Key Vaultサーバー構成オブジェクトで詳細表示やリストなどの操作を実行できます。ODA-OKVCONFIGMODIFYMGMT権限を使用すると、Oracle Key Vaultサーバー構成オブジェクトで作成および削除などの操作を実行できます。ODA-OKVCONFIGVIEWMGMT権限はODA-DBロールに含まれ、ODA-DBロールを持つDBユーザーは、Oracle Key Vaultサーバー構成オブジェクトをリストおよび詳細表示し、必要なOracle Key Vaultサーバー構成オブジェクトを選択してデータベースを作成できます。マルチユーザー・アクセス対応でないシステムの場合、新しいユーザーを作成する必要はありません。
ユーザー資格証明を使用したTDE対応データベースの作成
Oracle Key Vaultでユーザーの資格証明を使用して、Oracle Database ApplianceでTDE対応データベースを作成する方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。
Oracle Database Applianceベア・メタル・システムおよびDBシステムのOracle Key Vaultに格納されたTDEキーを使用してTDE対応データベースを作成するには、次のステップを実行します:
ステップ1: Oracle Key Vault上のユーザーに対応するユーザーをOracle Database Applianceで作成します。このステップは、マルチユーザー・アクセス対応システムにのみ適用されます。
ODA-OKVCONFIGADMINロールを持つユーザーが存在しない場合、または作成するデータベースに別のユーザーを割り当てる場合は、ユーザーを作成します。
ODA-OKVCONFIGADMINロールを持つ新規ユーザーを作成します。たとえば:odacli create-user -u okvuser1 -r ODA-OKVCONFIGADMINユーザーが作成され、一時パスワードが割り当てられます。
- 正常に作成された後に、
okvuser1は一時パスワードを使用してアプライアンスにログインできます。 okvuser1はInactive状態です。アプライアンスがマルチユーザー・アクセスを有効にして構成されている場合は、次のコマンドを使用してユーザーをアクティブ化します。アプライアンスがパスワードなしのマルチユーザー・アクセスで構成されている場合は、ユーザーをアクティブ化する必要はありません。マルチユーザー・アクセスの構成の詳細は、Oracle Database Applianceでのマルチユーザー・アクセスの実装のトピックを参照してください。odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
- 新しいパスワードを使用してアプライアンスにSSHで接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
ステップ2: Oracle Key Vaultサーバー構成を作成します
- Oracle Key Vaultサーバー構成を作成するOracle Key Vaultユーザーは、Oracle Key Vaultサーバーでの
Create Endpointの最小権限を持つユーザーである必要があります。 - マルチユーザー・アクセス対応システムの場合、
ODA-OKVCONFIGADMINロールを持つユーザーとしてログインします(たとえば、okvuser1)。マルチユーザー・アクセス対応でないシステムの場合は、rootユーザーとしてログインします。 - Oracle Key Vaultパスワード・プロンプトが2回表示され、Oracle Key Vaultパスワードを受け入れて確認します。Oracle Key Vaultサーバー上のOracle Key Vaultユーザーのパスワードを指定します。これにより、ユーザーはOracle Key Vaultサーバーにログインできるようになります。
odacli create-okvserverconfigコマンドの-uオプションでユーザー名を指定します。Oracle Key Vaultサーバー構成の名前は大/小文字が区別され、Oracle Database Applianceで2つのOracle Key Vaultサーバー構成に同じ名前を付けることはできません。Oracle Key Vaultサーバー構成の長さは128文字を超えることはできません。odacli create-okvserverconfig -n okvobj1 -u epokvusr1 -ip xxx.xx.xxx.xxx Enter OKV user password : Retype OKV user password : Job details ---------------------------------------------------------------- ID: 730d2469-6efa-4ed1-8386-513e97c866ea Description: Create OKV Server Config: okvobj1 Status: Created Created: October 20, 2024 11:28:39 AM PDT Message: Create OKV Server Config. Task Name Start Time End Time Status ---------------------------------------- ---------------------------------------- ---------------------------------------- ---------------- odacli describe-job -i 730d2469-6efa-4ed1-8386-513e97c866ea Job details ---------------------------------------------------------------- ID: 730d2469-6efa-4ed1-8386-513e97c866ea Description: Create OKV Server Config: okvobj1 Status: Success Created: October 20, 2024 11:28:39 AM PDT Message: Create OKV Server Config. Task Name Node Name Start Time End Time Status ---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ---------------- OKV Password Store creation n1 October 20, 2024 11:28:39 AM PDT October 20, 2024 11:29:04 AM PDT Success Download of OKV REST package n1 October 20, 2024 11:28:42 AM PDT October 20, 2024 11:28:44 AM PDT Success Edit of OKV REST package n1 October 20, 2024 11:28:44 AM PDT October 20, 2024 11:28:45 AM PDT Success Generate OKV client wallets n1 October 20, 2024 11:28:45 AM PDT October 20, 2024 11:28:47 AM PDT Successこのコマンドは、指定されたサーバー上のOracle Key Vaultサーバー・ユーザー
epokvusr1に対して、Oracle Key Vaultサーバー構成okvobj1を作成します。
ステップ3: マルチユーザー・アクセス対応システムのみのOracle Key Vaultサーバー構成を共有します
- マルチユーザー・アクセス対応システムの場合、Oracle Key Vaultサーバー構成を使用してデータベースを作成するDBユーザーは、Oracle Key Vaultユーザーが作成したOracle Key Vaultサーバー構成への共有アクセス権を持っている必要があります。
odaadminユーザーは、odacli grant-resource-accessコマンドを使用して、DBユーザーとOracle Key Vaultサーバー構成を共有する必要があります。DBユーザーは、Oracle Key Vaultサーバー構成を使用してデータベースを作成できます。odaadminユーザーがokvobj1リソースをDBユーザーdbusr1と共有する例を次に示します:
Oracle Key Vaultサーバー構成のリソースIDを取得するには、su odaadmin odacli grant-resource-access -ri d017d35a-0757-460a-98f0-9f8d0944c872 -u dbusr1 Shared access of resource granted to user successfully...odacli list-okvserverconfigsコマンドを実行します。たとえば:odacli list-okvserverconfigs ID Name User Name IP address Host Name Description ---------------------------------------- -------------------- ---------------- ------------------- -------------------- ------------------- d017d35a-0757-460a-98f0-9f8d0944c872 okvobj1 epadmin xxx.xx.xx.xxx Null OKV Server for sales databases
ステップ4: データベースを作成します
マルチユーザー・アクセス対応システムの場合、DBユーザーとしてログインし、オプション-t、-oscおよび-ktを指定してodacli create-databaseコマンドを使用し、Oracle Key Vaultサーバーを使用してTDEが構成されたデータベースを作成します。マルチユーザー・アクセス対応でないシステムの場合、rootユーザーと同じコマンドを実行できます。
TDEキーを格納するOracle Key Vaultサーバーを決定し、
odacli create-databaseコマンドの-oscオプションで値を指定します。DBユーザーは、odacli list-okvserverconfigsコマンドで表示されるOracle Key Vaultサーバー構成のリストから、必要なOracle Key Vaultサーバー構成を選択できます。マルチユーザー・アクセス対応でないシステムの場合は、rootユーザーとしてodacli list-okvserverconfigsコマンドを実行します。
- オプション
-tは、-oscオプションを使用して指定されたOracle Key Vaultサーバー構成によって表されるOracle Key Vault資格証明を使用して、データベースをTDEで構成する必要があることを示します。 - オプション
-ktは、TDE構成で使用されるキーストアのタイプを指定します。キーストアの値は、softwareまたはokvのいずれかです。デフォルトはsoftwareです。この値では大文字と小文字が区別されません。データベースのOKVServerConfigName属性は、データベースの作成リクエストで指定されたOracle Key Vaultサーバー構成の名前に設定されます。 - TDEウォレットのパスワードはシステムによってランダムに生成されるため、指定する必要はありません。
Oracle Key Vaultサーバー構成kovobj1で表されるOracle Key Vault資格証明を使用するデータベースkokvdb2を作成する例を次に示します:
odacli create-database -n kokvdb2 -t -kt OKV -osc kovobj1
Enter SYS and SYSTEM user password:
Retype SYS and SYSTEM user password:
Job details
----------------------------------------------------------------
ID: 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8
Description: Database service creation with DB name: kokvdb2
Status: Created
Created: July 15, 2024 3:00:53 PM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
odacli describe-job -i 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8
Job details
----------------------------------------------------------------
ID: 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8
Description: Database service creation with DB name: kokvdb2
Status: Success
Created: July 15, 2024 3:00:53 PM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Validating dbHome available space July 15, 2024 3:01:19 PM CST July 15, 2024 3:01:19 PM CST Success
...
TDE configuration using OKV July 15, 2024 3:17:37 PM CST July 15, 2024 3:20:36 PM CST Success
TDE Wallet directory creation July 15, 2024 3:17:38 PM CST July 15, 2024 3:17:46 PM CST Success
Setting Database parameter for OKV July 15, 2024 3:17:46 PM CST July 15, 2024 3:19:07 PM CST Success
Auto login TDE Wallet creation July 15, 2024 3:19:07 PM CST July 15, 2024 3:19:09 PM CST Success
OKV TDE Wallet creation July 15, 2024 3:19:09 PM CST July 15, 2024 3:19:12 PM CST Success
OKV Endpoint configuration July 15, 2024 3:19:12 PM CST July 15, 2024 3:19:43 PM CST Success
Setting TDE Master Encryption Key July 15, 2024 3:19:43 PM CST July 15, 2024 3:20:13 PM CST Success
Create Users tablespace July 15, 2024 3:20:36 PM CST July 15, 2024 3:20:39 PM CST Success
Clear all listeners from Database July 15, 2024 3:20:39 PM CST July 15, 2024 3:20:40 PM CST Success
Copy Pwfile to Shared Storage July 15, 2024 3:20:43 PM CST July 15, 2024 3:20:47 PM CST Success データベースが正常に作成されると、Oracle Key Vaultクライアント・ソフトウェアが/etc/OKV/db_unique_name/okvディレクトリにインストールされます。すべてのファイルの所有権はdb_user:oinstallに設定され、権限は750に設定されます。自動ログインTDEウォレットは、/etc/OKV/db_unique_name/tdeおよび/etc/OKV/db_unique_name/tde_sepsディレクトリに作成されます。これらのディレクトリの所有権は再帰的にdb_user:oinstallに設定され、権限は750に設定されます。
Oracle Key Vaultのエンドポイントを含むOracle Key Vaultを使用したTDE対応データベースの作成
Oracle Key Vaultにすでに存在するエンドポイントおよびウォレットを使用して、Oracle Database ApplianceでTDE対応データベースを作成する方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。
ノート:
このOracle Database Applianceリリースでは、この機能はOracle RACおよびOracleの単一インスタンス・データベースでのみサポートされています。この機能は、Oracle RAC One Nodeデータベースおよび高可用性が有効なOracle単一インスタンス・データベースでは使用できません。Oracle Key Vaultにエンドポイントを含むOracle Key Vaultを使用してTDE対応データベースを作成するには、次のタスクを完了する必要があります:
- Oracle Key Vaultにログインし、データベースに対応する仮想TDEウォレットを作成します。
- 各インスタンスに対応するエンドポイントを作成します。単一インスタンス・データベースの場合、1つのエンドポイントを作成し、Oracle RACデータベースの場合、2つのエンドポイントを作成する必要があります。
- 作成されたエンドポイントのデフォルト・ウォレットを設定します。
- 各エンドポイントに対応する
okvclient.jarファイルをダウンロードします。単一インスタンス・データベースの場合、1つのファイルをダウンロードし、Oracle RACデータベースの場合、ダウンロード可能なファイルは2つ(インスタンスごとに1つ)あります。
ステップ1: Oracle Key Vault RESTコマンドを使用してokvclient.jarファイルを取得します
okvclient.jarファイルは、Oracle Key VaultのRESTコマンドまたはOracle Key Vaultサーバー・ユーザー・インタフェースを使用して作成できます。
Oracle Key Vault RESTコマンドを使用して
okvclient.jarファイルを取得するには、oracleユーザーとしてログインし、次のステップに従います:
/tmp/workや/tmp/work/client_walletなどの作業ディレクトリを作成します。/tmp/workディレクトリに移動し、Oracle Key VaultサーバーからRESTfulサービス・ユーティリティをダウンロードして解凍します。このユーティリティを解凍すると、3つのディレクトリbin、libおよびconfが表示されます。mkdir /tmp/work/ mkdir /tmp/work/client_wallet cd /tmp/work curl -Ok https://okv_server_ip:5695/okvrestclipackage.zip % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 3750k 100 3750k 0 0 2500k 0 0:00:01 0:00:01 --:--:-- 2500kokvrestclipackage.zipを解凍します。conf/okvrestcli.iniを編集し、Oracle Key VaultサーバーのIPアドレス、ユーザー名、およびクライアント自動ログイン・ウォレットが作成されるディレクトリへのパスを追加します。次の例では、/tmp/work/client_walletは、クライアント自動ログイン・ウォレットが作成されるディレクトリ・パスです。#Provide absolute path for log_property, okv_client_config properties [Default] log_property=./conf/okvrestcli_logging.properties server=okv_server_ip okv_client_config=./conf/okvclient.ora user=okv_user client_wallet=/tmp/work/client_walletbin/okvファイルを編集し、export OKV_RESTCLI_CONFIG=$OKV_RESTCLI_DIR/conf/okvrestcli.ini行のコメントを解除し、JAVA_HOME変数も設定します:#!/bin/bash export OKV_RESTCLI_DIR=$(dirname "${0}")/.. export OKV_RESTCLI_CONFIG=$OKV_RESTCLI_DIR/conf/okvrestcli.ini export JAVA_HOME=/opt/oracle/dcs/java/1.8.0_xxx if [ -z "$JAVA_HOME" ] then echo "JAVA_HOME environment variable is not set." exit 1 fi if [ -z "$OKV_RESTCLI_CONFIG" ] then echo "OKV_RESTCLI_CONFIG environment variable is not set." exit 1 fi export OKV_RESTCLI_JAR=$OKV_RESTCLI_DIR/lib/okvrestcli.jar $JAVA_HOME/bin/java -jar $OKV_RESTCLI_JAR "$@"- クライアント自動ログイン・ウォレットを生成します。Oracle Key Vaultユーザー・パスワードの入力を求められます。
/tmp/work/bin/okv admin client-wallet add --client-wallet /tmp/work/client_wallet --wallet-user okv_user Password: - Oracle Key Vaultユーザー・インタフェースを使用してTDEウォレットがまだ作成されていない場合は、データベースに対応するTDEウォレットを作成します。
/tmp/work/bin/okv manage-access wallet create --wallet wallet_name --unique FALSE - ウォレットに対応するエンドポイントを作成します。Oracle RACデータベースの場合、2つのエンドポイントを作成します。エンドポイントは、Oracle Key Vaultユーザー・インタフェースを使用してまだ作成されていない場合にのみ作成します。
/tmp/work/bin/okv admin endpoint create --endpoint endpoint_name --type ORACLE_DB --platform LINUX64 --strict-ip-check TRUE - エンドポイントのデフォルト・ウォレットを設定します。Oracle RACデータベースの場合、両方のエンドポイントのデフォルト・ウォレットは同じTDEウォレットである必要があります。デフォルト・ウォレットは、Oracle Key Vaultユーザー・インタフェースを使用してまだ設定されていない場合のみ設定します。
/tmp/work/bin/okv manage-access wallet set-default --wallet wallet_name --endpoint endpoint_name okvclient.jarコマンドをダウンロードします。Oracle RACデータベースの場合、両方のエンドポイントに対応するokvclient.jarをダウンロードする必要があります。ダウンロードが完了したら、リモート・インスタンスに対応するokvclient.jarをリモート・ノードにコピーします。/tmp/work/bin/okv admin endpoint download --endpoint <endpoint_name> --location <location>- エンドポイントのダウンロード中に、次のように
「Endpoint token is already consumed」メッセージが表示される場合は、エンドポイントを再登録します。/tmp/work/bin/okv admin endpoint download --endpoint endpoint_name --location location /tmp/work/log/okv0.log.0 (Permission denied) { "result" : "Failure", "message" : "Endpoint token is already consumed" } /tmp/work/bin/okv admin endpoint re-enroll --endpoint <endpoint_name> /tmp/work/log/okv0.log.0 (Permission denied) { "result" : "Success" }
ステップ2: データベースを作成します
- マルチユーザー・アクセス対応システムおよびマルチユーザー・アクセスのパスワードなしのシステムの場合、DBユーザーとしてログインし、
odacli create-databaseコマンドを実行します。マルチユーザー・アクセス対応でないシステムの場合は、rootユーザーとしてログインし、odacli create-databaseコマンドを実行します。オプション
--enable-tde/-tは、データベースがTDEで構成されている必要があることを示します。オプション--keystore-type/-ktは、TDE構成で使用するキーストアのタイプを指定します。オプション--okvclient-path/-ocpは、エンドポイントに対応するokvclient.jarファイルへの絶対パスを指定します。単一インスタンス・データベースの場合、オプション
--okvclient-path/-ocpは1つの値のみを使用ます。Oracle RACデータベースの場合、オプション--okvclient-path/-ocpはインスタンスごとに対応する2つの値を使用ます。値はカンマで区切る必要があります。最初のパスはローカル・インスタンスに対応し、2番目のパスはリモート・インスタンスに対応しています。TDEパスワードの入力を求められます。データベースが正常に作成されると、Oracle Key Vaultクライアント・ソフトウェアが
Oracle Key Vaultサーバー構成オブジェクトを使用せずに、/etc/OKV/db_unique_name/okvディレクトリにインストールされます。ローカルの自動ログインTDEウォレットが/etc/OKV/db_unique_name/tdeディレクトリに作成されます。ソースの場所にあるokvclient.jarファイルが削除されます。okvdbという名前の単一インスタンス・データベースを作成する例を次に示します:
Oracle Key Vaultサーバー構成オブジェクトを使用せずに、odacli create-database -n okvdb -y SI -t -kt OKV -ocp /tmp/okvclient.jar Enter SYS and SYSTEM user password: Retype SYS and SYSTEM user password: Enter TDE wallet password: Retype TDE wallet password: Job details ---------------------------------------------------------------- ID: 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8 Description: Database service creation with DB name: okvdb Status: Created Created: July 15, 2024 3:00:53 PM CST Message: Task Name Start Time End Time Status ---------------------------------------- ---------------------------------------- ---------------------------------------- ---------------- odacli describe-job -i 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8 Job details ---------------------------------------------------------------- ID: 94a51f1a-2d4c-4eac-b0c2-7871d88c0df8 Description: Database service creation with DB name: okvdb Status: Success Created: July 15, 2024 3:00:53 PM CST Message: Task Name Start Time End Time Status ---------------------------------------- ---------------------------------------- ---------------------------------------- ---------------- Validating dbHome available space July 15, 2024 3:01:19 PM CST July 15, 2024 3:01:19 PM CST Success ... TDE configuration using OKV July 15, 2024 3:17:37 PM CST July 15, 2024 3:20:36 PM CST Success TDE Wallet directory creation July 15, 2024 3:17:38 PM CST July 15, 2024 3:17:46 PM CST Success Setting Database parameter for OKV July 15, 2024 3:17:46 PM CST July 15, 2024 3:19:07 PM CST Success Auto login TDE Wallet creation July 15, 2024 3:19:07 PM CST July 15, 2024 3:19:09 PM CST Success Installing the OKV client software July 15, 2024 3:19:09 PM CST July 15, 2024 3:19:42 PM CST Success Setting TDE Master Encryption Key July 15, 2024 3:19:43 PM CST July 15, 2024 3:20:13 PM CST Success Create Users tablespace July 15, 2024 3:20:36 PM CST July 15, 2024 3:20:39 PM CST Success Clear all listeners from Database July 15, 2024 3:20:39 PM CST July 15, 2024 3:20:40 PM CST Success Copy Pwfile to Shared Storage July 15, 2024 3:20:43 PM CST July 15, 2024 3:20:47 PM CST Successokvdbracという名前のOracle RACデータベースを作成する例を次に示します:最初にローカル・データベース・インスタンスのokvclient.jarファイルへのパスを指定し、その後、リクエストにリモート・データベース・インスタンスのokvclient.jarファイルへのパスを指定します。odacli create-database -n okvdb -y RAC -t -kt OKV -ocp /tmp/dir1/okvclient.jar,/tmp/dir2/okvclient.jar Enter SYS and SYSTEM user password: Retype SYS and SYSTEM user password: Enter TDE wallet password: Retype TDE wallet password: Job details ---------------------------------------------------------------- ID: cb611ec2-ff87-44f9-a79b-3ab1a290644f Description: Database service creation with DB name: okvdbrac Status: Created Created: October 20, 2024 6:13:28 AM PDT Message: Task Name Start Time End Time Status ---------------------------------------- ---------------------------------------- ---------------------------------------- ---------------- odacli describe-job -i cb611ec2-ff87-44f9-a79b-3ab1a290644f Job details ---------------------------------------------------------------- ID: cb611ec2-ff87-44f9-a79b-3ab1a290644f Description: Database service creation with DB name: okvdbrac Status: Success Created: October 20, 2024 6:13:28 AM PDT Message: Task Name Node Name Start Time End Time Status ---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ---------------- Validating dbHome available space n1 October 20, 2024 6:13:49 AM PDT October 20, 2024 6:13:49 AM PDT Success Validating dbHome available space n2 October 20, 2024 6:13:49 AM PDT October 20, 2024 6:13:49 AM PDT Success Setting up SSH equivalence n1 October 20, 2024 6:13:51 AM PDT October 20, 2024 6:13:54 AM PDT Success Setting up SSH equivalence n1 October 20, 2024 6:13:54 AM PDT October 20, 2024 6:13:57 AM PDT Success Creating ACFS database home n1 October 20, 2024 6:13:58 AM PDT October 20, 2024 6:13:58 AM PDT Success Validating dbHome available space n1 October 20, 2024 6:13:59 AM PDT October 20, 2024 6:13:59 AM PDT Success . . . Setting TDE Master Encryption Key n1 October 20, 2024 6:34:15 AM PDT October 20, 2024 6:34:56 AM PDT Success Create Users tablespace n1 October 20, 2024 6:34:57 AM PDT October 20, 2024 6:34:59 AM PDT Success Clear all listeners from Database n1 October 20, 2024 6:35:00 AM PDT October 20, 2024 6:35:01 AM PDT Success Deleting OKV Client Software Jar n1 October 20, 2024 6:35:03 AM PDT October 20, 2024 6:35:04 AM PDT Success Deleting OKV Client Software Jar n2 October 20, 2024 6:35:04 AM PDT October 20, 2024 6:35:04 AM PDT Success Encrypt all Tablespaces n1 October 20, 2024 6:35:04 AM PDT October 20, 2024 6:36:15 AM PDT Success
