※本ページは、”Exadata Live Update improves Exadata Database Server Availability and Security“の翻訳です。
概要
Oracle Exadata Database Machineは、Oracle Databaseを実行するのに最適なプラットフォームに完全に焦点をあてた、広く導入されているエンジニアド・システムです。組織は、AI、ミッションクリティカルなOLTP、分析など、さまざまなワークロードをサポートするために複数のExadataを導入することがよくあります。Exadataデプロイメントはエンタープライズ規模であり、開発/テスト、UAT、本番など、様々な処理およびライフサイクル・ステージをサポートできます。お客様は、Exadataの組込みの仮想化機能を使用して、データベースの統合密度と投資利益率を向上させることが増えています。
設計上、Exadataは、すべてのレイヤーに冗長性とセキュリティを備えた業界標準のハードウェア・コンポーネントを使用して構築された高可用性で安全なプラットフォームです。Exadataシステム・ソフトウェア(Exadataのコア・コンポーネント)は、ハードウェアとともに設計されています。スマート・スキャン(SQLオフロード)やExadata RDMA(リモート・ダイレクト・メモリー・アクセス)データ・アクセラレータなどの機能を活用して、最大限のパフォーマンスを抽出および提供する、インテリジェントなデータベース対応機能を提供します。Oracle Maximum Availability Architecture(MAA)のベストプラクティスを含む、すぐに使える堅牢な導入方法により、パフォーマンスと可用性の両方が保証されます。
ハードウェアまたはソフトウェア・プラットフォームで必要とされているように、Oracleでは、Exadataのお客様が最新の機能にアクセスできるよう、また重要なこととして最新のセキュリティ修正を定期的にメンテナンス更新します。これらの更新は、プラットフォームおよびOracle Databaseの更新およびセキュアな操作を確実にするために必要です。
Oracle Exadata System Software 24ai (24.1)では、Exadata Live Updateが導入されています。これは、Exadataデータベース・サーバーで中断のないソフトウェア更新を実行し、Exadataの可用性プロファイルを向上させるための新機能です。Exadata Live Updateでは、KspliceやRPMなどの業界標準のユーティリティを使用して、ベア・メタル、VMホスト、VMゲストなどのExadataデータベース・サーバー、さらに具体的には、カーネル/システム・パッケージ、ファームウェア、ユーザー・スペース・パッケージ、Exadataパッケージをオンラインで更新することが可能です。セキュリティ更新を迅速に適用する必要性は、ますます一般的になっています。Exadata Live Updateには、更新の選択的およびオンライン・アプリケーションに対処するための主要な差別化機能が実装されています。Exadata Live Updateでは、お客様が最新のExadataイノベーションよりもセキュリティ対応に優先順位を付ける必要がある場合、セキュリティ・アップデートのみを適用することが可能です。オンラインでのデータベース・サーバー更新の追加により、Exadataの豊富な可用性およびセキュリティ機能が加わり、Oracleのお客様の運用の柔軟性と俊敏性が向上します。
セキュリティ脆弱性への対処
セキュリティは、Oracleが行うすべての中核を担っています。Exadataはエンジニアド・システムであるため、セキュリティには包括的なアプローチが必要です。これにより、セキュリティ更新が適切なタイミングで適用され、セキュリティ更新がアプリケーション(この場合はOracle Database)に可能なかぎり妨げられないことが保証されます。すべてのセキュリティ更新プログラムや最も重要なセキュリティ修正など、すべての更新を包括的に適用する柔軟性と選択肢をお客様に提供するために、Exadata Live Updateでは、既知で理解されている共通脆弱性(CVE)を使用して、セキュリティ関連のパッケージを重要性に対応する層にグループ化します。CVEは、脆弱性の問題がまとめて参照されるため、公開されているコンピュータのセキュリティ上の欠陥であり、それぞれが1(低影響)から10(高影響)の範囲のCVSSスコアを持っています。
多くの組織には、利用可能なCVE修正の特定の期間内にクリティカル(CVSS 7以上)のセキュリティ修正またはすべてのセキュリティ修正(CVSS 1以上)を適用するポリシーがあります。Exadata Live Updateを使用すると、お客様の可用性要件を満たしたり、通う精養軒を超えたりしながら、これらの重要なセキュリティ要件を満たすことができます。
