1 次 HADR サーバーとスタンバイ HADR サーバーの間の通信のための TLS の構成
IBM® Db2® pureScale®を使用しない環境では、HADR 1 次サーバーとスタンバイ・サーバーの間で SSL がサポートされます。
始める前に
- すべてのインスタンスでの TLS の構成
HADR 1 次とスタンバイの間のトランザクション・ログの伝送に TLS を使用するには、HADR 環境のすべてのインスタンスで TLS (Transport Layer Security) を構成する必要があります。 手順は、 Db2 インスタンスでの TLS サポートの構成で説明されている手順と似ています。 特に、 TLS 鍵データベースおよび証明書をセットアップする手順は、すべてのインスタンスに対して実行する必要があります。 自己署名証明書を使用して HADR 環境を構成する手順については、次のセクションで取り上げます。
HADR 用に TLS を実装する際の考慮事項:- 共有鍵データベースを介して TLS を実装することができます。 例えば、すべてのインスタンス上で SSL_SVR_KEYDB 構成パラメーターと SSL_SVR_STASH 構成パラメーターに共有場所を設定します。 共有鍵データベースを介して TLS を実装する場合は、Single Point of Failure を回避するために、共有鍵データベース自体も高可用性を備えていることが重要です。
- また、別々の鍵データベースを介して各インスタンスに TLS を実装することもできます。 これを行うには、各インスタンスで同じコマンド・セットを実行して TLS 鍵データベースと証明書をセットアップするか、最初のインスタンスで TLS 鍵データベースと証明書を作成してからそれらを他のインスタンスにコピーします。
- 各インスタンスで TLS を別個の鍵データベースとして実装する場合は、 Db2でこれらの証明書を使用する前に、すべてのインスタンスで鍵データベースに対するすべての証明書更新を完了しておくことが重要です。
アクティブ化された接続コンセントレーターは、HADR 通信での TLS の使用を禁止しません。
- TLS サポートを構成する前に、HADR 構成の各 1 次およびスタンバイで以下のステップを実行します。
IBM Global Security Kit (GSKit) ライブラリーへのパスが、 Linux® および UNIX オペレーティング・システムの LIBPATH、 SHLIB_PATH、または LD_LIBRARY_PATH 環境変数に指定されていることを確認します。 GSKit は、Db2 データベース・サーバー製品をインストールするときに自動的に組み込まれます。
UNIX および Linux オペレーティング・システムの場合、GSKit ライブラリーは sqllib/lib/gskitにあります。 Linux プラットフォームでは、GSKit は Db2 のインストール時にローカルにインストールされます。 GSKit ライブラリーは sqllib/lib/gskit または sqllib/lib64/gskit にあります。 インスタンスを始動するために GSKit の別のコピーをグローバルな場所にインストールする必要はありません。 GSKit のグローバル・コピーが存在する場合は、グローバルな GSKit のバージョンがローカルの GSKit のバージョンと同じになるようにしてください。
GSKit ツール GSKCapiCmdについて詳しくは、「 GSKCapiCmd User Guide」を参照してください。
このタスクについて
- TLS サポートの構成
- TLS サポートを構成するための一般的なステップは、以下のとおりです。
- デジタル証明書を管理するための鍵データベースを 1 次インスタンスと各スタンバイ・インスタンスに作成します。 これらの証明書と暗号鍵は、 TLS 接続を確立するために使用されます。
- TLS サポート用に Db2 インスタンスを構成します。 この手順は、Db2 インスタンス所有者が実行します。
- TLS を使用する特定のデータベースに対して TLS を構成します。
手順のセクションで、1 次 HADR サーバーとスタンバイ HADR サーバーの間の通信のためのこの構成プロセスについて詳述します。
の制約事項
プラットフォーム | サポートが開始された Db2 バージョン |
---|---|
Linux on AMD64 および Intel EM64T | 11.1.1.1 |
その他のすべてのプラットフォーム | 11.1.3.3 |