Comments
Description
Transcript
2 . プレ匠塾 ・ DB2 9.7
® プレ匠塾 ・ DB2 9.7 一日速習講座 2.システム構成 . © 2009 IBM Corporation システム構築の流れとDB2 要件定義 ・接続形態 ・ユーザー認証 ・セキュリティ ・耐障害性構成 アプリケーション 設計者/開発者 システム要件 の整理 データ項目の 標準化 データベース 設計者/管理者 設計 開発 テスト 本番運用 システム構成 の選択 アプリケーショ ン設計 プログラミング・ インターフェー スの選択 データベース 設計 パフォーマンス を考慮した プログラミング 統合テスト キャパシティ、 パフォーマンス に関する検証 テスト チューニング 運用設計 © 2009 IBM Corporation 2 サポートされるプラットフォーム(AIX) 前提となるOSレベル – Version5.3 + TL 9 +Service Pack2、またはVersion6.1 – 64-bit カーネル – xlC.rte9.0.0.8およびxlC.aix50.rte9.0.0.8 以降 サポートされるマシン – 64-bit のコモン・ハードウェア・リファレンス・プラットフォーム ( CHRP ) アーキテクチャー – サポートされている AIX オペレーティングシステムを実行できる すべてのプロセッサー © 2009 IBM Corporation 3 サポートされるプラットフォーム(Linux) 前提となるOSレベル – Red Hat Enterprise Linux (RHEL) 5 Update2 – SUSE Linux Enterprise Server (SLES) 10 Service Pack 2 – SUSE Linux Enterprise Server (SLES) 11 – Ubuntu 8.0.4.1 サポートされるマシン – x86 (Intel Pentium, Xeon, AMD) 32-bit IntelおよびAMD プロセッサー – x64 (64-bit AMD 64および Intel EM64T プロセッサー – Power (IBM eServer, OpenPower, iSeries, pSeries, System i, System p, またはPOWER Systems that support Linux) – eServer System z または System z9 • DB2 V9.5まではサポートのあった Red Hat Enterprise Linux (RHEL) 4 、SUSE Linux Enterprise Server (SLES) 9 が サポートされない © 2009 IBM Corporation 4 サポートされるプラットフォーム(Windows) 前提となるOSレベル – Windows XP Professional (32–bit および 64–bit) • Windows XP Service Pack 2 以降 – Windows Vista Business (32–bit および64–bit) – Windows Vista Enterprise (32–bit および64–bit) – Windows Vista Ultimate (32–bit および64–bit) – Windows 2003 Datacenter Edition (32 bit および64 bit) • Service Pack 2 以降 – Windows 2003 Enterprise Edition (32 bit および 64 bit) • Service Pack 2 以降 – Windows 2003 Standard Edition (32 bit および64 bit) • Service Pack 2 以降 – Windows Server 2008 Datacenter Edition (32 bit および64 bit) – Windows Server 2008 Enterprise Edition (32 bit および64 bit) – Windows Server 2008 Standard Edition (32 bit および64 bit) サポートされるマシン – サポートされている Windows オペレーティング・システム (32 ビットおよび x64 ベースのシステム) を 実行できる Intelおよび AMD のすべてのプロセッサー © 2009 IBM Corporation 5 サポートされるプラットフォーム(HP-UX) 前提となるOSレベル – HP-UX 11iv2 (11.23.0505) • May 2005 Base Quality (QPKBASE) バンドル • May 2005 Applications Quality (QPKAPPS) バンドル – HP-UX 11iv3 (11.31) サポートされるマシン – Itanium ベースの HP Integrity Series システム © 2009 IBM Corporation 6 サポートされるプラットフォーム(Solaris) 前提となるマシンとOSレベル – UltraSPARC または SPARC64 プロセッサー • Solaris 9 ( 64-bit カーネル ) – パッチ 111711-12 および 111712-12 > ローデバイスを使用する場合、パッチ122300-11 • Solaris 10 ( 64-bit カーネル ) – ローデバイスを使用する場合、パッチ125100-07 – Solaris x64 (Intel 64 または AMD 64) • Solaris 10 ( 64-bit カーネル ) – ローデバイスを使用する場合、パッチ127128-11 • 64-bitのFujitsu PRIMEPOWERのSolaris 9でDB2を動かす場合には、 Solaris 9 Kernel Update 112233-01以降、パッチ 912041-01 が必要 © 2009 IBM Corporation 7 サポートされるサーバー/クライアントの組み合わせ V8 Server (32bit) V8 Server (64bit) V9.1 Server (32bit) V9.1 Server (64bit) V9.5 Server (32bit) V9.5 Server (64bit) V9.7 Server (32bit) V9.7 Server (64bit) V7 Client (32bit) YES *1 YES *2,3 YES *2,3 YES *2,3 