Oracle Exadata Database Service on Dedicated InfrastructureのOracle Data Guardの構成

Oracle Exadata Database Service on Dedicated InfrastructureData Guardでは、Transparent Data Encryption (TDE)のOracle管理キーおよび顧客管理キーがサポートされています。Oracle管理キーでは、パスワード・ベースのウォレットを使用してTDEキーを格納および管理しますが、顧客管理キーではTDEキーをOCI Vaultに格納および管理できます。デフォルトでは、Oracle Exadata Database Service on Dedicated InfrastructureはOracle管理キーを使用します。

セキュリティ・ポリシーおよび動的グループの検証

データベースでOCI Vaultを使用して顧客管理キーを格納する場合は、次のステップに従って、必要なすべてのセキュリティ・ポリシーおよび動的グループが適切に構成されていることを確認する必要があります。データベースでOracle管理キーを使用する場合は、この項をスキップできます。

  1. OCIコンソールで、メイン・メニューに移動し、「アイデンティティとセキュリティ」をクリックします。
  2. 「動的グループ」をクリックします。
    新しいテナンシで、「ドメイン」をクリックし、「動的グループ」をクリックします。
  3. 次のようなルールを使用して動的グループが構成されていることを確認します。
    {resource.compartment.id = 'ocid1.of_comparment_where_exadata_database_on_dedicated_infrastructure_are_configured’}
  4. 「アイデンティティおよびセキュリティ」に移動し、「ポリシー」をクリックします。
    次のルールでセキュリティ・ポリシーが存在することを確認します。
    Allow service keymanagementservice to manage vaults in tenancy
Allow dynamic-group Dynamic_Group_from_step_2 to use vaults in compartment 
compartment_name_where_OCI_Vault_is_configured
Allow dynamic-group Dynamic_Group_from_step_2 to manage keys in tenancy

OCI Vaultレプリケーションの検証

2つのリージョン間でOracle Data Guardを構成し、データベースで顧客管理キーを使用する場合は、2つのリージョン間で仮想プライベートVaultをレプリケートする必要があります。データベースでOracle管理キーを使用する場合は、この項をスキップできます。これらのステップでは、仮想プライベートVaultが両方のリージョン間でレプリケートされていることを確認する方法について説明します。

  1. OCIメニューに移動し、「アイデンティティとセキュリティ」をクリックします。
  2. 「Vault」をクリックします。
  3. 使用可能なボールトのリストで、Data Guardアソシエーションのデータベースに使用されるボールトの「仮想プライベート」列が「はい」に設定されていることを確認します。
    ボールトがまだ存在しない場合は、「Vaultの作成」をクリックし、ボールトの名前を指定します。「仮想プライベート・ボールトにする」オプションを選択し、「Vaultの作成」をクリックします。
  4. 仮想プライベートVaultがスタンバイ・データベースが作成されるリージョンにレプリケートされていることを確認します:
    1. 「OCI」メニューに移動し、「アイデンティティとセキュリティ」を選択します。
    2. 「Vault」をクリックします。
    3. Data Guardアソシエーションでデータベースに使用するボールトを選択します。
      このボールトでVaultレプリケーションが有効になっている場合、ボールト・ページに「レプリケーション・ロール」および「レプリケーションの詳細」が表示されます。レプリケーション情報が表示されない場合、ボールトはレプリケートされません。
  5. ボールトを別のリージョンにレプリケートするには、「Vaultのレプリケート」をクリックします。スタンバイ・データベースを構成するリージョンを選択し、「レプリカの作成」をクリックします。
    ボールトは他のリージョンにレプリケートされ、数分後にData Guardアソシエーションの作成に使用できます。
  6. 既存のデータベースの既存のキーがソース・ボールトからレプリカ・ボールトにレプリケートされたことを確認します。
  7. ソース・ボールトで、新しいデータベース用の新しいキーを作成し、それらがレプリカ・ボールトにレプリケートされていることを確認します。

リージョン内Oracle Data Guardの構成

これらのステップでは、同じリージョン内のOracle Exadata Database Service on Dedicated InfrastructureデータベースでOracle Data Guardを有効にする方法について説明します。

