暗号化の設定、マスタ暗号化キーの変更、またはキーストアのパスフレーズの変更を行ったあとは、ハードウェア障害などに備えて、必ずキーストアとデータベースのバックアップを実施してください。本バックアップデータは、以下の場合に使用します。
システムディスクの二重障害からの復旧する場合
外部バックアップを用いてバックアップ時点に復旧する場合
注意
キーストアのバックアップデータを紛失すると、データベースを復旧できなくなるので注意してください。
バックアップ作業では、サーバユニットにログインする必要があります。ログイン方法については、“付録G サーバへのログイン方法”を参照してください。ただし、接続時のユーザーIDはrootではなく、管理用のユーザーIDを指定してください。
キーストアをバックアップします。
暗号化の設定、マスタ暗号化キーの変更、またはキーストアのパスフレーズの変更を実施した場合(ここでは各作業をまとめて、暗号化作業、と略します)の、Appliance Managerの[ホ-ム画面]の稼働状態によって、バックアップの手順が異なります。
暗号化作業中にAppliance Managerの稼働状態が「正常」の場合
いずれかのサーバユニット(ServerUnit#1またはServerUnit#2)に管理用のユーザーIDでログインし、scpコマンド、またはsftpコマンドなどを利用して、鍵管理サーバにキーストアをバックアップします。
バックアップの際には、ファイルの実行権限を引き継ぐようにしてください。
# scp -p /var/pg_keystore/location/keystore.ks 鍵管理サーバ用ID@鍵管理サーバのIPアドレス:/work/keystore_20131201.ks
暗号化作業の途中でAppliance Managerの稼働状態が「警告」になった場合
両方のサーバユニット(ServerUnit#1およびServerUnit#2)のキーストアのうち、新しい方のキーストアをバックアップする必要があります(同一日時の場合どちらでも可)。そのため、両方のサーバユニットに管理用のユーザーIDでログインし、scpコマンド、またはsftpコマンドなどを利用して、鍵管理サーバに新しい方のキーストアをバックアップします。
バックアップの際には、ファイルの実行権限を引き継ぐようにしてください。
# ls -l /var/pg_keystore/location/keystore.ks -rw------- 1 manager manager 928 11月 1 12:00 2013 /var/pg_keystore/location/keystore.ks
# ls -l /var/pg_keystore/location/keystore.ks -rw------- 1 manager manager 928 12月 1 12:00 2013 /var/pg_keystore/location/keystore.ks
サーバユニット2の方が新しいと判明。
# scp -p /var/pg_keystore/location/keystore.ks 鍵管理サーバ用ID@鍵管理サーバのIPアドレス:/work/keystore_20131201.ks
データベースをバックアップします。
キーストアのバックアップを行うと同時に、データの整合性を保つため、Appliance Managerを使ってデータベースのバックアップを実施してください。
データベースのバックアップについては、“3.5.2 バックアップ”を参照してください。
注意
マスタ暗号化キーの変更、またはキーストアのパスフレーズの変更を行った場合は、キーストアのバックアップを実施する必要があります。すでにバックアップ済のキーストアについては、以下の契機で破棄してください。
自動バックアップ(手動バックアップ)の場合
マスタ暗号化キーの変更、またはキーストアのパスフレーズの変更後に、自動バックアップ(手動バックアップ)が完了した後に、バックアップ済のキーストアを破棄してください。
外部バックアップの場合
マスタ暗号化キーの変更、またはキーストアのパスフレーズの変更(1-1)およびキーストアのバックアップ(1-2)後に、外部バックアップが成功(2)し、かつ、すでにバックアップ済の外部バックアップデータを破棄するとき(3)に、バックアップ済のキーストアを破棄してください(4)。以下の図に例を示します。
