Oracle Cloud Infrastructureドキュメント

Oracle Data Safeオンプレミス・コネクタの作成

Oracle Data SafeをオンプレミスのOracleデータベース、コンピュート・インスタンス上のOracleデータベース、Oracle Cloud@CustomerデータベースまたはAmazon RDS for Oracleデータベースに接続するためのOracle Data Safeオンプレミス・コネクタを作成します。

Oracle Cloud InfrastructureのOracle Data Safeサービスのオンプレミス・コネクタ・ページで、リージョンごとに最大5つのOracle Data Safeオンプレミス・コネクタを作成できます。1つのオンプレミス・コネクタ・インスタンスで、最大192個のアクティブ接続をサポートできます。

Oracle Data Safeオンプレミス・コネクタを作成するための前提条件

Oracle Data Safeオンプレミス・コネクタを作成する前に、次の前提条件タスクを完了してください:

  • Oracle Data Safeオンプレミス・コネクタを作成するための権限を取得します。Target Registration Resourcesを参照してください。

  • Oracle Data Safeオンプレミス・コネクタをインストールする予定のホストが、ハードウェアおよびソフトウェアの要件を満たしていることを確認します。

ハードウェア要件

Oracleでは、データベース・ホスト・マシン以外のホスト・マシンにオンプレミス・コネクタをインストールすることをお薦めします。ただし、必要に応じてデータベース・ホスト・マシンにインストールできます。本番環境では、Oracleでは、高可用性のためにオンプレミス・コネクタを2つのLinuxホストにインストールすることをお薦めします。システム障害またはメンテナンスのためにいずれかのホストが停止した場合、Oracle Data Safe接続は他のホストで実行されているオンプレミス・コネクタに自動的にフェイルオーバーし、実行中のOracle Data Safe操作は影響を受けません。

オンプレミス・コネクタをインストールするホスト・マシンが、次のハードウェア要件を満たしていることを確認してください。

  • 最小CPU: 2

  • 最小RAM: 16GB

  • 最小ローカル・ディスク・ストレージ:

    • 5GB (オンプレミス・コネクタ・ソフトウェアとログには100MBが必要)

    • /tmp領域: 100MB

  • ネットワーク・インタフェース帯域幅: 1Gbps

  • ネットワーク接続:

    • Oracle Data Safe (accesspoint.datasafe.<region>.oci.oraclecloud.com:443)へのアウトバウンド接続。<region>を、リージョン(accesspoint.datasafe.us-ashburn-1.oci.oraclecloud.comなど)に置き換えます。

    • ターゲット・データベースのリスナー・ホスト/ポートへのローカル接続

ソフトウェア要件

オンプレミス・コネクタをインストールするホスト・マシンが、次のソフトウェア要件を満たしていることを確認してください:

  • オペレーティングシステム:

    • Oracle Linux 7以上(Linux x86-64)または

    • Red Hat Enterprise Linux (RHEL) 8

  • Python 3.5以上。複数のバージョンのPythonがインストールされている場合は、必ずデフォルトをPython 3.5以上に設定するか、コマンドの実行時にPythonパスが明示的に指定されます。

