サポートと今すぐチャット
サポートとのチャット

SharePlex 11.4 - 管理者ガイド

このガイドについて このガイドで使用される表記規則 SharePlexの概要 SharePlexの実行 SharePlexの複数のインスタンスの実行 sp_ctrlでのコマンドの実行 SharePlexパラメータの設定 データレプリケーションの設定 コンテナデータベースとの間のレプリケーションの設定 名前付きキューの設定 分割レプリケーションの設定 変更履歴ターゲットへのレプリケーションの設定 レプリケーション戦略の設定 DDLレプリケーションの設定 エラー処理の設定 データトランスフォーメーションの設定 セキュリティ機能の設定 SharePlexユーザのセキュリティグループへの割り当て 本番システムでのレプリケーションの開始 SharePlexの監視 レプリケーションの問題の防止と解決 非同期データのrepair Captureプロセスの調整 Postプロセスの調整 Oracleフェールオーバー後のレプリケーションのリカバリ アクティブなレプリケーション環境に対する変更 Oracleアプリケーションのパッチまたはアップグレードの適用 ソースまたはターゲットのOracleデータのバックアップ トラブルシューティングのヒント 付録A: ピアツーピア図 付録B: SharePlex環境変数

SSL/TLSによるデータの保護

SharePlexは、すべてのネットワークトラフィックに対してSSL/TLS接続を有効にする機能を備えています。これにより、SharePlexインスタンス間およびSharePlexとコマンド・ライン・インターフェイス間でネットワーク上のデータが暗号化されます。

SSL/TLSが有効な場合、SharePlexはSSL/TLS接続のみを受け入れます。相互にレプリケートするすべてのSharePlexインスタンスでは、すべてのSSL/TLSを有効にするか、すべてのSSL/TLSを無効にする必要があります。SSL/TLS設定にはネットワークパスワードが含まれています。このパスワードは、すべてのSharePlexインスタンスで同じである必要があります。

注意: TLS接続の場合、SharePlexはTLS1.2またはそれ以降をサポートしています。

SSL/TLSの設定を変更するには:

  1. すべてのノードでsp_copをシャットダウンします
  2. すべてのノードで「sp_security --setup」を実行します
  3. すべてのノードでsp_copを開始します

SharePlexネットワーク通信のSSL/TLS設定を有効、無効、または表示するには、sp_securityユーティリティを使用します。

SSL/TLSを有効にする

重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。

SSL/TLSを有効にするには:

sp_security --setupを実行し、SSL/TLSオプションを選択して、ネットワークパスワードを入力します。

% sp_security --setup Security Setup Wizard --------------------- This wizard will walk you through setting up the SharePlex network security. Setup configuration for '/home/shareplex/var110/' and Port 2100 [N]: Y Choose your network security model. Please note the following: * Cop must be down when the security model is changed, or when the network password is changed * The same model must be used among all SharePlex nodes replicating to each other * For security model [1], the same network password must be set on all SharePlex nodes replicating to each other [1] Use basic SSL/TLS connections [2] Use non-SSL/TLS connections (default prior to SharePlex 9.1.3) Security model: 1 Please enter a network password that will be used for authentication among the SharePlex nodes. All SharePlex nodes that replicate data to each other must have the same network password. Network password: Please re-enter the network password Network password: Security settings: Configuration for '/home/shareplex/var110/' and Port 2100: Security model : SSL/TLS Network password : stored for unattended startup SSL key file password : stored for unattended startup SSL key file : key.pem SSL cert file : cert.pem Setup complete!

SSL/TLSを無効にする

重要! SSL/TLSは、共通のネットワークパスワードを使用して有効にするか、SharePlexのすべてのインストールで無効にする必要があります。

SSL/TLSを無効にするには:

「sp_security --setup」を実行して、非SSL/TLS接続を選択します。

% sp_security --setup Security Setup Wizard --------------------- This wizard will walk you through setting up the SharePlex network security. Setup configuration for '/home/shareplex/var110/' and Port 2100 [N]: Y Choose your network security model. Please note the following: * Cop must be down when the security model is changed, or when the network password is changed * The same model must be used among all SharePlex nodes replicating to each other * For security model [1], the same network password must be set on all SharePlex nodes replicating to each other [1] Use basic SSL/TLS connections [2] Use non-SSL/TLS connections (default prior to SharePlex 9.1.3) Security model: 2 Security settings: Configuration for '/home/shareplex/var110/' and Port 2100: Security model : Un-encrypted Setup complete!

