ストリーミングレプリケーションや、ストリーミングレプリケーションを利用したデータベース多重化機能を使用する環境で透過的データ暗号化を使用する場合、以下の点を留意してください。
プライマリサーバのキーストア・ファイルのコピーをスタンバイサーバ側に配置してください。
これは、両方のサーバが同時にキーストア・ファイルをアクセスすることがあり、共有できないためです。
ポイント
キーストア・ファイルをさらに安全に管理するためには、安全な場所に隔離されたキー管理サーバまたはキー管理ストレージ上に配置してください。プライマリ、スタンバイの両方のサーバが使うキーストアは、同一のキー管理サーバまたはキー管理ストレージで管理することができます。
ただし、プライマリサーバとスタンバイサーバが使うキーストアは異なるディレクトリを作成して、プライマリサーバのキーストアをスタンバイサーバが使うディレクトリ上にコピーして使用してください。
キーストアの自動オープンを必ず有効化してください。
このとき、キーストアの自動オープンの有効化は、データベース多重化運用を構成するすべてのサーバで行ってください。キーストアの自動オープンの設定はサーバ固有の情報を含むので、ファイルをコピーしただけでは、有効化されません。
パスフレーズの変更
パスフレーズの変更は、データベース多重化運用を構成するすべてのサーバに反映されるので、特別な作業は必要ありません。
pg_basebackupコマンドまたはpgx_rcvallコマンドでスタンバイサーバを構築する前に、プライマリサーバからスタンバイサーバにキーストア・ファイルをコピーしておいてください。自動オープン・キーストアを使用する場合は、コピーしたキーストア・ファイルを用いてスタンバイサーバで自動オープンを有効にします。
スタンバイサーバを起動するときにキーストアをオープンしてください。これは、プライマリサーバから受信した暗号化されたWALを復号し、再生するために必要です。キーストアをオープンするには、pg_ctlコマンドまたはpgx_rcvallコマンドに、--keystore-passphraseを指定してパスフレーズを入力するか、または自動オープン・キーストアを使用します。
マスタ暗号化キーとパスフレーズはプライマリサーバで変更します。そのとき、プライマリサーバからスタンバイサーバにキーストアをコピーする必要はありません。スタンバイサーバを再起動したり、キーストアを再度オープンする必要もありません。マスタ暗号化キーとパスフレーズの変更は、スタンバイサーバのキーストアにも反映されます。
参照
pgx_rcvallコマンドの詳細は、“リファレンス”の“pgx_rcvall”を参照してください。
pg_ctlコマンドの詳細は、“PostgreSQL文書”の“リファレンス”の“pg_ctl”を参照してください。
pg_basebackupコマンドの詳細は、“PostgreSQL文書”の“リファレンス”の“pg_basebackup”を参照してください。
ストリーミングレプリケーションを構築する手順については、“PostgreSQL文書”の“サーバの管理”の“高可用性、負荷分散およびレプリケーション”を参照してください。
