機械翻訳について

Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

Oracle Exadata Database Service on Cloud@CustomerでOracle Databaseを作成および管理するための前提条件および制限事項

Oracle Exadata Database Service on Cloud@CustomerでOracle Databaseを作成および管理するための前提条件を確認します。

Exadata Database Service on Cloud@CustomerでOracle Databaseを作成して使用する前に、次のことを行う必要があります。

  • Exadata Database Service on Cloud@Customerインフラストラクチャのプロビジョニング
  • VMクラスタの構成
  • 必要なバックアップ先の作成

Oracle Exadata Database Service on Cloud@Customerシステムに1つ以上のデータベースを作成できます。 Oracle Exadataシステムのストレージおよび処理の制限以外に、作成できるデータベースの数に上限はありません。 デフォルトでは、Exadata Database Service on Cloud@CustomerのデータベースはOracle Database Enterprise Edition - Extreme Performanceを使用します。 このエディションでは、Oracle Database Enterprise Editionのすべての機能に加えて、すべてのデータベース・エンタープライズ管理パック、およびOracle Database In-MemoryやOracle Real Application Clusters (Oracle RAC)などのすべてのEnterprise Editionオプションが提供されます。 独自のOracle Databaseライセンスを使用する場合、様々な機能を使用できるかどうかはライセンス保有者によって制限されます。 TDE暗号化は、すべてのクラウド・データベースに必要です。 新しい表領域はすべて自動的に暗号化に対して有効になります。

ノート:

カスタム・ロケール・オブジェクト(言語、地域、文字セット、照合順序など)では、データベース・サーバーとストレージ・サーバーの両方にカスタム・ロケール・データファイルをデプロイする必要がありますが、これはExadata Database Service on Cloud@Customerではサポートされていません。

Oracle Exadata Database Service on Cloud@CustomerでサポートされているOracle Databaseリリース

Oracle Exadata Database Service on Cloud@CustomerがサポートするOracle Databaseのバージョンについて学習します。

Exadata Database Service on Cloud@Customerでは、次のOracle Databaseソフトウェア・リリースがサポートされます。

  • Oracle Database 23ai
  • Oracle Database 19c (19.x)
  • Oracle Database 12cリリース2 (12.2.0.1) (有効なアップグレード・サポート契約が必要)
  • Oracle Database 12cリリース1 (12.1.0.2) (有効なアップグレード・サポート契約が必要)
  • Oracle Database 11gリリース2 (11.2.0.4) (有効なアップグレード・サポート契約が必要)

Oracle Databaseリリースおよびソフトウェア・サポートのタイムラインについては、My Oracle Supportポータルの「現在のデータベース・リリースのリリース・スケジュール(ドキュメントID 742060.1)」を参照してください。

Oracle Exadata Database Service on Cloud@CustomerでのOracle Databaseのプロビジョニングおよび構成について

Oracle Exadata Database Service on Cloud@CustomerでのOracle Databaseのプロビジョニングおよび構成について学習します

各Oracle Databaseは次のように構成されます:
  • データベースをプロビジョニングする場合、データベースをバックアップの保存先に関連付けて、自動バックアップを有効にできます。
  • データベースがプロビジョニングされると、データベースのcrontabにアーカイブ・ログ・メンテナンス・ジョブが追加されます。
    • データベースをバックアップに使用できない場合、アーカイブ・ログ・ジョブは24時間より古いアーカイブREDOログを削除することでFRA領域を維持します。
    • バックアップに対してデータベースが有効になっている場合は、アーカイブ・ログ・ジョブによって、バックアップされていないアーカイブ・ログがバックアップされます。 アーカイブ・ログがバックアップされると、24時間を超えるとパージされます。
  • 各データベースは、仮想マシン(VM)クラスタ内のすべてのノードで実行されているOracle Real Application Clusters (Oracle RAC)データベース・インスタンスで構成されます。
  • 各データベースはOracleホームに作成され、個別のOracleホームのロケーションに個別のOracleバイナリ・セットを使用します。
  • 各データベースは、デフォルトのインスタンス・パラメータ設定で構成されます。 デフォルトは多くの場合に適していますが、インスタンス・パラメータ設定を確認して、特定のアプリケーション・ニーズを満たしていることを確認する必要があります。

