6 スタンドアロンOracle Key Vaultサーバーのアップグレード

このアップグレードには、関連付けられたエンドポイント・ソフトウェアを制御するOracle Key Vaultサーバー・ソフトウェアおよびユーティリティが含まれます

6.1 スタンドアロンOracle Key Vaultサーバーのアップグレードについて

新機能およびセキュリティ強化のメリットを活用するために、Oracle Key Vaultサーバーは最新リリースにアップグレードすることをお薦めします。

アップグレードは、次の順序で実行する必要があります。最初にOracle Key Vaultのフル・バックアップを実行し、Oracle Key Vaultサーバーをアップグレードし、エンドポイント・ソフトウェアをアップグレードして、最後に、アップグレードしたサーバーに対して再度フル・バックアップを実行します。アップグレードする場合は、Oracle Key Vaultサーバーの再起動が必要になることに注意してください。

本番で使用する場合は、マルチマスター・クラスタ・デプロイメントを使用することをお薦めします。マルチマスター・クラスタのアップグレード時には、データベースやビジネス・アプリケーションを停止する必要がありません。2ノードのクラスタでは読取り専用の可用性を実現でき、4ノード以上のクラスタでは継続的な読取り/書込みの可用性を実現できます。永続キャッシュ機能を有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

最新の拡張機能にアクセスするためにOracle Key Vaultサーバー・ソフトウェアをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードしてください。以前のOracle Key Vaultリリースのエンドポイント・ソフトウェアは、アップグレードしたOracle Key Vaultサーバーで引き続き機能しますが、新しいエンドポイント機能は機能しない場合があります。

アップグレードを始める前に、アップグレードするための詳細情報を『Oracle Key Vaultリリース・ノート』で参照してください。

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.2 ステップ1: アップグレード前のサーバーのバックアップ

Oracle Key Vaultサーバーをアップグレードする前に、アップグレードに失敗した場合にデータをリカバリできるように、リモート宛先に1回限りのバックアップを実行します。

注意:

このステップはスキップしないでください。アップグレードの実行前にサーバーをバックアップして、データを安全かつリカバリ可能な状態にします。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.3 ステップ2: スタンドアロンOracle Key Vaultのアップグレード前タスクの実行

Oracle Key Vaultにスムーズにアップグレードするために、アップグレードするサーバーを準備する必要があります。

  1. Oracle Key Vaultがインストールされているサーバーで、ユーザーsupportとしてログインしてから、rootユーザーに切り替えます。
  2. サーバーがアップグレードの最小ディスク領域要件を満たしていることを確認します。たとえば、/usr/local/dbfw/tmpディレクトリでは6 GBの空き領域です。アップグレードのディスク領域要件を確認するには、このリリースのOracle Key Vault Readmeを参照してください。
  3. アップグレードする前に、必ず、次のステップを実行して診断を無効にし、/usr/local/dbfw/tmpのディスク領域をクリーン・アップします。

    アップグレードするOracle Key Vaultシステムがリリース21.6以降の場合は、システム管理者ロールを持つユーザーとしてOracle Key Vault管理コンソールにログインし、「System」タブに移動し、「Diagnostics」ボタンをクリックします。

    「Diagnostics Package Files」ペインが表示された場合は、「Clear」をクリックして診断を無効にします。「Diagnostics Package Files」ペインは、診断バンドルが以前に生成され、ファイルがクリアされなかった場合にのみ表示されます。

    「Diagnostics Package Files」ペインが表示されない場合、またはdbfw-diagnostics-package.rbユーティリティを使用して診断バンドルが以前に生成されていた場合は、Oracle Key Vaultシステムにログインし、次のコマンドを実行して診断を無効にし、/usr/local/dbfw/tmp内のディスク領域をクリーン・アップします:

    1. ユーザーsupportとしてOracle Key VaultシステムにSSH接続してから、ユーザーrootに切り替えます:
      ssh support@<OKV_IP_Address>
su – root
    2. 次のコマンドを使用して、生成された診断zipファイルを削除し、パッケージを削除します:
      /usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --clean
/usr/local/dbfw/bin/priv/dbfw-diagnostics-package.rb --remove
  4. ブート・パーティションのサイズを確認します。問題のあるいずれかのノードに500 MB未満のブート・パーティションがある場合は、そのシステムを新しいリリースにアップグレードできません。このサイズは、次のようにして確認できます。
    1. /bootパーティションをマウントします。
      # mount /boot
    2. 次のコマンドで指定したSize列を確認します。
      # df -h /boot
    3. /bootパーティションをアンマウントします。
      # umount /boot
    このコマンドで指定したブート・パーティションが488 MB未満である場合は、現在のリリースにアップグレードできません。現在の構成のバックアップを、現在のシステムと同じリリースを新規にインストールしたシステムにリストアし、かわりにそれを新しいリリースにアップグレードすることをお薦めします。
  5. Oracle Key VaultでBIOSブート・モードを使用している場合は、ディスク・サイズが2 TBを超えないようにしてください。この場合、現行リリースにアップグレードすることはできません。現在の構成のバックアップを2 TB未満のサイズのディスクを持つシステムにリストアし、かわりに新しいリリースにアップグレードすることをお薦めします。
  6. 使用可能なディスク領域を増やす必要がある場合は、/usr/local/okv/sslにある一時jarファイルを削除します。その際には注意が必要です。 /usr/local/okv/sslのjarファイル以外のファイルを誤って削除すると、Oracle Key Vaultサーバーは機能しなくなります。
  7. vg_rootサイズを拡張して、ディスク領域を増やします。
    アップグレードを実行する前に、vg_rootを拡張してディスク領域を増やす必要があります。
  8. フル・バックアップや増分バックアップのジョブが実行されていないことを確認してください。アップグレードの前に、スケジュールされたフル・バックアップまたは増分バックアップのジョブをすべて削除してください。
  9. 次の仕様に従い、停止時間を計画します。
    Oracle Key Vaultの使用 停止時間の必要性

    ウォレットのアップロードまたはダウンロード

    なし

    Javaキーストアのアップロードまたはダウンロード

    なし

    Transparent Data Encryption (TDE)直接接続

    はい(永続キャッシュを使用する場合は、いいえ)