NO NO NO NO V7 Client (64bit) NO YES *3,4 YES *3,4 YES *3,4 NO NO NO NO V8 Client (32bit) YES YES YES YES YES YES YES YES V8 Client (64bit) YES YES YES YES YES YES YES YES V9.1 Client (32bit) YES YES YES YES YES YES YES YES V9.1 Client (64bit) YES YES YES YES YES YES YES YES V9.5 Client (32bit) YES YES YES YES YES YES YES YES V9.5 Client (64bit) YES YES YES YES YES YES YES YES V9.7 Client (32bit) YES YES YES YES YES YES YES YES V9.7 Client (64bit) YES YES YES YES YES YES YES YES ※DB2 V8との構成は、延長サポート契約がある場合のみを対象 © 2009 IBM Corporation 8 補足:サポートされるサーバー/クライアントの組み合わせ • V7クライアントからV8、V9.1サーバーへの接続はサポートされます。V8クライアントからV9.1、V9.5、 V9.7サーバーへの接続もサポートされます。 • *1 V7クライアント(32Bit)からV8サーバー(32Bit)への接続では、AT NODE機能を使ったユーティリ ティ実行はサポートされていません。 • *2 Windows版のV7クライアント(32Bit)からは、Windows版のV8サーバー(64Bit)、Windows版のV9 サーバー(32Bit)、Windows版のV9サーバー(64Bit)への直接接続が可能です。 他のプラットフォー ムの場合には、直接接続ではなく、32BitのDB2 Connectゲートウェイを経由した接続が必要です。 • *3 V7クライアントからV8サーバー(64Bit)、V9サーバーへの接続の場合には、SQL要求のみがサ ポートされます。ユーティリティやAPIの使用はサポートされません。 • *4 V7クライアント(64Bit)は、Windows以外のV8サーバー(64Bit)、Windows以外のV9 Serverとの接 続のみサポートされます。V7クライアントは、FixPack7以降が適用されている必要があります。 © 2009 IBM Corporation 9 オプション・フィーチャー一覧 DB2 V9.5 Features Base/Enterprise Warehouse Feature DB2 pureXML Feature Enterprise Workgroup Express ● (組込み) (組込み) (組込み) 課金単位 含まれる機能 Value Unit DPF, その他 許可ユーザー pureXML Value Unit DB2 High Availability Feature (HAF) (組込み) (組込み) ● 許可ユーザー Value Unit DB2 Query Optimization Feature (QOF) (組込み) 許可ユーザー WD Value Unit DB2 Performance Optimization Feature (POF) ● DB2 Storage Optimization Feature (SOF) ● バックアップ圧縮 (組込み) DB2 Advanced Access Control Feature (AACF) ● DB2 Geodetic Data Management Feature ● 許可ユーザー (組込み) HADR, オンライン再編成、 TSA, 拡張コピー・サービス MQT, MDC, 並列照会処理、コ ネクション・コンセントレーター Value Unit DB2 ワークロード管理, Performance Expert, Query Patroller Value Unit データ行圧縮 (組込み) 以前はSOFに含まれていた 許可ユーザー LBAC Value Unit 許可ユーザー 空間情報管理 Value Unit Homogeneous Federation Feature (HFF) Homogeneous Replication Feature (HRF)(*1) © 2009 IBM Corporation (組込み) ● (組込み) (組込み) Value Unit 他DB2/IDSへのアクセス Value Unit Q-Replication 10 BWF:Database Partitioning Feature(DPF) 1000区分までのスケーラビリティー 透過的データアクセス データベースの区分を持つサーバー群 – 全体で1つのデータベース – パラレル・オプティマイザーと高速通信経路で接続 ハッシングにより均等にデータ分散 アプリケーション DB2クライアント どの区画に接続しても 同じ結果が返ってきます CPU CPU CPU CPU CPU アプリケーション DB2クライアント CPU データベース 区画1 データベース 区画2 データベース 区画3 メモリー メモリー メモリー データ データ データ 100TBのDBも100区分で 1TBのDB設計と同じ CPU ・・・ CPU データベース 区画N-1 メモリー データ CPU CPU データベース 区画N メモリー データ 単一データベース © 2009 IBM Corporation 11 BWF データベース区分によるデータウエアハウスのスケーラビリティ実現 SELECT ….. FROM T1 GROUP BY … ORDER BY … アプリケーション・プログラム 集計能力: CPU/メモリー4倍 ① ⑦ 1SQLを複数DBパーティションで ② 並列処理 DB区画1 エージェント DB区画2 エージェント DB区画3 エージェント DB区画4 エージェント バッファープール バッファープール バッファープール バッファープール 表T1 表T1 ノードグループ1 表T1 PAGE © 2009 IBM Corporation 表T1 PAGE PAGE PAGE 12 多次元クラスタリング(MDC) (ESEに含まれる) 多次元クラスタリング(MDC)とは複数属性の値によってデータを分類して自動的に格納する 機能 – 単一属性のクラスタでは実現できなかった「2006年3月」の「DB2」の「東京」というような 複数の属性をもつクラスタ 次元別検索のパフォーマンス向上 