ODACLIコマンドを使用したOracle Key Vaultサーバー構成操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成操作を管理する方法を理解します。
Oracle Key Vaultサーバー構成は、Oracle Database Applianceベア・メタル・システムおよびDBシステム上に作成、リスト、削除および詳細表示できます。これらの操作は、「ユーザー資格証明を使用したTDE対応データベースの作成」のトピックで説明されているように、Oracle Database ApplianceでOracle Key Vaultユーザーのユーザー資格証明を格納できるようにするTDE対応データベースを作成する場合にのみ実行します。
Oracle Key Vaultサーバー構成のリスト:
odacli list-okvserverconfigsコマンドを使用して、すべてのOracle Key Vaultサーバー構成を表示します。odacli list-okvserverconfigs
ID Name User Name IP address Host Name Description
---------------------------------------- -------------------- ---------------- ------------------- -------------------- -------------------
d017d35a-0757-460a-98f0-9f8d0944c872 okvobj1 epadmin xxx.xx.xx.xxx Null OKV server for Sales database
b6336173-666b-4d81-88bd-5ae384419114 okvobj2 epadmin2 xxx.xx.xx.xxx Null OKV server for Sales databaseOracle Key Vaultサーバー構成の詳細表示:
odacli describe-okvserverconfigコマンドを使用して、Oracle Key Vaultサーバー構成を表示します。
たとえば:
odacli describe-okvserverconfig -n dokvobj1
OKV Server Config details
----------------------------------------------------------------
ID: c196bd0a-4a42-43a6-8578-9929ceb28525
Name: dokvobj1
UserName: user1
IP Address: xxx.xxx.xx.xxx
Host Name:
Description: OKV server config for Sales
CreatedTime: October 4, 2024 9:41:43 AM HKT
UpdatedTime: October 4, 2024 9:42:10 AM HKT
State: CONFIGUREDOracle Key Vaultサーバー構成の削除:
odacli delete-okvserverconfigコマンドを使用して、Oracle Key Vaultサーバー構成を削除します。Oracle Key Vaultサーバー構成を削除できるのは、Oracle Key Vaultサーバー構成を使用しているすべてのデータベースがすでに削除されている場合のみです。odacli delete-okvserverconfig -n okvobj1
Job details
----------------------------------------------------------------
ID: 7446c9b4-a927-431f-8e0b-099eec8116e7
Description: Delete OKV Server Config: dokvobj1
Status: Running
Created: October 4, 2024 9:44:29 AM HKT
Message: Delete OKV Server Config
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
OKV Password Store deletion October 4, 2024 9:44:29 AM HKT Running
odacli describe-job -i 7446c9b4-a927-431f-8e0b-099eec8116e7
Job details
----------------------------------------------------------------
ID: 7446c9b4-a927-431f-8e0b-099eec8116e7
Description: Delete OKV Server Config: dokvobj1
Status: Success
Created: October 4, 2024 9:44:29 AM HKT
Message: Delete OKV Server Config
Task Name Node Name Start Time End Time Status
---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ----------------
OKV Password Store deletion oda1 October 4, 2024 9:44:29 AM HKT October 4, 2024 9:44:45 AM HKT Success
OKV Server Config directory deletion oda1 October 4, 2024 9:44:45 AM HKT October 4, 2024 9:44:45 AM HKT Success
OKV Server Config deletion oda1 October 4, 2024 9:44:45 AM HKT October 4, 2024 9:44:46 AM HKT SuccessOracle Key Vaultに格納されたTDEキーを使用したTDE対応データベースでのデータベース操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceのOracle Key Vaultに格納されているTDEキーを使用して、TDE対応データベースを管理する方法を理解します。
TDEマスター暗号化キーの再設定、リストア、削除、データベースのバックアップとリカバリの実行、およびOracle Database Applianceベア・メタル・システムおよびDBシステム上のOracle Key VaultのTDE対応データベースでのOracle Data Guardの構成を実行できます。
- TDE対応データベースのTDEマスター暗号化キーの再設定
Oracle Key Vaultを使用してTDEキーを格納するベア・メタル・システムおよびDBシステム上のOracle Database Applianceで、TDE対応データベースのTDEマスター暗号化キーを再設定する方法を理解します。 - TDE対応データベースのバックアップおよびリカバリの実行
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceのOracle Key Vaultに格納されているTDEキーを使用して、TDE対応データベースをバックアップおよびリカバリする方法を理解します。 - Oracle Key Vaultユーザー資格証明を使用したTDE対応データベースのリストア
Oracle Key Vault上のユーザーの資格証明を使用して、Oracle Database Applianceベア・メタル・システムおよびDBシステム上のデータベース・バックアップを使用してTDE対応データベースをリストアする方法を理解します。 - Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用したTDE対応データベースのリストア
Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用して、Oracle Database ApplianceでTDE対応データベースをリストアする方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。 - TDE対応データベースの削除
Oracle Key Vaultを使用してTDEキーを格納するベア・メタル・システムおよびDBシステム上のOracle Database Applianceで、TDE対応データベースを削除する方法を理解します。
TDE対応データベースのTDEマスター暗号化キーの再設定
Oracle Key Vaultを使用してTDEキーを格納するベア・メタル・システムおよびDBシステム上のOracle Database Applianceで、TDE対応データベースのTDEマスター暗号化キーを再設定する方法を理解します。
odacli modify-databaseコマンドを使用して、オプション-rktでTDEマスター暗号化キーの再設定を実行します。Oracle Key Vaultを使用して構成されたTDEの場合、再設定操作中にパスワードを指定するよう求められます。たとえば:odacli modify-database -n kokvdb2 -rkt
{
"jobId" : "dbedf89d-b60f-4209-bbcf-0db61e4eb350",
"status" : "Created",
"message" : "Modify database",
"reports" : [ ],
"createTimestamp" : "July 15, 2024 15:56:01 PM CST",
"resourceList" : [ {
"resourceId" : "7a1c996b-ee8d-49bc-8759-cbbfcee3bcce",
"resourceType" : null,
"resourceNewType" : "Db",
"jobId" : "dbedf89d-b60f-4209-bbcf-0db61e4eb350",
"updatedTime" : null
} ],
"description" : "Modify database: kokvdb2",
"updatedTime" : "July 15, 2024 15:56:01 PM CST",
"jobType" : null
}
odacli describe-job -i dbedf89d-b60f-4209-bbcf-0db61e4eb350
Job details
----------------------------------------------------------------
ID: dbedf89d-b60f-4209-bbcf-0db61e4eb350
Description: Modify database: kokvdb2
Status: Success
Created: July 15, 2024 3:56:01 PM CST
Message: Modify database
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
TDE Wallet Re-Key July 15, 2024 3:56:04 PM CST July 15, 2024 3:56:12 PM CST Success TDE対応データベースのバックアップおよびリカバリの実行
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceのOracle Key Vaultに格納されているTDEキーを使用して、TDE対応データベースをバックアップおよびリカバリする方法を理解します。
Oracle Key Vaultに格納されているTDEキーを使用したTDE対応データベースのバックアップの実行
odacli create-backupコマンドを使用して、Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースをバックアップします。TDEウォレットはOracle Key Vaultサーバーに存在しても、Oracle Database Applianceには存在しないため、データベース・バックアップではバックアップされません。その結果、データベース・バックアップ・レポートのTDEウォレット・バックアップの場所属性の値がnullに設定されます。
[odaadmin@oda1 bin]$ odacli describe-job -i be94d1f7-ad6e-48a5-94a3-f0a52578048b
Job details
----------------------------------------------------------------
ID: be94d1f7-ad6e-48a5-94a3-f0a52578048b
Description: Create Regular-L0 Backup[TAG:auto][Db:db15][NFS:/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15]
Status: Success
Created: March 26, 2024 4:14:19 AM PDT
Message:
Task Name Node Name Start Time End Time Status
---------------------------------------- ------------ ---------------------------------------- -------------------------------- ------
Validate backup config oda1 March 26, 2024 4:14:21 AM PDT March 26, 2024 4:14:21 AM PDT Success
NFS location existence validation oda1 March 26, 2024 4:14:21 AM PDT March 26, 2024 4:14:22 AM PDT Success
Recovery Window validation oda1 March 26, 2024 4:14:22 AM PDT March 26, 2024 4:14:24 AM PDT Success
Archivelog deletion policy configuration oda1 March 26, 2024 4:14:24 AM PDT March 26, 2024 4:14:26 AM PDT Success
Database backup oda1 March 26, 2024 4:14:26 AM PDT March 26, 2024 4:15:21 AM PDT Success[odaadmin@oda1 bin]$ odacli describe-backupreport -i d2326683-9766-4933-bee1-a2b59c9d7e9e
{
"id" : "d2326683-9766-4933-bee1-a2b59c9d7e9e",
"dbResId" : "96a98156-b657-403e-a87c-357c2069c285",
"tag" : "auto",
"dbId" : "1851419729",
"dbName" : "db15",
"dbUniqueName" : "db15",
"backupType" : "Regular-L0",
"keepDays" : null,
"backupLocation" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/db",
"cfBackupHandle" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/db/c-1851419729-20240326-03",
"spfBackupHandle" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/db/c-1851419729-20240326-03",
"pitrTimeStamp" : "March 26, 2024 04:15:06 AM PDT",
"pitrSCN" : "1675444",
"resetLogsTimeStamp" : "March 26, 2024 03:01:39 AM PDT",
"resetLogsSCN" : "1575481",
"oraHomeVersion" : "19.23.0.0.240116",
"sqlPatches" : "35926646,34774667,35943157",
"backupLogLoc" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/rmanlog/2024-03-26/rman_backup_auto_2024-03-26_04-14-29.0478.log",
"tdeWalletLoc" : null,
"dbConfigLoc" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/dbconfig/2024-03-26/DBCONFIG_auto_2024-03-26_04-15-19.0472.tar.gz",
"name" : "Backup_Report_db15",
"createTime" : "March 26, 2024 04:14:26 AM PDT",
"state" : {
"status" : "CONFIGURED"
},
"updatedTime" : "March 26, 2024 04:14:26 AM PDT",
"backupReportLogDetail" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/rmandetaillogreport/2024-03-26/rman_list_backup_detail_auto_2024-03-26_04-15-16.0129.log",
"dbInfo" : {
"dbClass" : "OLTP",
"dbType" : "RAC",
"dbShape" : "odb2",
"dbEdition" : "EE",
"dbStorage" : "ASM",
"dbRedundancy" : null,
"pdbName" : null,
"isCdb" : false
},
"dbDataSize" : "2441M",
"dbRedoSize" : "16403M",
"rmanBackupPieces" : "/nfs_backup/orabackups/dbsfb225975e/database/1851419729/db15/backuppieces/2024-03-26/backupPieces_auto_96a98156-b657-403e-a87c-357c2069c285_20240326041518.json",
"compressionAlgo" : "BASIC",
"cpuPool" : null,
"numberOfCores" : null,
"keystoreType" : "OKV",
}TDEウォレット・バックアップがサポートされていないため、キーストア・タイプが
OKVの場合は、odacli create-backupコマンドでコンポーネントをtdewalletとして指定すると、エラーが発生します。[odaadmin@oda1 bin]$ odacli create-backup -n db15 -c tdewallet
DCS-10144:TDE wallet backup operation is not supported for TDE databases with OKV keystore type.Oracle Key Vaultユーザーの資格証明を使用してOracle Key Vaultを使用して構成されたTDEを使用したデータベースのリカバリの実行
odacli recover-databaseコマンドを使用し、Oracle Key Vaultを使用してTDEが構成されたデータベースをリカバリします。たとえば、データベースkokvdb2をリカバリするには、次のコマンドを実行します:odacli recover-database -n kokvdb2 -t latest
{
"jobId" : "8a50d65f-2269-41ff-b030-51fe4ecc82b5",
"status" : "Created",
"message" : null,
"reports" : [ ],
"createTimestamp" : "July 15, 2024 18:26:26 PM CST",
"resourceList" : [ ],
"description" : "Create recovery-latest for DB : kokvdb2",
"updatedTime" : "July 15, 2024 18:26:26 PM CST",
"jobType" : null
}
odacli describe-job -i 8a50d65f-2269-41ff-b030-51fe4ecc82b5
Job details
----------------------------------------------------------------
ID: 8a50d65f-2269-41ff-b030-51fe4ecc82b5
Description: Create recovery-latest for DB : kokvdb2
Status: Success
Created: July 15, 2024 6:26:26 PM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Database recovery validation July 15, 2024 6:26:30 PM CST July 15, 2024 6:27:50 PM CST Success
Database recovery July 15, 2024 6:27:50 PM CST July 15, 2024 6:30:07 PM CST Success
Enable block change tracking July 15, 2024 6:30:07 PM CST July 15, 2024 6:30:12 PM CST Success
Database opening July 15, 2024 6:30:12 PM CST July 15, 2024 6:30:15 PM CST Success
Database restart July 15, 2024 6:30:15 PM CST July 15, 2024 6:31:31 PM CST Success
Recovery metadata persistence July 15, 2024 6:31:31 PM CST July 15, 2024 6:31:31 PM CST Success TDEウォレットは、Oracle Database ApplianceではなくOracle Key Vaultサーバーに格納されるため、リストアおよびリカバリ操作にODACLIコマンドを使用できません。キーストア・タイプが
OKVで、odacli recover-databaseコマンドでコンポーネントをtdewalletとして指定すると、エラーが発生します。[odaadmin@oda1 bin]$ odacli recover-database -n db15 -tl /nfs_backup/ewallet.p12 -t latest
DCS-10045:Validation error encountered: Usage of TDE wallet related parameters is not allowed for a TDE database with OKV keystore type.
[odaadmin@oda1 bin]$ odacli restore-tdewallet -n db15
Enter TDE wallet password:
DCS-10144:Restore TDE wallet operation is not supported for TDE databases with OKV keystore type.Oracle Key Vaultのエンドポイントを含むOracle Key Vaultを使用してTDEが構成されたデータベースのリカバリの実行
odacli recover-databaseコマンドを実行すると、TDEパスワードを要求されます。データベース・リカバリの前に、キー管理の管理コマンドを使用してローカルの自動ログイン・ウォレットが再生成されます。データベース・リカバリ用のTDEパスワードを指定する必要があります。
odacli recover-database -n kokvdb2 -t latest
Enter the TDE password:
odacli describe-job -i 8a50d65f-2269-41ff-b030-51fe4ecc82b5
Job details
----------------------------------------------------------------
ID: 8a50d65f-2269-41ff-b030-51fe4ecc82b5
Description: Create recovery-latest for DB : kokvdb2
Status: Success
Created: July 15, 2024 6:26:26 PM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Auto login TDE Wallet creation July 15, 2024 6:26:30 PM CST July 15, 2024 6:27:50 PM CST
Database recovery validation July 15, 2024 6:26:30 PM CST July 15, 2024 6:27:50 PM CST Success
Database recovery July 15, 2024 6:27:50 PM CST July 15, 2024 6:30:07 PM CST Success
Enable block change tracking July 15, 2024 6:30:07 PM CST July 15, 2024 6:30:12 PM CST Success
Database opening July 15, 2024 6:30:12 PM CST July 15, 2024 6:30:15 PM CST Success
Database restart July 15, 2024 6:30:15 PM CST July 15, 2024 6:31:31 PM CST Success
Recovery metadata persistance July 15, 2024 6:31:31 PM CST July 15, 2024 6:31:31 PM CST Successデータベース・リカバリ中のエラー
TDEウォレットは、Oracle Database ApplianceではなくOracle Key Vaultサーバーに格納されるため、リストアおよびリカバリ操作にODACLIコマンドを使用できません。キーストア・タイプが
OKVで、odacli recover-databaseコマンドでコンポーネントをtdewalletとして指定すると、エラーが発生します。[odaadmin@oda1 bin]$ odacli recover-database -n db15 -tl /nfs_backup/ewallet.p12 -t latest
DCS-10045:Validation error encountered: Usage of TDE wallet related parameters is not allowed for a TDE database with OKV keystore type.