    プライマリ・スタンバイ・デプロイメントにおけるプライマリ・サーバーのアップグレード

    はい(永続キャッシュを使用する場合は、いいえ)
  10. 停止時間の計画。
    Oracle Key Vaultでオンライン・マスター暗号化キーを使用する場合は、Oracle Databaseエンドポイント・ソフトウェアのアップグレード中に、15分の停止時間を計画してください。合計停止時間を短縮するため、データベース・エンドポイントは同時にアップグレードできます。
  11. Oracle Key Vaultシステムでsyslog宛先が構成されている場合は、リモートsyslog宛先がOracle Key Vaultシステムからアクセス可能であり、ログが正しく転送されることを確認してください。リモートsyslog宛先にOracle Key Vaultシステムからアクセスできない場合、アップグレード処理が通常より大幅に遅くなる可能性があります。
  12. Oracle Audit VaultがOracle Key Vaultリリース21.2以前と統合されていた場合は、次の手順を実行してOracle Audit Vault統合を無効化し削除します。
    1. Oracle Audit Vault統合の無効化: Oracle Key Vault管理コンソールにシステム管理者としてログインし、「System」タブを選択し、左側のナビゲーション・バーから「Settings」を選択します。「Monitoring and Alerts」ペインで、「Audit Vault」を選択します。表示される「Audit Vault integration」ペインで、AVDFを無効にします。「Save」をクリックします。
    2. ユーザーsupportとしてSSHを介してOracle Key Vaultサーバーにログインし、ユーザーsurootに切り替えてから、ユーザーsuoracleに切り替えます。
    3. 次のコマンドを実行して、エージェントを停止します。
      agent_installation_directory/bin/agentctl stop
    4. Oracle Audit Vault ServerコンソールにOracle Audit Vault管理者としてログインします。
    5. 対応するエージェントとターゲットを削除します。
    6. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    7. Oracle Audit Vaultエージェントのインストール・ディレクトリを削除します。
  13. HSMをルート・オブ・トラストとして使用しているときにアップグレードを実行する場合は、必要になる可能性のある追加のステップについて、Oracle Key Vaultルート・オブ・トラストHSM構成ガイドを参照してください。
  14. アップグレードを開始する前に、Oracle Key Vaultサーバー証明書の有効期限が切れていないこと、または有効期限が近くないことを確認します。
    Oracle Key Vaultサーバー証明書の有効期限が切れるまでの時間は、Oracle Key Vault管理コンソールの「Configure Alerts」ページで「OKV Server Certificate Expiration」設定を選択して確認できます。
  15. orapwdbfwdbファイルのバックアップが元のファイルと一致していることを確認します。
    1. ユーザーsupportとしてOracle Key VaultシステムにSSH接続してから、ユーザーrootに切り替えます:
      ssh support@<OKV_IP_Address>
su – root
    2. バックアップ・ファイルが存在することを確認します:
      su - oracle
ls -ltr /var/lib/oracle/okv_orapwd_backup_dir/orapwdbfwdb
    3. バックアップ・ファイルが存在する場合は、次のステップを実行します:
      • 元のファイルとバックアップ・ファイルを比較します:
        diff /var/lib/oracle/dbfw/dbs/orapwdbfwdb /var/lib/oracle/okv_orapwd_backup_dir/orapwdbfwdb
      • ファイルに違いがある場合は、元のファイルをコピーしてバックアップ・ファイルを更新します:
        cp /var/lib/oracle/dbfw/dbs/orapwdbfwdb /var/lib/oracle/okv_orapwd_backup_dir/orapwdbfwdb
  16. Oracle Key VaultがThales Luna HSMと統合されている場合は、次の手順を実行します:
    1. アップグレード前スクリプトに次のコマンドを追加して、アップグレード・プロセス中にOracleユーザーがlibSoftToken.soライブラリにアクセスしてウォレットを開くことができるようにします:
      chmod 777 /usr/safenet/lunaclient/lib/libSoftToken.so
    2. アップグレード後スクリプトに次のコマンドを追加して、libSoftToken.soライブラリに対して行われた変更が維持されるようにします:
      chmod 550 /usr/safenet/lunaclient/lib/libSoftToken.so

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.4 ステップ3: リリース21.12アップグレード用にvg_rootを拡張するためのディスク領域の追加

Oracle Key Vaultリリース12.2または18から21にアップグレードする前に、vg_rootを拡張してディスク領域を増やす必要があります。

以前のOracle Key Vaultリリース21.xからアップグレードしていて、vg_rootをすでに拡張している場合は、このステップをバイパスできます。
この手順を開始する前に、すべてのエンドポイントで永続キャッシュが有効で使用中であることを確認します。
  1. アップグレードを実行するサーバーにログインし、rootとしてユーザーを切り替えます。
  2. Oracle Key Vaultの永続キャッシュ設定が設定されていることを確認します。
    この手順の後半のステップでサーバーを停止する必要があるため、永続キャッシュが有効になっていることを確認する必要があります。Oracle Key Vaultサーバーを停止すると、停止時間が発生します。停止時間を回避するために、永続キャッシュをオンにすることをお薦めします。
  3. vgsコマンドを実行して、空き領域の量を決定します。
    vgs

    VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

  4. 新しいディスクを追加するには、サーバーの電源を切ります。
    /sbin/shutdown -h now
  5. 容量が100 GB以上の新しいディスクをサーバーに追加します。
  6. サーバーを起動します。
  7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
  8. Oracle Key Vaultサービスを停止します。
    service tomcat stop;
service httpd stop;
service kmipus stop;
service kmip stop;
service okvogg stop;
service javafwk stop;
service monitor stop;
service controller stop;
service dbfwlistener stop;
service dbfwdb stop;
service rsyslog stop;
  9. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
    fdisk -l
    この段階では、使用可能なパーティションはありません。
  10. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdbという名前のディスク・デバイスを作成するには、次のようにします。
    fdisk /dev/sdb

    表示されるプロンプトで、次のコマンドを順番に入力します。

    • 新しいパーティションを意味するn
    • プライマリを意味するp
    • パーティション番号の1
    • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
    • 書き込んで終了するためのw
  11. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdb1にしたディスク・デバイスの場合は、次のようにします。
    pvcreate /dev/sdb1

