データベースとのネームスペースの統合

データベースのネストは、オペレーティング・システム・リソースの分離および管理、ファイル・システムの分離、CDBおよびPDBのセキュアな計算を備えたインフラストラクチャです。このインフラストラクチャにより、保護された仮想環境でデータベース・インスタンスを実行できます。

インスタンス・レベルのリソースおよびオペレーティング・システム・リソースを共有すると、特に大規模なクラウド・デプロイメントでは、セキュリティ制約および分離制約が発生する場合があります。脆弱性は、外因的である(障害が発生したアプリケーション、リソースの不正アクセス、共有リソースなど)可能性もあります。内因的な脆弱性の例として、障害が発生したOracleプロセスがあります。

データベースのネストにより、データベース・インスタンスは同じホストで実行されている他のデータベースおよびアプリケーションから分離され、またPDBは相互に、かつCDBから分離されます。この機能は、ネストと呼ばれる階層コンテナを提供するLinux固有のパッケージとして実装されます。CDBは単一の親ネスト内にあるのに対し、PDBは親の中に作成された個々の子ネスト内にあります。

PDBネスト内のLinuxプロセスは独自のプロセスID (PID)番号空間を持ち、他のネスト内のPIDにアクセスできません。プロセスの分離は、悪意のあるユーザーがプロセスを危険にさらした場合のセキュリティ違反における最終レベルの防御です。