1. Oracle Compute Cloud@CustomerへのOracle Key Vaultのインストール
  2. Oracle Key Vaultのインストールと構成について

Oracle Key Vaultのインストールと構成について

Oracle Key Vault製品管理では、イメージをダウンロードしてCompute Cloud@Customerにインポートできるリンクを提供できます。Oracle Key Vaultイメージにアクセスしたら、この記事のステップに従ってインストールします。

マーケットプレイスからのOracle Key Vaultイメージのダウンロード

Compute Cloud@CustomerのOracle Key Vaultイメージは、OCI Marketplaceで入手できます。

  1. OCIアカウントにログインし、OCI Marketplaceに移動します。
  2. 「フィルタ」オプションで、「Compute Cloud@CustomerまたはRoving Edge互換イメージ」を選択します。
  3. 「Oracle Key Vault image for Compute Cloud@Customer」を選択します。

Oracle Key Vaultのダウンロードおよびインポート

Oracle Key Vaultをダウンロードしてインポートするには、この手順を使用します。

  1. Oracle Key VaultイメージをCompute Cloud@Customerにインポートし、HTTPを介してアクセス可能な場所にカスタム・イメージを配置します。これは、多くの場合、Compute Cloud@Customerと同じネットワーク上のユーティリティVM、またはCompute Cloud@Customer上のユーティリティVMです。この例では、Compute Cloud@Customerの要塞ホストを使用します。OCIファイルをディレクトリにコピーし、HTTPを介してアクセスできるようにします。
    cd /export/home/okv
    python -m SimpleHTTPServer 8088
    システムは次のように対応します。
    Serving HTTP on 0.0.0.0 port 8088 ...
  2. Compute Cloud@Customerで、まず「カスタム・イメージ」セクションに移動して、GUIを介してカスタム・イメージのインポートを開始します。

    ノート:

    このプロセスでは、選択したコンパートメント内のカスタム・イメージのリストが表示されます。必要に応じて、ページの上部中央にあるドロップダウンを使用して、適切なコンパートメントに変更します。
  3. 「イメージのインポート」(右上)をクリックし、「イメージのインポート」ダイアログ・ボックスで次のフィールドに入力します:
    • 名前:イメージの名前(okv_21_7_ociなど)。
    • コンパートメントに作成:イメージが存在するコンパートメントの名前。
    • ソース・タイプ:イメージのインポート元となるソースのタイプ。この例では、「オブジェクト・ストレージURLからインポート」を選択します。
    • オブジェクト・ストレージURL:イメージのインポート元のURL。
    • イメージ・タイプ: インポートするイメージのタイプ。この例では、「OCI」を選択します。
    • 「Launch Mode」:「Paravirtualized Mode」を選択します。
    • タグ・ネームスペース: 「なし(フリーフォーム・タグの追加)」を選択します。
  4. 「イメージのインポート」(右下)を選択します。
    インポートしたイメージのサイズと使用可能なネットワーク帯域幅によっては、インポートに時間がかかる場合があります。100GBを超えるイメージの場合、最大1時間以上を予想できます。

    ノート:

    この例では、ポート8088でPython Webサーバーを使用してイメージをエクスポートするため、ポート8088がURLに指定されています。実装に適したポートを指定してください。
イメージのインポートが完了すると、ステータスが「インポート中」から「使用可能」に変わり、イメージからインスタンスを作成できます。

Oracle Key Vaultインスタンスの作成

カスタム・イメージが使用可能になったら、この手順を使用してKey Vaultインスタンスを作成します。

  1. イメージ識別子の右端にある3つの垂直ドットをクリックしてドロップダウン・メニューを開き、「イメージからのインスタンスの作成」をクリックします。
  2. 次の情報を追加して、ダイアログボックスを完了します。
    • 名前: インスタンス名を入力します。
    • コンパートメントに作成:インスタンスが存在するコンパートメントを選択します。
    • Shape:適切なシェイプを選択し、次のパラメータを含めます。
      • 使用するOCPUの数。
      • ブート・ボリュームのサイズ。
      • パブリック・ネットワーク・インタフェースの数。
    • SSHキー: 「PUBファイルを選択」を選択してアップロードし、適切なフィールドにPUBファイル名を入力するか、ファイル・システムからファイルをドラッグ・アンド・ドロップします。
  3. 右下の「インスタンスの作成」を選択します。
「インスタンスの作成」を選択すると、指定したカスタム・イメージを使用してインスタンスが作成されます。このインスタンスがブートするまで待ってから、コンソールにログインし、インスタンスが実行中であることを確認します。完了したら、前述のプロセスを繰り返して、高可用性クラスタの作成に使用する追加のOKVノードを作成します。