データ並べ替えを目的とした再編成不要 削除のパフォーマンスアップ(ブロック削除が可能) – 索引のサイズが小さい(索引はブロック・ベース(BID)) – レコードベースの通常の索引も同時に作成可能 ブロック 2006 2006年 年4月, 東京, 東京 , 2006 2006年 年3月, 2006 2006年 年3月, DB2 東京, 東京, 東京,, 東京 DB2 DB2 2006 2006年 年4月, 大阪,, 大阪 2006 2006年 年3月 2006 2006年 年3月, Webspher , 大阪 大阪,, e 大阪,, 大阪 Webspher Webspher e e レコード 作成SQL例: CREATE TABLE MDC1 ( Date DATE,地域 CHAR(10),製品 VARCHAR(10), 年月 generated always as (INTEGER(Date)/100), ... ) ORGANIZE BY DIMENSIONS (年月, 地域, 製品) © 2009 IBM Corporation セル 製品 次元 地域 次元 年月 次元 13 テーブル・パーティショニング (ESEに含まれる) データの「レンジ」によって、ひとつの表を複数の区分に物理的に分割して保存 新しいパーティションのアタッチ / デタッチが可能 履歴表A 表スペース1 表スペース2 1月 2月 表スペース3 3月 表スペース4 4月 表スペース5 5月 区分の アタッチ 区分の デタッチ 1月 © 2009 IBM Corporation 保存期間を過ぎた データの高速な削除 5月 LOAD済み 表の追加 14 テーブル・パーティショニングの価値 大規模データベースへの対応 – テーブルの容量制限緩和 • 各区分は別々の表スペースに格納可能 • 一つの表を複数表スペースに格納が可能 – 巨大な表の管理容易性 – 検索対象絞込みにより検索パフォーマンス向上 – 並列処理によるバックアップのパフォーマンス向上 – 高速&オンラインのデータ・ロール・イン / ロール・アウトを実現する © 2009 IBM Corporation 15 ハイブリッド・パーティショニング テーブル・パーティショニングとDPFとMDCを自由に組み合わせ可能 お客様NO. 注文NO ユニーク性が高く Database Partitioning (by DPF) Primary KeyやJOIN KEYなど ハッシュ 1000 区画 レンジ 年月 2006年1月 2006年2月 2006年3月 テーブル 2006年4月 パーティション MDC (多次元クラスタリング) 履歴型は年月など 店舗コード カテゴリー 店舗コード カテゴリー 店舗コード カテゴリー 店舗コード カテゴリー クラスター(分類) 次元はユニーク性が低く 集計単位やJOIN KEYなど © 2009 IBM Corporation 16 ハイブリッド・パーティショニング 効果的な検索パフォーマンス アプリケーション SELECT 店舗、SUM(売上金額) FROM 売上明細表 GROUP BY 店舗 HAVING 年月=’200606’ 区画1 区画2 バッファープール バッファープール 1SQLを複数パーティションで 並列処理 区画3 区画4 バッファープール バッファープール 2006年6月 2006年6月 売上明細表 2006年6月 2006年5月 2006年6月 2006年7月 ・・・ 店舗コード © 2009 IBM Corporation 店舗コード 店舗コード 店舗コード 17 ハイブリッド・パーティショニングのまとめ Database Partitioning Feature(DPF) – ハッシュによるデータ分散 – 複数サーバーで単一DB 多次元クラスタリング(MDC) – 複数次元でデータ配置 テーブル・パーティショニング – データ範囲に合わせて、単一表を複数表スペースに分割格納 © 2009 IBM Corporation 18 DB2 9 pureXMLのメリット CLOBとしてXMLを格納 リレーショナルとしてXML を分解 DB2 9 pureXML としてXMLを格納 XML XML DOC スキーマ シュレッド XML DOC XML DOC XML DOC インデックス VARCHAR/CLOB列 スキーマの柔軟性あり 検索時の翻訳が重い インデックスは非反復の要素に 限定 © 2009 IBM Corporation スキーマの柔軟性を失う 分解先が多いと復元が重い スキーマの柔軟性あり (スキーマレス、複数スキーマ) 速いかつ容易な検索 インデックスは繰り返し項目に も任意に作成 19 ハイブリッド設計例 医療情報システムにおける電子カルテ © 2009 IBM Corporation 20 DB2 9 pureXML お客様事例:ストアブランド社 プロファイル – ノルウェイの金融、証券会社 – SOA,WebService,XMLの早期 実装 目標 XML開発保守作業 や処理時間 従来方式の XML DB2 9 pureXML 検索・取り出し処理 の開発 CLOB: 8時間 30 分 – コスト効率向上、製品の市場投 入の短期化 – カストマイズ商品の増加 シュレッド式: 2 時間 スキーマへの 項目追加(実装) 1 週間 5分 – オーダー期間短縮:1-3 週を 10 分以内へ短縮 IO処理のコード (65% 減) 100 35 – 2006/6 第一週だけで 2005 年 の全受注以上を達成 社内レポート作成の 照会処理 24 - 36 時 間 20 秒 - 10 分 効果 © 2009 IBM Corporation 21 データベース・サーバーの障害対策 想定されるデータベース障害 対策 データベースの論理障害 DB2クラッシュ・リカバリー(DBMS機能) DB2バックアップ/リストア(DBMS機能) ストレージ・ディスク障害 サーバーの障害 必要なH/W,S/W テープ装置、ストレージ RAID,HW/SWミラーリング DB2バックアップ/リストア(DBMS機能) テープ装置、ストレージ ローカル・コピー機能(H/W、S/W機能) コピー機能を有するH/W,S/W DB2クラッシュ・リカバリー DB2 HADR(DBMS機能) スタンバイサーバー、ストレージ ローカル・フェールオーバー(HAクラスター) クラスタリングS/W レプリケーション(DBMS機能) FTサーバー(H/W機能) サイト全体の障害 DB2クラッシュ・リカバリー DB2バックアップ/リストア(DBMS機能) スタンバイサーバー、ストレージ、高速 なネットワーク グローバル・フェールオーバー(HAクラスター) テープ装置 遠隔コピー機能(H/W、S/W機能) クラスタリングS/W