    特に、特にVMクラスタで複数のデータベースがサポートされている場合は、Oracle Databaseシステム・グローバル領域(SGA)およびプログラム・グローバル領域(PGA)インスタンスのパラメータ設定を確認します。 また、すべてのOracle Databaseメモリー割当ての合計が各仮想マシンで使用可能な物理メモリーを超えないようにしてください。

    • コンテナ・データベースの作成時に、初期化パラメータSGA_TARGETが自動化によって設定されます。 これにより、SGAメモリー・プールのサイズが自動的に設定されます。 この設定は、データベースのVM合計メモリーのサイズによって異なります。 VMのシステム・メモリーが60 GB以下の場合、SGA_TARGETは3800 MBに設定されます。 VMに60個のGB以上のシステム・メモリーがある場合、SGA_TARGETは7600 MBに設定されます。
    • データベース初期化パラメータUSE_LARGE_PAGESは、データベースの作成時にのみ設定され、SGAメモリーにラージ・ページを使用する必要があります。 VMが十分に大きいページで構成されていない場合、インスタンスの起動は失敗します。
    • クラウド自動化を使用して作成されたすべての19.8以降のデータベースに対して、データベース初期化パラメータINMEMORY_FORCECELLMEMORY_LEVELに設定されます。 この設定により、アナリティク問合せを大幅に高速化するExadata列キャッシュ機能が有効になります。 19.8以降のデータベースで使用でき、Exadata Cloudで実行する場合、イン・メモリーのライセンスは必要ありません。 詳細は、INMEMORY_FORCEを参照してください
  • Exadata Database Serviceでは、ブロック・サイズが8Kのデータベースのみが作成されます。 このパラメータは変更できません。
  • Oracle Database 12cリリース1以上のリリースを使用する各データベースは、コンテナ・データベース(CDB)として構成されます。 1つのプラガブル・データベース(PDB)がCDB内に作成されます。 デフォルトは次のとおりです。
    • 最初のPDBは、PDBADMINという名前のローカルPDB管理ユーザー・アカウントで構成されます。
    • PDBADMINユーザー・アカウントは、最初はCDB SYSおよびSYSTEMユーザーと同じ管理パスワードで構成されます。
    • PDBADMINユーザー・アカウントは、最初はCONNECTおよびPDB_DBAの2つのロールを介して割り当てられた基本権限で構成されます。 ただし、ほとんどの実際の管理目的では、PDBADMINユーザー・アカウントまたはPDB_DBAロールに追加の権限を割り当てる必要があります。

    ネイティブOracle Database機能を使用して、追加のPDBを作成し、すべてのPDBを管理できます。 dbaascliユーティリティには、様々な便利なPDB管理機能も用意されています。

ノート:

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用してクラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合は、機密情報を入力しないでください。

コンソールを使用したOracle Exadata Database Service on Cloud@Customer上のデータベースの管理

データベースを作成または終了するには、Oracle Exadataコンソールを使用して手順を完了します。

コンソールを使用したデータベースの作成

コンソールを使用してOracle Databaseを作成するには、この手順を使用します。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Database Service on Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. データベースを作成するVMクラスタの名前をクリックします。

    「VMクラスタ詳細」ページの「リソース」では、デフォルトで「データベース」が選択されています。

  4. 「データベースの作成」をクリックします。

    (または)

    1. 「データベース・ホーム」をクリックします。
    2. データベースを作成するデータベース・ホームの名前をクリックします。
    3. 「データベースの作成」をクリックします。
  5. 「データベースの作成」ページで、リクエストされた情報を指定します:

    ノート:

    データベースの作成後にdb_namedb_unique_nameおよびSIDプレフィクスを変更することはできません。
    • データベース名の指定: データベースの識別に使用できるわかりやすい名前を指定します。 データベース名に使用できるのは、許可された文字のみです。
      データベース名を選択する場合には、次のガイドラインを確認します。
      • 最大8文字
      • 英数字のみを含む
      • 英字で始める
      • VMクラスタ上のdb_unique_nameの最初の8文字に含めることはできません
      • VMクラスタ内で一意
      • gridは予約名であるため、gridを使用しないでください
      • ASMは予約名であるため、ASMを使用しないでください
    • データベースに一意の名前を指定してください: オプションで、データベースの一意の名前を指定します。 この属性は、db_unique_nameデータベース・パラメータの値を定義します。 値の大/小文字は区別されません。

      db_unique_nameには、許可される文字のみを含める必要があります。 データベース名を選択する場合には、次のガイドラインを確認します。
      • 最大30文字
      • 英数字およびアンダースコア(_)を使用できます
      • 英字で始める
      • フリート/テナンシ全体で一意

