前提

• 移行元
  • RHEL 8.6
  • GitLab-CE 15.11.13
• 移行先
  • RHEL 9.4
  • GitLab-CE 17.5.4

手順の流れ

• 移行先にGitLabをインストールする
• 移行元のGitLabをアップグレードし、移行先のGitLabと同じバージョンにする
• 移行元のGitLabでバックアップを取得し、新サーバーに移行して取り込む

はじめに：GitLabバージョン選定について

GitLabのバージョンは何でもよい。支障が無ければ現時点で最新バージョンを選ぶとよい。（脆弱性が高い頻度で出ているため）

ただし、OSによってはGitLabのサポートバージョン外であり、例えば、RHEL9に対応した GitLab 15.11.13 のパッケージは存在せずインストールできない。 どのOSでインストールできるかは、以下から検索してRPMパッケージが存在するかで確認する。 packages.gitlab.com

また、今回の手順は、GitLabのバックアップ／リストアユーティリティを用いて移行するが、そのためには移行元・先のGitLabバージョンが完全一致している必要がある。

要するに移行元をアップグレードする必要があるが、アップグレードはいくつかのバージョンを経由しないといけないことがある。 現バージョンから目的のバージョンへアップグレードするのに必要な経由バージョンは、以下から確認できる。

gitlab-com.gitlab.io

ちなみに、今回の例は以下。長い。

https://gitlab-com.gitlab.io/support/toolbox/upgrade-path/?current=15.11.13&target=17.5.5&distro=centos&edition=ce

１．移行先にGitLabをインストールする

手順は割愛。そのうち書く。

２．移行元のGitLabをアップグレードする

移行元サーバーからインターネットにアクセスできる場合の手順

# 外部リポジトリの追加
sudo curl -s https://packages.gitlab.com/install/repositories/gitlab/gitlab-ce/script.rpm.sh | sudo bash

# 自動バックアップの抑制
sudo touch /etc/gitlab/skip-auto-backup

# GitLab Upgrade Path に従ったバージョンアップを繰り返していく。
sudo yum install gitlab-ce-16.3.9
sudo yum install gitlab-ce-16.7.10
sudo yum install gitlab-ce-16.11.10
sudo yum install gitlab-ce-17.1.8
sudo yum install gitlab-ce-17.3.7
sudo yum install gitlab-ce-17.5.4

# 設定の再構築を行う
sudo gitlab-ctl configure

移行元サーバーからインターネットに直接アクセスできないが、PCから自由にファイル転送できる場合の手順

• ダウンロードサイトから、ディストリビューション／CPUアーキテクチャが一致するバージョンを事前入手しておく。 https://packages.gitlab.com/gitlab/gitlab-ce?filter=rpms

# RPMファイルを移行元サーバーに配置する。今回は、/home/worker 以下に配置する前提。

# 自動バックアップの抑制
sudo touch /etc/gitlab/skip-auto-backup

# GitLab Upgrade Path に従ったバージョンアップを繰り返していく。
sudo yum localinstall /home/worker/gitlab-ce-16.3.9-ce.0.el8.x86_64.rpm
sudo yum localinstall /home/worker/gitlab-ce-16.7.10-ce.0.el8.x86_64.rpm
sudo yum localinstall /home/worker/gitlab-ce-16.11.10-ce.0.el8.x86_64.rpm
sudo yum localinstall /home/worker/gitlab-ce-17.1.8-ce.0.el8.x86_64.rpm
sudo yum localinstall /home/worker/gitlab-ce-17.3.7-ce.0.el8.x86_64.rpm
sudo yum localinstall /home/worker/gitlab-ce-17.5.4-ce.0.el8.x86_64.rpm

# 設定の再構築を行う
sudo gitlab-ctl configure

３．GitLabのバックアップを取得する

# 一部サービスの停止
sudo gitlab-ctl stop unicorn
sudo gitlab-ctl stop sidekiq

# そのほか、作業中に別ユーザーから操作されるのを防ぐため、先に制限を行っておく。
# ただし、GitLab本体は起動していないとバックアップができない。

# バックアップの作成
sudo gitlab-rake gitlab:backup:create

# バックアップファイルの確認
ls -l /var/opt/gitlab/backups


# 生成したバックアップファイルを作業用PCに取得しておく

４．バックアップを移行先GitLabに取り込む

# バックアップファイルを移行元サーバーに配置する。今回は、/home/worker 以下に配置する前提。

# バックアップの移動
sudo mv /home/worker/*_gitlab_backup.tar /var/opt/gitlab/backups/

# 一部サービスの停止
sudo gitlab-ctl stop unicorn
sudo gitlab-ctl stop sidekiq

# バックアップファイルのインストール
# このとき、BACKUPにはファイル名の取得日時～バージョン名 までを指定する
# 以下、1736559467_2025_01_11_17.5.4_gitlab_backup.tar を取り込む例。
sudo gitlab-rake gitlab:backup:restore BACKUP=1736559467_2025_01_11_17.5.4