  • 有効なJavaホーム(JAVA_HOME)を持つJavaバージョン7以上

ノート

ノート:アンインストール、更新、停止およびステータスの表示方法の詳細は、インストール・バンドルに付属するREADMEファイルを参照してください。

Oracle Data Safeオンプレミス・コネクタの作成

  1. Oracle Cloud Infrastructureのナビゲーション・メニューから、「Oracle AI Database」を選択し、「Data Safe - データベース・セキュリティ」「ターゲット・データベース」を選択します。

    「ターゲット・データベース」ページが開きます。

  2. 左側で、「オンプレミス・コネクタ」を選択します。

  3. 右側で、「オンプレミス・コネクタの作成」を選択します。

    「オンプレミス・コネクタの作成」パネルが開きます。

  4. ドロップダウン・リストで、オンプレミス・コネクタを格納するコンパートメントを選択します、

  5. オンプレミス・コネクタの名前を入力します。

  6. (オプション)オンプレミス・コネクタの説明を入力します。

  7. (オプション)タグ付けを構成するには、「タグの追加」を選択し、タグを構成します。

  8. 「オンプレミス・コネクタの作成」を選択します。

    オンプレミス・コネクタが作成され、表にリストされます。オンプレミス・コネクタの初期ライフサイクル状態がINACTIVEに設定されました。

Oracle Data Safeオンプレミス・コネクタのインストール・バンドルのダウンロード

オンプレミス・コネクタのインストール・バンドルを、Oracle Data Safeサービスの「コネクタの詳細」ページからダウンロードできます。

  1. Oracle Cloud Infrastructureのナビゲーション・メニューから、「Oracle AI Database」を選択し、「Data Safe - データベース・セキュリティ」「ターゲット・データベース」を選択します。

    「ターゲット・データベース」ページが開きます。

  2. 左側で、「オンプレミス・コネクタ」を選択します。

  3. 右側で、作成したオンプレミス・コネクタを選択します。

    「オンプレミス・コネクタ情報」ページが開きます。

  4. 「インストール・バンドルのダウンロード」を選択します。

    「インストール・バンドルのダウンロード」パネルが開きます。

  5. インストール・バンドルのパスワードを入力して確認し、「ダウンロード」を選択します。

    このパスワードは、後でネットワーク上のホスト上にオンプレミス・コネクタをインストールするときに必要になるため、手元に置いておいてください。インストール・バンドルは、ブラウザのデフォルトのダウンロード場所にダウンロードされます。

  6. インストール・バンドルZIPファイルをネットワーク上のホスト・マシンにコピーします。

  7. ファイルを解凍し、次のファイルがあることを確認します:

    • README - インストール手順が記載されたReadmeファイル

    • connector.conf - 接続マネージャ構成ファイル

    • downloads/orapki.zip - orapkiスクリプトおよび必要なJARファイルを含むZIPファイル

    • downloads/cman.zip - 接続マネージャ・バイナリを含むZIPファイル

    • downloads/cmanora.template - 接続マネージャ構成テンプレート

    • util/datasafe_privileges.sql - Oracle Data Safe権限のSQLスクリプト。このスクリプトは、Oracle Cloud InfrastructureのOracle Data Safeサービスからダウンロードすることもできます。

    • wallet/ewallet.p12 - P12ウォレット

    • setup.py - オンプレミス・コネクタをインストールするためのPython設定スクリプト

Oracle Data Safeオンプレミス・コネクタのインストール

オンプレミス・コネクタのインストールの一環として、接続マネージャはクラウド接続マネージャへのTLSトンネルを確立します。ホスト・マシンから、ポート443でリスニングするクラウド接続マネージャのIPアドレスへの送信トラフィックを制御できます。クラウド接続マネージャのアドレスは accesspoint.datasafe.REGIONNAME.oci.oraclecloud.comです。たとえば、アッシュバーン・リージョンの場合は、アドレスはaccesspoint.datasafe.us-ashburn-1.oci.oraclecloud.comです。DNSルックアップを実行して、クラウド接続マネージャのIPアドレスを取得できます。

次のアイテムもインストールされます。これらのアイテムの詳細は、データベース管理者ガイドを参照してください。

  • リスナー制御ユーティリティ(lsnrctl)

  • 接続テスト・ユーティリティ(tnsping)

  1. オンプレミス・コネクタをインストールするホスト・マシンでコマンド・プロンプトを開きます。

  2. rootユーザーとは異なるユーザーで、次のコマンドを入力してオンプレミス・コネクタをインストールします。

    rootユーザーとしてインストーラを実行しないでください。

    オンプレミス・コネクタのポート番号を指定します。https-proxy引数はオプションです。デプロイしているホストにパブリック・インターネット・アクセスがある場合は、https-proxy引数はスキップできます。オンプレミス・コネクタでは、プロキシのユーザー名およびパスワードはサポートされません。