      一意の名前を指定しない場合、db_unique_nameはデフォルトで<db_name>_<3 char unique string>_<region-name>の形式になります。

      リカバリ・アプライアンス・バックアップ先にバックアップするようにデータベースを構成する場合は、一意のデータベース名がリカバリ・アプライアンスで構成されている名前と一致する必要があります。

    • データベース・バージョンの選択: リストから、デプロイするOracle Databaseソフトウェア・リリースを選択します。
    • データベース・ホーム: 既存のデータベース・ホームを選択するか、必要に応じて作成します。 データベース・ホームの詳細ページからデータベースを作成する場合、このフィールドは使用できないことに注意してください。
      • 既存のデータベース・ホームの選択: 選択したデータベース・バージョンに1つ以上のデータベース・ホームがすでに存在する場合、このオプションがデフォルトで選択されます。 また、データベース・ホームのリストが表示されます。 リストからデータベース・ホームを選択します。
      • 新規データベース・ホームの作成: 選択したデータベース・バージョンのデータベース・ホームが存在しない場合、このオプションがデフォルトで選択されます。
        1. 「データベース・ホームの表示名」と入力します。
        2. 「データベース・イメージの変更」をクリックして、ソフトウェア・バージョンを選択します。

          「データベース・ソフトウェア・イメージ」ウィンドウが表示されます。

        3. 「イメージ・タイプ」「Oracle提供のデータベース・ソフトウェア・イメージ」または「カスタム・データベース・ソフトウェア・イメージ」を選択します。

          「Oracle提供のデータベース・ソフトウェア・イメージ」を選択した場合は、「使用可能なすべてのバージョンを表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。 各メジャー・バージョンの最新リリースは、latestラベルで示されます。

          ノート:

          Oracle Cloud Infrastructureで使用可能なOracle Databaseメジャー・バージョン・リリースでは、現在のバージョンと3つの最新バージョン(NからN)のイメージが提供されます - 3). たとえば、インスタンスがOracle Database 19cを使用し、提供されている最新バージョンの19cが19.8.0.0.0の場合、プロビジョニングに使用可能なイメージはバージョン19.8.0.0.0, 19.7.0.0, 19.6.0.0および19.5.0.0用です。
    • 最初のPDBの名前を指定: (オプション)最初のPDBの名前を指定します。 PDBはデータベースとともに作成されます。

      Oracle Net Servicesを使用してPDBに接続する際に発生する可能性のあるサービス名の競合を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。 最初のPDBの名前を指定しない場合は、システム生成の名前が使用されます。

    • 管理パスワードを指定: Oracle Database管理パスワードを指定して確認します。 このパスワードは、次のようなデータベースの管理アカウントおよび機能に使用されます:
      • SYSおよびSYSTEM ユーザーのパスワード。
      • Transparent Data Encryption (TDE)キーストアのパスワード。

      Oracle Database 12cリリース1以降のリリースでは、最初のPDB (PDBADMIN)のPDB管理ユーザーのパスワードが9から30文字で、大文字、小文字、数字および特殊文字を2つ以上含める必要があります。 特殊文字は、_#または-である必要があります。 また、大/小文字の区別に関係なく、パスワードにテナンシの名前またはOracleTableなどの予約語を含めることはできません。

      • TDEウォレットの管理者パスワードを使用します: このオプションを選択すると、SYSユーザーに入力されたパスワードがTDEウォレットにも使用されます。 TDEウォレットのパスワードを手動で設定するには、このオプションの選択を解除し、TDEウォレットのパスワードを入力します。
    • バックアップ保存先タイプ: データベースのバックアップ先を選択します。 リストからオプションを選択します:

      • なし: データベースのバックアップ構成を定義しない場合に選択します。
      • ローカル: バックアップをOracle Exadata Cloud at CustomerシステムのOracle Exadata Storage Serversにローカルに格納する場合に選択します。

        このオプションは、データベースをホストするVMクラスタのローカルOracle Exadataストレージでバックアップを有効にした場合にのみ使用できます。

      • オブジェクト・ストレージ: Oracle Cloud Infrastructure上のOracle管理のオブジェクト・ストレージ・コンテナにバックアップを格納する場合に選択します。

        このオプションを使用する場合、Oracle Exadata Cloud@CustomerシステムにOracle Cloud Infrastructure Object Storageへのエグレス接続が必要です。