    出力は、次のようになります。

    Physical volume "/dev/sdb1" successfully created
  12. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdb1の場合は、次のように実行します。
    vgextend vg_root /dev/sdb1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended
  13. vgsコマンドを再度実行して、(追加されたディスクのサイズに応じて) VFreeに100 GB以上の増加が示されていることを確認します。
    vgs

    出力は、次のようになります。

    VG      #PV #LV #SN Attr   VSize   VFree
vg_root   2  12   0 wz--n- 598.75g <121.41g
  14. Oracle Key Vaultサーバーを再起動します。
    /sbin/reboot

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.5 ステップ4: Oracle Key Vaultサーバーのアップグレード

スタンドアロンOracle Key Vaultサーバー・デプロイメントをアップグレードできます。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.5.1 Oracle Key Vaultサーバーのアップグレードについて

スタンドアロン・デプロイメントでは、単一のOracle Key Vaultサーバーをアップグレードする必要があります。

永続キャッシュを有効にすると、アップグレード・プロセス中にエンドポイントで操作を継続できます。

ノート:

RAMが4 GBのシステムからアップグレードする場合は、アップグレード前にまず、特定のハードウェアの手順に従って12 GB以上のRAMを追加してください。エンドポイントの停止時間が発生しないように、そのような操作を試行する前に、永続キャッシュが有効になっており、十分に大きい値に設定されていることを確認してください。

関連トピック

親トピック: ステップ4: Oracle Key Vaultサーバーのアップグレード

6.5.2 スタンドアロンOracle Key Vaultサーバーのアップグレード

スタンドアロン・デプロイメント内の単一のOracle Key Vaultサーバーが機能テストのためにテスト環境と開発環境で使用される場合があります。

  1. データを安全かつリカバリ可能な状態にするために、アップグレード対象のサーバーをバックアップしてあることを確認します。
    このステップを完了することなく先に進まないでください。
  2. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  3. SSHアクセスが有効になっていることを確認します。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  4. 宛先ディレクトリ内に、アップグレードISOファイルに十分な領域があることを確認します。
    このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
  5. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
    アップグレードのいずれかのステップの実行中にSSH接続がタイムアウトした場合、操作は正常に完了しません。アップグレードの失敗を防ぐために、SSHセッションのServerAliveIntervalおよびServerAliveCountMaxオプションに適切な値を使用していることを確認してください。tmuxコマンドの使用により、ネットワークの切断によってアップグレードが中断されるのを防止できます。セッションが終了した場合は、次のように再開します。
    root# tmux a
  6. セキュア・コピー・プロトコルか、その他のセキュアな転送方法を使用して、アップグレードISOファイルを宛先ディレクトリにコピーします。

    ノート:

    アップグレードISOファイルは、eDeliveryからダウンロードしたインストールISOファイルではありません。Oracle Key Vault 21.12アップグレード・ソフトウェアは、https://updates.oracle.com/download/38316671.htmlからダウンロードできます。 
    root# scp user_name@remote_host:remote_path/okv-upgrade-21.12.0.0.0.iso /var/lib/oracle/

    この指定内容についての説明は次のとおりです。

    • remote_hostはISOアップグレード・ファイルが含まれているコンピュータのIPアドレスです。
    • remote_pathはISOアップグレード・ファイルのディレクトリです。このファイルを/var/lib/oracleディレクトリ以外の場所にコピーしないでください。
  7. rootとして、mountコマンドを使用して、アップグレードをアクセス可能にします。
    root# mount -o loop,ro /var/lib/oracle/okv-upgrade-21.12.0.0.0.iso /images
  8. clean allコマンドを使用してキャッシュをクリアします。
    root# yum -c /images/upgrade.repo clean all
  9. upgrade.rbコマンドを使用してアップグレードを適用します:
    root# ruby /images/upgrade.rb --confirm

    システムが正常にアップグレードされた場合は、このコマンドによって、次のメッセージが表示されます。

    Reboot now to continue the upgrade process.