Exadata Live Updateは、複数の更新層を導入することで、patchmgrを使用する既存のExadata更新プロセス上に構築され、これらはすべてオンラインで適用できます。これにより、次の層に合わせたパッケージおよびその他の更新(ファームウェアなど)の適用が可能になります。
| Tier | 更新に含まれる範囲 |
|---|---|
| highcvss | CVSSスコア7-10の範囲に関するセキュリティ問題の修正 |
| allcvss | CVSSスコア1-10の範囲に関するセキュリティ問題の修正 |
| full | リリースまたはメンテナンス・リリースのすべてのパッケージ。この包括的スコープは、既存の更新機能と同等 |
次の図は、各更新層の機能範囲と相対サイズ(正確なスケールではなく代表的なスケール)を視覚化するのに役立ちます。
重要なのは、Exadata Live Updateを使用する場合、階層を選択する必要はなく、継続的にその層を適用することのみに制限されることも不要だということです。階層をあるリリースから次のリリースに簡単に切り替えることができるため、定期的なパッチ適用ウィンドウや災害対策のスイッチオーバー・テストなどの際に、毎月セキュリティ修正を適用したり、頻度が低い完全更新を適用したりすることができます。
Exadata Live Updateでは、同じメジャーLinuxリリースを実行しているデータベース・サーバー(VMゲストの物理ホスト)を更新可能です(例: OL7 ->OL7またはOL8 -> OL8)。Exadata System Software 23.1 (OL8 Linux)以上を実行しているお客様は、サーバーの停止時間なしでExadata Live Updateを使用して、Exadata System Software 24ai (ESS 23と同じくOL8上で稼働、最小ターゲット・リリースは24.1.x)に更新ですることが可能です。Exadata Live Update機能は、更新が同じメジャーOSリリース内にあるかぎり、Exadata System Software 24aiでサポートされているすべてのプラットフォーム(ESS 23.1以降で稼働する Exadata X6以上)で動作します。
Exadata Live UpdateはExadata patchmgrユーティリティを使用して実行され、コマンドは次の構文を使用します。
Live Update を適用時は、オプション(highcvss、allcvssまたはfull)のいずれかを選択します。
$patchmgr --live-update-target highcvss|allcvss|full ... --target-version date
Outstanding Work(未処理の作業)
一部のコンテンツは稼働中に適用できないか、または適用するにはサーバーの再起動が必要です。たとえば、サーバーの実行中はサーバーのハードウエアのファームウェアはオンラインでは適用できません。Exadata Live Updateはインテリジェントで、「未処理の作業(outstanding work)」などのパッケージを分類し、後でアプリケーション用にステージングします。デフォルトでは、ステージングされた未処理の作業は、次回の正常なサーバーのリブート時に適用されます。
未処理の作業は、次のリブート時にデフォルトの動作として適用されますが、リブートのウィンドウを指定することもできます。これにより、ステージングされた未処理の作業を適用せずに、必要に応じて正常なリブートを実行できます。未処理の作業を適用する準備ができたら、リブートウィンドウを調整するか、デフォルトの動作にリセットします。カスタマイズしたスケジューリングは、patchmgrコマンドで、live-update-schedule-outstanding-work オプションを使用して有効にします。未処理作業は、「なし (never)」オプションを選択することで遅延することもできます。
Oracle MAAのベスト・プラクティスの推奨事項は、3か月ごとに少なくとも1回、未処理の作業をスケジュールすることです。
最後に、resetオプションを使用してデフォルトの動作を復元します。
適用例
ライブ更新を適用し、未処理の作業を適用するタイミングをスケジュールします。「なし(never)」オプションを使用して、未処理の作業の適用をスキップする例
$patchmgr --live-update-schedule-outstanding-work "YYYY-MM-DD HH24:MM:SS" | never