      • NFS: ネットワーク・ファイル・システム(NFS)ストレージを使用する、以前に定義したバックアップ保存先のいずれかにバックアップを格納する場合に選択します。 詳細は、このドキュメントのバックアップ先に関する情報を参照してください。

        このオプションを選択する場合は、NFS 「バックアップ先」のリストからも選択する必要があります。

      • リカバリ・アプライアンス: Oracle Zero Data Loss Recovery Applianceを使用する以前に定義したバックアップ保存先のいずれかにバックアップを格納する場合に選択します。 このドキュメントのバックアップ先オプションに関する情報を参照してください。

        バックアップ・オプションとしてOracle Zero Data Loss Recovery Applianceを選択した場合は、次の操作も実行する必要があります:

        • アプライアンス「バックアップ先」のリストから選択します。
        • Oracle Zero Data Loss Recovery Applianceのバックアップ先で定義されている仮想プライベート・カタログ(VPC)ユーザー名のリストが含まれている「VPCユーザー」リストから選択します。
        • VPCユーザーの「パスワード」を指定します。

        ノート:

        バックアップ先を選択した場合、データベースの作成後にバックアップのロケーションを変更することはできません。 ただし、ここで「なし」を選択すると、データベースの作成後にバックアップ先を選択できます。

      • 自動バックアップを有効にします: 自動バックアップのポリシーを使用して日次バックアップを有効にするには、このオプションを選択します。

        このオプションは、「なし」以外の「バックアップ先タイプ」を選択した場合にのみ有効になります。 この設定は、データベースの作成後に変更できます。

    • キー管理: 暗号化オプションOracle WalletOracle Key Vaultまたは外部HSMを選択します。 デフォルト・オプションはOracle Walletです。
      • Oracleウォレット:

        TDEウォレットの管理者パスワードの使用: このオプションを選択すると、SYSユーザーに入力されたパスワードがTDEウォレットにも使用されます。 TDEウォレット・パスワードを手動で設定するには、このオプションの選択を解除し、「TDEウォレット・パスワード」を入力して確認します。

      • Oracle Key Vault: キー・ストアを作成したコンパートメントを選択し、キー・ストアを選択します。 CDB作成の一環として、Oracle Key Vault (OKV)のCDBに新しいウォレットが作成されます。 また、CDBのTDEマスター・キーが生成され、OKVのウォレットに追加されます。

        ノート:

        • コンテナ・データベース(CDB)およびプラガブル・データベース(PDB)は、256ビットのHardware Security Module (HSM) Vaultキーのみをサポートします。
        • 再起動後のOKVキー暗号化の検証: OKV TDE Maser Keyは、CBDを起動または再起動するたびに検証されます。
        • キーが検証されていない場合、起動または再起動は失敗します。 作業リクエストおよびライフ・サイクルの状態は、失敗の理由を示します。
        • データベース・リストア後のOKVキーの表示: CDBをリストアすると、そのバックアップに関連付けられているマスター・キーもリストアされます。
        • ウォレット名を取得するためのCDBバックアップの有効化: CDBは、バックアップに関連付けられたウォレットに関する情報をバックアップします。
        • CDB削除時のOKV WalletまたはTDEマスター・キー: CDBを削除すると、ウォレットおよびTDEマスター・キーはOKVに残り、削除されません。
      • 外部キーストア:
        • TDEウォレット・パスワード: TDEウォレット・パスワードを入力します。
        • 外部キーストア資格証明: 外部キーストア・プロバイダがサポートする形式でユーザー資格証明を入力します。
    • (オプション) 「高度なオプションを表示」を選択します。 このウィンドウから、次のオプションを選択できます:
      • Oracle SID接頭辞の指定:

        ノート:

        SIDプレフィクスの入力は、12.1以上のデータベースでのみ使用できます。

        オプションで、データベースのOracle SIDプレフィクスを指定します。 インスタンス番号は、SIDプレフィクスに自動的に追加され、instance_nameデータベース・パラメータになります。 指定しない場合、SIDプレフィクスのデフォルトはdb_nameです。

        データベース名を選択する場合は、次のガイドラインを確認してください:
        • 最大12文字
        • 英数字のみを含む
        • 英字で始める
        • VMクラスタ内で一意
      • 暗号化キー: Oracle管理キーを使用した暗号化または顧客管理キーを使用した暗号化の暗号化オプションを選択します。 デフォルトのオプションは、Oracle管理キーです。