  1. OCIメニューに移動し、「Oracle Database」をクリックします。
  2. 「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  3. Oracle Exadata Database Service on Dedicated Infrastructure VMクラスタが構成されているコンパートメントを選択します。
  4. Oracle Data Guardで構成するデータベースが存在するVMクラスタを選択します。
  5. データベース名をクリックして、データベースを選択します。
  6. 「リソース」の下で、「Data Guardアソシエーション」をクリックします。
  7. 「スタンバイの追加」をクリックします。「スタンバイの追加」ウィンドウが開き、データベース・バージョンによって表示されるオプションが決まります。データベース・バージョン11gおよび12cはData Guardアソシエーションをサポートし、バージョン19c以降はData Guardグループをサポートしています。Data Guardアソシエーションを構成するか、Data Guardグループを構成するかを選択します。
  8. Data Guardオプションを構成します:
    • ピア・リージョン: 選択したデータベースのリージョンがデフォルトで表示されます。このリージョンは、Oracle Data Guard構成に使用します。
    • 可用性ドメイン: 選択したデータベースの可用性ドメインがデフォルトで表示されます。この可用性ドメインは、スタンバイ・データベースをプライマリ・データベースと同じ可用性ドメインに構成する場合に使用します。それ以外の場合は、別の可用性ドメインを選択します。
    • Exadataインフラストラクチャ: スタンバイが実行されるExadataインフラストラクチャを選択します。
    • Data Guardピア・リソース・タイプ: VMクラスタを選択します。
    • VMクラスタ: スタンバイ・データベースが実行されるVMクラスタを選択します。スタンバイ・データベースが別のコンパートメントのVMクラスタで実行されている場合は、対応するコンパートメントを選択します。デフォルトでは、プライマリ・データベースと同じコンパートメントが選択されます。
    • Data Guardタイプ: 「Data Guard」または「Active Data Guard」を選択します。Active Data Guardには、追加のライセンスが必要な場合があります。
    • 保護モード: 「最大パフォーマンス」または「最大可用性」を選択します。
    • トランスポート: 保護モードの選択に応じて同期または非同期。保護モードが「最大パフォーマンス」の場合、トランスポートは「非同期」です。保護モードが最大可用性の場合、トランスポートは同期です。
    • データベース・ホーム: 既存のデータベースを選択するか、新しいデータベース・ホームを作成します。データベース・ホームで、プライマリと同じOracleデータベース・ソフトウェア・バージョンおよびパッチが実行されていることを確認します。
    • データベースの一意の名前: (オプション)ピア・スタンバイ・データベースのデータベースの一意の名前を指定します。一意のデータベース名が指定されていない場合、デフォルトでは、OCIインタフェースはスタンバイ・データベースのデータベースの一意の名前を自動的に構成します。
    • パスワード: プライマリ・データベースのsysパスワードを指定します。Oracle管理キーを使用する場合、sysパスワードとTDE Walletパスワードは同じである必要があります。
    • TDEパスワード: プライマリ・データベースのTDEパスワードを入力します。Oracleマネージド・キーを使用する場合、sysおよびTDEパスワードは同じです。
  9. 「スタンバイの追加」をクリックします。
作業リクエストが完了すると、スタンバイVMクラスタに新しいデータベースが作成され、2つのデータベース間にData Guardグループまたはアソシエーションが作成されます。新しいデータベースはスタンバイ・データベースとして構成されます。

クロス・リージョンOracle Data Guardの構成

これらのステップでは、異なるリージョンのOracle Exadata Database Service on Dedicated InfrastructureデータベースでOracle Data Guardを有効にする方法について説明します。