ファイルに定義されているKVMゲストのリストに適用し、repo.zipまたはULNの場所から更新を取得する例
$ patchmgr --dbnodes kvmguests.lst --upgrade [--iso-repo ‹repo.zip location> | -- yum-repo ULN-mirror-URL ] --target-version 24.1.0.0.0.240517 --live-update-target highcvss|allcvss|full
Exadata Live Updateでは、Ksplice uptrack を透過的に使用して、ライブLinuxカーネルおよび関連するクリティカル・パッケージに更新を適用します。同時に、Exadata Live Updateでは、ディスク上のカーネル関連の更新をステージングして、サーバーが再起動され、関連する未処理の作業が適用されたときに、最新のカーネルおよびシステム・パッケージが使用され、重要なセキュリティ修正が常に使用可能でアクティブであることが保証されます。
最後に、Exadataシステム・ソフトウェアにはJava JDKが含まれます。長年にわたり、Javaの更新方法が大幅に改善され、これはJavaチームにとって引き続き焦点となる分野です。現在、含まれているJDKの更新は、Exadata Live Updateによって未処理の作業としてステージングされています。
Exadata Live Update Runtime
Exadata Live Updateは、更新が一度に1つのサーバーに適用されるローリング方式で実行されます。次の図は、2つのサーバー・クラスタでのローリング更新の代表的な進行順序を示しています。
Exascaleダイレクト・ボリューム(EDV)への適用
Exadata System Software 24aiでExascaleが登場したことで、一連の新しいコンポーネントが導入されました。これらのうち、データベース・サーバーからストレージ・サーバーへのストレージ管理の分離の一環として、新しいシステム・レベルのコンポーネントであるExascale Direct Volumes (EDV)が導入されました。ASM Dynamic Volumes Manager (ADVM)と同様のEDVにより、Exascaleボリュームを汎用POSIXブロック・デバイスとして使用できます。
このストレージ・コンポーネントは、Linux OSブロック・レイヤー、ファイル・システム・レイヤーおよびアプリケーション・レイヤーがExadataストレージ・サーバーのスマート・ストレージを利用できるようにする新しいカーネル・レベル・コンポーネントによって有効になります。図に、ブロック・デバイスとExadata Storage Servers間の機能フローを示します。カーネルレベルのコンポーネントによってこの機能が有効になるため、このコンポーネントは高可用性とサポート可能性を備えて設計されており、システムの稼働を維持しながら、このコンポーネントに対する更新を確実に実行できます。
現在の統合では、EDVは、Exadata Live Updateのオンラインおよび未処理の作業フェーズの両方でパッチが適用されています。2つのフェーズでは、EDVパッチ適用の様々な側面を異なる最終目標で実装します。
EDVパッチの種類
Exadataの単一のEDVパッチ・セットには、2つの更新セットがあります。コマンド”edvutil lsinitiator”を使用して、詳細を表示できます。次のスクリーン・キャプチャは、最近のリリースのEDV Driver BaseおよびEDV Driver Onlineのバージョン情報を示しています。
- EDV Driver Base Version – このバージョンのEDVは、ノードの再起動時に未処理の作業が完了したときにインストールされます。この EDV Driver Base Versionは、システムで実行されているベースLinuxカーネル・バージョンに似ています。
- EDV Driver Online Patch Version – このバージョンは、EDV Driver Base Versionと提供されているオンラインEDVパッチです。これは、Ksplice用のLinuxの有効なカーネル・バージョンと同等です。
Update Type I: EDVのオンライン・パッチ適用
Exascale Live Updateのオンライン・パッチ適用バージョンは、’full’オプションとともに使用するとEDVにパッチが適用されます。highcvssやallcvssなどの他のLive Updateのオプションは、EDVにパッチを適用しません。EDVのオンライン・パッチ適用では、オンライン・モードのOracle Linuxカーネル・パッチと同様に、Oracle Kspliceテクノロジが使用されます。このパッチ適用方法では、EDVボリュームに重要な修正を提供しながら、EDVボリュームを引き続き使用できます。この方法は、月次更新で利用できます。