    エラー・メッセージが表示された場合は、ログ・ファイル/var/log/messagesで追加情報を確認します。

    Oracle Key Vaultシステムのアップグレードが次のメッセージで失敗する場合:

    Failed to apply update: The Oracle Key Vault upgrade has detected issues with FIPS mode.Please consult the Oracle Key Vault upgrade documentation or contact Oracle Support.

    次のステップを実行します。

    1. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
      ssh support@<Oracle_Key_Vault_IP_address> 
    su - root
    2. 次のコマンドを実行します。
      /images/preupgrade/okv_check_fips_status_utility fix_fips_mode_consistency
    3. 出力に表示される指示に従って、プロンプトが表示されたらシステムを再起動します。
    4. システムが正常に再起動したら、システムに再度SSHで接続します。rootユーザーとして、アップグレードISOをマウントし、次のコマンドを実行して、システムにFIPSモードの不整合がないことを確認します:
      /images/preupgrade/okv_check_fips_status_utility check_for_fips_mode_consistency

      戻り値0は、これ以上FIPSの不整合がないことを示します。

      戻り値1は、FIPSモードの不整合があることを示します。次のコマンドを実行して修正してください:

      /images/preupgrade/okv_check_fips_status_utility fix_fips_mode_consistency
  10. rebootコマンドを実行して、Oracle Key Vaultサーバーを再起動します:
    # reboot

    アップグレードISOファイルを/var/lib/oracleディレクトリにコピーしたと仮定すると、アップグレード後に初めてコンピュータを再起動したときに、/var/lib/oracle/okv-upgrade-21.12.0.0.0.isoが自動的にマウントされ、アップグレード・プロセスが終了します。(ISOが自動的にマウントされない場合は、アップグレード・プロセスによって、ISOの再アタッチを求めるプロンプトが表示されます。) これには数時間かかる場合があります。この間システムを停止しないでください。

    アップグレードは、「Oracle Key Vault Server version. This appliance was upgraded from previous_release_versionというテキストが画面に表示されると完了します。リビジョンはアップグレードされたリリースを反映しています。

  11. Oracle Key Vaultが正しいバージョンにアップグレードされていることを確認します。
    1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
    2. 「System」タブを選択し、「Status」を選択します。
    3. 最新のリリース番号のバージョンが表示されていることを確認します。
      リリース番号は、各ページ下部の著作権情報の右側にも表示されます。
  12. サイトでCommercial National Security Algorithm (CNSA)スイートを使用する場合は、これらのアルゴリズムをスタンドアロン・サーバーに再インストールします。
  13. Oracle Key Vaultシステムを再起動します。
    root# /sbin/reboot
  14. 先ほどアップグレードされたOracle Key VaultサーバーからアップグレードISOを削除します。
    たとえば:
    root# /bin/rm -f /var/lib/oracle/okv-upgrade-21.12.0.0.0.iso
  15. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

関連トピック

親トピック: ステップ4: Oracle Key Vaultサーバーのアップグレード

6.5.2.1 アップグレード前のシステム非一貫性の修正

最新のOracle Key Vaultリリースにアップグレードする前に、システムの非一貫性を修正できます。

アップグレード・パスにOracle Key Vaultリリース21.1または21.2が含まれていて、Oracle Key Vaultリリース21.1または21.2でのシステムの実行中にFIPSモードを有効または無効にしていた場合、Oracle Key Vault 21.12へのアップグレードでエラーが発生することがあります。このエラーは、Oracle Key Vault内のすべてのコンポーネントがFIPSに関して同じモードでない(つまり、すべて有効でもすべて無効でもない)ことが原因です。すべてのシステム・コンポーネントが、同様のFIPSモードで動作している必要があります。つまり、アップグレードを続行する前に、コンポーネントすべてが、FIPSモード有効であるか無効である必要があります。

Oracle Key VaultでFIPSモードに一貫性がない場合は、アップグレード時に次のエラーが発生します。

 # ruby /images/upgrade.rb --confirm

Power loss during upgrade may cause data loss. Do not power
off during upgrade.
Verifying boot partition before upgrade 
Failed to apply update: 
The Oracle Key Vault upgrade has detected issues with FIPS mode. 
Please consult the Oracle Key Vault upgrade documentation or contact Oracle Support.