# 一部サービスの再開
sudo gitlab-ctl start unicorn
sudo gitlab-ctl start sidekiq

# 設定の再構築を行う
sudo gitlab-ctl configure

• TL;DR
• 前提
• DBMS_CRYPTOパッケージ
  • 公式ドキュメント
  • 利用の前提条件
• 利用例
  • 使い方例（暗号化）
  • 使い方例（復号化）
• 関数インデックス
• 暗号化キーの隠匿化
  • SOURCEを秘匿化しながらストアドファンクションを定義
• セキュリティ的な評価
• TDEとの比較

TL;DR

• OracleはDBMS_CRYPTOという暗号化関数がまとまった標準パッケージがある。
• 引数のデータ型はRAW型（デフォルトで最大2000bytes、設定変更で32757bytes）。CHAR/VARCHAR型との変換はUTL_I18Nパッケージを用いる。
• 暗号化関数DBMS_CRYPTO.ENCRYPT関数 / 復号化DBMS_CRYPTO.DECRYPT関数は非DETERMINISTICなので直接関数インデックスに用いることはできない。ストアドファンクションでラップする必要がある。
• 暗号化 / 復号化キーを隠匿するのはできるが各方面満点の解はない

前提

• Oracle19c

DBMS_CRYPTOパッケージ

公式ドキュメント

docs.oracle.com

利用の前提条件

• Oracle19c現在、追加ライセンス不要。
• 初期では権限不足でどのユーザーも使えないため、権限付与SQLの実行要（たぶんsysユーザーが必要）

-- 権限付与
GRANT execute ON SYS.DBMS_CRYPTO TO youruser;

利用例

使い方例（暗号化）

-- 暗号化
SELECT
 DBMS_CRYPTO.ENCRYPT(
    UTL_I18N.STRING_TO_RAW('暗号化対象データ', 'AL32UTF8'),
    6+256+4096,  -- 暗号化指定。このパラメータはAES128
    HEXTORAW('010203040506070809a0b0c0d0e0f000') -- 暗号化キー
  )
  AS crypt
FROM
  dual;

result

CRYPT
--------------------------------------------------------------------------------
2F5C489FB4BE399A4EB81FFBA6B6E28645B7060B5EC1D93F63571A4E0F119C02

• 第二引数の値は、DBMS_CRYPTOパッケージ配下の定数を参照。
  • URL：DBMS_CRYPTO
  • 例えば 6 + 256 + 4096 は、以下で確認できる

SET SERVEROUTPUT ON

BEGIN
   DBMS_OUTPUT.PUT_LINE(DBMS_CRYPTO.ENCRYPT_AES128);
   DBMS_OUTPUT.PUT_LINE(DBMS_CRYPTO.CHAIN_CBC);
   DBMS_OUTPUT.PUT_LINE(DBMS_CRYPTO.PAD_PKCS5);
END;
/

使い方例（復号化）

-- 復号化
SELECT
 UTL_I18N.RAW_TO_NCHAR(
   DBMS_CRYPTO.DECRYPT(
      crypt,
      6+256+4096,
      HEXTORAW('010203040506070809a0b0c0d0e0f000')
    )
  , 'AL32UTF8') as plain
FROM
  (SELECT
   DBMS_CRYPTO.ENCRYPT(
      UTL_I18N.STRING_TO_RAW('暗号化対象データ', 'AL32UTF8'),
      6+256+4096, 
      HEXTORAW('010203040506070809a0b0c0d0e0f000')
  ) AS crypt
  FROM
    dual
  );

• 結果はRAW型なので RAW_TO_CHAR や RAW_TO_NCHAR で復号する必要あり
• 暗号アルゴリズムによって、暗号キー・復号キーが異なる場合がある。（RSAなどが該当）

関数インデックス

• 以下はエラーとなる。

CREATE TABLE sample(crypt RAW(2000));
CREATE INDEX idx_sample ON sample(DBMS_CRYPTO.DECRYPT(crypt, 0, HEXTORAW('00')));

CREATE INDEX idx_sample ON sample(DBMS_CRYPTO.DECRYPT(crypt, 0, HEXTORAW('00')))
                                  *
行1でエラーが発生しました。:
ORA-30553: 関数がDETERMINISTICではありません。