レプリケーション(DBMS機能) コピー機能を有するH/W,S/W DB2 HADR(DBMS機能) © 2009 IBM Corporation FT機能を有するH/W 22 高可用性フィーチャー(ESEに含まれる) 高可用性災害時リカバリー機能 (HADR) – 基本のシステムでソフトウェアまたはハードウェアで失敗した場合、 スタンバイ・システムにフェイルオーバー可能 オンライン再編成機能 – テーブル・データへの連続アクセスを許可しながら、テーブルの行を 再構成して、フラグメント化されたデータを除去 – パフォーマンス向上のために情報を圧縮 IBM Tivoli System Automation for Multiplatforms (SA MP) – プロセス、ファイル・システム、IP アドレス、その他のリソースなどの IT リソースに対する制御を自動化して高可用性を提供 – HADR を使用してスタンバイ DB2 データ・サーバーへの自動フェイル オーバーを調整 © 2009 IBM Corporation 23 DB2 の高可用性 DB2 はクラスター構成を組むことで可用性を高める 引継ぎ アイドル・ スタンバイ 構成 Active Idle DB2 DB2 障害 Active DB2 DB2 障害検知 回復 DB DB N対1の構成も可能! Active 相互引継ぎ 構成 DB2 引継ぎ Active 1台で 業務再開 DB2 (縮退運転) DB2 Active DB2 DB2 障害 障害検知 回復 DB © 2009 IBM Corporation DB DB DB 24 HADR のアーキテクチャー 1. 2. 3. 4. 5. クライアントからの接続 1 4 DB2エンジン 3 バッファ プール 2 6. 7. 7 代替の接続 (クライアント・リルート) プライマリ 5 DB2エンジン スタンバイ バッファ ログ バッファ バッファ HADR バッファ TCP TCP層 層 非同期 5 ※ データ更新処理を受け取る ログ・バッファに書き込む データ・バッファ上で更新処理 コミットを受け取る ログ・バッファの内容をディスクに書き込むと同時に TCPレイヤーにログ・ページを転送 (→7:非同期) スタンバイのHADRバッファへ書き込む (→6:近同期) ディスクに書き込む (→6:同期) 完了通知をプライマリに返す コミット終了をユーザーへ返す(同期) log writer log reader TCP/IP 6 バッファ プール 近同期 log reader 5 5 表 索引 ログ Replay Master Shredder Redo Master Redo Workers ※ 表 索引 ログ 同期 © 2009 IBM Corporation 25 DB2 サーバーの障害対策のまとめ 構成案 高可用性構成① HAクラスター Active/ Cold Standby構成 通常時 の構成 クラスター SW 障害後の 引継構成 クラスター SW クラスター SW リソース ・コスト クラスター SW 高可用性構成③ HADR Active/ Hot Standby構成 クラスター SW クラスター SW クラスター SW クラスター SW クラスター SW クラスター SW クラスター SW クラスター SW ・DB2 + HACMPにより、ノードダウン時の障害対応が可能 ・高速な切換が可能(Takeover) ・DB2 BWF + HACMPにより、ノードダウン時の障害対応が可能 ・高速な切換が可能(Takeover) ・BWFにより、複数システムで並列DB構成が可能 ・DB2 V8.2以降+HADR+HACMPによりノードダウン時の障害対応が可能。 ・HADRによりプライマリ側のDB2のログをスタンバイ側のDB2にも反映。 ・副ディスクへのデータレプリケーションにより、正ディスクの障害にも 迅速に対処 ・高速な切換が可能、Takeover後のDB2の起動、ディスクの引継ぎも不要 ・DBMSの構成がシンプルで運用が容易 ・DBMSの構成としては複雑で、BWF固有の知識が必要 ・CPU/メモリーについては、本番機とStandby機で同じリソースが推奨 ・但し、通常時の構成でStandy機のリソースは少ない状態とし、障害 時の切換後、DLPARの機能を使用しリソースの追加も可能 ・Standby機側のDB2ライセンスは必要なし ・CPU/メモリーについては、障害時に片システムのみで稼動する場 合は、縮退運転となる。(DLPARの機能でリソース追加可能) ・通常時の構成では、リソース(CPU/メモリー)を最大限有効活用 ・DB2ライセンスとしてBWFが追加で必要 ・スタンバイ機にパッチを適用するなど、柔軟な保守運用が可能 (計画停止の短縮) ・CPU/メモリーについては、本番機とStandby機で同じリソースが推奨 ・ディスク(DB部分)が2倍必要 ・ログ転送に用いる専用のネットワーク回線が推奨 ・Standby機側のDB2ライセンスは1CPUライセンスのみ 特長 運用保守 高可用性構成② HAクラスター Active/Active Standby構成 ※ BWF …. Base Warehouse Feature © 2009 IBM Corporation 26 DB2 Workload Manager (WLM) 概要 • • • • きめ細かいワークロードの識別・分類 閾値による制御 (コスト、実行並行度、実行時間 etc) 実行優先度の制御 目的に応じたレポーティング ワークロード 識別・分類 WORKLOAD SERVICE CLASS DB2エンジンに組み 込まれた機能 Workload Manager 目的ごとに レポート 実行優先度の制御 WORKLOAD 暴走クエリーの閾値制御 © 2009 IBM Corporation 27 Performance Expert © 2009 IBM Corporation 28 行圧縮(SOFに含まれる) 行圧縮 Name Dept Salary City State ZipCode Fred 500 10000 Plano TX 24355 John 500 20000 Plano TX 24355 – データの繰り返しパターンに対し辞書を作成し圧縮 (表に COMPRESS YES属性) • V9.1で辞書はREORGユーティリティのオプションで作成 – 表全体で発生する繰り返しパターンに有効 • スケール・メリット Fred 500 10000 Plano TX 24355 John 500 20000 Plano TX 24355 … 辞書 Fred (01) 10000 (02) John (01) 20000 (02) あるお客様データの圧縮例(V9.1) Compression Type 32KB Page Count … 1/4以下に 01 Dept 500 02 Plano, TX, 24355 … … Space Required on Disk 非圧縮 5893888 179.9GB 圧縮後 1392446 42.5GB % Pages Saved: 76.4% © 2009 IBM Corporation 非圧縮 圧縮後 29 行圧縮:IOネックのシステムにおけるパフォーマンス改善 Tablescan IO待ちの多いシステムの表スキャン のケース I/Owaitが劇的に改善! No Compression # of Rows 59,986,052 59,986,052 # of Pages 1023162 426292 MB 7993 3330 Run time (secs) 90.993 43.268 MB/sec 87.847 76.972 Total user cpu time (sec.ms) 48.910 94.490 Time waited for prefectch 302878 67950 user cpu time/row 0.00000082 0.00000158 user cpu time/page 0.000048 0.000222 rows/page 59 141 非圧縮 圧縮 No Compression (vmstat output) Row Compression (vmstat output) 100% 100% 80% 80% idle 40% seconds 80 70 60 0 90 80 70 60 50 40 30 20 0% 10 0% 0 20% 50 usr 20% 40 usr 30 sys 40% iow ait sys 20 iow ait 60% 10 60% cpu % cpu % idle © 2009 IBM Corporation Row Compression seconds 30 セキュリティ データのセキュリティ要件を確認 – Trusted Context を実装するか?(V9.5新機能) – LBAC(DB2 9新機能)で制御するか、もしくはDB2のオブジェクトの設計で制御するか? LBAC(ラベル・ベース・アクセス・コントロール) – データにどのユーザーがアクセスできるかに対する制御を大きく向上 – 行レベル/列レベルでのアクセス・コントロールが可能 • 個々の行および個々の列に対して、どのユーザーに書き込みアクセスがあり、どのユーザーに読み取 りアクセスがあるのかを厳密に決定することが可能 • 行レベル/列レベルを組み合わせて使用することも可能 – SECADM権限 • システム管理者によりこの権限が付与されたユーザーがセキュリティー管理者となる – SYSADMといえども、この権限が付与されない限りセキュリティーの管理は不可 • データベースセキュリティー関連のさまざまな構成が可能 • データベース・オブジェクトの所有権の委譲も可能 > 例)LBAC機能の一部であるオブジェクトすべての作成、ドロップ、権限付与、取り消しなど © 2009 IBM Corporation 31 DB2のユーザー認証 認証とは? – ユーザー ID とパスワードで、ユーザー本人であることを検査すること DB2ではどのような認証の仕組みを提供するのか? – 認証のタイミングは接続時 • CONNECT TO DB名 USER ユーザー名 USING パスワード – 認証方法は選択可能 • • • サーバーのOSで認証(デフォルト) クライアントのOSで認証 KERBEROS – LDAP認証 • セキュリティー・プラグインにより外部の認証システムを利用でき、LDAP用のサンプルを適宜修正して使用可能 Connect to データベース名 user ユーザーID using パスワード クライアント OS ユーザー アプリケーション データベース・サーバー OS DB2 DB2 クライ アント サーバー データ ベース いずれかで認証 © 2009 IBM Corporation 32 DB2 V9.5 Trusted Contextによる権限付与 適切な特権の付与 – これまでは・・・ アプリケーションサーバー DBサーバー TABLE Aの参照必要 ○ APP USER 人事 TABLE A ○ APP USER 開発部のユーザー は表Aを見る必要 はないのに見えて しまう TABLE B APPUSERに多く の権限を付与して しまっている 開発 TABLE Bの参照必要 – TRUSTED CONTEXTを使用すると・・・ TRUSTED CONNECTION アプリケーションサーバー APP USER APP USER 人事 開発 © 2009 IBM Corporation 人事 SWITCH 開発 ○ × DBサーバー TABLE A TABLE B 人事部ユーザーに は表Aのみ、 開発部ユーザーに は表Bのみの SELECT特権を与え ていれば、 適切な権限を使用さ せることができる TRUSTED CONNECTION 33 DB2 V9.5 Trusted Contextによるユーザー特定と監査 監査機能の向上 – これまでは・・・ アプリケーションサーバー DBサーバー TABLE A APP USER APP USER 人事 すべて APPLUSER による接続 TABLE B 開発 – TRUSTED CONTEXTを使用すると・・・ アプリケーションサーバー APP USER APP USER 人事 開発 © 2009 IBM Corporation SWITCH TRUSTED CONNECTION DBサーバー TABLE A 誰がどの表にア クセスしたか監 査可能 人事 開発 TABLE B 適切なアクセス 権限 TRUSTED CONNECTION 34 AACF: DB2 ラベル・ベース・アクセス・コントロール どの行、どの列に、どのユーザーが読取り、書き込みが可能か厳密に管理 A 255 A1 254 B 250 B1 100 D 253 B2 100 B1-1 50 B1-2 50 B2-3 50 © 2009 IBM Corporation C 254 企業の情報 アクセス管理要件は 階層構造だけでは 表現できない SET / ARRAY / TREEの3種類の装備 35 LBAC 3つのセキュリティ・ラベル・コンンポーネント(部品) SET型 – 依存関係のない集合 営業 製造 研究開発 ARRAY型 – 権限強弱の順番有り 極秘 部外秘 社外秘 一般 TREE型 – 階層構造の権限強弱 © 2009 IBM