アップグレードする前に、FIPSの不整合状態を修正する手順に従ってください。

  1. ユーザーsupportとしてOracle Key VaultシステムにSSH接続してから、ユーザーrootに切り替えます。
    ssh support@<Oracle_Key_Vault_IP_address> 
su - root
  2. 次のコマンドを実行します。
    su - oracle -c "/usr/local/okv/bin/fips_nzzt_enable"
su - oracle -c "/usr/local/okv/bin/fips_ogg_enable"
FIPS_ENABLED in /usr/local/okv/etc/okv_security.conf updated from "0" to "1":
sed -i "/^FIPS_ENABLED=/cFIPS_ENABLED=\"1\"" /usr/local/okv/etc/okv_security.conf
  3. システムを再起動します。
  4. 再起動が完了したら、システムをアップグレードします。

6.6 ステップ5: スワップ領域を拡張するためのディスク領域の追加(必要な場合)

必要に応じて、スワップ領域を拡張します。Oracle Key Vaultリリース21.12では、2 TB以上のハード・ディスク・サイズと約64 GBのスワップ領域が必要です。

システムがこの要件を満たしていない場合は、次の手順に従ってスワップ領域を拡張します。swapon -sコマンドを実行して、使用しているスワップ領域の量を確認できます。デフォルトでは、リリース18.1より前のOracle Key Vaultリリースは、約4 GBのスワップ領域でインストールされていました。リリース18.1以降へのアップグレードが完了したら、Oracle Key Vaultをアップグレードしたサーバーに割り当てられているスワップ領域を増やすことをお薦めします。Oracle Key Vaultの新しいインストールには十分なスワップ領域が自動的に構成されます。ただし、以前のリリースからアップグレードし、システムに必要な量のスワップ領域が構成されていない場合、特にアップグレードしたサーバーをマルチマスター・クラスタの最初のノードに変換することを意図している場合、ディスク領域を手動で追加してスワップ領域を拡張する必要があります。
  1. Oracle Key Vaultをアップグレードしたサーバーにログインし、rootとして接続します。
  2. スワップ領域の現在の量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。この例は、システムのスワップ領域が4 GBであることを示しています。

    Filename Type Size Used Priority
/dev/dm-0 partition 4194300 3368 -1

    ディスクのサイズが1 TBを超える場合は、64 GBのスワップ領域が必要です。

  3. vgsコマンドを実行して、使用可能な空き領域の量を決定します。
    vgs

    VFree列には、使用可能な空き領域の量(たとえば、21 GB)が表示されます。

  4. 新しいディスクを追加するには、サーバーの電源を切ります。
    /sbin/shutdown -h now
  5. VFree値が64 GBを超えるサイズのサーバーに新しいディスクを追加します。
  6. サーバーを起動します。
  7. SSHを介して、ユーザーsupportとしてOracle Key Vaultサーバーにログインし、次に、ユーザーsurootに切り替えます。
    ssh support@okv_server_IP_address
su - root
  8. fdisk -lコマンドを実行して、使用可能なパーティションが新しいディスクにあるかどうかを確認します。
    fdisk -l

    この段階では、使用可能なパーティションはありません。

  9. fdisk disk_device_to_be_addedコマンドを実行して、新しいパーティションを作成します。
    たとえば、/dev/sdcという名前のディスク・デバイスを作成するには、次のようにします。
    fdisk /dev/sdc

    表示されるプロンプトで、次のコマンドを順番に入力します。

    • 新しいパーティションを意味するn
    • プライマリを意味するp (プライマリ・パーティションの場合)
    • パーティション番号の1
    • シリンダのデフォルト値を受け入れます([Enter]を2回押します)
    • 書き込んで終了するためのw
  10. pvcreate disk_device_partitionコマンドは、新しく追加したディスクを物理ボリュームに追加する場合に使用します。
    たとえば、作成するディスク・パーティションの名前を(追加したディスク・デバイスに使用する名前に基づいて)/dev/sdc1にしたディスク・デバイスの場合は、次のようにします。
    pvcreate /dev/sdc1

    出力は、次のようになります。

    Physical volume "/dev/sdc1" successfully created
  11. vgextend vg_root disk_device_partitionコマンドを使用して、追加したこのディスク領域で論理ボリュームを拡張します。
    たとえば、パーティション/dev/sdc1の場合は、次のように実行します。
    vgextend vg_root /dev/sdc1