• 以下のように、DETERMINISTICなストアドファンクションを定義することで回避できる。

CREATE OR REPLACE FUNCTION DECRYPT_AES128
  (
    -- 暗号データ
    src IN VARCHAR2,
    -- 復号キー。16bytesであること
    key IN VARCHAR2
  )
  RETURN RAW DETERMINISTIC
IS
BEGIN
  RETURN DBMS_CRYPTO.DECRYPT(
    UTL_I18N.STRING_TO_RAW(src, 'AL32UTF8'),
    DBMS_CRYPTO.ENCRYPT_AES128 +
    DBMS_CRYPTO.CHAIN_CBC +
    DBMS_CRYPTO.PAD_PKCS5,
    UTL_I18N.STRING_TO_RAW(key, 'AL32UTF8')
  );
END;
/

CREATE INDEX idx_sample ON sample(DECRYPT_AES128(crypt, 0, HEXTORAW('00')))

• 後述するが、関数インデックスはデータファイル上暗号化されないので注意。

暗号化キーの隠匿化

• SQLのパラメータとしてキー値を渡したりSQL文にベタ書きすると、Oracle内ログ、アプリログ、通信にキーが曝露するのでセキュリティ上非常によくない。
• 色々方式はあるが、PL/SQL内にキーを隠匿し、SOURCEも隠匿する手法にいきついたので紹介

SOURCEを秘匿化しながらストアドファンクションを定義

• 定義SQL

DECLARE
   ddl_text VARCHAR2(32767);
   key_nchar VARCHAR2(32) := '010203040506070809a0b0c0d0e0f000';

   FUNCTION generaye_ENCRYPT_AES128_DDL RETURN VARCHAR2
   IS
   BEGIN
      return 'CREATE OR REPLACE FUNCTION ENCRYPT_AES128' ||
         '  (' ||
         '    src IN VARCHAR2' ||
         '  )' ||
         '  RETURN RAW DETERMINISTIC' ||
         ' IS' ||
         ' BEGIN' ||
         '  RETURN DBMS_CRYPTO.ENCRYPT(' ||
         '    UTL_I18N.STRING_TO_RAW(src, ''AL32UTF8''),' ||
         '    DBMS_CRYPTO.ENCRYPT_AES128 +' ||
         '    DBMS_CRYPTO.CHAIN_CBC +' ||
         '    DBMS_CRYPTO.PAD_PKCS5,' ||
         '    HEXTORAW('''|| key_nchar ||''')' ||
         '  );' ||
         'END;';
   END generaye_ENCRYPT_AES128_DDL;
   FUNCTION generaye_DECRYPT_AES128_DDL RETURN VARCHAR2
   IS
   BEGIN
      return 'CREATE OR REPLACE FUNCTION DECRYPT_AES128' ||
         '  (' ||
         '    src IN RAW' ||
         '  )' ||
         '  RETURN VARCHAR2 DETERMINISTIC' ||
         ' IS' ||
         ' BEGIN' ||
         '  RETURN UTL_I18N.RAW_TO_NCHAR(DBMS_CRYPTO.DECRYPT(' ||
         '    src,' ||
         '    DBMS_CRYPTO.ENCRYPT_AES128 +' ||
         '    DBMS_CRYPTO.CHAIN_CBC +' ||
         '    DBMS_CRYPTO.PAD_PKCS5,' ||
         '    HEXTORAW('''|| key_nchar ||''')' ||
         '  ), ''AL32UTF8'');' ||
         'END;';
   END generaye_DECRYPT_AES128_DDL;
BEGIN
   ddl_text := generaye_ENCRYPT_AES128_DDL();
   EXECUTE IMMEDIATE ddl_text;
   SYS.DBMS_DDL.CREATE_WRAPPED(ddl_text);
   ddl_text := generaye_DECRYPT_AES128_DDL();
   EXECUTE IMMEDIATE ddl_text;
   SYS.DBMS_DDL.CREATE_WRAPPED(ddl_text);
END;
/

• デモ

select
 ENCRYPT_AES128('テストデータ') as crypt,
 DECRYPT_AES128(ENCRYPT_AES128('テストデータ')) as plain
from dual;

CRYPT
--------------------------------------------------------------------------------
PLAIN
--------------------------------------------------------------------------------
21E108C3DCA3AFFDAC709FB1079F71724C90C3EB22FC90E7D03EC066598568D8
テストデータ

• 仕組みはよく分からないが、SYS.DBMS_DDL.CREATE_WRAPPED()を介すことでSOURCEが簡単に見れなくなる
• Oracleのドキュメントを見ると動的に生成、とあるので、もしかしたらパフォーマンスに影響があるかもしれない（未検証）