Corporation A B C D E F G 36 ラベル・ベース・セキュリティ・コントロール セキュリティ ポリシー SET型 コンポーネント ラベル ラベル ラベル © 2009 IBM Corporation ARRAY型 コンポーネント ラベル ラベル ラベル ラベル TREE型 コンポーネント ラベル ラベル ラベル 37 ラベル・ベース・アクセス・コントロール 行単位でアクセス制御 CREATE TABLE 表( 列 列 列 db2securitylabel) Security policy ポリシー名 SECADMIN が制御 ラベル値 GRANT 列単位でアクセス制御 CREATE TABLE 表( 列 secured with ラベル名 列 列) Security policy ポリシー名 ラベル READ WRITE ALL ユーザー 行と列単位でアクセス制御 © 2009 IBM Corporation 38 行単位LBACでのSELECT 課長 SELECT * FROM EMP WHERE SALARY >= 50000 ラベルにより ユーザーに許され た行のみを出力 © 2009 IBM Corporation No LBAC SEC=254 営業 SEC=100 秘書 SEC=50 ID SALARY 255 60000 100 50000 50 70000 50 45000 60 30000 250 56000 102 82000 100 54000 75 33000 253 46000 90 83000 200 78000 39 セキュリティ(続き) オブジェクトの設計で制御の場合 DB2のオブジェクトに対するアクセス制御機能で実現可能なもの。 • • • • 例) 特定の表は全員参照できるが、更新は特定のユーザーのみ → オブジェクトへのアクセス特権で制御 例) 特定の表の一部のデータは限定ユーザーのみに公開 → オブジェクトの設計(ビューの利用)で制御 それ以外のDB2の機能で実現可能なもの • 例)物理的なコンテナーファイルやバックアップを暗号化したい > • • • • • • → Encryption Expertを利用(V9.5新機能 次ページ参照) 例) あるデータは暗号化して保管したい → DB2の暗号化機能を利用 (後述) 例)ネットワーク上のデータも暗号化したい → DB2の認証機能を利用 プログラム実行のセキュリティ要件を確認 例) 特定のストアド・プロシージャーは特定ユーザーのみ実行可能 → オブジェクトへの実行特権(EXECUTE)で制御 DB2提供の機能でカバーできないセキュリティ要件を洗い出し、システム構成および設計に盛り込む • • 例) アプリケーション・プログラムへのアクセス(コンパイル、削除など) 例) ロード元データのアクセス など © 2009 IBM Corporation 40 暗号化機能 表内の列データを暗号化することができる – 関数を使用 • ENCRYPT関数 : データを暗号化 • DECRYPT_CHAR / DECRYPT_BIN関数 : データを解読 • GETHINT関数 : データ暗号化時に設定したパスワードのヒントを戻す INSERT INTO 顧客メールID表 VALUES (’田中’, ENCRYPT(’[email protected]’, ‘password’, ‘hint’) NAME MAILID 鈴木 田中 SELECT DECRYPT_CHAR(MAILID, ‘password ‘) FROM 顧客メールID表 WHERE NAME=’田中’ © 2009 IBM Corporation 41 IBM Database Encryption Expert 暗号化 データを暗号化し 不必要な持ち出し、無許可アクセスからデータを保護します オフラインデータ DB2 Server DB バックアップ・ファイル Backup EE エージェント データ暗号化、 アクセス制御 監査事象を セキュリティー・ サーバーへ送付 EE File System EE Database Agent Backup Agent キー管理、ポリシー管理、認証 https 監査ログの集中管理 高可用性 (フェイルオーバー) Encryption Expert 表スペース・コンテナ・ファイル オンラインデータ セキュリティー・サーバー Web 管理GUI soap/https Security Server キー、 ポリシー、 ログ store オンライン、オフラインでのデータ暗号化機能を提供 オンラインのデータ暗号化、アクセス制御 / オフライン暗号化によるデータベース・バックアップの保護 データベース・バックアップの圧縮によるストレージ・スペースの節約 パフォーマンス、高可用性 強固な暗号化アーキテクチャー 高速な暗号化を実現 暗号化キーの一元管理とキーの使用に関する監査可能 パフォーマンス低下は10% 以下 データのあるマシンとは別マシンで管理情報を保管 (セキュリティー・サーバー) セキュリティー・サーバーのフェイルオーバー機 能を提供 キー / ポリシー管理、ログ データのリストア先の管理 © 2009 IBM Corporation IBM Optim Data Privacy Solution データの意味を維持してマスキング、機密情報保護と正確なテスト実施を両立 【ソリューション例】 1. 外部委託やオフショア開発時の個人情報・機密情報保護 2. アプリケーションのバージョンアップ時に、マスキングした既存データで稼働確認 3. 実データの代わりにマスキング・データをデモンストレーションで使用 【実現できる機能】 さまざまな形式の機密情報をマスキングにより保 護 実データ ID 氏 名 生年月日 年齢 Credit Card No. Credit Card Type 1 山田 太郎 1983/08/06 25 30000071598431 Diners Club 一般的な個人情報(氏名、住所、クレジッ ト カード番号、メールアドレスなど) 2 松本 洋子 1977/04/25 31 30000034924526 Diners Club 3 鈴木 和也 1950/10/07 58 4980119237944480 VISA 数値(日付や電話番号など) 4 柴田 44 376100627834155 彩 1964/09/23 意味や形式を維持してデータ変換、見た目も自 然かつ本番同等のトランザクションを再現 5 斉藤 健司 1955/06/24 関連する項目や別表にもマスキング結果を反映 し、データの整合性を維持 マスキング後 幅広いプラットフォーム、アプリケーション、デー タベースに単一で区別なく対応 【導入メリット】 1. 