[odaadmin@oda1 bin]$ odacli restore-tdewallet -n db15
Enter TDE wallet password:
DCS-10144:Restore TDE wallet operation is not supported for TDE databases with OKV keystore type.Oracle Key Vaultユーザー資格証明を使用したTDE対応データベースのリストア
Oracle Key Vault上のユーザーの資格証明を使用して、Oracle Database Applianceベア・メタル・システムおよびDBシステム上のデータベース・バックアップを使用してTDE対応データベースをリストアする方法を理解します。
前提条件
- Oracle Data Guard構成でプライマリ・ロールがあるデータベースをリストアするには、リストア・コマンドを実行する前に、ターゲット・データベースのTDEウォレットをOracle Key Vaultサーバーに作成する必要があります。このTDEウォレットは、ソース・データベースのウォレットのコピーです。
- Oracle Data Guard構成でスタンバイ・ロールがあるデータベースをリストアする場合、TDEウォレットのコピーを作成しないでください。プライマリ・データベースのTDEウォレットをスタンバイ・データベースに使用する必要があります。
ステップ1: Oracle Key Vaultユーザーを作成します。このステップは、マルチユーザー・アクセス対応システムにのみ適用されます。
ODA-OKVCONFIGADMINロールを持つユーザーが存在しない場合、またはリストアするデータベースに別のユーザーを割り当てる場合は、ユーザーを作成します。
ODA-OKVCONFIGADMINロールを持つ新規ユーザーを作成します。たとえば:odacli create-user -u okvuser1 -r ODA-OKVCONFIGADMINユーザーが作成され、一時パスワードが割り当てられます。
- 正常に作成された後に、
okvuser1は一時パスワードを使用してアプライアンスにログインできます。 okvuser1はInactive状態です。アプライアンスがマルチユーザー・アクセスを有効にして構成されている場合は、次のコマンドを使用してユーザーをアクティブ化します。アプライアンスがパスワードなしのマルチユーザー・アクセスで構成されている場合は、ユーザーをアクティブ化する必要はありません。マルチユーザー・アクセスの構成の詳細は、Oracle Database Applianceでのマルチユーザー・アクセスの実装のトピックを参照してください。odacli activate-userパスワードを変更するように求められます。一時パスワードと新しいパスワードを入力し、新しいパスワードを確認します。
- 新しいパスワードを使用してアプライアンスにSSHで接続し、ODACLIコマンドを実行するか、ブラウザ・ユーザー・インタフェースに接続します。
ステップ2: Oracle Key Vaultサーバー構成を作成します
ターゲット・データベースのOracle Key Vaultサーバー構成を作成します。同じOracle Key Vaultサーバーに対するOracle Key Vaultサーバー構成がまだ存在していない場合にのみ、新しいOracle Key Vaultサーバー構成を作成します。構成がすでに存在する場合は、既存の構成を使用します。
- Oracle Key Vaultサーバー構成を作成するOracle Key Vaultユーザーは、Oracle Key Vaultサーバーでの
Create Endpointの最小権限を持つユーザーである必要があります。 - マルチユーザー・アクセス対応システムの場合、
ODA-OKVCONFIGADMINロールを持つユーザーとしてログインします(たとえば、okvuser1)。マルチユーザー・アクセス対応でないシステムの場合は、rootユーザーとしてログインします。 - Oracle Key Vaultパスワード・プロンプトが2回表示され、Oracle Key Vaultパスワードを受け入れて確認します。これは、Oracle Key Vaultサーバー上のOracle Key Vaultユーザーのパスワードです。これにより、ユーザーはOracle Key Vaultサーバーにログインできるようになります。
odacli create-okvserverconfigコマンドの-uオプションでユーザー名を指定します。Oracle Key Vaultサーバー構成の名前は大/小文字が区別され、Oracle Database Applianceで2つのOracle Key Vaultサーバー構成に同じ名前を付けることはできません。Oracle Key Vaultサーバー構成の長さは128文字を超えることはできません。odacli create-okvserverconfig -n okvobj1 -u epokvusr1 -ip xxx.xx.xxx.xxx Enter OKV user password : Retype OKV user password : Job details ---------------------------------------------------------------- ID: 8878fc02-3d64-4519-bf52-fcb50839f89f Description: Create OKV Server Config: okvcfg5 Status: Success Created: October 14, 2024 14:04:29 UTC Message: Create OKV Server Config. Task Name Node Name Start Time End Time Status ---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ---------------- OKV Password Store creation oda1 October 14, 2024 14:04:29 UTC October 14, 2024 14:04:56 UTC Success Download of OKV REST package oda1 October 14, 2024 14:04:31 UTC October 14, 2024 14:04:32 UTC Success Edit of OKV REST package oda1 October 14, 2024 14:04:32 UTC October 14, 2024 14:04:32 UTC Success Generate OKV client wallets oda1 October 14, 2024 14:04:32 UTC October 14, 2024 14:04:35 UTC Successこのコマンドは、指定されたサーバー上のOracle Key Vaultサーバー・ユーザー
epokvusr1に対して、Oracle Key Vaultサーバー構成okvobj1を作成します。
ステップ3: ODACLIコマンドを使用して、ソース・ウォレットからOracle Key Vaultサーバーのターゲット・ウォレットにTDEキーをコピーします
odacli copy-okvtdewalletコマンドを使用して、TDEウォレットをOracle Key Vaultサーバーにコピーします。コマンドで、ソース・ウォレット名(--source-wallet-name | -swn)、ターゲット・ウォレットのOracle Key Vaultサーバー構成オブジェクト名(--target-okvserverconfig | -tosc)およびターゲット・ウォレット名(--target-wallet-name | -twn)を指定します。ターゲット・ウォレット名(--target-wallet-name | -twn)パラメータに指定された名前の新しいウォレットが、ターゲットのOracle Key Vaultサーバーに作成されます。このウォレットには、ソース・ウォレットからコピーされたTDEキーが含まれています。
ソース・ウォレットがターゲット・ウォレットとは異なるOracle Key Vaultサーバー上にある場合は、ソース・ウォレットのOracle Key Vaultサーバーの詳細(サーバーのホスト名(--source-hostname | -shn)やIPアドレス(--source-ip | -sip)、およびOracle Key Vaultサーバー上のウォレットを所有するユーザーの名前(--source-username | -su)など)を指定します。この場合、プロンプトが表示されたらパスワードを指定する必要があります。これは、Oracle Key Vaultサーバーのソース・ウォレットを所有するOracle Key Vaultユーザーのパスワードです。マルチユーザー・アクセス対応システムの場合、Oracle Database ApplianceでOracle Key Vaultユーザーとしてこのコマンドを実行します。
TDEウォレットをコピーする場合、次の3つのシナリオがあります:
シナリオ1: 同じOracle Key Vaultユーザーを使用して同じOracle Key VaultサーバーにTDEウォレットをコピーします
この場合、ソースTDEウォレットとターゲットTDEウォレットは同じOracle Key Vaultサーバー上にあり、両方ともOKVサーバー上の同じユーザーが所有しています。たとえば:
odacli copy-okvtdewallet -swn tdeokv_on_oda8m013-c -tosc okvobj1 -twn tdeokvss
Job details
----------------------------------------------------------------
ID: 50df7dcc-8e17-48db-9206-879c44e57c20
Description: Copy wallet in OKV server
Status: Success
Created: June 20, 2024 2:56:02 AM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Creating a TDE wallet copy in the OKV June 20, 2024 2:56:03 AM CST June 20, 2024 2:57:17 AM CST Success
serverシナリオ2: 同じOracle Key Vaultサーバー上のTDEウォレットをコピーしますが、別のOracle Key Vaultユーザーを使用します
この場合、ソース・ウォレットとターゲット・ウォレットは同じOracle Key Vaultサーバー上にありますが、Oracle Key Vaultサーバー上の異なるユーザーが所有しています。Oracle Key Vaultのソース・ウォレットの所有者は、ウォレットをコピーするODACLIコマンドを実行する前に、Oracle Key Vaultのターゲット・ウォレットの所有者にウォレットの読取りおよび管理アクセス権限を指定する必要があります。
次のステップに従って、ターゲット・ウォレットのOracle Key Vaultユーザーにウォレットの読取りおよび管理権限を指定します:
- Oracle Key Vaultサーバーにソース・ウォレットのOracle Key Vaultユーザーとしてログインします。
- 「Keys and Wallets」タブに移動します。「source wallet」チェック・ボックスを選択し、「Edit」アイコンをクリックします。
- 「Wallet Access Settings」セクションに移動し、「Add」をクリックします。
- 「Type」のドロップダウン・リストで、「Users」を選択し、ターゲット・ウォレットのOracle Key Vaultユーザーのチェック・ボックスを選択します。
- 「Access Level」セクションで、「Read Only」および「Manage Wallet」を選択します。
- 「Save」をクリックします。
ターゲット・ウォレット・ユーザーに必要な権限を指定したら、
odacli copy-okvtdewalletコマンドを実行します。odacli copy-okvtdewallet -swn tdeokv_on_oda8m013-c -tosc okvobj2 -twn tdeokvdu
Job details
----------------------------------------------------------------
ID: 50df7dcc-8e17-48db-9206-879c44e57c20
Description: Copy wallet in OKV server
Status: Success
Created: June 20, 2024 2:56:02 AM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Creating a TDE wallet copy in the OKV June 20, 2024 2:56:03 AM CST June 20, 2024 2:57:17 AM CST Success
serverシナリオ3: TDEウォレットを別のOracle Key Vaultサーバーにコピーします
この場合、ソース・ウォレットとターゲット・ウォレットは異なるOracle Key Vaultサーバー上にあります。
odacli copy-okvtdewalletコマンドで、ソース・ウォレットのOracle Key Vaultサーバーの詳細を指定します。プロンプトが表示されたら、ソース・ウォレットのOracle Key Vaultユーザーのパスワードを指定します。たとえば:odacli copy-okvtdewallet -swn tdeokv_on_oda8m013-c -sip xxx.xx.x.xxx -su epokvusr1 -tosc okvobj3 -twn tdeokvds
Enter OKV user password:
Retype OKV user password:
Job details
----------------------------------------------------------------
ID: 50df7dcc-8e17-48db-9206-879c44e57c20
Description: Copy wallet in OKV server
Status: Success
Created: June 20, 2024 2:56:02 AM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Creating a TDE wallet copy in the OKV June 20, 2024 2:56:03 AM CST June 20, 2024 2:57:17 AM CST Success
serverステップ3の代替方法: Oracle Key Vaultユーザー・インタフェースを使用して、ソース・データベース・ウォレットからターゲット・データベース・ウォレットにTDEキーをコピーします
ODACLIコマンドを使用するかわりに、Oracle Key Vaultサーバーにターゲット・データベースの新しいウォレットを作成し、次のようにOracle Key Vaultユーザー・インタフェースを使用してソース・データベースのTDEキーをウォレットにコピーできます:
- Oracle Key Vaultサーバーにログインします。
- 「Keys & Wallets」に移動します。
- Oracle Key Vaultユーザーは、ソース・データベース・ウォレットの「Access Settings」セクションからウォレットの読取り、書込みおよび管理権限を指定する必要があります。
- 新しいウォレットを作成するには、「Create」をクリックします。
- ターゲット・データベースのウォレットに新しい名前を指定します。
- 新しいウォレットの作成時に、ソース・データベースのTDEキーをコピーします。「Add Wallet Contents」セクションでソース・データベースの名前を検索します。キーが表示されたら、データベースのすべての「TDE Master Encryption Key」チェック・ボックスを選択します。
- ウォレットを保存するには、「Save」をクリックします。
- このステップは、Oracle Key Vault管理者がOracle Key Vaultユーザーのウォレットを作成した場合にのみ実行します。作成後に、管理者がウォレットに対する読取り/書込みアクセス権およびウォレット管理アクセス権をユーザーに指定していることを確認します。
- Oracle Key Vault管理者としてOracle Key Vaultサーバーにログインします。
- 「Keys & Wallets」タブで、新しく作成したウォレットのチェック・ボックスを選択し、ウォレットの「Edit」オプションをクリックします。
- 「Wallet Access Settings」で、「Add」をクリックします。
- 「Select Endpoint/User Group」セクションで、ドロップダウン・リストから「Users」を選択します。
- ウォレットへのアクセス権を指定するOracle Key Vaultユーザーのチェック・ボックスを選択します。
- 「Access Level」セクションで、「Read and Modify」および「Manage Wallet」オプションを選択します。
- ウォレットのアクセス設定を保存するには、「Save」をクリックします。
ステップ4: Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースをリストアします
odacli irestore-databaseコマンドを使用して、Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースをリストアします。コマンドでオプション--enable-tde、--okv-server-config、--okv-wallet-nameおよびkeystore-typeを指定します。
オプション--enable-tde,-tは、--okv-server-configオプションで指定したOracle Key Vaultサーバー構成を使用して、リストアされたデータベースをTDEで構成する必要があることを示します。このようなirestoreが実行されたデータベースのキーストアはOKVに設定されています。リストアされたデータベース・オブジェクトのokvServerConfigName属性は、irestoreリクエストで指定されたOracle Key Vaultサーバー構成の名前に設定されます。--okv-wallet-nameパラメータを使用して、ターゲット・データベースのウォレット名を指定します。このウォレットはOracle Key Vaultサーバーに存在する必要があり、TDEキーは、irestore操作を実行する前にウォレットにコピーする必要があります。
ウォレットはOracle Key Vaultサーバーにすでに作成されているため、ウォレットの名前、ウォレットが作成されるOracle Key Vaultサーバーの構成、およびキーストア・タイプ(この場合は
OKV)をodacli irestore-databaseコマンドで指定します:odacli irestore-database -r /tmp/db1Backupreport.json -t -osc okvobj1 -kt OKV -own db2_wallet -n okvdb15
Enter SYS and SYSTEM user password:
Enter SYS and SYSTEM user password:
Job details
----------------------------------------------------------------
ID: dc44f3f0-5af3-4402-ad23-e923e1446371
Description: Database service recovery with DB name: okvdb15
Status: Success
Created: July 5, 2024 6:54:00 AM EDT
Message:
Task Name Node Name Start Time End Time Status
---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ----------------
Check if cluster ware is running oda1 July 5, 2024 6:54:23 AM EDT July 5, 2024 6:54:23 AM EDT Success
Check if cluster ware is running oda2 July 5, 2024 6:54:23 AM EDT July 5, 2024 6:54:24 AM EDT Success
Creating DbStorage for DbRestore oda1 July 5, 2024 6:54:25 AM EDT July 5, 2024 6:54:42 AM EDT Success
Validating DiskSpace for DATA oda1 July 5, 2024 6:54:25 AM EDT July 5, 2024 6:54:27 AM EDT Success
Setting up SSH equivalence oda1 July 5, 2024 6:54:27 AM EDT July 5, 2024 6:54:34 AM EDT Success
Configuring user access to ACFS oda1 July 5, 2024 6:54:38 AM EDT July 5, 2024 6:54:39 AM EDT Success
filesystems for okvdb15
Audit directory creation oda1 July 5, 2024 6:54:40 AM EDT July 5, 2024 6:54:40 AM EDT Success
Audit directory creation oda2 July 5, 2024 6:54:41 AM EDT July 5, 2024 6:54:41 AM EDT Success
Configure TDE for RestoreDb TaskFlow oda1 July 5, 2024 6:54:46 AM EDT July 5, 2024 6:56:07 AM EDT Success
Auxiliary Instance Creation oda1 July 5, 2024 6:54:50 AM EDT July 5, 2024 6:55:30 AM EDT Success
TDE Wallet directory creation oda1 July 5, 2024 6:55:30 AM EDT July 5, 2024 6:55:31 AM EDT Success
OKV Endpoint configuration oda1 July 5, 2024 6:55:31 AM EDT July 5, 2024 6:56:02 AM EDT Success
Auto login TDE Wallet creation oda1 July 5, 2024 6:56:02 AM EDT July 5, 2024 6:56:04 AM EDT Success
Password based TDE Wallet open oda1 July 5, 2024 6:56:04 AM EDT July 5, 2024 6:56:07 AM EDT Success
Create pfile for Auxiliary Instance oda1 July 5, 2024 6:56:07 AM EDT July 5, 2024 6:56:08 AM EDT Success
Rman duplicate oda1 July 5, 2024 6:56:08 AM EDT July 5, 2024 7:01:22 AM EDT Success
Creating pfile from spfile oda1 July 5, 2024 7:01:23 AM EDT July 5, 2024 7:01:24 AM EDT Success
Set PFile Ownership oda1 July 5, 2024 7:01:24 AM EDT July 5, 2024 7:01:24 AM EDT Success
Customize Db Parameters oda1 July 5, 2024 7:01:25 AM EDT July 5, 2024 7:01:36 AM EDT Success
Shutdown And Start database oda1 July 5, 2024 7:01:36 AM EDT July 5, 2024 7:06:51 AM EDT Success
Create spfile for restore db oda1 July 5, 2024 7:06:51 AM EDT July 5, 2024 7:06:53 AM EDT Success
Set PFile Ownership oda1 July 5, 2024 7:06:53 AM EDT July 5, 2024 7:06:53 AM EDT Success
Shutdown And Mount database oda1 July 5, 2024 7:06:54 AM EDT July 5, 2024 7:08:22 AM EDT Success
Re-Create control file oda1 July 5, 2024 7:08:23 AM EDT July 5, 2024 7:09:21 AM EDT Success
Removing Disabled Redo Threads oda1 July 5, 2024 7:09:21 AM EDT July 5, 2024 7:09:23 AM EDT Success
Updating DB attributes oda1 July 5, 2024 7:09:23 AM EDT July 5, 2024 7:09:25 AM EDT Success
Register Database taskflow oda1 July 5, 2024 7:09:30 AM EDT July 5, 2024 7:14:51 AM EDT Success
Create SPFile in shared loc oda1 July 5, 2024 7:09:30 AM EDT July 5, 2024 7:09:40 AM EDT Success
Delete Local Spfile oda1 July 5, 2024 7:09:40 AM EDT July 5, 2024 7:09:41 AM EDT Success
Register DB with clusterware oda1 July 5, 2024 7:09:41 AM EDT July 5, 2024 7:11:19 AM EDT Success
Add Startup Trigger to Open all PDBS oda1 July 5, 2024 7:11:20 AM EDT July 5, 2024 7:11:20 AM EDT Success
Set SysPassword and Create PwFile oda1 July 5, 2024 7:11:21 AM EDT July 5, 2024 7:11:24 AM EDT Success
Enable block change tracking oda1 July 5, 2024 7:11:25 AM EDT July 5, 2024 7:11:37 AM EDT Success
Creating pfile oda1 July 5, 2024 7:11:37 AM EDT July 5, 2024 7:11:39 AM EDT Success
Updating db env oda1 July 5, 2024 7:11:39 AM EDT July 5, 2024 7:11:40 AM EDT Success
Enable DbSizing Template oda1 July 5, 2024 7:11:40 AM EDT July 5, 2024 7:13:14 AM EDT Success
Update Database Global Name oda1 July 5, 2024 7:13:14 AM EDT July 5, 2024 7:13:17 AM EDT Success
Create tns entry oda1 July 5, 2024 7:13:18 AM EDT July 5, 2024 7:13:19 AM EDT Success
Create tns entry oda2 July 5, 2024 7:13:19 AM EDT July 5, 2024 7:13:21 AM EDT Success
Running datapatch oda1 July 5, 2024 7:13:21 AM EDT July 5, 2024 7:13:52 AM EDT Success
Set CPU pool oda1 July 5, 2024 7:13:52 AM EDT July 5, 2024 7:13:52 AM EDT Success
Reset Associated Networks for Database oda1 July 5, 2024 7:14:54 AM EDT July 5, 2024 7:15:00 AM EDT Success
Reset Associated Networks oda2 July 5, 2024 7:15:00 AM EDT July 5, 2024 7:15:01 AM EDT Success
Set log_archive_dest for Database oda1 July 5, 2024 7:15:01 AM EDT July 5, 2024 7:15:07 AM EDT Success
Setting Database parameter for OKV oda1 July 5, 2024 7:15:07 AM EDT July 5, 2024 7:16:43 AM EDT Success
Enable New Tablespace Encryption oda1 July 5, 2024 7:16:45 AM EDT July 5, 2024 7:16:47 AM EDT Success
Copy Pwfile to Shared Storage oda1 July 5, 2024 7:16:47 AM EDT July 5, 2024 7:16:58 AM EDT Success
Configure All Candidate Nodes oda1 July 5, 2024 7:16:58 AM EDT July 5, 2024 7:17:01 AM EDT SuccessODACLIコマンドを使用してウォレットをコピーし、コマンドにウォレット名を指定して、データベースをリストアします。
odacli copy-okvtdewalletコマンドを使用してソース・データベースのウォレットのTDEキーをコピーした後、odacli irestore-databaseコマンドでターゲットOracle Key Vaultウォレット名を指定します。
odacli irestore-database -r /tmp/db1Backupreport.json -t -osc okvobj1 -kt OKV -own db2_wallet
Enter SYS and SYSTEM user password:
Enter SYS and SYSTEM user password:Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用したTDE対応データベースのリストア
Oracle Key Vaultで手動で作成されたエンドポイントおよびウォレットを使用して、Oracle Database ApplianceでTDE対応データベースをリストアする方法を理解します。この方法では、ベア・メタル・システムおよびDBシステムでのTDE対応データベースの作成がサポートされています。
前提条件
- Oracle Data Guard構成でプライマリ・ロールがあるデータベースをリストアするには、リストア・コマンドを実行する前に、ターゲット・データベースのTDEウォレットをOracle Key Vaultサーバーに作成する必要があります。このTDEウォレットは、ソース・データベースのウォレットのコピーです。
- Oracle Data Guard構成でスタンバイ・ロールがあるデータベースをリストアする場合、TDEウォレットのコピーを作成しないでください。プライマリ・データベースのTDEウォレットをスタンバイ・データベースに使用する必要があります。
- 作成されたTDEウォレットは、作成されたエンドポイントのデフォルト・ウォレットとして設定する必要があります。
- 各エンドポイントに対応する
okvclient.jarファイルをダウンロードし、データベースのリストア・リクエストを発行するOracle Database Applianceノードにコピーする必要があります。
ステップ1: Oracle Key Vaultユーザー・インタフェースを使用して、ソース・データベース・ウォレットからターゲット・データベース・ウォレットにTDEキーをコピーします
Oracle Key Vaultサーバーにターゲット・データベースの新しいウォレットを作成し、次のようにソース・データベースのTDEキーをウォレットにコピーします:
- Oracle Key Vaultサーバーにログインします。
- 「Keys & Wallets」に移動します。
- Oracle Key Vaultユーザーは、ソース・データベース・ウォレットの「Access Settings」セクションからウォレットの読取り、書込みおよび管理権限を指定する必要があります。
- 新しいウォレットを作成するには、「Create」をクリックします。
- ターゲット・データベースのウォレットに新しい名前を指定します。
- 新しいウォレットの作成時に、ソース・データベースのTDEキーをコピーします。「Add Wallet Contents」セクションでソース・データベースの名前を検索します。キーが表示されたら、データベースのすべての「TDE Master Encryption Key」チェック・ボックスを選択します。
- ウォレットを保存するには、「Save」をクリックします。
- このステップは、Oracle Key Vault管理者がOracle Key Vaultユーザーのウォレットを作成した場合にのみ実行します。作成後に、管理者がウォレットに対する読取り/書込みアクセス権およびウォレット管理アクセス権をユーザーに指定していることを確認します。
- Oracle Key Vault管理者としてOracle Key Vaultサーバーにログインします。
- 「Keys & Wallets」タブで、新しく作成したウォレットのチェック・ボックスを選択し、ウォレットの「Edit」オプションをクリックします。
- 「Wallet Access Settings」で、「Add」をクリックします。
- 「Select Endpoint/User Group」セクションで、ドロップダウン・リストから「Users」を選択します。
- ウォレットへのアクセス権を指定するOracle Key Vaultユーザーのチェック・ボックスを選択します。
- 「Access Level」セクションで、「Read and Modify」および「Manage Wallet」オプションを選択します。
- ウォレットのアクセス設定を保存するには、「Save」をクリックします。
ステップ2: エンドポイントを作成し、デフォルト・ウォレットを設定します
次のステップを実行します:
- 各インスタンスに対応するエンドポイントを作成します。Oracle RACデータベースの場合、2つのインスタンスに対応する2つのエンドポイントを作成します。単一インスタンス・データベースの場合、1つのインスタンスに対応するエンドポイントを1つ作成します。
- Oracle Key Vaultホームページで、「Endpoints」タブに移動し、「Add」をクリックします。
- 「Endpoint Name」を指定します。「Type」に「Oracle Database」、「Platform」に「Linux」を選択し、「Register」をクリックします。
- 「Default Wallet」ページで、「Choose Wallet」をクリックし、作成したエンドポイントのデフォルト・ウォレットを設定します。