現在のSSL/TLS設定を表示する

現在のSSL/TLS設定を表示するには:

「sp_security --show」を実行します。

% sp_security --show Security settings: Configuration for '/home/shareplex/var110/' and Port 210: Security model : Un-encrypted

ホスト認証

SharePlexは、特定のリモートシステム上のSharePlexプロセスが、サービスやコマンド要求のためにローカルシステムへの接続を許可されているかどうかを検証する、ホスト認証セキュリティを提供します。ホスト認証を実装するには、SharePlex変数データディレクトリのdataサブディレクトリにauth_hostsという名前のASCIIテキストファイルを作成し、そのファイルに接続許可を与えるシステムの名前を入力します。

要件

  • 使用する場合は、auth_hostsファイルに有効なエントリが含まれている必要があります。このファイルが存在するが、空であるか無効なエントリが含まれている場合、SharePlexは次の例のようなエラーメッセージをイベントログに送信します: unauthorized connection attempt不正な接続の試み
  • auth_hostsファイルがシステムに存在しない場合、SharePlexは、sp_copに接続しようとするすべてのシステムからのすべての要求を受け入れます。
  • ローカルシステムの名前は、このファイルのコメント以外の最初の行でなければなりません。そうでない場合、ホスト認証は機能しません。
  • コメントを含むすべてのエントリは、リターンキーで終わる必要があります。

auth_hostsファイルを設定するには:

注意: コメント行の先頭にはポンド記号#を付けます。

  1. viUnixおよびLinuxなどのASCIIテキストエディタを実行して、空のファイルを開きます。UnixおよびLinuxのテキストエディタを使用している場合は、エディタを実行する前に、ディレクトリをSharePlex変数データディレクトリのdataサブディレクトリに変更してください。
  2. コメント以外の最初の行に、ローカルシステムの正確なマシン名を入力します。例: Localhost.mycorp.com
  3. コメント以外の次の行に、以下のいずれかを入力します。

    説明
    all すべてのリモートシステム上のプロセスに接続権限を付与します。
    hostname 指定されたホストに接続権限を付与します。完全修飾マシン名を入力します。例: remotehost.mycorp.com。必要なだけホスト名を指定できますが、1行につき1つのホスト名を指定します。
  4. ファイルをauth_hostsとして、SharePlex変数データディレクトリのdataサブディレクトリに保存します。sp_copの複数のインスタンスを実行する場合は、ファイルを正しい変数データディレクトリに保存していることを確認してください。

ローカルホストの名前が、コメント以外の最初の行で指定されていることに注意してください。

#Comment: first line is local host name.

Localhost.mycorp.com

#Comment: remaining lines are remote hosts.

remotehost.mycorp.com

remotehost2.mycorp.com

remotehost3.mycorp.com

SSHによるデータの保護

SharePlexは、SSH® Secure ShellTMユーティリティを使用して、安全でないネットワーク経由の安全なリモートログインなどのネットワークサービスやその他のサービスに暗号化を提供します。

要件

  • SSHソフトウェアを購入し、インストールします。SSHはSharePlexには含まれていません。
  • SharePlexでSSHを使用するには、SSH設定内でローカルポート転送トンネリングとも呼ばれるを使用する必要があります。ポート転送を使用すると、安全なSSHセッションを確立し、それを介してTCP接続をトンネルすることができます。
  • SharePlexは、ソースシステムと1つのターゲットシステム間でSSHソフトウェアと連携するように設定できます。ソースを複数のターゲットにレプリケートする場合は、SSHを使用して設定できるルートは1つだけです。
  • この機能はUnixおよびLinuxでサポートされています。

SSHを使うようにSharePlexをセットアップするには:

  1. ソースシステムとターゲットシステムで、トンネルポートとして使用する利用可能なローカルポートを選択します。ピアツーピアおよび高可用性レプリケーションの場合、ポートは両方のシステムで同じ番号にする必要があります。その他のレプリケーション戦略の場合は、各システムで異なるポートを選択します。
  2. ソースシステムで、コマンドプロンプトから以下のコマンドを発行します。このコマンドは、ターゲットシステムに接続してトンネルをセットアップします。

    $ ssh -L source_port:target_host:target_port userid@target_host -N -f

    ここで

    • -Lは、ローカルホストの指定されたポートクライアントとして機能を、リモートホストとポートに転送することを指定します。
    • source_portはソースシステムのポート番号です。
    • target_hostはターゲットシステムの名前です。
    • target_portはターゲットシステムのポートです。
    • useridは、UnixおよびLinuxユーザIDです。パスワードの入力を求められます。
    • -Nは、リモートコマンドを実行しないことを指定します。これは、ポートの転送だけに使用されますプロトコルバージョン2のみ
    • -fは、コマンド実行の直前にSSHシェルをバックグラウンドで強制的に動作させます。この引数を省略する場合は、使用しているターミナルウィンドウを開いておく必要があります。SSHはnohupでは開始することはできません。