機密情報の安全な取扱によるリスク回避 2. 正確なテスト結果を導き、テスト品質向上 3. 全社規模のデータにも一貫したポリシーを適用 © 2009 IBM Corporation ID 氏 名 American Express 53 5200007632070380 Master Card 生年月日 年齢 Credit Card No. Credit Card Type 1 山田 亮二 1985/11/06 23 30000031523472 Diners Club 2 松本 圭子 1969/11/29 39 30000061924920 Diners Club 3 鈴木 大輔 1940/10/13 68 4980238451075690 VISA 4 柴田 和隆 1973/05/21 35 376100436726423 5 斉藤 恵利 1980/06/10 28 5200007492070128 Master Card American Express 格納データの監査 Audit Facility (監査機能) DB2の監査機能を使用すると、インスタンス内で発生するイベントの監査証跡を保守することが できます。データ・アクセス試行のモニターとその後の分析を正常に行うことにより、データ・ アクセスの制御を強化し、悪意または不注意によるデータへの無許可アクセスを徹底して防ぐ ことができます。 その後、これらの記録されたイベントをレポートに抽出して、分析に使用することができます。 監査ログ db2audit.log Data © 2009 IBM Corporation Text ファイル 区切り付き ASCIIファイル ファイル 44 監査対象を特定のオブジェクトに絞ることができる db2audit によるデータベース監査機能 要件 設定 対象 特定テーブル上での 実行SQLを記録したい EXECUTE category 特定表(EMPLOYEE表) SYSADMIN category 特定権限(SYSADM) 特定権限の 管理者の操作を記録したい 特定ユーザーの 表へのアクセスを記録したい CHECKING category 特定USER(BOB) VALIDATE category 特定ROLE(ACCOUNTING) 特定ロールの ユーザ認証を記録したい ALL 監査ポリシーを作成し、 AUDITコマンドでオブ ジェクトに関連付ける CHECKING OBJMAINT SECMAINT SYSADMIN CATEGORY VALIDATE CONTEXT EXECUTE © 2009 IBM Corporation Database AUDIT Tables AUDIT POLICY AUDIT Authorities Users Groups Roles Trusted Connections 【参考情報】スキル習得、技術関連情報入手先 研修やWebサイトなどスキル習得や技術情報に関連する内容を ご紹介します。 – DB2 グローバルマスター – DB2 9の研修を受講するには – DB2 匠塾 – DB2 developer Works – 技術情報検索 – ダウンロード – DB2 関連市販本 – DB2 フォーラム – テクニカル・サポート © 2009 IBM Corporation 46 DB2 グローバルマスター (IBM DB2 9 技術者認定制度) グローバルマスター体系 http://ibm.com/jp/software/data/db2gm/ • 上記URLにキャンペーン情報も掲載しています • DB2 エンジニア、DB2エキスパート(管理)は V9 対応 © 2009 IBM Corporation 47 DB2 9 の研修を受講するには DB2 9 の研修は、日本アイ・ビー・エム人財ソリューション(株)(IHCS 旧 LSJ)により提供されています http://ibm.com/jp/lsj/service/it/db.shtml – 提供コースは 上記URLよりご確認ください ソフトウェア・コンピテンシー・センターにて、DB2のスキル育成支援サービス として「匠塾」を開催しています。(次ページ参照) © 2009 IBM Corporation 48 DB2 匠塾とは DB DBの経験者を対象に の経験者を対象にDB2 DB2 9の専門的な技術を短期間で習得 9の専門的な技術を短期間で習得 現場で即座に活きるハイレベルな技術者育成プログラム 講義・実習を通してプロジェクトを疑似体験! コース受講者の声 実践向きで、かつ頭と体できちんと覚えられるプログラムでした! 講師の方の豊富な経験談を聞くことができ、とても興味深かった アーキテクチャー理解⇒ アーキテクチャー理解⇒ハンズオンの構成が良い 今回の資料は、今後何回も読み直します。 受講方法 お客様のニーズに応じて実施する応用コースです。 お客様先 もしくは 弊社事業所(箱崎、渋谷、六本木など)で開催することができます。 参考概算価格: 1回(3日間)の開催につき 100万円程度 (10名程度の受講が可能です) お問い合わせ先: [email protected] までメールにてご連絡ください。 © 2009 IBM Corporation 49 技術関連情報入手先: 技術関連情報入手先:developer developerW Works 1. 製品別に技術情報を探せるようにデザインを大幅変更 製品・バージョン別に、入門書、導入ガイド、ワークショップ資料、問題判別などの技術情報を分類し、開発者に役立つリンク をまとめました。各製品別技術情報ページへは、developerWorksよりお入りください。 2. RSS配信をスタート 『IOD Today』のメールニュースに加えて、新たにRSSによる新着情報の配信を始めました。RSS配信の利用方法について は、developer Works トップ・ページ左にある利用ガイドをご参照ください。 3. 新連載 : 続々スタート 開発テクニックやHint&Tipsなどを丁寧に解説した連載講座を続々スタートしていきます。 新着情報続々 RSS配信 メール会員募集中! 製品・バージョン別に 技術情報を分類 コミュニティーも! DB2 developerWorks → http://ibm.com/developerworks/jp/db2/ © 2009 IBM Corporation 50 技術情報検索サイト 1 日本IBMのソフトウェア・グループはソフトウェア製品に関する技術情報ポータルを一新いたしました。全製品 の技術情報の窓口を一本化し、IBM社内で蓄積したQ&Aの過去ログや技術資料をパートナー様、エンドユー ザー様に広く公開いたします。また、米国IBMの豊富な技術資料も機械翻訳による翻訳文を付加し、ご提供 します。 