    組織のネットワーク構成とセキュリティ・ポリシーによっては、HTTPプロキシでは不十分な場合があります。たとえば、一部のネットワークでは、HTTPプロキシのユーザー名とパスワードが必要です。このような場合、ネットワーク管理者に依頼して、HTTPプロキシを経由せずにポート443を使用してaccesspoint.oraclecloud.comドメイン内のホストへのアウトバウンド接続を開きます。

    create-osservice引数もオプションです。これをYesに設定することで、オンプレミス・コネクタをオペレーティング・システム・サービスとして指定します。この指定により、ホスト・マシンのOSが再起動されるたびにオンプレミス・コネクタが自動的に再起動されるようになります。この引数が含まれていないか、「いいえ」に設定されている場合は、ホスト・マシンのOSが再起動されるたびに、オンプレミス・コネクタを手動で再起動する必要があります。

    インストール・スクリプトによって、オンプレミス・コネクタが自動的に起動されます。このスクリプトは、pythonがpython3を指すようにエイリアスまたはシンボリックリンクされていることを前提としています。

    $ python setup.py install --connector-port=`<port>` [--https-proxy=`<proxy:port>` --create-osservice=`<Yes or No>`]

    例:

    $ python setup.py install --connector-port=1560
$ python setup.py install --connector-port=1560 --https-proxy=https://www-proxy.exampledomain.com:80 --create-osservice=Yes

  3. プロンプトで、インストール・バンドルをダウンロードしたときに作成したパスワードを入力します。

    オンプレミス・コネクタは現在のディレクトリにインストールされ、自動的に起動されます。これで、Oracle Cloud InfrastructureのOracle Data Safeサービスのオンプレミス・コネクタのステータスがActiveに設定されます。

  4. (オプション)インストールの問題を診断したり、追加のコマンド(アンインストール、更新、起動、停止、ステータスなど)を実行するには、インストール・バンドルに付属のREADMEファイルを参照してください。

オンプレミス・コネクタの高可用性

オンプレミス・コネクタの耐障害性を高め、可用性を高める場合は、別のホストまたはVMへの最初のインストール用にダウンロードしたものと同じインストール・バンドルを使用して、コネクタの別のインスタンスをインストールします。同じオンプレミス・コネクタの最大3つのインスタンスを起動またはインストールできます。各コネクタはOracle Data Safeでチェックインし、1つのコネクタ・インスタンスに障害が発生した場合、または到達できない場合、Data Safeは残りのコネクタのいずれかを自動的に試行します。コネクタのコピーを同時に3つまで実行できる場合があります。

オンプレミス・コネクタのステータスの確認

オンプレミス・コネクタのステータスを確認するには、次のコマンドを入力します。

python setup.py status

オンプレミス・コネクタの再起動

オンプレミス・コネクタを再起動するには、次のコマンドを実行します:

python setup.py restart

既存のオンプレミス・コネクタのOSユーザー・サービスの作成

オンプレミス・コネクタをオペレーティング・システム(OS)サービスとして指定することで、オンプレミス・コネクタのホスト・マシンのOSリブート後に、オンプレミス・コネクタに手動による再起動が必要ないようにできます。

既存のオンプレミス・コネクタをOSサービスとして指定するには、オンプレミス・コネクタで次のコマンドを実行します:

setup.py osservice --command=create

このコマンドにより、ホスト・マシンのOSが再起動されるたびにオンプレミス・コネクタが確実に再起動されます。

Oracle Data Safeオンプレミス・コネクタの更新

Oracle Data Safeオンプレミス・コネクタを更新するには、インストール・バンドルの新しいコピーをダウンロードしてから、更新を実行するための設定スクリプトを実行します。

