ストリーミングレプリケーション環境で透過的データ暗号化を使用する場合、以下の点を留意してください。

プライマリサーバのキーストア・ファイルのコピーをスタンバイサーバ側に配置してください。

これは、両方のサーバが同時にキーストア・ファイルをアクセスすることがあり、共有できないためです。

プライマリサーバでマスタ暗号化キーやパスフレーズを変更した場合は、その変更内容がスタンバイ側に反映されるため、スタンバイサーバにキーストア・ファイルをコピーする必要はありません。

キーストア・ファイルをさらに安全に管理するためには、安全な場所に隔離されたキー管理サーバまたはキー管理ストレージ上に配置してください。プライマリ、スタンバイの両方のサーバから、同一のキー管理サーバまたはキー管理ストレージにアクセスできる場合は、キーストアを同じキー管理サーバまたはキー管理ストレージ上に管理することができます。この場合、スタンバイ側にて、プライマリサーバとは異なる場所にキーストアを格納するディレクトリを作成し、プライマリサーバで作成したキーストア・ファイルをコピーします。

キーストアの自動オープンの有効化は、プライマリサーバとスタンバイサーバの両方で行ってください。自動オープン・キーストアファイル（keystore.aks）をスタンバイサーバにコピーしても、キーストアの自動オープンは有効になりません。

pg_basebackupコマンドまたはpgx_rcvallコマンドでスタンバイサーバを構築する前に、プライマリサーバからスタンバイサーバにキーストア・ファイルをコピーしておいてください。自動オープン・キーストアを使用する場合は、コピーしたキーストア・ファイルを用いてスタンバイサーバで自動オープンを有効にします。

スタンバイサーバを起動するときにキーストアをオープンしてください。これは、プライマリサーバから受信した暗号化されたWALを復号し、再生するために必要です。キーストアをオープンするには、pg_ctlコマンドまたはpgx_rcvallコマンドに、--keystore-passphraseを指定してパスフレーズを入力するか、または自動オープン・キーストアを使用します。

マスタ暗号化キーとパスフレーズはプライマリサーバで変更します。そのとき、プライマリサーバからスタンバイサーバにキーストアをコピーする必要はありません。スタンバイサーバを再起動したり、キーストアを再度オープンする必要もありません。マスタ暗号化キーとパスフレーズの変更は、スタンバイサーバのキーストアにも反映されます。