http://ibm.com/jp/software/tech/search/ お客様 パートナー様 IBM技術者 今後も役立つ技術情報を続々増やしていきますので、ぜひ当サイトをご活用ください。 © 2009 IBM Corporation 51 技術情報検索サイト 2 Q&A(お問合せとその回答の過去ログ Q&A(お問合せとその回答の過去ログ)) 解説書、説明資料 翻訳文付き英語の最新資料 翻訳文付き英語の最新資料,, Q&A (※検索対象で”機械翻訳付き“を選択) © 2009 IBM Corporation 52 DB2 ダウンロード http://ibm.com/jp/software/data/download/ DB2 最新バージョン評価版やFixpack*、e-ラーニング「DB2速習コース」な ど、各種ダウンロードへのリンクをご案内します。 詳細は、DB2ホームページのダウンロードコーナーまで。 * 修正モジュールをまとめて不定期にFixPackとしてご提供しています。 DB2 Express-C http://ibm.com/jp/software/data/db2express-c/ DB2 Express-Cは無償で使用できるDB2の新エディションです。 DB2 Express-Cには、実績のある中小・中堅企業向けのDB2 Express Edition for Linux and Windowsとほぼ同等の機能が提供されています。開発者、パートナー様あるいはお客様が、無 償で信頼性の高いDB2 Express-Cを評価、開発、使用することができます。 コードはダウンロードして入手可能ですが、製品保証および保守サポートは提供されません。 © 2009 IBM Corporation 53 DB2 関連市販本 http://ibm.com/jp/software/data/library/book/index.html 書店やオンライン・ショップで購入できる最新の書籍情報をご案内します。 詳細はDB2ホームページのライブラリー書籍コーナーまで。 © 2009 IBM Corporation 54 DB2 フォーラム db2forum.jp DB2 FORUM JAPAN は、だれでも参加できるWeb上のDB2技術者の情報 交換の場です。マニュアルにはない実践的な知識を持った技術者があなたの 悩みに答えます。 リニューアルしてより使いやすくなりました © 2009 IBM Corporation 55 製品のテクニカルサポート ー 概要 法人のお客様には製品は『パスポート・アドバンテージ』というプログラムで購入いただきます。 • http://ibm.com/jp/software/passportadvantage/index.html – 12ヶ月間のソフトウェア・メンテナンスを標準提供しています – お問い合わせは、電話のほかにWebでも受け付けています • Web経由での受付は事前登録が必要です 「ソフトウェア・メンテナンス」のメリット いつでも最新バージョンを利用可能 トラブル時のテクニカルサポート ※製品コードに起因する障害が対象です。 オンサイトサポートは含まれません。 製品のインストールや使用方法に 関するお問合せ ※日常的で短時間の質問が対象です。 緊急度の高い障害の24 時間365 日のサポート ※お客様の本番業務が停止し、かつ回避策がない 場合に提供します。 © 2009 IBM Corporation 56 製品のテクニカルサポート - Webサポート Web経由にて技術的なお問い合わせ 技術的なお問い合わせや、お問い合わせ履歴の参照 お問い合わせ履歴の参照を行うことが可能です。 http://ibm.com/jp/software/support/probsub.html ソフトウェア技術情報検索で検索できなかった技術情報や不明点のお問合せ サポートセンターへお電話でお問合せした内容の照会 新規のお問い合わせ を入力できます (*1) お問い合わせ内容の状況、 履歴を参照することができます *1 障害時などお急ぎの場合は電話によるお問い合わせをお願い いたします。 © 2009 IBM Corporation 57 困ったときの、DB2 調査ポータル http://ibm.com/developerworks/jp/data/library/dataserver/assist/ このポータルで紹介する手順で調査 を行うと、30分以内に解決できる ケースが多いです。パスポート・アド バンテージ(以下PA)テクニカル・ サービスに支援依頼を行う場合にも、 初期資料を準備でき約20時間解決 が早くなることが、過去事例で判明し ています。 火事場のスムースな初期消火 思わぬ出火も早期に解決 © 2009 IBM Corporation 58 (ご参考)DB2 9 バージョンアップ設計支援 サービス お勧めしたいお客様 DB2 UDB v8をご使用のお客様で DB2 9 への移 行をご検討中のお客様 サービス概要 バージョンアップ計画策定 システム構成ヒアリング 導入時設定項目確認 設定パラメーター調査 OS環境調査 アプリケーション環境調査 DB2 9 情報のご説明 DB2 の一般的な移行方法のご説明 移行要件検討 開発環境でのリハーサル支援 製品(DB2 9 )の導入 開発環境でのバージョンアップ作業支援 パラメーター設定 基本動作確認 移行手順(案)の作成と所要時間の目安 移行手順書精査 簡易移行マニュアル提供 設定パラメーター項目提供 本番環境バージョンアップ 製品(DB2 9 )の導入 本番環境でのバージョンアップ作業支援 パラメーター設定 基本動作確認 本番移行報告書提出 © 2009 IBM Corporation 前提 マイグレーションおよびテストは含まれません。 当サービスは、現行環境と同等のパラメーター設定を行 なうものであり、パフォーマンスを保証するものではあり ません。パフォーマンスに関する設定/テストは当支援 サービス範囲外とさせていただきます。 複数インスタンス構成や複数DB構成などの場合、別途 お見積もりとさせていただきます。 パーティションDB構成、HA構成などの場合、別途お見積 もりとさせていただきます。 導入構成作業が通常想定されるボリュームを超える場合、 別途お見積もりとさせていただきます。 詳細な前提については、別途お問い合わせください。 サービス期間・価格 (参考) バージョンアップ計画策定 1ヶ月 200万~ バージョンアップ計画策定~開発環境でのリハーサル~ 手順書精査 3ヶ月 500万~ 本番環境バージョンアップ立会支援 日数に応じます お客様ごとの特殊要件、環境については個別にヒアリングの上、お見積りいたします。 59