    出力は、次のようになります。

    Volume group "vg_root" successfully extended
  12. vgsコマンドを再度実行して、VFreeに64 GBの増加が示されていることを確認します。
    vgs
  13. スワッピングを無効にします。
    [root@my_okv_server support]# swapoff -v /dev/vg_root/lv_swap
  14. スワップ領域を拡張するには、lvresizeコマンドを実行します。
    [root@my_okv_server support]# lvresize -L +60G /dev/vg_root/lv_swap

    出力は、次のようになります。 

    Size of logical volume vg_root/lv_swap changed from 4.00 GiB (128 extents) to 64.00 GiB (2048 extents)
Logical volume lv_swap successfully resized.
  15. 新しく追加したスワップ領域をフォーマットします。
    [root@my_okv_server support]# mkswap /dev/vg_root/lv_swap

    出力は、次のようになります。

    mkswap: /dev/vg_root/lv_swap: warning: don't erase bootbits sectors
on whole disk. Use -f to force.
Setting up swapspace version 1, size = 67108860 KiB
no label, UUID=fea7fc72-0fea-43a3-8e5d-e29955d46891
  16. スワッピングを再度有効にします。
    [root@my_okv_server support]# swapon -v /dev/vg_root/lv_swap
  17. 使用可能なスワップ領域の容量を確認します。
    [root@my_okv_server support]# swapon -s

    出力は、次のようになります。

    Filename Type Size Used Priority 
/dev/dm-0 partition 67108860 0 -1
  18. Oracle Key Vaultサーバーを再起動します。
    /sbin/reboot

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.7 ステップ6: 古いカーネルの削除(必要な場合)

アップグレード後に残された古いカーネルをクリーン・アップすることをお薦めします。

古いカーネルは使用されませんが、一部のコード分析ツールによって問題としてマークされることがあります。
  1. Oracle Key Vaultサーバーにsupportユーザーとしてログインします。
  2. rootユーザーに切り替えます。
    su - root
  3. /bootがシステムにマウントされていない場合はマウントします。
    1. /bootがマウントされているかどうかを確認します。/bootがマウントされている場合は、次のコマンドで情報を表示できます。
      df -h /boot;
    2. /bootがマウントされていない場合はマウントします。
      /bin/mount /boot;

      EFIベースのシステムについては、/boot/efiがまだマウントされていない場合はマウントが必要になることがあります。 

      /bin/mount /boot/efi
  4. インストールされているカーネルと実行中のカーネルを確認してください。
    1. インストールされているすべてのカーネルを検索します。
      rpm -q kernel-uek | sort;

      次の出力例は、2つのカーネルがインストールされていることを示しています。

      kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64
kernel-uek-5.4.17-2136.329.3.1.el8uek.x86_64
    2. 最新のカーネルを確認します。
      uname -r;

      次の出力は、その時点でインストールされていたカーネル・バージョンの例を示しています。

      5.4.17-2136.329.3.1.el8uek.x86_64

      この例では、5.4.17-2136.329.3.1.el8uek.x86_64を最新バージョンと仮定しています(現在はこれよりも新しいバージョンを入手できる場合があります)。前述のコマンドからの出力に基づいて、古いカーネル(kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64)を削除します。最新のカーネルより前のすべてのカーネルを削除してください。

  5. 古いカーネルとそれに関連するRPMを削除します。

    たとえば、kernel-uek-5.4.17-2136.318.7.2.el8uek.x86_64を削除するには、次のようにします

    # yum --disablerepo=* remove `rpm -qa|grep kernel-uek-5.4.17-2136.318.7.2.el8uek`

    出力は、次のようになります。 

      Resolving Dependencies
-->   Running transaction check
---> Package kernel-uek.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
---> Package kernel-uek-devel.x86_64 0:4.14.35-2047.504.2.el7uek will be erased
--> Finished Dependency Resolution
Dependencies resolved.
================================================================================
 Package Arch Version Repository Size
================================================================================
Removing:
 kernel-uek x86_64 5.4.17-2136.318.7.2.el8uek @avdf-base-os 135 M