ステップ3: Oracle Key Vaultコマンドを使用してTDEウォレットをOracle Key Vaultサーバーにダウンロードします
マルチユーザー・アクセス対応システムおよびマルチユーザー・アクセスのパスワードなしシステムの場合、Oracle Key Vaultサーバー・ユーザーとしてログインします。マルチユーザー・アクセス対応でないシステムの場合、
oracleユーザーとしてログインし、次のステップに従います:
/tmp/workや/tmp/work/client_walletなどの作業ディレクトリを作成します。/tmp/workディレクトリに移動します。Oracle Key VaultサーバーからRESTfulサービス・ユーティリティをダウンロードして抽出します。3つのディレクトリbin、libおよびconfが表示されます。mkdir /tmp/work/ mkdir /tmp/work/client_wallet cd /tmp/work curl -Ok https://okv_server_ip:5695/okvrestclipackage.zip % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 3750k 100 3750k 0 0 2500k 0 0:00:01 0:00:01 --:--:-- 2500kokvrestclipackage.zipファイルのコンテンツを抽出します。conf/okvrestcli.iniファイルを編集し、Oracle Key VaultサーバーのIPアドレス、ユーザー名、およびクライアント自動ログイン・ウォレットが作成されるディレクトリへのパスを追加します。次の例では、クライアント自動ログイン・ウォレットが/tmp/work/client_walletディレクトリに作成されます。#Provide absolute path for log_property, okv_client_config properties [Default] log_property=./conf/okvrestcli_logging.properties server=<okv_server_ip> okv_client_config=./conf/okvclient.ora user=<okv_user> client_wallet=/tmp/work/client_walletbin/okvファイルを編集し、行export OKV_RESTCLI_CONFIG=$OKV_RESTCLI_DIR/conf/okvrestcli.iniをコメント解除します。JAVA_HOMEを次のように設定します:#!/bin/bash export OKV_RESTCLI_DIR=$(dirname "${0}")/.. export OKV_RESTCLI_CONFIG=$OKV_RESTCLI_DIR/conf/okvrestcli.ini export JAVA_HOME=/opt/oracle/dcs/java/1.8.0_xxx if [ -z "$JAVA_HOME" ] then echo "JAVA_HOME environment variable is not set." exit 1 fi if [ -z "$OKV_RESTCLI_CONFIG" ] then echo "OKV_RESTCLI_CONFIG environment variable is not set." exit 1 fi export OKV_RESTCLI_JAR=$OKV_RESTCLI_DIR/lib/okvrestcli.jar $JAVA_HOME/bin/java -jar $OKV_RESTCLI_JAR "$@"- クライアント自動ログイン・ウォレットを生成します。プロンプトが表示されたら、Oracle Key Vaultパスワードを指定します。
/tmp/work/bin/okv admin client-wallet add --client-wallet /tmp/work/client_wallet --wallet-user okv_user Password: - ウォレットに対応するエンドポイントを作成します。Oracle RACデータベースの場合、各データベース・インスタンスに固有の2つのエンドポイントを作成する必要があります。Oracle Key Vaultサーバー・ユーザー・インタフェースを使用してエンドポイントがまだ作成されていない場合にのみ、このステップを実行します。
/tmp/work/bin/okv admin endpoint create --endpoint endpoint_name --type ORACLE_DB --platform LINUX64 --strict-ip-check TRUE - ステップ1で作成したウォレットをエンドポイントのデフォルト・ウォレットとして設定します。Oracle RACデータベースの場合、両方のエンドポイントのデフォルト・ウォレットは同じTDEウォレットである必要があります。このステップは、Oracle Key Vaultサーバー・ユーザー・インタフェースを使用して、TDEウォレットがエンドポイントのデフォルト・ウォレットとしてまだ設定されていない場合にのみ実行します。
/tmp/work/bin/okv manage-access wallet set-default --wallet <wallet_name> --endpoint <endpoint_name> okvclient.jarファイルをダウンロードします。Oracle RACデータベースの場合、両方のエンドポイントに対応するokvclient.jarファイルをダウンロードします。ファイルをダウンロードした後、リモート・インスタンスに対応するokvclient.jarをリモート・ノードにコピーします。/tmp/work/bin/okv admin endpoint download --endpoint <endpoint_name> --location <location>エンドポイントをダウンロードするときに、「Endpoint token is already consumed」などのメッセージが表示された場合は、次のようにエンドポイントを再度登録する必要があります:/tmp/work/bin/okv admin endpoint download --endpoint endpoint_name --location location /tmp/work/log/okv0.log.0 (Permission denied) { "result" : "Failure", "message" : "Endpoint token is already consumed" } /tmp/work/bin/okv admin endpoint re-enroll --endpoint <endpoint_name> /tmp/work/log/okv0.log.0 (Permission denied) { "result" : "Success" } }
ステップ4: Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースをリストアします
マルチユーザー・アクセス対応システムの場合、データベース・ユーザーとしてログインします。マルチユーザー・アクセス対応でないシステムの場合は、rootユーザーとしてログインします。odacli irestore-databaseコマンドを使用して、Oracle Key Vaultに格納されているTDEキーでTDE対応データベースをリストアします。コマンドでオプション--enable-tde、--okvclient-pathおよびkeystore-typeを指定します。
オプション--enable-tde,-tは、リストアされたデータベースをTDEで構成する必要があることを示します。オプション--keystore-type,-ktを使用して、TDE構成のキーストアのタイプを指定します。オプション--okvclient-path,-ocpを使用して、データベース・エンドポイントに対応するokvclient.jarファイルへの絶対パスを指定します。単一インスタンス・データベースの場合、--okvclient-path,-ocpオプションで1つの値を指定できますが、Oracle RACデータベースの場合、2つの値を指定できます。プロンプトが表示されたら、TDEパスワードを指定します。データベースのリストア操作が成功すると、Oracle Key Vaultエンドポイント・ソフトウェアが/etc/OKV/db_unique_name/okvの場所にインストールされます。ローカルの自動ログインTDEウォレットは、/etc/OKV/db_unique_name/tdeの場所に作成されます。
Oracle Key Vaultサーバー構成オブジェクトを使用せずに単一インスタンス・データベース
okvdbをリストアするには、次のようにodacli irestore-databaseコマンドを実行します:odacli irestore-database -r /tmp/bkpreport.json -n okvdb8 -y SI -t -kt OKV -ocp /tmp/okvclient.jar
Enter SYS and SYSTEM user password:
Retype SYS and SYSTEM user password:
Enter TDE wallet password:
Job details
----------------------------------------------------------------
ID: dce7bde6-7fc4-48ec-891b-649525f1ce4f
Description: Database service recovery with DB name: okvdb8
Status: Success
Created: August 28, 2024 2:50:46 PM CST
Message:
Task Name Node Name Start Time End Time Status
---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ----------------
Restore Database scaoda10ha13c2n1 August 28, 2024 2:51:09 PM CST August 28, 2024 2:58:11 PM CST Failure
Restore Database scaoda10ha13c2n1 August 28, 2024 2:51:10 PM CST August 28, 2024 2:58:10 PM CST Failure
Check if cluster ware is running scaoda10ha13c2n1 August 28, 2024 2:51:14 PM CST August 28, 2024 2:51:14 PM CST Success
Check if cluster ware is running scaoda10ha13c2n2 August 28, 2024 2:51:14 PM CST August 28, 2024 2:51:14 PM CST Success
Creating DbStorage for DbRestore scaoda10ha13c2n1 August 28, 2024 2:51:14 PM CST August 28, 2024 2:51:21 PM CST Success
Validating DiskSpace for DATA scaoda10ha13c2n1 August 28, 2024 2:51:14 PM CST August 28, 2024 2:51:15 PM CST Success
Setting up SSH equivalence scaoda10ha13c2n1 August 28, 2024 2:51:15 PM CST August 28, 2024 2:51:19 PM CST Success
Configuring user access to ACFS scaoda10ha13c2n1 August 28, 2024 2:51:20 PM CST August 28, 2024 2:51:20 PM CST Success
filesystems for okvdb8st
Audit directory creation scaoda10ha13c2n1 August 28, 2024 2:51:20 PM CST August 28, 2024 2:51:21 PM CST Success
Audit directory creation scaoda10ha13c2n2 August 28, 2024 2:51:21 PM CST August 28, 2024 2:51:21 PM CST Success
Configure TDE for RestoreDb TaskFlow scaoda10ha13c2n1 August 28, 2024 2:51:22 PM CST August 28, 2024 2:51:39 PM CST Success
Auxiliary Instance Creation scaoda10ha13c2n2 August 28, 2024 2:51:24 PM CST August 28, 2024 2:51:36 PM CST Success
TDE Wallet directory creation scaoda10ha13c2n1 August 28, 2024 2:51:36 PM CST August 28, 2024 2:51:36 PM CST Success
Installing OKV Client Software scaoda10ha13c2n2 August 28, 2024 2:51:36 PM CST August 28, 2024 2:51:37 PM CST Success
Auto login TDE Wallet creation scaoda10ha13c2n1 August 28, 2024 2:51:37 PM CST August 28, 2024 2:51:38 PM CST Success
Password based TDE Wallet open scaoda10ha13c2n1 August 28, 2024 2:51:38 PM CST August 28, 2024 2:51:39 PM CST Success
Install Object Store Swift module scaoda10ha13c2n2 August 28, 2024 2:51:58 PM CST August 28, 2024 2:52:16 PM CST Success
Restoring Spfile From Casper scaoda10ha13c2n2 August 28, 2024 2:52:16 PM CST August 28, 2024 2:52:38 PM CST Success
Customize Db Parameters scaoda10ha13c2n2 August 28, 2024 2:52:38 PM CST August 28, 2024 2:52:47 PM CST Success
Create spfile for restore db scaoda10ha13c2n2 August 28, 2024 2:52:47 PM CST August 28, 2024 2:52:48 PM CST Success
Restoring control file scaoda10ha13c2n2 August 28, 2024 2:52:48 PM CST August 28, 2024 2:53:11 PM CST Success
Mounting db scaoda10ha13c2n2 August 28, 2024 2:53:11 PM CST August 28, 2024 2:53:35 PM CST Success
Validating backup for RestoreDB scaoda10ha13c2n2 August 28, 2024 2:53:35 PM CST August 28, 2024 2:53:41 PM CST Success
Restoring DB for migration scaoda10ha13c2n2 August 28, 2024 2:53:41 PM CST August 28, 2024 2:54:26 PM CST Success
Change DBID and/or DBName scaoda10ha13c2n2 August 28, 2024 2:54:27 PM CST August 28, 2024 2:54:28 PM CST Success
Register Database taskflow scaoda10ha13c2n1 August 28, 2024 2:54:31 PM CST August 28, 2024 2:57:08 PM CST Success
Create SPFile in shared loc scaoda10ha13c2n2 August 28, 2024 2:54:31 PM CST August 28, 2024 2:54:37 PM CST Success
Delete Local Spfile scaoda10ha13c2n2 August 28, 2024 2:54:37 PM CST August 28, 2024 2:54:37 PM CST Success
Register DB with clusterware scaoda10ha13c2n2 August 28, 2024 2:54:37 PM CST August 28, 2024 2:55:23 PM CST Success
Set SysPassword and Create PwFile scaoda10ha13c2n1 August 28, 2024 2:55:23 PM CST August 28, 2024 2:55:25 PM CST Success
Enable block change tracking scaoda10ha13c2n2 August 28, 2024 2:55:26 PM CST August 28, 2024 2:55:28 PM CST Success
Creating pfile scaoda10ha13c2n2 August 28, 2024 2:55:28 PM CST August 28, 2024 2:55:29 PM CST Success
Updating db env scaoda10ha13c2n2 August 28, 2024 2:55:29 PM CST August 28, 2024 2:55:30 PM CST Success
Enable DbSizing Template scaoda10ha13c2n2 August 28, 2024 2:55:30 PM CST August 28, 2024 2:56:20 PM CST Success
Create tns entry scaoda10ha13c2n1 August 28, 2024 2:56:20 PM CST August 28, 2024 2:56:21 PM CST Success
Create tns entry scaoda10ha13c2n2 August 28, 2024 2:56:21 PM CST August 28, 2024 2:56:22 PM CST Success
Running datapatch scaoda10ha13c2n2 August 28, 2024 2:56:22 PM CST August 28, 2024 2:56:23 PM CST Success
Set CPU pool scaoda10ha13c2n1 August 28, 2024 2:56:23 PM CST August 28, 2024 2:56:23 PM CST Success
Reset Associated Networks for Database scaoda10ha13c2n2 August 28, 2024 2:57:10 PM CST August 28, 2024 2:57:13 PM CST Success
Reset Associated Networks scaoda10ha13c2n1 August 28, 2024 2:57:13 PM CST August 28, 2024 2:57:14 PM CST Success
Set log_archive_dest for Database scaoda10ha13c2n2 August 28, 2024 2:57:14 PM CST August 28, 2024 2:57:18 PM CST Success
Setting Database parameter for OKV scaoda10ha13c2n1 August 28, 2024 2:57:18 PM CST August 28, 2024 2:58:05 PM CST Success
Enable New Tablespace Encryption scaoda10ha13c2n2 August 28, 2024 2:58:07 PM CST August 28, 2024 2:58:08 PM CST Success
Deleting OKV Client Software Jar scaoda10ha13c2n2 August 28, 2024 2:58:09 PM CST August 28, 2024 2:58:09 PM CST Success
Copy Pwfile to Shared Storage scaoda10ha13c2n1 August 28, 2024 2:58:09 PM CST August 28, 2024 2:58:10 PM CST SuccessOracle RACデータベースをリストアするには、次のように
odacli irestore-databaseコマンドを実行します。最初にローカル・データベース・インスタンスのokvclient.jarファイルを指定し、その後、リクエストにリモート・データベース・インスタンスのokvclient.jarファイルへのパスを指定します。次の例では、/tmp/dir1の場所にあるokvclient.jarファイルがローカル・ノードに属し、/tmp/dir2の場所にあるokvclient.jarファイルがリモート・ノードに属しています。odacli irestore-database -r /tmp/bkpreport.json -n okvdb7 -y RAC -t -kt OKV -ocp /tmp/dir1/okvclient.jar,/tmp/dir2/okvclient.jar
Enter SYS and SYSTEM user password:
Retype SYS and SYSTEM user password:
Enter TDE wallet password:
Job details
----------------------------------------------------------------
ID: 79b2d96c-0156-444b-b965-185b311f5110
Description: Database service recovery with DB name: okvdb7
Status: Success
Created: August 28, 2024 12:58:39 AM CST
Message:
Task Name Node Name Start Time End Time Status
---------------------------------------- ------------------------- ---------------------------------------- ---------------------------------------- ----------------
Check if cluster ware is running scaoda10ha13c2n1 August 28, 2024 12:59:07 AM CST August 28, 2024 12:59:07 AM CST Success
Check if cluster ware is running scaoda10ha13c2n2 August 28, 2024 12:59:07 AM CST August 28, 2024 12:59:07 AM CST Success
Creating DbStorage for DbRestore scaoda10ha13c2n1 August 28, 2024 12:59:07 AM CST August 28, 2024 12:59:14 AM CST Success
Validating DiskSpace for DATA scaoda10ha13c2n1 August 28, 2024 12:59:08 AM CST August 28, 2024 12:59:08 AM CST Success
Setting up SSH equivalence scaoda10ha13c2n1 August 28, 2024 12:59:09 AM CST August 28, 2024 12:59:12 AM CST Success
Configuring user access to ACFS scaoda10ha13c2n1 August 28, 2024 12:59:13 AM CST August 28, 2024 12:59:13 AM CST Success
filesystems for okvdb7
Audit directory creation scaoda10ha13c2n1 August 28, 2024 12:59:14 AM CST August 28, 2024 12:59:14 AM CST Success
Audit directory creation scaoda10ha13c2n2 August 28, 2024 12:59:14 AM CST August 28, 2024 12:59:14 AM CST Success
Configure TDE for RestoreDb TaskFlow scaoda10ha13c2n1 August 28, 2024 12:59:15 AM CST August 28, 2024 12:59:32 AM CST Success
Auxiliary Instance Creation scaoda10ha13c2n1 August 28, 2024 12:59:17 AM CST August 28, 2024 12:59:28 AM CST Success
TDE Wallet directory creation scaoda10ha13c2n1 August 28, 2024 12:59:28 AM CST August 28, 2024 12:59:28 AM CST Success
Installing OKV Client Software scaoda10ha13c2n1 August 28, 2024 12:59:28 AM CST August 28, 2024 12:59:29 AM CST Success
Installing OKV Client Software scaoda10ha13c2n2 August 28, 2024 12:59:30 AM CST August 28, 2024 12:59:31 AM CST Success
Auto login TDE Wallet creation scaoda10ha13c2n1 August 28, 2024 12:59:31 AM CST August 28, 2024 12:59:32 AM CST Success
Password based TDE Wallet open scaoda10ha13c2n1 August 28, 2024 12:59:32 AM CST August 28, 2024 12:59:32 AM CST Success
Install Object Store Swift module scaoda10ha13c2n2 August 28, 2024 12:59:51 AM CST August 28, 2024 1:00:09 AM CST Success
Restoring Spfile From Casper scaoda10ha13c2n1 August 28, 2024 1:00:09 AM CST August 28, 2024 1:00:28 AM CST Success
Customize Db Parameters scaoda10ha13c2n1 August 28, 2024 1:00:28 AM CST August 28, 2024 1:00:34 AM CST Success
Create spfile for restore db scaoda10ha13c2n1 August 28, 2024 1:00:34 AM CST August 28, 2024 1:00:35 AM CST Success
Restoring control file scaoda10ha13c2n1 August 28, 2024 1:00:35 AM CST August 28, 2024 1:00:58 AM CST Success
Mounting db scaoda10ha13c2n1 August 28, 2024 1:00:58 AM CST August 28, 2024 1:01:23 AM CST Success
Validating backup for RestoreDB scaoda10ha13c2n1 August 28, 2024 1:01:23 AM CST August 28, 2024 1:01:29 AM CST Success
Restoring DB for migration scaoda10ha13c2n1 August 28, 2024 1:01:29 AM CST August 28, 2024 1:10:54 AM CST Success
Re-Create control file scaoda10ha13c2n1 August 28, 2024 1:10:54 AM CST August 28, 2024 1:11:36 AM CST Success
Change DBID and/or DBName scaoda10ha13c2n1 August 28, 2024 1:11:36 AM CST August 28, 2024 1:14:34 AM CST Success
Removing Disabled Redo Threads scaoda10ha13c2n1 August 28, 2024 1:14:34 AM CST August 28, 2024 1:14:36 AM CST Success
Updating DB attributes scaoda10ha13c2n1 August 28, 2024 1:14:36 AM CST August 28, 2024 1:14:37 AM CST Success
Customize DB for Type RAC/RacOne scaoda10ha13c2n1 August 28, 2024 1:14:37 AM CST August 28, 2024 1:14:44 AM CST Success
Enable cluster ware for rac/racone db scaoda10ha13c2n1 August 28, 2024 1:14:45 AM CST August 28, 2024 1:14:45 AM CST Success
Building Cluster DB Views for Rac and scaoda10ha13c2n1 August 28, 2024 1:14:45 AM CST August 28, 2024 1:14:56 AM CST Success
RacOne
Register Database taskflow scaoda10ha13c2n1 August 28, 2024 1:14:58 AM CST August 28, 2024 1:20:24 AM CST Success
Create SPFile in shared loc scaoda10ha13c2n1 August 28, 2024 1:14:59 AM CST August 28, 2024 1:15:05 AM CST Success
Delete Local Spfile scaoda10ha13c2n1 August 28, 2024 1:15:05 AM CST August 28, 2024 1:15:05 AM CST Success
Register DB with clusterware scaoda10ha13c2n1 August 28, 2024 1:15:05 AM CST August 28, 2024 1:16:33 AM CST Success
Add Startup Trigger to Open all PDBS scaoda10ha13c2n1 August 28, 2024 1:16:33 AM CST August 28, 2024 1:16:33 AM CST Success
Set SysPassword and Create PwFile scaoda10ha13c2n1 August 28, 2024 1:16:34 AM CST August 28, 2024 1:16:38 AM CST Success
Enable block change tracking scaoda10ha13c2n1 August 28, 2024 1:16:38 AM CST August 28, 2024 1:16:54 AM CST Success
Creating pfile scaoda10ha13c2n1 August 28, 2024 1:16:55 AM CST August 28, 2024 1:16:56 AM CST Success
Updating db env scaoda10ha13c2n1 August 28, 2024 1:16:56 AM CST August 28, 2024 1:16:56 AM CST Success
Enable DbSizing Template scaoda10ha13c2n1 August 28, 2024 1:16:56 AM CST August 28, 2024 1:18:38 AM CST Success
Update Database Global Name scaoda10ha13c2n1 August 28, 2024 1:18:39 AM CST August 28, 2024 1:18:40 AM CST Success
Create tns entry scaoda10ha13c2n1 August 28, 2024 1:18:40 AM CST August 28, 2024 1:18:42 AM CST Success
Create tns entry scaoda10ha13c2n2 August 28, 2024 1:18:42 AM CST August 28, 2024 1:18:43 AM CST Success
Running datapatch scaoda10ha13c2n1 August 28, 2024 1:18:43 AM CST August 28, 2024 1:19:19 AM CST Success
Set CPU pool scaoda10ha13c2n1 August 28, 2024 1:19:19 AM CST August 28, 2024 1:19:19 AM CST Success
Reset Associated Networks for Database scaoda10ha13c2n1 August 28, 2024 1:20:26 AM CST August 28, 2024 1:20:30 AM CST Success
Reset Associated Networks scaoda10ha13c2n2 August 28, 2024 1:20:30 AM CST August 28, 2024 1:20:31 AM CST Success
Set log_archive_dest for Database scaoda10ha13c2n1 August 28, 2024 1:20:31 AM CST August 28, 2024 1:20:34 AM CST Success
Auto login TDE Wallet creation scaoda10ha13c2n1 August 28, 2024 1:20:34 AM CST August 28, 2024 1:20:36 AM CST Success
Setting Database parameter for OKV scaoda10ha13c2n1 August 28, 2024 1:20:36 AM CST August 28, 2024 1:22:17 AM CST Success