オンプレミス・コネクタを作成および更新するためのダウンロード手順は同じであり、バンドルには同じファイル・セットが含まれています。ただし、更新手順では、コネクタがすでにインストールされている同じディレクトリにバンドル・ファイルを解凍し、既存のファイルを上書きする必要があります。また、更新を実行するには、update引数をinstall引数ではなくsetup.pyスクリプトに渡します。

ノート

ノート:更新中、オンプレミス・コネクタは、それを使用している可能性があるターゲット・データベースに接続できません。更新が完了すると、接続が再確立されます。

  1. Oracle Data Safeサービスのオンプレミス・コネクタ情報ページから、インストール・バンドルをローカル・コンピュータにダウンロードします。

    ダウンロード手順については、Oracle Data Safe On-Premises Connectorのインストール・バンドルのダウンロードを参照してください。

  2. コネクタを更新するホストにバンドルをアップロードします。

  3. オンプレミス・コネクタがインストールされているディレクトリにバンドルを解凍します。これにより、現在のファイルが上書きされます。

  4. root以外のユーザーとして、update引数を指定してsetup.pyを実行します。

    $ python setup.py update

  5. プロンプトが表示されたら、バンドル・パスワードを入力します。

    Enter bundle password:

次のメッセージが表示されます。

Data Safe on-premises connector update in progress...
Updating wallet...
Data Safe on-premises connector successfully updated

これで、オンプレミス・コネクタの更新が完了します。

更新中にエラーが発生した場合は、Troubleshooting Install or Update Issuesを参照してください。

Oracle Data Safeオンプレミス・コネクタのアンインストール

setup.pyスクリプトを使用して、Oracle Data Safeオンプレミス・コネクタをアンインストールできます。

  1. オンプレミス・コネクタがインストールされているホストにログオンします。

  2. オンプレミス・コネクタがインストールされているディレクトリに移動します。setup.pyスクリプトを検索します。

  3. root以外のユーザーとして、uninstall引数を指定してsetup.pyを実行します。

    $ python setup.py uninstall

    プロンプトが表示されたら、コネクタのアンインストールを確認します。

    This will remove the Data Safe on-premises connector, please confirm (Yes/No): yes

Data Safe on-premises connector successfully uninstalled

オンプレミス・コネクタのログ・ファイルの検索

オンプレミス・コネクタの設定および管理ログは、次の場所にあります。

`<script_directory>`/log/

オンプレミス・コネクタのランタイム・ログは次の場所にあります。

`<script_directory>`/oracle_cman_home/log/diag/netcman/<hostName>/cust_cman/trace/cust_cman.log

インストールまたは更新の問題のトラブルシューティング

  1. エラー・メッセージ: Failed to create the tunnels to Data Safe connection manager - for more details check <log file name>

    インストールまたは更新後、Oracle Data Safeオンプレミス・コネクタは、Oracle Data Safe Connection Managerへの接続(または再接続)を試行します。このメッセージは実際のエラーを示していない可能性があります。トンネルの作成が遅い場合に表示されることがあります。コネクタが動作していることを確認するには、show tunnelsコマンドを実行します。1つ以上のトンネル(接続)が存在する場合、オンプレミス・コネクタはConnection Managerと通信でき、このメッセージは無視できます。

    $ ./oracle_cman_home/bin/cmctl show tunnels -c cust_cman
    CMCTL for Linux: Version 20.0.0.0.0 - Production on 09-OCT-2021
    10:45:34
Copyright (c) 1996, 2020, Oracle. All rights reserved.
Current instance cust_cman is already started
Connecting to (address_list=(address=(protocol=TCPS)(host=localhost)(port=1520)))

Number of connections: 12.
The command completed successfully.

  2. update中にエラーが発生した場合(たとえば、show tunnelsにトンネルが存在しないことが示された場合)、updateコマンドを再実行してみてください。uninstallを実行し、updateが再度失敗した場合にのみinstallを再実行します。これは、uninstallの実行後に、TCPS構成が元のインストールの一部であった場合に、データベース証明書を再インポートする必要がある可能性があるためです。