SELECT text FROM ALL_SOURCE WHERE name = 'ENCRYPT_AES128';

FUNCTION ENCRYPT_AES128 wrapped
a000000
369
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
abcd
8
12a 128
rcNM2xfPeGeX3nLRY90YTcVHg+owg3nQDEgVZy+ix4kZiJlGlznTgNjUhvtgN2E96/8XKgYS
te98VEs30mFBh1xkI2H8uhvGK/l78NQCUdjjYInR42xy0nnbSF+Joq33V80CoUcoKtyQinr4
DiI3NyfE3M4d3vxM49YNkBmB1g2xedLplesOBkKkDfD63/IBtpdHnyszReXCz8ALtVJ6G0pP
TqCzx6ANEPB769u52UCVylVTD3kgjYieiXU4SkQZCDeeTxJ2uNu9F3GmkSnuzylTk7xM+2ha
DIA=

セキュリティ的な評価

TDEとの比較

• TDEは、Oracle Advanced Security（有料オプション）の機能の１つ。
• TDEは、Oracleのデータファイルを暗号化する。そのため、SQL実行による参照は保護されず、アプリケーションからのSQLインジェクションにも対応できない。
• 情報のマスキングは、Oracle Advanced Securtyの他オプションでも可能だが、特定ユーザーはマスキング項目を非表示にするなどの作業者へのいじわると、暗号化による保護というよりは内部統制のソリューションであり、ＤＢへの不正接続・ＳＱＬインジェクションなどによる任意クエリ実行の対策にはならないと考えている。
  • 詳しく調べてないので、有識者に聞いてみたい。

身も蓋もない言い方

設計は沼であり、大事な仕事・作業・人間生活にかかることであればちゃんと武装して臨むべき。

UMLは可視化ツール

クラスを中心としたソースコードを書けば、対応するUMLは半ば機械的に生成できる。 UMLは地図であって、極地的な地形であってもとりあえずそのままに書けてしまう。

良い設計は、コンセプトを伴ったパターンを持つことが一種指標に思える。 例えば、クラス図は汎化を表現できるが、以下のように指向するとよい設計につながる。

• あるデスクトップアプリケーションのデータ書き込み処理は、同じデータを固定長レイアウト、JSON形式、CSV形式の３パターンで表現する。
• ３パターンの形式を決定するのは、書き込み時にGUI指定する。それ以外のファイル書き込み時のハンドリングはすべて共通。
• それぞれの派生クラスを「生成」し、後続のファイル書き込み処理に、書き込みデータ供給の共通インタフェースを通じて処理をさせる。

こう言葉で書くとながったらしいことを、UMLは記号化してくれる。 しかし、この複雑さを簡略化はしてくれず、説明を端折ると謎の図になる。

実装パターンを豊富に知っているのであれば、思いつくままパズルの要領でつなぎ合わせて６，７個ぐらいの概念を同時に入れたところで依存性の糸の絡まり具合を可視化し、ここは切れるとかこの概念は相性が悪そうだとかを診断するためのツールになる。

初学者にとってのUML

まだ学生の頃にカリキュラムとしてUMLを触れた当時は価値がわからなかった。 簡単なMVCモデルの１画面をクラス図に書いただけで整理の必要が全くなかったのが一番の原因だが、 複雑なものを表現したとしても、知見不足で書いてみたのでは結局わからずじまいだったかもしれない。

そもそも、UML関連の学習コンテンツは説明が悪いことが多い。 「集約とは、集めて持つことである」「包含とは内部にオブジェクトを隠ぺいして持つことである」「依存はそのクラスを使っていることである」 と定義はわかるのが、なんのために依存するとか、この構造を持つことで特定の処理時にパターン化できるとか、ケーススタディ的な学びがUMLと一緒にできる例についに出会うことはなかった。 「設計とかコーディングのときに気づき内省しものにせよ」と寿司職人さながらのマインドはまだしも、UMLは握ってモチベーションに駆られるかの観点から題材の悪さしか印象にない。

設計とUML

UMLは良くも悪くも可視化ツールだ。 なので、パターンとコンセプトのある設計を表現してみて確からしさを検証するための手遊びの道具であり、 実際の実装や他の図と反復しながら多角的に検証したり、豊富なナレッジベースを並べてみて組み合わせを評価するのが一番道具として生きると考えている。 もし、UMLがしっくりこないとか意味が解らないのであれば、少し仕事や勉強から逸れたことをして、思い切り複雑で新しいことをしたときにでも思い出して無理やり書いてみるとどうだろうか。