Enable New Tablespace Encryption scaoda10ha13c2n1 August 28, 2024 1:22:19 AM CST August 28, 2024 1:22:20 AM CST Success
Deleting OKV Client Software Jar scaoda10ha13c2n1 August 28, 2024 1:22:20 AM CST August 28, 2024 1:22:20 AM CST Success
Deleting OKV Client Software Jar scaoda10ha13c2n2 August 28, 2024 1:22:20 AM CST August 28, 2024 1:22:20 AM CST SuccessTDE対応データベースの削除
Oracle Key Vaultを使用してTDEキーを格納するベア・メタル・システムおよびDBシステム上のOracle Database Applianceで、TDE対応データベースを削除する方法を理解します。
odacli delete-databaseコマンドを使用し、Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースを削除します。-nオプションを使用して、削除するデータベースの名前を指定します。odacli delete-database -n kokvdb1
{
"jobId" : "6f001840-5002-43ee-9067-e22930e36d58",
"status" : "Running",
"message" : null,
"reports" : [ {
"taskId" : "TaskDcsJsonRpcExt_2259",
"taskName" : "Validate DB 9aeeeb5f-afc5-4051-8bd1-00c62048ca01 for deletion",
"nodeName" : "scaoda6m006",
"taskResult" : "",
"startTime" : "July 15, 2024 15:40:50 PM CST",
"endTime" : "July 15, 2024 15:40:50 PM CST",
"duration" : "00:00:00.13",
"status" : "Success",
"taskDescription" : null,
"parentTaskId" : "TaskSequential_2257",
"jobId" : "6f001840-5002-43ee-9067-e22930e36d58",
"tags" : [ ],
"reportLevel" : "Info",
"updatedTime" : "July 15, 2024 15:40:50 PM CST"
} ],
"createTimestamp" : "July 15, 2024 15:40:49 PM CST",
"resourceList" : [ ],
"description" : "Database service deletion with DB name: kokvdb1 with ID : 9aeeeb5f-afc5-4051-8bd1-00c62048ca01",
"updatedTime" : "July 15, 2024 15:40:50 PM CST",
"jobType" : null
}
odacli describe-job -i 6f001840-5002-43ee-9067-e22930e36d58
Job details
----------------------------------------------------------------
ID: 6f001840-5002-43ee-9067-e22930e36d58
Description: Database service deletion with DB name: kokvdb1 with ID : 9aeeeb5f-afc5-4051-8bd1-00c62048ca01
Status: Success
Created: July 15, 2024 3:40:49 PM CST
Message:
Task Name Start Time End Time Status
---------------------------------------- ---------------------------------------- ---------------------------------------- ----------------
Validate DB July 15, 2024 3:40:50 PM CST July 15, 2024 3:40:50 PM CST Success
9aeeeb5f-afc5-4051-8bd1-00c62048ca01
for deletion
Deleting the RMAN logs July 15, 2024 3:40:50 PM CST July 15, 2024 3:40:51 PM CST Success
OKV Endpoint deletion July 15, 2024 3:40:51 PM CST July 15, 2024 3:40:56 PM CST Success
OKV Wallet deletion July 15, 2024 3:40:56 PM CST July 15, 2024 3:41:05 PM CST Success
OKV Files deletion July 15, 2024 3:41:05 PM CST July 15, 2024 3:41:05 PM CST Success
Database Deletion By RHP July 15, 2024 3:41:05 PM CST July 15, 2024 3:42:37 PM CST Success
Unregister DB From Cluster July 15, 2024 3:42:37 PM CST July 15, 2024 3:42:37 PM CST Success
Kill PMON Process July 15, 2024 3:42:37 PM CST July 15, 2024 3:42:37 PM CST Success
Database Files Deletion July 15, 2024 3:42:37 PM CST July 15, 2024 3:42:49 PM CST Success
Delete File Groups of Database kokvdb1 July 15, 2024 3:42:49 PM CST July 15, 2024 3:42:58 PM CST SuccessBUIを使用したOracle Key Vaultユーザーの作成
マルチユーザー・アクセス対応のOracle Database Applianceで、Oracle Key Vaultサーバー構成の権限を持つユーザーを作成します。
ブラウザ・ユーザー・インタフェースを使用したOracle Key Vaultユーザーの作成
odaadminユーザーとしてブラウザ・ユーザー・インタフェースにログインします。https://host-ip-address:7093/mgmt/index.html- 「Multi-User Access」タブをクリックします。
- 左側のペインの「Users」リンクをクリックします。
- 「Create User」をクリックします。
- 「Create User」ページで、このユーザーの「User ID」を指定し、「Role」を
ODA-OKVCONFIGADMINとして指定し、「ODA Password」を指定します。BUIおよびODACLIコマンドでは、同じユーザー資格情報をログインに使用できます。 - 「Create」をクリックします。
- ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
- アカウントはInactive状態で作成されます。ユーザー資格情報を使用してBUIにログインします。パスワードを変更するように求められます。パスワードを変更し、新しいパスワードでBUIにログインします。
BUIを使用したOracle Key Vaultサーバー構成オブジェクトの作成
BUIを使用して、ベア・メタルおよびDBシステムのOracle Key Vaultに格納されているTDEキーによってOracle Database ApplianceでTDE対応データベースを作成する方法を理解します。
Oracle Database Applianceベア・メタル・システムおよびDBシステムのOracle Key Vaultに格納されたTDEキーを使用してTDE対応データベースを作成するには、次のステップを実行します:
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - 「Credential Store」をクリックし、「Oracle Key Vault Server Config」をクリックします。
- 既存のOracle Key Vaultサーバー構成が表示されます。
- 「Create」をクリックし、Oracle Key Vaultサーバー構成を作成します。
- 「Create OKV Server Config」ページで、「OKV Server Config Name」、「OKV Server Host」、「OKV Server IP address」、「OKV User Name」および「Password」を指定します。
- 「Create」をクリックします。
- 作成リクエスト・ジョブを確認し、ジョブが正常に完了したことを確認します。
BUIを使用したOracle Key Vaultサーバー構成でのアクセス権の付与および取消し
BUIを使用して、ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成へのアクセス権を付与および取り消す方法を理解します。
Oracle Key Vaultサーバー構成へのアクセス権の付与および取消し
次のステップを実行します:
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - 「Credential Store」をクリックし、「Oracle Key Vault Server Config」をクリックします。
- 既存のすべてのOracle Key Vaultサーバー構成を表示できます。
- 既存のOracle Key Vaultサーバー構成へのアクセス権を付与するには、Oracle Key Vaultサーバー構成を選択し、「Actions」ドロップダウン・リストから「Grant Access」を選択します。
- 「Grant Resource Access」ページで、リソースへのアクセス権を付与する「User Name」を選択します。
- 「Grant」をクリックします。
- 「Yes」をクリックして、アクションを確定します。
- 既存のOracle Key Vaultサーバー構成へのアクセス権を取り消すには、Oracle Key Vaultサーバー構成を選択し、「Actions」ドロップダウン・リストから「Revoke Access」を選択します。
- 「Revoke Resource Access」ページで、リソースへのアクセス権を取り消す「User Name」を選択します。
- 「Revoke」をクリックします。
- 「Yes」をクリックして、アクションを確定します。
BUIを使用したOracle Key Vaultサーバー構成操作の管理
ベア・メタル・システムおよびDBシステム上のOracle Database ApplianceでOracle Key Vaultサーバー構成操作を管理する方法を理解します。
Oracle Key Vaultサーバー構成は、ブラウザ・ユーザー・インタフェース(BUI)を使用して、Oracle Database Applianceベア・メタル・システムおよびDBシステム上に作成、リスト、削除および詳細表示できます。
Oracle Key Vaultサーバー構成のリストおよび削除:
次のステップを実行します:
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html - 「Credential Store」をクリックし、「Oracle Key Vault Tasks」をクリックします。
- 既存のすべてのOracle Key Vaultサーバー構成を表示できます。
- 既存のOracle Key Vaultサーバー構成を削除するには、Oracle Key Vaultサーバー構成を選択し、「Actions」ドロップダウン・リストから「Delete」を選択します。
TDE対応データベースへのデータの手動移行および暗号化
Oracle Database Applianceでトランスポータブル表領域をTDE対応データベースに移行する方法を理解します。
- 非TDE Oracle ACFSデータベースからのOracle Database Appliance上のOracle ACFSデータベースへの表領域の移行
非TDEのOracle ACFSデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ACFSデータベースに表領域を移行する方法を理解します。 - 非TDE Oracle ASMデータベースからのOracle Database Appliance上のOracle ASMデータベースへの表領域の移行
非TDEのOracle ASMデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ASMデータベースに表領域を移行する方法を理解します。 - 非TDE Oracle ASMデータベースからのOracle Database Appliance上のOracle ASM CDBデータベースへの表領域の移行
非TDEのOracle ASMデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ASM CDBデータベースに表領域を移行する方法を理解します。 - 非TDE Oracle ACFSデータベースからのOracle Database Appliance上のOracle ACFS CDBデータベースへの表領域の移行
非TDEのOracle ACFSデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ACFS CDBデータベースに表領域を移行する方法を理解します。
非TDE Oracle ACFSデータベースからのOracle Database Appliance上のOracle ACFSデータベースへの表領域の移行
非TDEのOracle ACFSデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ACFSデータベースに表領域を移行する方法を理解します。
ソース・データベースと宛先データベースがあることを確認します。2つのデータベースは、1つのOracle Database Applianceサーバー上または異なるサーバー上に配置できます。ソース・データベースは、TDE対応ではないデータベース、Oracle Database Applianceデータベースまたは互換性のあるエンディアンを持つOracleデータベースのいずれかである必要があります。宛先データベースは、ODACLIコマンドを使用して作成されたOracle Database Applianceデータベースである必要があります。
ステップ1: ソース・データベースから表領域をエクスポートします
- ソース・データベースDBNOTDEに表領域TBS01および表TAB1を作成します。ソース・データベースに追加の表領域TBS01を作成してから、新しい表領域に表TAB1を作成します。
SQL> select TABLESPACE_NAME, ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO ### ### Checks if a set of tablespaces (to be transported) is self-contained ### SQL> EXECUTE DBMS_TTS.TRANSPORT_SET_CHECK('tbs01',true) ; PL/SQL procedure successfully completed. - エクスポートに使用するソース・データベースDBNOTDEにデータベース・ディレクトリを作成します。
expdpで使用する宛先データベースにデータベース・ディレクトリ・オブジェクトを作成します。### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. SQL> - ソース・データベースDBNOTDEからTBS01表領域をエクスポートします。まず、READ ONLYモードでコピーする表領域を設定します。次に、指定された表領域で
expdpを実行します。データベース・ディレクトリttsps_dirに格納されているexpdpのログ・ファイルを確認します。### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ ONLY; Tablespace altered. ### ### Run expdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ expdp system TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttps.dmp Export: Release 19.0.0.0.0 - Production on Mon Nov 6 12:47:00 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Starting "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01": system/******** TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttps.dmp Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Master table "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully loaded/unloaded ****************************************************************************** Dump file set for SYSTEM.SYS_EXPORT_TRANSPORTABLE_01 is: /u01/app/odaorabase0/oracle/dpdump/ttsps_dir/expttps.dmp ****************************************************************************** Datafiles required for transportable tablespace TBS01: /u02/app/oracle/oradata/dbnotde/DBNOTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf Job "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully completed at Mon Nov 6 12:47:19 2023 elapsed 0 00:00:14 - データ・ファイルを宛先データベース・サーバーに移動し、ソース・データベースDBNOTDEのデータ・ファイルのステータスを
READ WRITEに編集します。データ・ファイルを/u02/app/oracle/oradata/dbtde/DBTDE/datafileの場所にあるTDE対応データベース・サーバーに移動します。### ### login as oracle user ### $ cp /u02/app/oracle/oradata/dbnotde/DBNOTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf /u02/app/oracle/oradata/dbtde/DBTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf ### ### In source database, set the tablespace back to read write mode ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ WRITE;
ステップ2: 表領域をTDE対応データベースにインポートします
- 前述の手順の説明に従って、Oracle Key Vaultを使用して宛先データベースとしてTDE対応データベースDBTDEを作成します。
expdpおよびimpdpを使用して、ソース・データベースのデータ・ファイルおよび表領域をこのデータベースにコピーします。ブラウザ・ユーザー・インタフェース(BUI)またはODACLIコマンドを使用して、Oracle Database Applianceにデータベースを作成します。たとえば:# odacli create-database -n dbtde -t -kt okv -osc adminobj1 -dh e2a65596-6435-4410-9e8d-6b21a6005779 -r ACFS # odacli describe-database -n dbtde Database details ---------------------------------------------------------------- ID: e261b9f8-8212-499b-840e-eb6ea3e09447 Description: dbtde DB Name: dbtde DB Type: SI CDB: false Storage: ACFS Home ID: e2a65596-6435-4410-9e8d-6b21a6005779 TDE Wallet Management: ODA TDE Enabled: true KeystoreType : OKV - インポート操作のために、Oracle Key Vault対応の宛先データベースにデータベース・ディレクトリを作成します。ソース・データベースのexpdpダンプ・ファイルおよびimpdpの出力は、データベース・ディレクトリ・オブジェクトに格納されます。expdpダンプ・ファイルをソース・データベース・サーバーからこのサーバーにコピーし、impdpダンプ・ファイルを使用して表領域メタデータを宛先データベースに追加します。
### ### login as sysdba user and run the following: ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. - TBS01表領域を宛先データベースDBTDEにインポートします。ソース・データベースの
expdpダンプ・ファイルをデータベース・ディレクトリttsps_dirにコピーします。impdpはダンプ・ファイルを使用して、表領域メタデータを宛先データベースに追加します。TRANSPORT_DATAFILESは、宛先データベース内のデータ・ファイルの場所を参照します。### ### Run impdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ impdp system TRANSPORT_DATAFILES=\'/u02/app/oracle/oradata/dbtde/DBTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf\' DIRECTORY=ttsps_dir dumpfile=expttps.dmp Import: Release 19.0.0.0.0 - Production on Mon Nov 6 12:53:37 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Master table "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully loaded/unloaded Starting "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01": system/******** TRANSPORT_DATAFILES='/u02/app/oracle/oradata/dbtde/DBTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf' DIRECTORY=ttsps_dir dumpfile=expttps.dmp Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Job "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully completed at Mon Nov 6 12:53:46 2023 elapsed 0 00:00:03 - 宛先のOracle Key Vault対応データベースで暗号化を有効化およびテストします。
### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE YES SYSAUX ONLINE YES UNDOTBS1 ONLINE YES TEMP ONLINE YES USERS ONLINE YES TBS01 READ ONLY NO SQL> alter tablespace TBS01 read write ; Tablespace altered. SQL> alter tablespace TBS01 encryption online encrypt ; Tablespace altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE YES SYSAUX ONLINE YES UNDOTBS1 ONLINE YES TEMP ONLINE YES USERS ONLINE YES TBS01 ONLINE YES ### ### Retrieve the data from TAB1 ### SQL> select OWNER, table_name from tab1 where rownum < 3; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$ ### ### When the wallet is closed or unavailable, same SQL does not retrieve data ### To simulate wallet absence rename the cwallet.sso wallet under <wallet_root>/tde to some other name like cwallet.sso.orig ### and close the wallet. To return auto-login wallet , rename file back to cwallet.sso and run the SQL again. ### SQL> show parameter wallet_root NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ wallet_root string /etc/OKV/dbtde SQL> ! mv /etc/OKV/dbtde/tde/cwallet.sso /etc/OKV/dbtde/tde/cwallet.sso.orig SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE ; SQL> select OWNER, table_name from tab1 where rownum < 3; select OWNER, table_name from tab1 where rownum < 3 * ERROR at line 1: ORA-28365: wallet is not open SQL> ! mv /etc/OKV/dbtde/tde/cwallet.sso.orig /etc/OKV/dbtde/tde/cwallet.sso SQL> select OWNER, table_name from tab1 where rownum < 3 2 ; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$
非TDE Oracle ASMデータベースからのOracle Database Appliance上のOracle ASMデータベースへの表領域の移行
非TDEのOracle ASMデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ASMデータベースに表領域を移行する方法を理解します。
ソース・データベースと宛先データベースがあることを確認します。2つのデータベースは、1つのOracle Database Applianceサーバー上または異なるサーバー上に配置できます。ソース・データベースは、TDE対応ではないデータベース、Oracle Database Applianceデータベースまたは互換性のあるエンディアンを持つOracleデータベースのいずれかである必要があります。宛先データベースは、ODACLIコマンドで作成され、Oracle Key Vaultが有効になっているOracle Database Applianceデータベースである必要があります。
ステップ1: ソース・データベースから表領域をエクスポートします
- ソース・データベースASMNOTDEに表領域TBS01および表TAB1を作成します。ソース・データベースに追加の表領域TBS01を作成してから、新しい表領域に表TAB1を作成します。
SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 ONLINE NO SQL> SQL> select FILE_NAME from dba_data_files where TABLESPACE_NAME='TBS01' ; FILE_NAME -------------------------------------------------------------------------------- +DATA/ASMNOTDE/DATAFILE/tbs01.374.1152267015 ### ### Checks if a set of tablespaces (to be transported) is self-contained ### SQL> EXECUTE DBMS_TTS.TRANSPORT_SET_CHECK('tbs01',true) ; PL/SQL procedure successfully completed. - エクスポートに使用するソース・データベースASMNOTDEにデータベース・ディレクトリを作成します。
expdpの宛先データベースにデータベース・ディレクトリ・オブジェクトを作成します。### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. - ソース・データベースASMNOTDEからTBS01表領域をエクスポートします。まず、READ ONLYモードでコピーする表領域を設定します。次に、指定された表領域で
expdpを実行します。データベース・ディレクトリttsps_dirに格納されているexpdpのダンプ・ファイルを確認します。### ### Set the tablespaces that you need to be exported in read-only mode ### login as Oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following SQL> ALTER TABLESPACE TBS01 READ ONLY; Tablespace altered. SQL> ### ### Run expdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ expdp system TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttpsasm.dmp Export: Release 19.0.0.0.0 - Production on Tue Nov 7 10:12:19 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Starting "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01": system/******** TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttpsasm.dmp Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Master table "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully loaded/unloaded ****************************************************************************** Dump file set for SYSTEM.SYS_EXPORT_TRANSPORTABLE_01 is: /u01/app/odaorabase0/oracle/dpdump/ttsps_dir/expttpsasm.dmp ****************************************************************************** Datafiles required for transportable tablespace TBS01: +DATA/ASMNOTDE/DATAFILE/tbs01.374.1152267015 Job "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully completed at Tue Nov 7 10:12:49 2023 elapsed 0 00:00:20 - データ・ファイルを宛先データベース・サーバーに移動し、ソース・データベースASMNOTDEのデータ・ファイルのステータスを
READ WRITEに編集します。### ### login to grid user ### Copying datafiles from ASM to filesystem ### $ asmcmd cp +DATA/ASMNOTDE/DATAFILE/tbs01.295.1165369089 /home/grid/tbs01.dbf copying +DATA/ASMNOTDE/DATAFILE/tbs01.295.1165369089 -> /home/grid/tbs01.dbf ### ### In source database, set the tablespace back to read write mode ### login as Oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ WRITE;
ステップ2: 表領域をTDE対応データベースにインポートします
- Oracle Key Vaultを使用して、宛先データベースとしてTDE対応データベースASMTDEを作成します。