    これらのコマンドの詳細については、SSHのドキュメントを参照してください。

  3. 複数のSharePlexインスタンスを使用する場合ソースシステムで、SSHをセットアップしているsp_copのインスタンスの正しい変数データディレクトリをエクスポートします。

    kshシェル:

    export SP_SYS_VARDIR=/full_path_of_variable-data_directory

    cshシェル:

    setenv SP_SYS_VARDIR=/full_path_of_variable-data_directory

  4. ソースシステムで、sp_copを開始します。
  5. ソースシステムで、製品ディレクトリのbinサブディレクトリからsp_ctrlを実行します。
  6. sp_ctrlで、以下のいずれかの方法でSP_XPT_USE_LOCALHOSTパラメータを設定します。

    • ターゲットシステムが1つしかない場合は、以下の構文でパラメータを設定します。

      sp_ctrl> set param SP_XPT_USE_LOCALHOST 1

    • ターゲットが複数ある場合は、以下のコマンドを使用して、SSHを使用するターゲットへのトンネルをセットアップします。残りのターゲットシステムへのレプリケーションは、通常の方法で直接接続します。

      sp_ctrl> set param SP_XPT_USE_LOCALHOST to host 1

    ここで、hostはトンネルを使用するターゲットシステムの名前です。

  7. sp_ctrlで、modifiedオプションを指定してlist paramコマンドを使用して、パラメータ設定を確認します。設定が正しい場合は、この時点で設定をアクティベーションすることができます。

    sp_ctrl> list param modified

  8. アクティブな設定がある場合は、sp_copを停止してから開始し、新しいパラメータ設定をアクティブにします。

    sp_copを停止するには:

    sp_ctrl> shutdown /productdir/bin/sp_cop &

    sp_copを開始するには:

    $ /productdir/bin/sp_cop &

エクスポートとインポート間のデータの暗号化

SSL/TLSを使用したくないが、ExportとImportの間のデータを暗号化したい場合は、この機能を使用することで実現できます。

SharePlexはネットワーク全体でレプリケートされたデータを暗号化するように設定できます。SharePlexはAESAdvanced Encryption Standard暗号化を使用します。

暗号化のガイドライン

暗号化はソースシステムとターゲットシステムで有効にする必要があります。Exportプロセスを介して暗号化を有効にし、キーのサイズを設定します。Importプロセスを設定して、ソースで暗号化が有効になっていることを確認し、暗号化されていないデータがネットワーク経由で送信されないようにします。

暗号化を設定する場合は、以下のガイドラインに従ってください。

  • SharePlexインスタンスのすべてのExportプロセスに1つの暗号化キーを使用します。
  • 暗号化を使用するには、SharePlexがバージョンが9.1以降である必要があります。

暗号化手順

ソースシステムでの手順:

  1. ExportパラメータのExport parameterSP_XPT_ENABLE_AESを1に設定します。これにより暗号化が有効になります。

    sp_ctrl> set param sp_xpt_enable_aes 1

  2. create encryption key暗号化キーの作成コマンドを実行してキーを作成します。

    sp_ctrl> create encryption key

    以下はキーの例です。
    E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4

  3. オプションSP_XPT_AES_KEY_LENGTHパラメータを設定して、キーサイズを大きくします。

    create encryption keyコマンドは、ランダムに生成された256ビットのAESキーを返します。デフォルトでは、SharePlexはこの長さの128ビットを使用してデータを暗号化します。

    SharePlexが使用するキー長を長くするには、SP_XPT_AES_KEY_LENGTHパラメーターを192ビットまたは256ビットに設定します。長くするとキーのハッキングは難しくなりますが、CPUに多くの処理能力が必要になります。

    sp_ctrl> set param sp_xpt_aes_key_length {192 | 256}

    例: set param sp_xpt_aes_key_length 256

  4. set encryption key暗号化キーの設定コマンドを実行します。これにより、キーがExport設定に追加されます。

    sp_ctrl> set encryption key key_value

    例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4

  5. 設定をアクティベーションするためにExportを再起動します。

    sp_ctrl> stop export

    sp_ctrl> start export

ターゲットシステムでの手順:

  1. SP_IMP_ENABLE_AESパラメータを1に設定します。これにより、ターゲットのSharePlexが暗号化されていないデータを受け入れないようにします。

  2. set encryption key暗号化キーの設定コマンドを、Exportに設定したのと同じキー値を使用して実行します。ソースとターゲットのキー値は一致する必要があります。

    sp_ctrl>set encryption key key_value

    例: set encryption key E5F5D4CBA329D2C86B5D7ABA096C18600595490129F55A1422AAB0248B28D0E4

  3. 設定を有効にするためにImportを再起動します。

    sp_ctrl> stop import

    sp_ctrl> start import

暗号化キーの表示

ソースシステムとターゲットシステムでこのコマンドを発行し、両方のキー値が一致していることを確認します。

sp_ctrl> show encryption key

関連ドキュメント

The document was helpful.

評価を選択

I easily found the information I needed.

評価を選択