  1. OCIテナンシで、プライマリ・データベースが構成されているリージョンを選択します。
  2. プライマリ・データベースが構成されているVCNのリモート・ピアリング接続を作成します:
    1. 「ネットワーキング」を選択し、「Virtual Cloud Networks」を選択します
    2. 「顧客接続性」を選択します。
    3. 「Dynamic Routing Gateway」を選択します。既存のDynamic Routing Gateway (DRG)を選択するか、存在しない場合は新しいDynamic Routing Gatewayを作成します。
    4. 「Dynamic Routing Gateway」メニューから、「Virtual Cloud Networks Attachment」を選択します。Virtual Cloud Networksアタッチメントがまだ存在しない場合は作成します。
    5. 「Dynamic Routing Gateway」メニューから、「Remote Peering Connection Attachment」を選択し、「Create Remote Peering Connection」をクリックします。リモート・ピアリング接続の名前を入力し、「リモート・ピアリング接続の作成」をクリックします。
      これにより、(ピアリングされていない)ピアリング・ステータスが「新規」のリモート・ピアリング接続アタッチメントが作成されます。リモート・ピアリング接続アタッチメントには、プライマリ・データベースのVCNからDRGへの必要なルーティングが含まれます。
  3. プライマリ・データベースのVCNからスタンバイ・データベースのVCNへのルートを作成します:
    1. 「OCI」メニューから、「ネットワーキング」「仮想プライベート・ネットワーク」の順に選択します。プライマリ・データベースのリージョンのVCNを選択します。
    2. VCNメニューから、「ルート表」を選択し、プライベート・サブネットのルート表を選択します。
    3. スタンバイ・データベースが構成されるVCNにルートを追加します。
      たとえば、IPアドレスが10.1.0.0/16のVCNにスタンバイ・データベースを構成する場合は、DRGを使用して宛先10.1.0.0/16のルートを追加します。
  4. プライベート・ネットワーク・セキュリティ・リストにイングレス・セキュリティ・ルールを追加して、スタンバイ・データベースが構成されているネットワークからのポート1521への接続を許可します(前述の例、ネットワーク10.1.0.0/16を使用)。
  5. スタンバイ・データベースが実行されるリージョンを選択します。
  6. スタンバイ・データベースが構成されるVCNのリモート・ピアリング接続を作成します:
    1. 「OCI」メニューから、「ネットワーキング」「Virtual Cloud Networks」の順に選択します。
    2. 「顧客接続性」を選択します。
    3. 「Dynamic Routing Gateway」を選択し、既存のDRGを選択します。存在しない場合は1つを作成し、新しいDRGを選択します。
    4. 「Dynamic Routing Gateway」メニューから、「Virtual Cloud Networks Attachment」を選択します。VCNアタッチメントがまだ存在しない場合は作成します。
    5. Dynamic Routing Gatewayメニューから、「リモート・ピアリング接続アタッチメント」を選択し、「リモート・ピアリング接続の作成」をクリックします。リモート・ピアリング接続の名前を入力し、「リモート・ピアリング接続の作成」をクリックします。
      ピアリング・ステータス「新規」(ピアリングされていない)の新しいリモート・ピアリング接続アタッチメントが作成されます。リモート・ピアリング接続アタッチメントには、スタンバイ・データベースのVCNからDRGへの必要なルーティングが含まれます。ピアリング・ステップ中に使用されるリモート・ピアリング接続OCIDを書き留めます。
  7. スタンバイ・データベースのVCNからプライマリ・データベースのVCNへのルートを作成します:
    1. OCIメニューから、「ネットワーキング」「仮想プライベート・ネットワーク」の順にクリックします。スタンバイ・データベースを構成するリージョンのVCNを選択します。
    2. 「Virtual Cloud Networks」メニューから、「Route Tables」をクリックし、プライベート・サブネットのルート表を選択します。
    3. プライマリ・データベースが構成されているVCNにルートを追加します。
      たとえば、プライマリ・データベースがIPアドレスが10.0.0.0/16のVCNで実行されている場合は、DRGを使用して宛先10.0.0.0/16のルートを追加します。
  8. プライベート・ネットワーク・セキュリティ・リストにイングレス・セキュリティ・ルールを追加して、プライマリ・データベースが構成されているVCNからポート1521への接続を許可します(前述の例を使用して、ネットワーク10.0.0.0/16から)。