expdpおよびimpdpを使用して、ソース・データベースのデータ・ファイルおよび表領域をこのデータベースにコピーします。ブラウザ・ユーザー・インタフェース(BUI)またはODACLIコマンドを使用して、Oracle Database Applianceにデータベースを作成します。たとえば:# odacli create-database -n asmtde -t -kt okv -osc adminobj1 -dh e2a65596-6435-4410-9e8d-6b21a6005779 -r ASM # odacli describe-database -n asmtde Database details ---------------------------------------------------------------- ID: 5dfa97d9-d774-4a4a-93a2-d21a36faf283 Description: asmtde DB Name: asmtde DB Type: SI CDB: false Storage: ASM Home ID: e2a65596-6435-4410-9e8d-6b21a6005779 TDE Wallet Management: ODA TDE Enabled: true KeystoreType : OKV - ファイル・システムからASMTDEの宛先Oracle ASMの場所にデータ・ファイルをコピーします。
### ### login to grid user ### $ asmcmd cp /home/grid/tbs01.dbf +DATA/ASMTDE/DATAFILE/tbs01 --dest_dbname ASMTDE copying /home/grid/tbs01.dbf -> +DATA/ASMTDE/DATAFILE/tbs01 ASMCMD> ls --permission User Group Permission Name dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- SYSAUX.292.1165368127 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- SYSTEM.279.1165368093 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- UNDOTBS1.290.1165368143 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- USERS.288.1165368875 grid@66d5786e6a057fd3bfa6ca745d993aef rw------- tbs01 => +DATA/ASMTDE/DATAFILE/tbs01.294.1165425531 grid@66d5786e6a057fd3bfa6ca745d993aef rw------- tbs01.294.1165425531 ASMCMD> chown dbusr1@66d5786e6a057fd3bfa6ca745d993aef tbs01 ASMCMD> ls --permission User Group Permission Name dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- SYSAUX.292.1165368127 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- SYSTEM.279.1165368093 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- UNDOTBS1.290.1165368143 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- USERS.288.1165368875 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- tbs01 => +DATA/OKVDB2/DATAFILE/tbs012.294.1165425531 dbusr1@66d5786e6a057fd3bfa6ca745d993aef rw------- tbs01.294.1165425531 - インポート用のデータベース・ディレクトリをASMTDEデータベースに作成します。
### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. - TBS01表領域を宛先データベースASMTDEにインポートします。ソース・データベースの
expdpダンプ・ファイルをデータベース・ディレクトリttsps_dirにコピーします。impdpはダンプ・ファイルを使用して、表領域メタデータを宛先データベースに追加します。TRANSPORT_DATAFILESは、宛先データベース内のデータ・ファイルの場所を参照します。### ### Run impdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ impdp system TRANSPORT_DATAFILES=\'/u02/app/oracle/oradata/dbtde/DBTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf\' DIRECTORY=ttsps_dir dumpfile=expttps.dmp Import: Release 19.0.0.0.0 - Production on Mon Nov 6 12:53:37 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Master table "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully loaded/unloaded Starting "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01": system/******** TRANSPORT_DATAFILES='/u02/app/oracle/oradata/dbtde/DBTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf' DIRECTORY=ttsps_dir dumpfile=expttps.dmp Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Job "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully completed - 宛先のOracle Key Vault対応データベースで暗号化を有効化およびテストします。
### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE YES TBS01 READ ONLY NO 6 rows selected. SQL> alter tablespace TBS01 read write ; Tablespace altered. SQL> alter tablespace TBS01 encryption online encrypt ; Tablespace altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE YES TBS01 ONLINE YES 6 rows selected. ### ### Retrieve the data from TAB1 ### SQL> select OWNER, table_name from tab1 where rownum < 3 OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$ ### ### When the wallet is closed or unavailable, same SQL does not retrieve data ### To simulate wallet absence rename the cwallet.sso wallet under <wallet_root>/tde to some other name like cwallet.sso.orig ### and close the wallet. To return auto-login wallet , rename file back to cwallet.sso and run the SQL again. ### SQL> show parameter wallet_root NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ wallet_root string /etc/OKV/asmtde SQL> ! mv /etc/OKV/asmtde/tde/cwallet.sso /etc/OKV/asmtde/tde/cwallet.sso.orig SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE ; SQL> select OWNER, table_name from tab1 where rownum < 3; select OWNER, table_name from tab1 where rownum < 3 * ERROR at line 1: ORA-28365: wallet is not open SQL> ! mv /etc/OKV/asmtde/tde/cwallet.sso.orig /etc/OKV/asmtde/tde/cwallet.sso SQL> select OWNER, table_name from tab1 where rownum < 3 2 ; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$
非TDE Oracle ASMデータベースからのOracle Database Appliance上のOracle ASM CDBデータベースへの表領域の移行
非TDEのOracle ASMデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ASM CDBデータベースに表領域を移行する方法を理解します。
ソース・データベースと宛先データベースがあることを確認します。2つのデータベースは、1つのOracle Database Applianceサーバー上または異なるサーバー上に配置できます。ソース・データベースは、TDE対応ではないデータベース、Oracle Database Applianceデータベースまたは互換性のあるエンディアンを持つOracleデータベースのいずれかである必要があります。宛先データベースは、ODACLIコマンドで作成され、Oracle Key Vaultが有効になっているOracle Database Applianceデータベースである必要があります。
ステップ1: ソース・データベースから表領域をエクスポートします
- ソース・データベースASMNOTDEに表領域TBS01および表TAB1を作成します。ソース・データベースに追加の表領域TBS01を作成してから、新しい表領域に表TAB1を作成します。
SQL> SQL> select FILE_NAME from dba_data_files where TABLESPACE_NAME='TBS01' ; FILE_NAME -------------------------------------------------------------------------------- +DATA/ASMNOTDE/DATAFILE/tbs01.374.1152267015 ### ### Checks if a set of tablespaces (to be transported) is self-contained ### SQL> EXECUTE DBMS_TTS.TRANSPORT_SET_CHECK('tbs01',true) ; PL/SQL procedure successfully completed. - エクスポートに使用するソース・データベースASMNOTDEにデータベース・ディレクトリを作成します。
expdpの宛先データベースにデータベース・ディレクトリ・オブジェクトを作成します。### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. - ソース・データベースASMNOTDEからTBS01表領域をエクスポートします。まず、READ ONLYモードでコピーする表領域を設定します。次に、指定された表領域で
expdpを実行します。データベース・ディレクトリttsps_dirに格納されているexpdpのダンプ・ファイルを確認します。### ### Set the tablespaces that you need to be exported in read-only mode ### login as Oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following SQL> ALTER TABLESPACE TBS01 READ ONLY; Tablespace altered. SQL> ### ### Run expdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ expdp system TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttpsasm.dmp Export: Release 19.0.0.0.0 - Production on Tue Nov 7 10:12:19 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Starting "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01": system/******** TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttpsasm.dmp Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Master table "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully loaded/unloaded ****************************************************************************** Dump file set for SYSTEM.SYS_EXPORT_TRANSPORTABLE_01 is: /u01/app/odaorabase0/oracle/dpdump/ttsps_dir/expttpsasm.dmp ****************************************************************************** Datafiles required for transportable tablespace TBS01: +DATA/ASMNOTDE/DATAFILE/tbs01.374.1152267015 Job "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully completed at Tue Nov 7 10:12:49 2023 elapsed 0 00:00:20 - データ・ファイルを宛先データベース・サーバーに移動し、ソース・データベースASMNOTDEのデータ・ファイルのステータスを
READ WRITEに編集します。### ### login to grid user ### Copying datafiles from ASM to filesystem ### $ asmcmd cp +DATA/ASMNOTDE/DATAFILE/tbs01.295.1165369089 /home/grid/tbs01.dbf copying +DATA/ASMNOTDE/DATAFILE/tbs01.295.1165369089 -> /home/grid/tbs01.dbf ### ### In source database, set the tablespace back to read write mode ### login as Oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ WRITE;
ステップ2: 表領域をTDE対応データベースにインポートします
- Oracle Key Vaultを使用して、宛先データベースとしてTDE対応データベースASMTDEを作成します。
expdpおよびimpdpを使用して、ソース・データベースのデータ・ファイルおよび表領域をこのデータベースにコピーします。ブラウザ・ユーザー・インタフェース(BUI)またはODACLIコマンドを使用して、Oracle Database Applianceにデータベースを作成します。たとえば:# odacli create-database -n asmtde -t -kt okv -osc adminobj1 -dh e2a65596-6435-4410-9e8d-6b21a6005779 -r ASM --cdb -d pdbadmin -p pdb1 # odacli describe-database -n asmtde Database details ---------------------------------------------------------------- ID: 5dfa97d9-d774-4a4a-93a2-d21a36faf283 Description: asmtde DB Name: asmtde DB Type: SI CDB: true PDB Name: PDB2 PDB Admin User Name: pdbadmin Storage: ASM Home ID: e2a65596-6435-4410-9e8d-6b21a6005779 TDE Wallet Management: ODA TDE Enabled: true KeystoreType : OKV ### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> col PDB_NAME for a20 SQL> select PDB_NAME,GUID from dba_pdbs ; PDB_NAME GUID -------------------- -------------------------------- PDB1 1599A96E256A8B99E063BE6B1F0AC02B PDB$SEED 15998A6665985353E063BE6B1F0A494A - ファイル・システムからASMTDEの宛先Oracle ASMの場所にデータ・ファイルをコピーします。ファイルをコピーした後、関連する権限を設定します。
### ### login to grid user ### $ asmcmd cp /home/grid/tbs01.dbf +DATA/ASMTDE/1599A96E256A8B99E063BE6B1F0AC02B/DATAFILE/tbs01 --dest_dbname ASMTDE copying /home/grid/tbs01.dbf -> +DATA/ASMTDE/1599A96E256A8B99E063BE6B1F0AC02B/DATAFILE/tbs01 $ asmcmd ASMCMD> pwd +DATA/ASMTDE/1599A96E256A8B99E063BE6B1F0AC02B/DATAFILE ASMCMD> ls --permission User Group Permission Name dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- SYSAUX.332.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- SYSTEM.333.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- UNDOTBS1.331.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- USERS.335.1165769685 grid@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- tbs01 => +DATA/ASMTDE/DATAFILE/tbs01.338.1165770781 ASMCMD> chown dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 tbs01 ASMCMD> ASMCMD> ls --permission User Group Permission Name dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- SYSAUX.332.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- SYSTEM.333.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- UNDOTBS1.331.1165769683 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- USERS.335.1165769685 dbusr1@00eea686ffb0ff1bbf28c0b8362cccf6 rw------- tbs01 => +DATA/ASMTDE/DATAFILE/tbs01.338.1165770781 - PDB1のtnsnamesサービスを作成します。
### ### Edit the file $ORACLE_HOME/network/admin/tnsnames.ora with the following content ### PDB1 = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = <server-name>)(PORT = 1521)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = pdb1.test) - インポート用のディレクトリをPDB1に作成します。
### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER SESSION SET CONTAINER=PDB1 ; SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. SQL> - 表領域をPDB1にインポートします。ソース・データベースの
expdpダンプ・ファイルをデータベース・ディレクトリttsps_dirにコピーします。impdpはダンプ・ファイルを使用して、表領域メタデータを宛先データベースに追加します。TRANSPORT_DATAFILESは、宛先データベース内のデータ・ファイルの場所を参照します。### ### Run impdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ impdp system@pdb1 TRANSPORT_DATAFILES=\'+DATA/ASMTDE/1599A96E256A8B99E063BE6B1F0AC02B/DATAFILE/tbs01\' DIRECTORY=ttsps_dir dumpfile=expttpsasm.dmp Import: Release 19.0.0.0.0 - Production on Mon Apr 8 17:52:09 2024 Version 19.23.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Master table "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully loaded/unloaded Starting "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01": system/********@pdb1 TRANSPORT_DATAFILES='+DATA/ASMTDE/1599A96E256A8B99E063BE6B1F0AC02B/DATAFILE/tbs01' DIRECTORY=ttsps_dir dumpfile=expttpsasm.dmp Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Job "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully completed at Mon Apr 8 17:52:18 2024 elapsed 0 00:00:03 - 宛先のOracle Key Vault対応データベースPDB1で暗号化を有効化およびテストします。
### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> alter session set container=pdb1 ; Session altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 READ ONLY NO 6 rows selected. SQL> alter tablespace TBS01 read write ; Tablespace altered. SQL> alter tablespace TBS01 encryption online encrypt ; Tablespace altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 ONLINE YES 6 rows selected. ### ### Retrieve the data from TAB1 ### SQL> select OWNER, table_name from tab1 where rownum < 3 2 ; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$ ### ### When the wallet is closed or unavailable, same SQL does not retrieve data ### To simulate wallet absence rename the cwallet.sso wallet under <wallet_root>/tde to some other name like cwallet.sso.orig ### and close the wallet. To return auto-login wallet , rename file back to cwallet.sso and run the SQL again. ### SQL> show parameter wallet_root NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ wallet_root string /etc/OKV/asmtde SQL> ! mv /etc/OKV/asmtde/tde/cwallet.sso /etc/OKV/asmtde/tde/cwallet.sso.orig SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE ; SQL> select OWNER, table_name from tab1 where rownum < 3; select OWNER, table_name from tab1 where rownum < 3 * ERROR at line 1: ORA-28365: wallet is not open SQL> ! mv /etc/OKV/asmtde/tde/cwallet.sso.orig /etc/OKV/asmtde/tde/cwallet.sso SQL> select OWNER, table_name from tab1 where rownum < 3 2 ; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$
非TDE Oracle ACFSデータベースからのOracle Database Appliance上のOracle ACFS CDBデータベースへの表領域の移行
非TDEのOracle ACFSデータベースから、Oracle Database ApplianceでOracle Key Vaultを有効にしたOracle ACFS CDBデータベースに表領域を移行する方法を理解します。
ソース・データベースと宛先データベースがあることを確認します。2つのデータベースは、1つのOracle Database Applianceサーバー上または異なるサーバー上に配置できます。ソース・データベースは、TDE対応ではないデータベース、Oracle Database Applianceデータベースまたは互換性のあるエンディアンを持つOracleデータベースのいずれかである必要があります。宛先データベースは、ODACLIコマンドで作成され、Oracle Key Vaultが有効になっているOracle Database Applianceデータベースである必要があります。
ステップ1: ソース・データベースから表領域をエクスポートします
- ソース・データベースDBNOTDEに表領域TBS01および表TAB1を作成します。ソース・データベースに追加の表領域TBS01を作成してから、新しい表領域に表TAB1を作成します。
### ### login as Oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> select TABLESPACE_NAME, ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO SQL> create tablespace TBS01 datafile size 10g ; Tablespace created. SQL> SQL> create table tab1 tablespace TBS01 as select a.* from dba_tables a ,dba_users b, dba_users c ; Table created. SQL> select count(*) from tab1 ; COUNT(*) ---------- 3028228 SQL> SQL> select TABLESPACE_NAME, ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 ONLINE NO SQL> select FILE_NAME from dba_data_files where TABLESPACE_NAME='TBS01' ; FILE_NAME -------------------------------------------------------------------------------- /u02/app/oracle/oradata/dbnotde/DBNOTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf SQL> ### ### Checks if a set of tablespaces (to be transported) is self-contained ### SQL> EXECUTE DBMS_TTS.TRANSPORT_SET_CHECK('tbs01',true) ; PL/SQL procedure successfully completed. - エクスポートに使用するソース・データベースDBNOTDEにデータベース・ディレクトリを作成します。
expdpで使用する宛先データベースにデータベース・ディレクトリ・オブジェクトを作成します。### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. SQL> - ソース・データベースDBNOTDEからTBS01表領域をエクスポートします。まず、READ ONLYモードでコピーする表領域を設定します。次に、指定された表領域で
expdpを実行します。データベース・ディレクトリttsps_dirに格納されているexpdpのログ・ファイルを確認します。### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ ONLY; Tablespace altered. ### ### Run expdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ expdp system TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttps.dmp Export: Release 19.0.0.0.0 - Production on Mon Nov 6 12:47:00 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Starting "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01": system/******** TRANSPORT_TABLESPACES=TBS01 TRANSPORT_FULL_CHECK=YES DIRECTORY=ttsps_dir DUMPFILE=expttps.dmp Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Master table "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully loaded/unloaded ****************************************************************************** Dump file set for SYSTEM.SYS_EXPORT_TRANSPORTABLE_01 is: /u01/app/odaorabase0/oracle/dpdump/ttsps_dir/expttps.dmp ****************************************************************************** Datafiles required for transportable tablespace TBS01: /u02/app/oracle/oradata/dbnotde/DBNOTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf Job "SYSTEM"."SYS_EXPORT_TRANSPORTABLE_01" successfully completed at Mon Nov 6 12:47:19 2023 elapsed 0 00:00:14 - データ・ファイルを宛先データベース・サーバーに移動し、ソース・データベースDBNOTDEのデータ・ファイルのステータスを
READ WRITEに編集します。データ・ファイルをPDB2データ・ファイルの場所にあるTDE対応データベース・サーバーに移動します。### ### login as oracle user ### $ cp /u02/app/oracle/oradata/dbnotde/DBNOTDE/datafile/o1_mf_tbs01_lnlgn65j_.dbf /u02/app/oracle/oradata/cdbtde/CDBTDE/092546916A493FE5E063E730850AF5BE/datafile/ ### ### In source database, set the tablespace back to read write mode ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER TABLESPACE TBS01 READ WRITE;
ステップ2: 表領域をTDE対応データベースにインポートします
- Oracle Key Vaultを使用して、宛先データベースとしてTDE対応データベースCDBTDEを作成します。
