pg_upgradeを使用して、透過的データ暗号化(TDE)を使用しているFujitsu Enterprise Postgresのインスタンスをアップグレードする場合、アップグレード前に実施する手順があります。
古いクラスタの運用がデータベース多重化運用を用いないHAクラスタ運用の場合で、かつ、1つのキーストア・ファイルを共有していた場合は、“1つのキーストア・ファイルを共有していた場合のアップグレード前の手順”を参照してください。それ以外の運用の場合は“アップグレード前の手順”を参照してください。
アップグレード前の手順
アップグレードの前に次の手順を実施してください。
マスター暗号化キーの複写
古いクラスタから新しいクラスタにキーストア・ファイルをコピーします。
pgx_set_master_key関数を使用して新しいクラスタで新しいマスター暗号化鍵を生成する必要はなく、古いクラスタからキーストア・ファイルをコピーする必要があります。
データベーススーパーユーザで以下の操作を実施します。
$ mkdir <NEW-KEY-STORE>/ $ cp -p <OLD-KEY-STORE>/keystore.ks <NEW-KEY-STORE>/
NEW-KEY-STORE : 新しいクラスタのpostgresql.confにおける、keystore_locationパラメータで指定したディレクトリ
OLD-KEY-STORE : 古いクラスタのpostgresql.confにおける、keystore_locationパラメータで指定したディレクトリ
注意
古いクラスタのキーストア・ファイルの配置先を新しいクラスタのキーストア・ファイルの配置先として使用する場合はこの操作は不要です。その場合、古いクラスタは継続して使用できません。
古いクラスタおよび新しいクラスタに対して、キーストアの自動オープンを有効にしてください。
1つのキーストア・ファイルを共有していた場合のアップグレード前の手順
プライマリサーバとスタンバイサーバで、同じキーストア・ファイルを共有していた場合は、古い環境のキーストア・ファイルを複写して新しい環境のキーストア・ファイルとして共有します。
キーストア・ファイルをさらに安全に管理するためには、安全な場所に隔離されたキー管理サーバまたはキー管理ストレージ上に配置してください。
古いクラスタおよび新しいクラスタに対して、キーストアの自動オープンを有効にしてください。