Oracle Key Vaultインスタンスの構成

システムがブートしたら、インストール後の手順に従って初期構成を完了する必要があります。これらのステップには、初期サーバー・パスワードの設定およびインストール後の構成の完了が含まれます。これらのタスクを完了するには、次のものが必要です。

  • 構成を実行するLinuxまたはMacシステムのIPアドレスまたは完全修飾ドメイン名(FQDN)。これは、OKVサーバーまたはラップトップと同じネットワーク上の任意の Linuxサーバーにできます。この例ではc3bastionを使用します。

    ノート:

    クラスタに追加するノードに割り当てられている外部および内部IPアドレスを書き留めます。両方のアドレスが必要です。
  • 構成するOKVサーバーのIPアドレスまたはFQDN。この例では、10.122.56.38/172.20.0.33および10.122.56.29/172.20.0.21を使用します。

初期サーバー・パスワードの設定

最初のインスタンス構成タスクは、初期サーバー・パスワードを設定することです。これはコマンドラインから実行します

opcユーザーとしてログインしています。これは、rootおよびsupportユーザーのパスワードを設定した一時ユーザーです。これらのパスワードを正常に設定すると、opcユーザーが削除され、SSHを使用してOracle Key Vaultインスタンスにログインできなくなります。Oracle Key Vault管理コンソールからSSHを使用してOracle Key Vaultインスタンスへのログインを再有効化し、サポート・ユーザーとしてログインできます。
  1. 次のコマンドを実行して、rootおよびsupportユーザー・パスワードを設定します。 
    set_password
    システムは次のように対応します。
    Setting root password
Set root password:
Confirm:
  2. ルート・パスワードを入力して確認します。
    システムは次のように対応します。
    Do you wish to set the support user password at this time.
Enter 'y' or 'yes' to proceed:
  3. 続行するには、yと入力します。
    Enter 'y' or 'yes' to proceed: y
    システムは次のように対応します。
    Set support user password:
Confirm:
  4. ルート・パスワードを入力して確認します。
    システムは次のように対応します。
    Changing password for user support.
passwd: all authentication tokens updated successfully.
Successfully set the support user password..
Deleted 'opc' user..
You can re-enable login to the Oracle Key Vault instance using
SSH from the Oracle Key Vault management console.
Login as the 'support' user using the same ssh key as 'opc' user.
Connection to 10.122.56.29 closed.
my_laptop ~ $^D

インストール後の構成の完了

初期サーバー・パスワードを設定したら、前のステップで作成したrootパスワードを使用してOracle Key Vault GUIからログインし、インストール後の構成を完了します。これには、ユーザー設定、システム管理者設定、時間(NTP)およびドメイン・ネーム・システム(DNS)設定の実行が含まれます。次に、この情報を保存します。

  1. Key Vault GUIの「ユーザー設定」セクションで、キー管理者、システム管理者および監査マネージャに対して、ユーザー名、パスワード(およびパスワード確認)、フルネームおよび電子メール・アドレスを特定のセクションに入力します。システム管理者および監査マネージャの場合は、必要に応じてユーザー・ソース(「新規ユーザー」「キー管理者と同じ」または「システム管理者と同じ」)も選択します。また、ロールごとに「Allow Forward Grant」を選択することも忘れないでください。
  2. リカバリ・パスフレーズを指定します。このパスフレーズを使用すると、緊急事態が発生した場合にセッションをリカバリできます。たとえば、前のバックアップからOracle Key Vaultサーバーをリストアする必要がある場合などです。

    ノート:

    リカバリ・パスフレーズを失わないでください。Oracleでは、このパスフレーズをセキュアな場所に格納することをお勧めします。
  3. NTPおよびDNSサーバーを設定します。
    これらは、常にCompute Cloud@Customerシャーシのデフォルトに設定する必要があります。単一のNTPサーバーと単一の DNSサーバーのみを指定します。両方に使用されるIPアドレスは同じで、この例では169.254.169.254です。
    これらのサーバーを設定するには:
    • 「時間設定」セクションで、「Network Time Protocolの使用」を選択し、「サーバー1アドレス」のアドレスを入力します。次に、「OCIデフォルトNTPサーバー」を選択し、「サーバー時間」を入力します。
    • 「DNS Setup」で、NTPサーバーに使用したものと同じIPアドレスを「Server 1」に入力します。DNSとNTPはどちらもCompute Cloud@Customer内で冗長的に提供されるため、単一のエントリのみを持つ必要があります。
  4. 「保存」(右上)をクリックし、クラスタに追加するサーバーに対してこの手順を繰り返します。次に、ログアウトし、システム管理ユーザーとして再度ログインし、RESTサービスを起動します。
    1. Oracle Key Vault GUIで、「システム」タブを開き、RESTful「サービス」を選択します。
    2. 「有効化」「保存」の順に選択します。
  5. 完了したら、RESTfulサービス・インタフェースを使用して構成を完了できます。