  9. プライマリ・データベースのリージョンで、「OCI」メニューに移動し、「ネットワーキング」を選択します。「Virtual Cloud Networks」をクリックし、プライマリ・データベースが実行されているネットワークのVCNを選択します。
  10. 「リモート・ピアリング接続アタッチメントの」の順にクリックします。
    ステップ2.eで作成したリモート・ピアリング接続は、「ピアリング・ステータス: 新規」(ピアリングされていない)で表示されます。
  11. リモート・ピアリング接続名をクリックします。
    リモート・ピアリング接続の詳細が表示されます。
  12. リモート・ピアリング・コネクションの詳細ページで、「接続の確立」をクリックします。
    新しいウィンドウが開きます。
  13. スタンバイ・データベースが実行されるリージョンと、スタンバイ・リモート・ピア接続のOCID (ステップ6.eからのOCID)を選択します。
    ピアリングに成功すると、ピアリング・ステータスが「新規」、「保留中」から「ピアリング済」に変更されます。
    2つのリージョンのVCNs間のネットワーク通信が確立され、リージョン間のData Guardを構成できます。
  14. 「OCI」メニューから、「Oracle Database」をクリックし、「Oracle Exadata Database Service on Dedicated Infrastructure」をクリックします。
  15. プライマリ・データベースVMクラスタが構成されているコンパートメントを選択します。
  16. Oracle Data Guardで構成するデータベースを含むVMクラスタを選択します。
  17. データベース名をクリックして、データベースを選択します。
  18. 「リソース」の下で、「Data Guardアソシエーション」をクリックします。
  19. 「スタンバイの追加」をクリックします。「スタンバイの追加」ウィンドウが開き、データベース・バージョンによって表示されるオプションが決まります。データベース・バージョン11gおよび12cはData Guardアソシエーションをサポートし、バージョン19c以降はData Guardグループをサポートしています。Data Guardアソシエーションを構成するか、Data Guardグループを構成するかを選択します。
  20. Data Guardオプションを構成します:
    • リージョン: スタンバイ・データベースが実行されるリージョンを選択します。これはクロスリージョンOracle Data Guard構成であるため、別のリージョンを指定する必要があります。
    • 可用性ドメイン: スタンバイOracle Exadata Database Service on Dedicated Infrastructureがデプロイされている可用性ドメインを選択します。
    • Exadataインフラストラクチャ: スタンバイが実行されるExadataインフラストラクチャを選択します。
    • VMクラスタ: スタンバイ・データベースが実行されるVMクラスタを選択します。スタンバイ・データベースが別のコンパートメントのVMクラスタで実行されている場合は、対応するコンパートメントを選択します。デフォルトでは、プライマリ・データベースと同じコンパートメントが選択されます。
    • Data Guardタイプ: 「Data Guard」または「Active Data Guard」を選択します。Active Data Guardには追加のライセンスが必要な場合があります。
    • 保護モード: 「最大パフォーマンス」を選択します。これは、クロス・リージョンData Guardでサポートされている唯一のオプションです。
    • トランスポート: 非同期を選択します。これは、リージョン間のData Guardでサポートされている唯一のオプションです。
    • データベース・ホーム: 既存のデータベースを選択するか、新しいデータベース・ホームを作成します。データベース・ホームで、プライマリと同じOracleデータベース・ソフトウェア・バージョンおよびパッチが実行されていることを確認します。
    • データベースの一意の名前: (オプション)ピア・スタンバイ・データベースのデータベースの一意の名前を入力します。一意のデータベース名を入力しない場合、デフォルトでは、OCIインタフェースはスタンバイ・データベースの一意の名前を自動構成します。
    • パスワード: プライマリ・データベースのsysパスワードを指定します。Oracle管理キーを使用する場合、sysパスワードとTDEウォレット・パスワードは同じである必要があります。
    • TDEパスワード: プライマリ・データベースのTDEパスワードを入力します。Oracleマネージド・キーを使用する場合、sysおよびTDEパスワードは同じです。
  21. 「スタンバイの追加」をクリックします。
作業リクエストが完了すると、スタンバイVMクラスタに新しいデータベースが作成され、2つのデータベース間にData Guardグループまたはアソシエーションが作成されます。新しいデータベースはスタンバイ・データベースとして構成されます。