EDVによるオンライン・パッチ適用のみを使用する場合、EDV ドライバーのベース・バージョンは元のインストール・バージョンのままになります。オンラインEDVバージョンのみが増加しています。これは図に示されています。
適用されたEDVパッチの表示
EDVオンライン更新がインストールされると、新しいRPMがシステムRPMレジストリに配置されます。
インストールされているオンライン更新を表示するには、インストールされているRPMのクエリーを使用できます。
問合せの出力例が取得され、示されています。
更新タイプII: EDVの未処理パッチ適用(Outstanding-work)
新機能および他の非クリティカルな更新を含むEDV修正の完全なセットをインストールするために、EDVインストールは、Exadata Live Update ‘full’オプションが起動されると更新され、その後、正常な再起動によってすべての未処理の作業が完了するようになります。この場合、新しいカーネルおよびEDVモジュールがインストールされます。リブートにより、新しいベースEDVバージョンがインストールされ、システムRPMレジストリにインストールされているexadata-oracleedv RPMが更新されます。
この時点で、EDVベース・バージョンが新しいExadataリリース・バージョンと一致します。
Exadata Live Updateを使用する前のサーバーのバックアップ
patchmgrユーティリティは、データベース・サーバーまたはVMのアクティブなシステム・パーティションのバックアップを、非アクティブな論理ボリュームに自動的に取得します。最もまれなシナリオでロールバックが必要な場合、patchmgr –rollbackを使用すると、前のバックアップにロールバックできるため、サーバーを既知の動作状態に戻すために必要な時間が短縮されます。
Oracle Unbreakable Linux Network (ULN)の使用
Exadataチームは、新機能やイノベーションに焦点を当てた定期的なリリースに加え、継続的な修正やセキュリティ更新を含むメンテナンス・リリースを提供しています。リリース戦略の一環として、これらのリリースをOracle Unbreakable Linux Network (ULN)に、顧客がULNミラーを介して直接またはより一般的に使用できるチャネルとして公開しています。
ULNとその機能に精通していない方は、チャネル、アクセス、使い方などを説明したULNおよびExadata Database Serverのブログをお読みください。
Exadataはエンジニアド・システムであるため、チャネルに含まれ、データベース・サーバーにインストールされているパッケージは、ExadataハードウェアとOracle Databaseの両方で厳選され、テストおよび動作保証されます。Exadata Live Updateでは、これらのチャネル(ULNから直接、またはULNミラーを使用)を使用して、これらの定期的な更新へのアクセスを簡素化し、複数のデータベース・サーバー間で更新をコピーする必要性を減らす(または排除する可能性がある)ことができます。これにより、ネットワーク使用率が低下するだけでなく、更新の適用にかかる時間が短縮されます。
まとめ
Exadata System Software 24ai (24.1)の優れた新機能であるExadata Live Updateは、Oracle Exadataデータベース・サーバーのメンテナンスと更新の効率を簡素化するために設計された強力なユーティリティです。これにより、カーネル/システム・パッケージ、ユーザー・スペース・パッケージの更新およびExadataパッケージをオンラインに適用でき、重要なアプリケーションの可用性とパフォーマンスに影響を与えないことがもたらされます。Exadata Live Updateを使用すると、組織は重要なセキュリティ更新や修正を迅速に適用できるため、セキュリティを維持できます。CVEがExadata Live Updateで公開されると、ミッションクリティカルなワークロードを可用性に保ちながら、セキュリティ・パッチをデータベース・サーバーに適用できるようになります。Exadata Live Updateにより、Exadata管理者の操作性が大幅に向上します。ミッションクリティカルなデータベースを継続的に実行しながら、更新をオンラインで適用し、セキュアな事業運営と継続性を支援します。