Transaction Summary
================================================================================
Remove 1 Package

Freed space: 135 M
Is this ok [y/N]:
  6. 「y」を入力して、削除出力を受け入れます。
  7. 最新のカーネルより古いすべてのカーネルについて、ステップ4以降のステップを繰り返します。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.8 ステップ7: SSH関連のDSAキーの削除(必要な場合)

アップグレード後に残されたSSH関連のDSAキーは、一部のコード分析ツールで問題を引き起こす可能性があるため削除する必要があります。

  1. システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。
  2. SSHを有効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「IP address(es)」を選択し、必要なIPアドレスのみを入力するか「All」を選択します。「Save」をクリックします。

  3. supportユーザーとしてSSHを使用してOracle Key Vaultサポート・アカウントにログインし、rootユーザーに切り替えます。
    ssh support@OracleKeyVault_serverIPaddress
    su - root
  4. /etc/sshディレクトリに移動します。
    cd /etc/ssh
  5. 次のキーの名前を変更します。
    mv ssh_host_dsa_key.pub ssh_host_dsa_key.pub.retire
mv ssh_host_dsa_key ssh_host_dsa_key.retire
  6. SSHアクセスを無効にします。

    システム管理者ロールを持っているユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブ、「Settings」の順に選択します。「Network Details」領域で、「SSH Access」をクリックします。「Disabled」を選択します。「Save」をクリックします。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.9 ステップ8: エンドポイント・ソフトウェアのアップグレード

Oracle Key Vaultサーバー・ソフトウェア・アプライアンスをアップグレードするときは、エンドポイント・ソフトウェアもアップグレードして、最新の拡張機能にアクセスできるようにします。

Oracle Key Vaultクライアント・ソフトウェアには下位互換性があります。古いバージョンのOracle Key Vaultクライアント・ソフトウェアは、アップグレードされたOracle Key Vaultサーバーで完全に機能しますが、Oracle Key Vaultの一部の新機能は現在のクライアント・ソフトウェアでのみ使用可能です。

エンドポイント・ソフトウェアをアップグレードするか、エンドポイントを再エンロールすることで、エンドポイントをアップグレードできます。エンドポイント・ソフトウェアをアップグレードしても、既存のエンドポイント証明書やエンドポイント構成ファイルokvclient.oraには影響しません。エンドポイントを再エンロールすると、既存のエンドポイント証明書が無効になり、新しいエンドポイント証明書およびokvclient.oraがインストールされます。マイナー・バージョン(たとえば、21.xから21.yへ)のアップグレードについてはエンドポイント・ソフトウェアをアップグレードし、メジャー・バージョン間(たとえば、18.xから21.yへ)のアップグレードの際にはエンドポイントの再エンロールを検討することをお薦めします。

TDEキー管理にOracle Key Vaultを使用するエンドポイントで新しいOracle Key Vault機能(抽出不可能なTDEマスター・キーなど)を利用できるようにするには、Oracle Key Vaultの新リリースに合わせてアップグレードする必要があります。

エンドポイントのアップグレードの詳細および詳細な手順は、「Oracle Key Vaultエンドポイントのアップグレード」を参照してください。

関連トピック

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード

6.10 ステップ9: アップグレードしたOracle Key Vaultサーバーのバックアップ

アップグレードが正常に完了した後、サーバー・バックアップおよびユーザー・パスワード・タスクを実行する必要があります。

  1. アップグレード済のOracle Key Vaultサーバー・データベースのフル・バックアップを新しいリモート宛先に取得します。新しいバックアップのために、古いバックアップ先を使用することは避けます。
  2. 前のステップで定義した新しい宛先への新しい定期増分バックアップをスケジュールします。
  3. Oracle Key Vault管理パスワードを変更します。
    パスワード・ハッシュは、以前のリリースよりセキュアな標準にアップグレードされました。この変更により、オペレーティング・システムのパスワードのsupportrootに影響があります。アップグレードした後、よりセキュアなハッシュを活用するために、Oracle Key Vaultの管理パスワードを変更する必要があります。

親トピック: スタンドアロンOracle Key Vaultサーバーのアップグレード