expdpおよびimpdpを使用して、ソース・データベースのデータ・ファイルおよび表領域をこのデータベースにコピーします。ブラウザ・ユーザー・インタフェース(BUI)またはODACLIコマンドを使用して、Oracle Database Applianceにデータベースを作成します。たとえば:# odacli create-database -n okvdb2 -t -kt okv -osc adminobj1 -dh e2a65596-6435-4410-9e8d-6b21a6005779 -r ACFS --cdb -d pdbadmin -p pdb2 # odacli describe-database -n cdbtde Database details ---------------------------------------------------------------- ID: c1ba7c6a-2808-4a20-bf23-e35cb62c3fd0 Description: cdbtde DB Name: cdbtde DB Type: SI CDB: true PDB Name: PDB2 PDB Admin User Name: pdbadmin Storage: ACFS Home ID: e2a65596-6435-4410-9e8d-6b21a6005779 TDE Wallet Management: ODA TDE Enabled: true KeystoreType : OKV ### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### Take a note of PDB2 GUID which helps to determine the path of PDB2 datafiles ### SQL> col PDB_NAME for a20 SQL> select PDB_NAME,GUID from dba_pdbs ; PDB_NAME GUID -------------------- -------------------------------- PDB2 092546916A493FE5E063E730850AF5BE PDB$SEED 15998A6665985353E063BE6B1F0A494A - PDB2のtnsnamesサービスを作成します。
### ### Edit the file $ORACLE_HOME/network/admin/tnsnames.ora with the following content ### PDB2 = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = <server-name>)(PORT = 1521)) (CONNECT_DATA = (SERVER = DEDICATED) (SERVICE_NAME = pdb2.test) - インポート用のディレクトリをPDB2に作成します。
### ### login as oracle user ### $ mkdir -pv /u01/app/odaorabase0/oracle/dpdump/ttsps_dir mkdir: created directory ‘/u01/app/odaorabase0/oracle/dpdump/ttsps_dir’ ### ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> ALTER SESSION SET CONTAINER=PDB2 ; SQL> CREATE DIRECTORY ttsps_dir AS '/u01/app/odaorabase0/oracle/dpdump/ttsps_dir'; Directory created. SQL> - TBS01表領域をCDBTDEの宛先データベースPDB2コンテナにインポートします。ソース・データベースの
expdpダンプ・ファイルをデータベース・ディレクトリttsps_dirにコピーします。impdpはダンプ・ファイルを使用して、表領域メタデータを宛先データベースに追加します。TRANSPORT_DATAFILESは、宛先データベース内のデータ・ファイルの場所を参照します。### ### Run impdb as SYSTEM user, password for SYSTEM need to be entered when prompted ### $ impdp system@pdb2 TRANSPORT_DATAFILES=\'/u02/app/oracle/oradata/cdbtde/CDBTDE/092546916A493FE5E063E730850AF5BE/datafile/o1_mf_tbs01_lnlgn65j_.dbf\' DIRECTORY=ttsps_dir dumpfile=exp1.dmp Import: Release 19.0.0.0.0 - Production on Thu Nov 9 21:42:25 2023 Version 19.25.0.0.0 Copyright (c) 1982, 2019, Oracle and/or its affiliates. All rights reserved. Password: Connected to: Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production Master table "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully loaded/unloaded Starting "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01": system/********@pdb2 TRANSPORT_DATAFILES='/u02/app/oracle/oradata/cdbtde/CDBTDE/092546916A493FE5E063E730850AF5BE/datafile/o1_mf_tbs01_lnlgn65j_.dbf' DIRECTORY=ttsps_dir dumpfile=exp1.dmp Processing object type TRANSPORTABLE_EXPORT/PLUGTS_BLK Processing object type TRANSPORTABLE_EXPORT/TABLE Processing object type TRANSPORTABLE_EXPORT/STATISTICS/TABLE_STATISTICS Processing object type TRANSPORTABLE_EXPORT/STATISTICS/MARKER Processing object type TRANSPORTABLE_EXPORT/POST_INSTANCE/PLUGTS_BLK Job "SYSTEM"."SYS_IMPORT_TRANSPORTABLE_01" successfully completed at Thu Nov 9 21:42:52 2023 elapsed 0 00:00:19 - 宛先のOracle Key Vault対応データベースPDB1で暗号化を有効化およびテストします。
### ### login as oracle user ### Connect to database using SQLPLUS as sysdba user ( sqlplus / as sysdba ) and run the following ### SQL> alter session set container=pdb2 ; Session altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 READ ONLY NO SQL> alter tablespace TBS01 read write ; Tablespace altered. SQL> alter tablespace TBS01 encryption online encrypt ; Tablespace altered. SQL> select TABLESPACE_NAME, STATUS , ENCRYPTED from dba_tablespaces ; TABLESPACE_NAME STATUS ENC ------------------------------ --------- --- SYSTEM ONLINE NO SYSAUX ONLINE NO UNDOTBS1 ONLINE NO TEMP ONLINE NO USERS ONLINE NO TBS01 ONLINE YES SQL> select FILE_NAME from dba_data_files where TABLESPACE_NAME='TBS01' ; FILE_NAME -------------------------------------------------------------------------------- /u02/app/oracle/oradata/cdbtde/CDBTDE/092546916A493FE5E063E730850AF5BE/datafile/ o1_mf_tbs01_lnx8h50f_.dbf ### ### Retrieve the data from TAB1 ### SQL> select OWNER, table_name from tab1 where rownum < 3 OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$ ### ### When the wallet is closed or unavailable, same SQL does not retrieve data ### To simulate wallet absence rename the cwallet.sso wallet under <wallet_root>/tde to some other name like cwallet.sso.orig ### and close the wallet. To return auto-login wallet , rename file back to cwallet.sso and run the SQL again. ### SQL> show parameter wallet_root NAME TYPE VALUE ------------------------------------ ----------- ------------------------------ wallet_root string /etc/OKV/cdbtde SQL> ! mv /etc/OKV/cdbtde/tde/cwallet.sso /etc/OKV/cdbtde/tde/cwallet.sso.orig SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE CLOSE ; SQL> select OWNER, table_name from tab1 where rownum < 3; select OWNER, table_name from tab1 where rownum < 3 * ERROR at line 1: ORA-28365: wallet is not open SQL> ! mv /etc/OKV/cdbtde/tde/cwallet.sso.orig /etc/OKV/cdbtde/tde/cwallet.sso SQL> select OWNER, table_name from tab1 where rownum < 3 2 ; OWNER -------------------------------------------------------------------------------- TABLE_NAME -------------------------------------------------------------------------------- SYS TS$ SYS ICOL$
データベースの操作
ブラウザ・ユーザー・インタフェースを使用してデータベースのリストとデータベースの詳細を表示したり、データベースを作成および削除します。CLIコマンドを使用してデータベースを管理できます。
ノート:
Oracle Database Applianceでは、新しいデータベース・ホームで作成されたデータベースの統合監査が可能です。統合監査証跡では監査情報が取得され、1つの場所に1つの形式で格納されます。この統合ビューにより、監査者は様々なコンポーネントから監査情報を相互に関連付けることができます。単一の監査証跡を使用することで、監査証跡の管理とセキュリティも向上します。Oracle Databaseの統合監査証跡の詳細は、Oracle Databaseセキュリティ・ガイドを参照してください。- データベースの表示
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracleデータベースのリストやデータベースの詳細を表示したり、Oracle Database Applianceでデータベースを作成、アップグレードおよび削除します。 - ブラウザ・ユーザー・インタフェースを使用したデータベースの作成
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceにデータベースを作成します。 - Oracle ACFSストレージでのデータベース・ホームの管理
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、Oracle Database Applianceのデータベース・ホーム・ストレージを管理します。 - ODACLIコマンドを使用したデータベースの作成
コマンドライン・インタフェースからデータベースを作成します。 - バックアップからのデータベースのクローニング
ブラウザ・ユーザー・インタフェースを使用して、バックアップからデータベースをクローニングします。 - Oracle ACFSデータベースのクローニング
ODACLIコマンドまたはBUIを使用して、既存のOracle ACFSデータベースからデータベースを作成します。 - データベースの変更
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、Oracle Database Applianceのデータベースを変更します。 - Oracleホーム間でのデータベースの移動
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、あるOracleホームから同じデータベース・バージョンの別のOracleホームにデータベースを移動します。 - データベースのアップグレード
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracleデータベースを別のデータベース・ホームのバージョンにアップグレードします。 - AutoUpgradeを使用したデータベースの手動アップグレード
AutoUpgradeを使用して、Oracle Database Applianceの以前のリリースのOracleデータベースを手動でアップグレードします。 - データベースの削除
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracleデータベースを削除します。
親トピック: Oracle Databaseの管理
データベースの表示
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracleデータベースのリストやデータベースの詳細を表示したり、Oracle Database Applianceでデータベースを作成、アップグレードおよび削除します。
親トピック: データベースの操作
ブラウザ・ユーザー・インタフェースを使用したデータベースの作成
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceにデータベースを作成します。
CLIを使用したデータベース・クローン・ファイルによるOracle Database Applianceリポジトリの更新の説明に従って、データベースを作成する前に、データベース・バージョンのOracle RDBMSクローン・ファイルでリポジトリが更新されるようにします。
ノート:
Standard EditionのOracle Database 19c以降では、Oracle RACまたはOracle RAC One Nodeデータベースのいずれも作成できません。単一インスタンスのOracle Databaseのみを作成できます。Standard EditionのOracle Database 19.6以降の場合、単一インスタンス・データベースの高可用性を有効にすることを選択できます。Enterprise EditionのOracle Database 19.15以降またはOracle Database 21.6以降の場合、単一インスタンス・データベースの高可用性を有効にすることを選択できます。ブラウザ・ユーザー・インタフェースでは、新しいデータベースを素早く簡単な方法で作成できます。ブラウザ・ユーザー・インタフェースの「Create New Database」ページには、ほとんどの構成オプションのデフォルト・オプションが設定されます。ドロップダウン・リストで使用可能なオプションのリストを迅速に表示し、オプションを選択できます。ドロップダウン・リストを使用して、新しいデータベースのOracle Databaseホーム(ORACLE_HOME)を作成するか、以前に作成した既存のORACLE_HOMEを選択できます。
Oracle Database 19.25は、Oracle Automatic Storage Management (Oracle ASM)およびOracle ASM Cluster File System (Oracle ACFS)の両方でサポートされています。Oracle ACFSで複数のデータベースが作成される場合、各データベースは、データファイルごとに独自のOracle ACFSファイル・システムで構成され、/u02/app/db user/oradata/db unique nameのネーミング規則が使用されます。このマウント・ポイントのデフォルト・サイズは100 GBです。
データベースを作成するには、次のステップに従います。
ジョブが発行され、ジョブへのリンクを含む確認ページが表示されます。リンクをクリックすると、ジョブの進捗、タスクおよびステータスが表示されます。
ジョブ確認ページを閉じた後、「Activity」タブをクリックしてジョブの進捗を監視できます。ジョブ番号をクリックすると、タスクおよびステータスの詳細が表示されます。ページをリフレッシュするには、「Refresh」をクリックします。
親トピック: データベースの操作
Oracle ACFSストレージでのデータベース・ホームの管理
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、Oracle Database Applianceのデータベース・ホーム・ストレージを管理します。
ブラウザ・ユーザー・インタフェースを使用したデータベース・ホーム・ストレージの管理
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html
- 「Database」タブをクリックします。
- 左側のペインの「Database Home Storage」をクリックします。
- データベース・ホーム・ストレージが構成されていない場合は、「Configure Database Home Storage」ボタンをクリックします。
- ディスク・グループ名を選択し、サイズをGBで指定します。
- 「Create」をクリックします。プロンプトが表示された場合は、「Yes」をクリックして、データベース・ホーム・ストレージを構成するジョブを開始することを確定します。
- 「Database」タブからすべてのデータベース・ホーム・ストレージのリストを表示し、各データベースの詳細を表示することもできます。
- データベース・ホーム・ストレージを変更するには、「Actions」ドロップダウン・リストで「Modify」を選択します。
ODACLIコマンドを使用したデータベース・ホーム・ストレージの管理
odacli configure-dbhome-storageコマンドを使用して、データベース・ホーム・ストレージを構成します。# odacli configure-dbhome-storage -dg DATAodacli list-dbhome-storagesコマンドを使用して、データベース・ホーム・ストレージをリストします。# odacli list-dbhome-storagesodacli describe-dbhome-storagesコマンドを使用して、データベース・ホーム・ストレージを詳細表示します。odacli describe-dbhome-storage -i 67622ce6-0a00-4fec-b948-7a0ba7922311コマンド・オプションの詳細は、このガイドのOracle Database Applianceコマンドライン・リファレンスの章を参照してください。
ODACLIコマンドを使用したデータベースの作成
コマンドライン・インタフェースからデータベースを作成します。
ノート:
初期データベースを作成せずにアプライアンスをプロビジョニングした場合は、Oracleホームを作成する必要があります。データベース・ホームのバージョンが移行したデータベースと異なる場合は、移行したデータベース用のデータベース・ホームを作成します。移行したデータベース専用のデータベース・ホームを作成する場合があります。注意:
ソフトウェア・キーストア、またはOracle Key Vaultのエンドポイントを持つOracle Key Vaultキーストアを使用して、データベースで透過的データ暗号化(TDE)を有効にすると、TDEウォレットのパスワードを設定するよう求められます。セキュリティ準拠のための強力なパスワードを指定します。このパスワードを初めて設定する場合は慎重に入力し、データベース管理操作のために常にこのパスワードを使用できるようにします。プロンプトが表示されたときにTDEウォレットのパスワードを指定しないと、暗号化されたデータへのアクセス中にエラーが発生します。この例では、データベース・バージョン19.25のPRODDBという名前の新しいデータベースを作成し、データベース・ホームが存在しない場合に新しいデータベース・ホームを作成します。
親トピック: データベースの操作
バックアップからのデータベースのクローニング
ブラウザ・ユーザー・インタフェースを使用して、バックアップからデータベースをクローニングします。
Oracle Database Applianceでデータベースをバックアップすると、バックアップ・レポートが作成されます。バックアップ・レポートをJSONファイルとして保存し、そのファイルを使用して、同じアプライアンスまたは別のアプライアンスにデータベースを作成できます。
バックアップからデータベースをクローニングするための前提条件を次に示します。
-
ソース・データベースのバックアップの場所は、オブジェクト・ストアまたは外部FRA (ネットワーク・ファイル・システム)である必要があります。
-
オブジェクト・ストアのバックアップ場所を使用する場合は、ホストのオブジェクト・ストア資格証明を取得します。
-
外部FRA (ネットワーク・ファイル・システム)のバックアップ場所を使用する場合は、ネットワーク・ファイル・システム(NFS)マウント・ポイントの場所を取得します。
-
オブジェクト・ストア資格証明またはNFSマウント・ポイントをバックアップ先として使用して、バックアップ・ポリシーを作成します。
-
バックアップするデータベースにバックアップ・ポリシーをアタッチします。ソース・データベースがTDE対応でない場合、Objectstoreバックアップ・ポリシーをアタッチする際に、バックアップ暗号化パスワードの指定は必須です。ただし、NFSバックアップ・ポリシーをアタッチする場合は、バックアップ暗号化パスワードはオプションです。ソース・データベースがTDE対応である場合、バックアップ先に関係なく、バックアップ暗号化パスワードを指定する必要はありません。
-
データベースの手動バックアップを作成し、バックアップの完了時に生成されるバックアップ・レポートを保存します。
バックアップからデータベースを作成するには、次のステップに従います。
親トピック: データベースの操作
Oracle ACFSデータベースのクローニング
ODACLIコマンドまたはBUIを使用して、既存のOracle ACFSデータベースからデータベースを作成します。
クローニングにより、次のことが可能になります:
-
ソース・データベースを停止せずに、別のデータベースからデータベースを作成します
-
ゴールド・イメージから複数のデータベースを作成することで、標準化された大規模デプロイメントを実現します
-
クローニングでOracle ACFSスナップショットを使用することによって、領域使用率を最適化します
-
単一ソース・データベース・タイプから様々なタイプのデータベースを作成します。たとえば、任意のタイプのソース・データベースから、単一インスタンス・データベース、Oracle RACデータベースまたはOracle RAC One Nodeデータベースを作成できます
-
使用可能なメモリーおよびCPUコアに応じて、サポートされているデータベース・シェイプ(
odb1s、odb2など)を指定して、任意のソース・データベースから任意のクラスのデータベースを作成します。 - スタンバイ・システムにクローン・データベースを作成します。スタンバイ・システムは本番システムではないため、テスト環境または開発環境のシードにより適しています。
- ソース・データベースとは異なるデータベース・ホームからクローン・データベースを実行します。
- 読取り専用ソース・データベースからクローン・データベースを作成します。
- 任意のソース・データベースから読取り専用クローン・データベースを作成します。
データベースをクローニングするための前提条件を次に示します。
-
Oracle Clusterwareがすべてのノードで実行されており、ソース・データベースが稼働している状態にします。
-
ソース・データベースで、Oracle ACFSストレージを使用する必要があります。
-
ソース・データベースはマルチテナント・コンテナ・データベース(CDB).であってはなりません
- ソース・データベースは、読取り/書込みモードまたは読取り専用モード(プライマリ・データベースの場合)でオープンする必要があります。スタンバイ・データベースは、マウントまたは読取り専用オープン・モードにできます。
-
ソース・データベースはバックアップ・モードであってはなりません。
-
ソース・データベースはアーカイブ・モードである必要があります。
- ソース・データベースのすべてのデータ・ファイルは、同じOracle ACFSディレクトリにある必要があります。
ノート:
Standard EditionのOracle Database 19c以降では、Oracle RACまたはOracle RAC One Nodeデータベースのいずれもクローニングできません。単一インスタンスのOracle Databaseのみをクローニングできます。Standard EditionのOracle Database 19.6以降の場合、単一インスタンス・データベースの高可用性を有効にすることを選択できます。コマンドライン・インタフェースを使用したOracle ACFSデータベースのクローニング
odacli clone-databaseコマンドを実行します。odacli clone-database --databaseUniqueName --dbname --dbshape --dbtype --sourcedbname --associated-networks --cpupool --dbhomeid --disable-ha --enable-ha --newhome --read-only --tdepassword--jsonクローニングする場合は、新しいデータベース・ホームを作成するか、既存のデータベース・ホームを選択できます。新しいデータベース・ホームを作成するには、
--newhomeオプションを指定します。既存のデータベース・ホームを使用するには、--dbhomeidを指定します。データベースの一意の名前、新しいデータベースの名前、データベース・シェイプ、データベースのタイプ、およびソース・データベース名を指定します。TDE対応データベースの場合は、--tdepasswordオプションも指定します。新しいデータベースのTDEパスワードは、ソース・データベースのTDEパスワードと同じである必要があります。すべてのコマンド・オプションの詳細は、ODACLIコマンド・リファレンスの章を参照してください。
ブラウザ・ユーザー・インタフェースを使用したOracle ACFSデータベースのクローニング
関連トピック
親トピック: データベースの操作
データベースの変更
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、Oracle Database Applianceのデータベースを変更します。
ブラウザ・ユーザー・インタフェースを使用したデータベースの変更
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html
- 「Database」タブをクリックします。
- 変更するデータベースに対して、「Actions」ドロップダウン・リストで「Modify」を選択します。
- 「Modify Database」ページでは、関連するネットワークおよびバックアップ・ポリシーをアタッチまたはデタッチしたり、データベースのシェイプとクラスを変更できます。Oracle Database 19c以降のデータベースのTDEウォレット管理を
EXTERNALからODAに変更することもできます。 - データベース・クラスまたはデータベース・シェイプを変更するには、ドロップダウン・リストで新しい値を選択します。
- ネットワークをアタッチまたはデタッチするには、「Attach Networks」フィールドおよび「Detach Networks」フィールドの値を変更します。
- 関連するバックアップ・ポリシーをデータベースから削除するには、「Select Back up Policy」ドロップダウン・リストで値を選択しないでください。
- データベースの作成時にOracle Flexディスク・グループを構成した場合は、データベース冗長性も変更できます。変更するデータベースがOracle ACFSデータベースの場合、クローニングされたすべてのOracle ACFSデータベースのデータベース冗長性が変更されます。
- バックアップ暗号化パスワードを変更することを選択できます。データベースがTDE対応である場合、RMANバックアップ暗号化パスワードは使用されません。
- データベースでOracle Key Vaultサーバー構成が使用されている場合、TDEオプションは変更できません。
- 「Specify TDE Option」を選択して、次の操作を実行します。
- 「Re-key TDE Master Encryption Key」を選択して、データベースのTDEマスター暗号化キーを更新します。「Current TDE Wallet」パスワードを指定します。
- 「Change Password for TDE Wallet」を選択し、「Current TDE Password」および「New TDE Password」を指定します。
- TDEウォレット管理が
EXTERNALに設定されている場合、「Change TDE Wallet Management」オプションを表示して選択し、ODAに設定できます。
- Enterprise EditionのOracle Database 19.15以降またはOracle Database 21.6以降の場合、単一インスタンス・データベースについて「Enable High Availability」を選択できます。
- Standard Edition Oracle Database 19.6以降の場合、単一インスタンス・データベースについて「Enable High Availability」を選択できます。
- 「Modify」をクリックします。プロンプトが表示された場合は、「Yes」をクリックして、データベースを変更するジョブを開始することを確定します。
ODACLIコマンドを使用したデータベースの変更
odacli modify-databaseコマンドを使用して、バックアップ構成、データベース・クラス、データベース・タイプ、TDEキーなどのデータベースの構成を変更するか、TDEウォレット管理をEXTERNALからODAに変更します。# odacli modify-database -s database_shape -cl database_class -i dbidたとえば:# odacli modify-database -i 1941d594-c777-4eca-9fce-18b778d5c153 -s odb2 -cl DSSたとえば、次のコマンドは、現在のTDEウォレットのパスワードを受け入れた後で、データベースのTDEマスター暗号化キーを再入力します。
# odacli modify-database -n testdb -rkt Enter TDE wallet password:odacli modify-databaseコマンド・オプションの詳細は、このガイドのOracle Database Applianceコマンドライン・リファレンスの章を参照してください。
関連トピック
親トピック: データベースの操作
Oracleホーム間でのデータベースの移動
Oracle Appliance Managerのブラウザ・ユーザー・インタフェースまたはODACLIコマンドを使用して、あるOracleホームから同じデータベース・バージョンの別のOracleホームにデータベースを移動します。
ブラウザ・ユーザー・インタフェースを使用したデータベースの移動
- ブラウザ・ユーザー・インタフェースにログインします。
https://host-ip-address:7093/mgmt/index.html
- 「Database」タブをクリックします。
- 変更するデータベースに対して、「Actions」ドロップダウン・リストで「Move」を選択します。
- データベースの移動先となる宛先データベース・ホームを選択します。宛先データベース・ホームは、同じベース・バージョンである必要があります。「Ignore Missing Patches」を選択して、欠落しているパッチを無視します。高可用性環境の場合は、「Non-Rolling」チェック・ボックスを選択すると、データベース・ホームの非ローリング移動を実行できます。
- 「Move」をクリックします。プロンプトが表示された場合は、「Yes」をクリックして、データベースを移動するジョブを開始することを確定します。
ODACLIコマンドを使用したデータベースの移動
odacli move-databaseコマンドを使用して、あるOracleホームから同じデータベース・バージョンの別のホームにデータベースを移動します。# odacli move-database -i database_ID -dh destination_database_home_IDodacli move-databaseコマンド・オプションの詳細は、このガイドのOracle Database Applianceコマンドライン・リファレンスの章を参照してください。
関連トピック
親トピック: データベースの操作
データベースのアップグレード
Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracleデータベースを別のデータベース・ホームのバージョンにアップグレードします。
別のデータベース・ホームにアップグレードする前に、Oracle RDBMSクローン・ファイルをリポジトリにアップロードして、データベース・ホームを作成する必要があります。
ノート:
Oracle RACまたはOracle RAC One Nodeデータベースは、Standard EditionのOracle Database 19c以降の宛先データベース・ホームにアップグレードできません。まず、odacli modify-databaseコマンドを使用してOracle RACまたはOracle RAC One Nodeデータベースを単一インスタンスのOracle Databaseに変換してから、単一インスタンスのOracle DatabaseをStandard Edition 19c以降の宛先データベース・ホームにアップグレードする必要があります。
親トピック: データベースの操作
AutoUpgradeを使用したデータベースの手動アップグレード
AutoUpgradeを使用して、Oracle Database Applianceの以前のリリースのOracleデータベースを手動でアップグレードします。
Oracle Database Applianceリリース19.17以降、ODACLIまたはBUIを使用して19cより前のOracle Databaseのリリースを管理することはできません。Oracle Database Applianceでリリース12.1、12.2および18cのOracleデータベースをアップグレードするには、OPatchを使用してデータベースにパッチを適用するか、Oracle Database Upgrade Assistant (DBUA)またはAutoUpgradeを使用して、Oracle Database Appliance 19.17以降でこれらのデータベースを手動でアップグレードします。
次のことを確認します:
- Oracle Database ApplianceサーバーはOracle Database Applianceリリース19.19以降である必要があります。
- リポジトリは、ソースおよびターゲットのOracle Database Applianceシステム上のターゲット・データベース・クローン・バージョンで更新する必要があります。
親トピック: データベースの操作
データベース・ホームの操作
ブラウザ・ユーザー・インタフェースを使用してデータベース・ホームのリストと詳細を表示したり、データベース・ホームを作成および削除します。
- Oracle Database Applianceでの複数のOracleホームの管理について
Oracle Database Applianceで1つ以上のOracleホーム・ディレクトリとOracleデータベースを作成および管理します。 - データベース・ホームの表示
ブラウザ・ユーザー・インタフェースを使用して、データベース・ホームのリストおよびデータベース・ホームの詳細(DBホームに関連付けられているデータベースを含む)を表示します。 - データベース・ホームの作成
ブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceにデータベース・ホームを作成します。 - データベース・ホームの削除
ブラウザ・ユーザー・インタフェースを使用して、Oracleデータベース・ホームを削除します。
親トピック: Oracle Databaseの管理
Oracle Database Applianceでの複数のOracleホームの管理について
Oracle Database Applianceで1つ以上のOracleホーム・ディレクトリとOracleデータベースを作成および管理します。
Oracleホームは、Oracle Databaseバイナリをインストールするディレクトリで、ここからOracle Databaseを実行します。Oracle Database Applianceは、Oracle Databaseホームの様々なリリースを含む、複数のOracleホームをサポートします。特定のOracleホームに複数のOracleデータベースを作成できます。Oracle Appliance Managerブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceで複数のOracleホームおよびデータベースを作成および管理します。Oracle Database Appliance Managerでは、OracleのOptimal Flexible Architecture (OFA)標準に準拠したOracle Database Oracleホームが自動的に作成されます。
Oracle Database Applianceプラットフォームに対してサポートされている特定のOracleソフトウェア・リリースに関する情報を取得するには、Oracle Database Applianceリリース・ノートを確認してください。
ODACLIコマンドを使用してOracle Database Applianceで複数のホームを作成する場合、コマンドにより、Oracleホーム・クローニング・プロセスが開始されます。Oracle Database Applianceデプロイメントにおいて、ユーザーoracleはデフォルトのソフトウェア・インストール所有者です。
ブラウザ・ユーザー・インタフェースまたはコマンドライン・インタフェースを使用してデータベースを作成および管理できます。
Oracle Database Applianceでデータベースを作成、リスト、詳細表示および削除するには、ODACLIコマンドを使用します。odacli create-databaseコマンドを使用すると、ユーザー入力を最小限に抑えながらデータベースを作成できます。追加オプションなしでこのコマンドを実行すると、新規のデータベース・ホーム(ORACLE_HOME)が作成されます。--dbhomeidオプションを使用して、既存のホームにデータベースを作成できます。dbhomeidを検索するには、odacli list-dbhomesコマンドを使用します。
ブラウザ・ユーザー・インタフェースを使用して、データベースとデータベース・ホームを作成、リスト、詳細表示および削除することもできます。データベース・ホームの名前、ID、バージョン、データベース・ホームが作成された日時および場所を含むすべてのデータベース・ホームのリストを同じページに表示できます。ブラウザ・ユーザー・インタフェースでデータベース・ホームを作成および削除することもできます。
注意:
Oracle DatabaseパッチをOracle Database Appliance上のOracle Databasesに直接適用しないでください。ソフトウェア・スタック全体での動作がテストされたOracle Database Applianceパッチ・バンドルのみを使用してください。1回かぎりのデータベース・パッチが必要な場合は、Oracleホームに適用できます。Oracle Database Applianceパッチ・バンドルを適用すると、将来のパッチ適用イベント時の競合の原因となり、ロールバックして再適用する必要がある場合があります。
親トピック: データベース・ホームの操作
データベース・ホームの表示
ブラウザ・ユーザー・インタフェースを使用して、データベース・ホームのリストおよびデータベース・ホームの詳細(DBホームに関連付けられているデータベースを含む)を表示します。
親トピック: データベース・ホームの操作
データベース・ホームの作成
ブラウザ・ユーザー・インタフェースを使用して、Oracle Database Applianceにデータベース・ホームを作成します。
データベース・ホームを作成する前に、Oracle Database Appliance RDBMSクローン・ファイル・イメージがリポジトリに存在する必要があります。データベース・ホームを作成するには、次のステップに従います。
親トピック: データベース・ホームの操作
データベース・ホームの削除
ブラウザ・ユーザー・インタフェースを使用して、Oracleデータベース・ホームを削除します。
データベース・ホーム(DBホーム)がどのデータベースにも関連付けられていない場合、削除できます。
親トピック: データベース・ホームの操作
データベースの移行
次のトピックを参照して、データベースを準備してデータベース全体をOracle Database Applianceに移行する方法について学習します。
- データベースの移行について
RMAN duplicateコマンドを使用して、アクティブなコンテナ・データベース(CDB)または非CDBデータベース全体をOracle Database Applianceマシンに移行できます。 - 静的リスナーの構成
データベースを複製する前に静的リスナーを構成します。 - データベースの移行
RMAN Duplicateコマンドを使用して、データベース全体をアプライアンスに移行します。 - データベースの登録
odacli register-databaseコマンドを使用して、移行したデータベースをアプライアンスに登録します。
親トピック: Oracle Databaseの管理
データベースの移行について
RMAN duplicateコマンドを使用して、アクティブなコンテナ・データベース(CDB)または非CDBデータベース全体をOracle Database Applianceマシンに移行できます。
RMAN Duplicateを使用する場合は、ソース・ターゲットとターゲット・データベースからのネットワーク接続があることを確認してください。
-
ソース・データ: 移行する既存のデータベース。
-
ターゲット・データベース: Oracle Database Appliance環境で作成される新しいデータベース。
ソース環境とターゲット環境の間にネットワーク接続がない場合、オフラインの移行方法を使用できます。オフラインの移行では複製にRMANバックアップ・セットを使用している場合があります。この方法ではプライマリ・データベースへの接続は不要です。
この手順ではおおまかに次のステップが含まれます。
-
Oracle Database Applianceをデプロイするか、最新バージョンに更新します。
プロビジョニングが正常に完了したことを確認します。ベア・メタル・システムでは、コマンド
odacli list-jobsおよびコマンドodacli describe-jobを使用してステータスを確認します。 -
コマンドライン・インタフェースからインスタンスのみのデータベースを作成します。
-
ベア・メタル・システムでは、Oracle Database Applianceマシンで
instanceonlyフラグを指定したコマンドodacli create-databaseを使用します。新しいデータベースはターゲット・データベースです。
インスタンスのみのデータベースを作成すると、以下も作成されます。
-
データベース・ファイルの格納に使用されるACFSファイルシステム
-
データベース・インスタンス/rman duplicateコマンドに必要なディレクトリ構造
-
SYSユーザー用のパスワード・ファイル
-
-
静的リスナーを構成します。
-
バックアップと復元操作を使用して既存のデータベースをターゲット・データベースに移行します。
-
移行したデータベースをアプライアンスに登録します。
ノート:
同じストレージ・タイプのデータベースのみを移行および登録できます。たとえば、Oracle ACFSデータベースを移行および登録するには、Oracle ACFSデータベースを作成してから移行および登録する必要があります。同様に、Oracle ASMデータベースを移行するには、Oracle ASMデータベースを作成してから移行する必要があります。親トピック: データベースの移行
静的リスナーの構成
データベースを複製する前に静的リスナーを構成します。
静的リスナーは、RMAN Duplicateコマンドを使用する場合にのみ必要です。
次のステップを実行してlistener.oraファイルを手動で構成します。
親トピック: データベースの移行
データベースの移行
RMAN Duplicateコマンドを使用して、データベース全体をアプライアンスに移行します。
データベースを移行する前に、ソース・データベースと宛先データベースの間にネットワーク接続が存在することを確認します。
親トピック: データベースの移行
データベースの登録
odacli register-databaseコマンドを使用して、移行したデータベースをアプライアンスに登録します。
dbclass、dbshape、servicenameおよびパスワードは、データベースを登録する際に必須です。dbclassおよびdbshapeで、sga_targetおよびpga_targetの設定が決まります。データベースinit.oraパラメータは、odacli register-databaseコマンドの一部としてリセットされます。登録後にinit.oraパラメータで、パラメータが正しく設定されているか確認します。
データベースを登録するには、次のステップに従います。
親トピック: データベースの移行
TDE対応データベースの登録について
透過的データベース暗号化(TDE)対応データベースの登録プロセスを理解します。
Oracle Database Applianceリリース19.12以降、TDE Wallet Managementという新しい属性がデータベースに追加されています。TDE Wallet Management値には、EXTERNAL (TDEがOracle Database Applianceによって構成されないことを意味する)またはODA (TDEがOracle Database Applianceによって構成されることを意味する)を指定できます。データベースがTDE対応でない場合、TDE Wallet Management属性の値はNULLになります。リリース18c以降のデータベースが登録されている場合、そのTDEウォレット管理属性値はデフォルトでODAです。18cより前のリリースのデータベースが登録されている場合、TDEウォレット管理属性値はデフォルトでEXTERNALです。サンプル出力を含む例が、このトピックの最後に記載されています。
Oracle Databaseリリース19c以降では、TDE Wallet Management値がEXTERNALの場合、odacli modify-databaseコマンドで--change-tdewallet-mgmtオプションを使用して、この値をODAに変更できます。プロンプトが表示されたら、TDEパスワードを指定する必要があります。
Oracle Databaseリリース12cでは、
odacli upgrade-databaseコマンドで--change-tdewallet-mgmtオプションを使用してデータベースを19c以降にアップグレードする間に、TDE Wallet Management値をEXTERNALからODAに変更できます。
ノート:
Oracle Database Applianceでは、非TDEデータベースからTDE対応データベースへの変換はサポートされていません。ノート:
このOracle Database Applianceリリースでは、Oracle Key Vaultに格納されているTDEキーを使用してTDE対応データベースを登録することはできません。TDE対応データベースを登録するための前提条件
TDE対応データベースを登録するための前提条件を次に示します。
- ソフトウェア・キーストアまたはハードウェア・キーストアのいずれかを使用して、TDEを構成できます。
- ソフトウェア・キーストアを使用してTDEが構成されている場合は、
SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータのみを使用する必要があります。 - ソフトウェア・キーストアを使用してTDEが構成されている場合、ベア・メタル・デプロイメントでは、パスワード保護ウォレット(
ewallet.p12)および自動ログインTDEウォレット(cwallet.sso)が/opt/oracle/dcs/commonstore/wallets/tde/db_uniquename/の場所で使用可能である必要があります。 - 自動ログインTDEウォレット(
cwallet.sso)は存在しないが、パスワード保護ウォレット(ewallet.p12)が存在する場合は、データベースの登録リクエストにTDEパスワードを指定する必要があります。 - Oracle Database Appliance DBシステム・デプロイメントでは、TDEがソフトウェア・キーストアを使用して構成されている場合、TDEが
WALLET_ROOTパラメータを使用して構成され、TDEウォレットが+DATA/DB_UNIQUE_NAME/tdeの場所にある必要があります。 - 登録するデータベースのインスタンス名は、データベース名と同じである必要があります。この条件は、TDEが有効になっていないデータベースにも適用されます。
TDE Wallet Management値がEXTERNALの場合
TDE Wallet Management値がEXTERNALの場合の制限は次のとおりです。
- ODACLIコマンドを使用したTDEウォレットの再入力はサポートされていません。データベースに接続して、TDEウォレットを再入力できます。
# odacli modify-database -in db_name -rkt Enter TDE wallet password: DCS-10040:Operation 'Re-Key of TDE wallet' is not supported: TDE wallet management is not ODA. - ODACLIコマンドを使用したTDEウォレットのパスワードの変更はサポートされていません。
# odacli modify-database -in db_name -ctp Enter current TDE wallet password: Enter new TDE wallet password: Retype new TDE wallet password: DCS-10040:Operation 'Password change of TDE wallet' is not supported: TDE wallet management is not ODA. - TDEウォレットのバックアップはサポートされていません。
# odacli create-backup -in database_name -c tdewallet DCS-10040:Operation 'Backup of TDE wallet' is not supported: TDE wallet management is not ODA. - データベースのバックアップの実行中には、TDEウォレットはバックアップされません。
# odacli create-backup -in database_name -bt regular-l0 { "jobId" : "49153a90-d4bd-45e7-b3b7-46078621b895", "status" : "Created", "message" : null, "reports" : [ ], "createTimestamp" : "August 24, 2021 05:59:53 AM UTC", "resourceList" : [ ], "description" : "Create regular-l0 Backup[TAG:auto][Db:db_name][OSS:example]", "updatedTime" : "August 24, 2021 05:59:53 AM UTC" } # odacli describe-job -i 49153a90-d4bd-45e7-b3b7-46078621b895 Job details ---------------------------------------------------------------- ID: 49153a90-d4bd-45e7-b3b7-46078621b895 Description: Create regular-l0 Backup[TAG:auto][Db:db_name][OSS:example] Status: Success Created: August 24, 2021 5:59:53 AM UTC Message: Task Name Start Time End Time Status ---------------------------------------- ----------------------------------- ----------------------------------- ---------- Validate backup config August 24, 2021 5:59:56 AM UTC August 24, 2021 5:59:56 AM UTC Success Container validation August 24, 2021 5:59:56 AM UTC August 24, 2021 5:59:57 AM UTC Success libopc existence check August 24, 2021 5:59:57 AM UTC August 24, 2021 5:59:57 AM UTC Success Backup Validations August 24, 2021 5:59:57 AM UTC August 24, 2021 6:00:02 AM UTC Success Recovery Window validation August 24, 2021 6:00:02 AM UTC August 24, 2021 6:00:05 AM UTC Success Archivelog deletion policy configuration August 24, 2021 6:00:05 AM UTC August 24, 2021 6:00:08 AM UTC Success Database backup August 24, 2021 6:00:08 AM UTC August 24, 2021 6:02:06 AM UTC Success # odacli describe-backupreport -i b75c7ffa-68f8-4eea-8f12-bfe30b8c92f7 | grep -i tde "tdeWalletLoc" : null, - TDEウォレットのリストアはサポートされていません。
# odacli restore-tdewallet -in db_name Enter TDE wallet password: DCS-10040:Operation 'Restore of TDE wallet' is not supported: TDE wallet management is not ODA. - TDE対応データベースのクローニングはサポートされていません。
odacli clone-database -n db_name2 -f db_name -u db_name2 Enter SYS user password: Retype SYS user password: DCS-10040:Operation 'Cloning of TDE database' is not supported: TDE wallet management is not ODA. - データベースをデータベース・ホーム間で移動すると、宛先データベース・ホームで
SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータが更新されます。 - データベースをアップグレードすると、新しいデータベース・ホームで
SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータが更新されます。 - データベース・ホームを更新すると、新しいデータベース・ホームで
SQLNET.ENCRYPTION_WALLET_LOCATIONパラメータが更新されます。 - データベースを削除しても、TDEウォレットは削除されません。
- Oracle Database Appliance DBシステムでは、
WALLET_ROOTパラメータを使用してTDEが構成されているデータベースのみを登録できます。
例9-1 ベア・メタル・デプロイメントに登録されたTDE対応データベースの出力例
# odacli describe-database -in mydb
Database details
----------------------------------------------------------------
ID: 47de99d6-62cc-4623-a38c-1ac880e7082c
Description: mydb
DB Name: mydb
DB Version: 19.11.0.0.210420
DB Type: SI
DB Role: PRIMARY
DB Target Node Name: node1
DB Edition: EE
DBID: 2987837625
Instance Only Database: false
CDB: false
PDB Name:
PDB Admin User Name:
High-Availability Enabled: false
Class: OLTP
Shape: odb1
Storage: ASM
DB Redundancy:
CharacterSet: AL32UTF8
National CharacterSet: AL16UTF16
Language: AMERICAN
Territory: AMERICA
Home ID: 6717bed4-104a-415b-8d26-c0de634a2c85
Console Enabled: false
TDE Enabled: false
TDE Wallet Management: External
Level 0 Backup Day: Sunday
AutoBackup Enabled: true
Created: May 18, 2021 3:33:13 AM UTC
DB Domain Name: example_domain
Associated Networks: Public-network
CPU Pool Name: 例9-2 Oracle Database Appliance DBシステム・デプロイメントに登録されたTDE対応データベースのサンプル出力
# odacli describe-database -in mydb
odacli describe-database -in mydb
Database details
----------------------------------------------------------------
ID: 47de99d6-62cc-4623-a38c-1ac880e7082c
Description: mydb
DB Name: mydb
DB Version: 19.11.0.0.210420
DB Type: SI
DB Role: PRIMARY
DB Target Node Name: node1
DB Edition: EE
DBID: 2987837625
Instance Only Database: false
CDB: false
PDB Name:
PDB Admin User Name:
High-Availability Enabled:false
Class: OLTP
Shape: odb1
Storage: ASM
DB Redundancy:
CharacterSet: AL32UTF8
National CharacterSet: AL16UTF16
Language: AMERICAN
Territory: AMERICA
Home ID: 6717bed4-104a-415b-8d26-c0de634a2c85
Console Enabled: false
TDE Enabled: false
TDE Wallet Management: ODA
Level 0 Backup Day: Sunday
AutoBackup Enabled: true
Created: May 18, 2021 4:33:13 AM UTC
DB Domain Name: example_domain
Associated Networks: Public-network
CPU Pool Name:例9-3 パスワード保護ウォレット(ewallet.p12)が存在し、自動ログインTDEウォレット(cwallet.sso)が存在しない場合の、Oracle Database Applianceに登録されたTDE対応データベースのサンプル出力
# odacli register-database -sn example_service --dbclass OLTP --dbshape odb2
Enter SYS user password:
DCS-10011:Input parameter 'TDE wallet password' cannot be NULL.Required to generate Autologin wallet at /opt/oracle/dcs/commonstore/wallets/tde/db_name
odacli register-database -sn example_service --dbclass OLTP --dbshape odb2 -tp
Enter SYS, SYSTEM and PDB Admin user password:
Retype SYS, SYSTEM and PDB Admin user password:
Enter TDE wallet password
Retype TDE wallet password:
{
"jobId" : "4903b711-f144-4aed-9bf6-31c79dbce261",
"status" : "Created",
"message" : null,
"reports" : [ ],
"createTimestamp" : "August 25, 2021 05:42:13 AM UTC",
"resourceList" : [ ],
"description" : "Database service registration with db service name: example_service",
"updatedTime" : "August 25, 2021 05:42:14 AM UTC"
}
# odacli describe-job -i 4903b711-f144-4aed-9bf6-31c79dbce261
Job details
----------------------------------------------------------------
ID: 4903b711-f144-4aed-9bf6-31c79dbce261
Description: Database service registration with db service name: example_service
Status: Success
Created: August 25, 2021 5:42:13 AM UTC
Message:
Task Name Start Time End Time Status
---------------------------------------- ----------------------------------- ----------------------------------- ----------
TDE parameter validate at destination August 25, 2021 5:42:14 AM UTC August 25, 2021 5:42:14 AM UTC Success
Enable OMF parameters August 25, 2021 5:42:17 AM UTC August 25, 2021 5:42:17 AM UTC Success
Setting db character set August 25, 2021 5:42:17 AM UTC August 25, 2021 5:42:18 AM UTC Success
Move Spfile to right location August 25, 2021 5:42:18 AM UTC August 25, 2021 5:42:24 AM UTC Success
Enable DbSizing Template August 25, 2021 5:42:24 AM UTC August 25, 2021 5:43:15 AM UTC Success
Copy Pwfile to Shared Storage August 25, 2021 5:43:16 AM UTC August 25, 2021 5:43:20 AM UTC Success
Running DataPatch August 25, 2021 5:43:20 AM UTC August 25, 2021 5:43:32 AM UTC Success
configuring TDE August 25, 2021 5:43:32 AM UTC August 25, 2021 5:44:51 AM UTC Success
Reset Associated Networks August 25, 2021 5:44:52 AM UTC August 25, 2021 5:44:55 AM UTC Success 親トピック: Oracle Databaseの管理
インスタンス・ケージングを使用した複数データベース・インスタンスの管理について
インスタンス・ケージングを使用してOracle Database Appliance上でシステム・リソースを管理します。
Oracle Databaseには、複数のデータベース・インスタンスを実行する複数CPUサーバーでCPU割当てを管理する方法が用意されています。この方法はインスタンス・ケージングと呼ばれます。インスタンス・ケージングでは、初期化パラメータを使用して、インスタンスが同時に使用できるCPU数を制限します。
インスタンス・ケージングとOracle Database Resource Manager (リソース・マネージャ)が連携して、複数インスタンス間で必要なサービス・レベルをサポートします。統合により、アイドル・リソースを最小限に抑え、効率を最大限に高め、コストを下げることができます。
Oracle Database Applianceテンプレートは、各データベース・インスタンス・ワークロードのサイズに合せて事前チューニングされています。特定のコア数で動作するよう設計されています。インスタンス・ケージングによって、各データベースのワークロードは、テンプレートで割り当てられたコアのセットに制限されます(これによって、複数のデータベースを同時に、パフォーマンスを低下させることなく、Oracle Database Applianceの容量まで、実行できるようになります)。計画的成長に備えるために、現在のニーズよりも大きいデータベース・テンプレート・サイズを選択できます。
ノート:
Oracle Database Applianceテンプレートはベスト・プラクティスを実装しており、特にOracle Database Appliance用に構成されているため、これらのテンプレートを使用することを強くお薦めします。
Oracle Database Appliance Managerインタフェースは、データベースのクラスとしてデータベースのサイズ設定テンプレートを参照してください。
デフォルトでは、Oracle Database Applianceインスタンス・ケージングは有効ではありません。インスタンス・ケージングを有効にするには、Oracle Database Appliance上の各データベースに初期パラメータRESOURCE_MANAGER_PLANを設定します。このパラメータでは、リソース・マネージャが現行のインスタンスに対して使用するプランを指定します。このパラメータを設定すると、リソース・マネージャがデータベース間のコア・リソースを割り当てるようになります。このパラメータでプランを指定しない場合、リソース・マネージャおよびインスタンス・ケージングは有効になりません。
各データベースに対して選択したOracle Database Applianceデータベース・テンプレートのサイズに従って、コア・リソースのインスタンス・ケージング割当てが有効になります。CPU_COUNT初期化パラメータは、テンプレートに設定されます。統合する各データベースのサイズと一致するCPU_COUNT設定を使用して、インスタンス・ケージングを構成するための標準の指示に従います。
親トピック: Oracle Databaseの管理
Oracle EM ExpressおよびDBコンソール
Oracle Enterprise Manager Database Express (EM Express)またはDatabase Controlコンソール(DBコンソール)を使用してデータベースを管理できます。
EM Expressコンソールは、Oracle Databaseのサポートされているリリースで使用できます。コンソールは、Oracle Databaseを管理するためのWebベースのツールです。
EM Expressコンソールには、次の機能があります。
-
保管やユーザー管理などの基本管理タスクのサポート
-
パフォーマンスの診断と調整のための包括的なソリューション
-
グラフィカル・ユーザー・インタフェースでのパフォーマンス・アドバイザ
-
SQL*Loader、Oracle Recovery Manager (RMAN)などのグラフィカル・ユーザー・インタフェース用のOracle Databaseユーティリティ
EM Expressはデータベース・サーバー内に構築され、データベース外でアクションを実行できません。
親トピック: Oracle Databaseの管理