        顧客管理キーを使用するには、「顧客管理キーを使用した暗号化」オプションを選択し、キー・ストアを作成したコンパートメントを選択して、キー・ストアを選択します。 CDB作成の一環として、Oracle Key Vault (OKV)のCDBに新しいウォレットが作成されます。 また、CDBのTDEマスター・キーが生成され、OKVのウォレットに追加されます。

        ノート:

        • コンテナ・データベース(CDB)およびプラガブル・データベース(PDB)は、256ビットのHardware Security Module (HSM) Vaultキーのみをサポートします。
        • 再起動後のOKVキー暗号化の検証: OKV TDE Maser Keyは、CBDを起動または再起動するたびに検証されます。
        • キーが検証されていない場合、起動または再起動は失敗します。 作業リクエストおよびライフ・サイクルの状態は、失敗の理由を示します。
        • データベース・リストア後のOKVキーの表示: CDBをリストアすると、そのバックアップに関連付けられているマスター・キーもリストアされます。
        • ウォレット名を取得するためのCDBバックアップの有効化: CDBは、バックアップに関連付けられたウォレットに関する情報をバックアップします。
        • CDB削除時のOKV WalletまたはTDEマスター・キー: CDBを削除すると、ウォレットおよびTDEマスター・キーはOKVに残り、削除されません。
      • バックアップ保存期間: リストから、自動バックアップを保存する期間を選択できます。

        ローカルExadataストレージへのバックアップの場合、7日間または14日間の保存期間を選択できます。 デフォルトの保存期間は7日です。

        Oracle Cloud Infrastructure Object StorageまたはNFSバックアップ先へのバックアップの場合、次のいずれかの事前設定済保存期間を選択できます: 7日、14日、30日、45日または60日。 デフォルトの保存期間は30日です。

        このオプションは、Oracle Zero Data Loss Recovery Applianceのバックアップ先には適用されません。 Oracle Zero Data Loss Recovery Applianceへのバックアップの場合、アプライアンスに実装されている保存ポリシーによって保存期間が制御されます。

      • 文字セット: データベースの文字セット。 デフォルトはAL32UTF8です。
      • 各国語文字セット: データベースの各国文字セット。 デフォルトはAL16UTF16です。
      • タグ: (オプション)タグの適用を選択できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限も持っています。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグに関する情報を参照してください。タグを適用する必要があるかどうかわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  6. 「データベースの作成」をクリックします。

ノート:

現在、次のことが可能です:

  • Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間、CDBを作成または削除します。その逆も同様です。
  • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。
  • 同じOracleホーム内でPDBを同時に作成または削除しながら、CDBを作成または削除します。その逆も同様です。
  • 同じOracleホーム内の異なるデータベースでCDBを同時に作成または削除します。
  • VMクラスタ・タグを同時に更新しながら、CDBを作成または削除します。

コンソールを使用したSYSユーザーおよびTDE Walletパスワードの管理

管理者(SYSユーザー)およびTDEウォレット・パスワードの管理について学習します。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseをクリックし、Exadata Database Service on Cloud@Customerをクリック
  2. パスワードを変更するデータベースをホストするVMクラスタを含む「コンパートメント」を選択します。
  3. パスワードを変更するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. パスワードを変更するデータベースの名前をクリックします。

    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

  6. 「データベースの詳細」ページで、その他のアクションをクリックし、「パスワードを管理」をクリックします。
  7. 表示される「パスワードを管理」ダイアログで、「管理者パスワードの更新」または「TDE Walletパスワードの更新」をクリックします。

    選択したオプションに応じて、編集するフィールドが表示されます。

    • 管理者パスワードの更新: 新規管理者パスワード・フィールドと管理者パスワードの確認フィールドの両方に新しいパスワードを入力します。

      ノート:

      「管理者パスワードの更新」オプションは、sysユーザー・パスワードのみを変更します。 システム、pdbadmin、TDEウォレットなど、他の管理者アカウントのパスワードは変更されません。
    • TDE Walletパスワードの更新: 既存のTDEウォレット・パスワードの入力フィールドに現在のウォレット・パスワードを入力し、新しいTDEウォレット・パスワードフィールドとTDEウォレット・パスワードの確認フィールドの両方に新しいパスワードを入力します。
  8. 「適用」をクリックして、選択したパスワードを更新します。

コンソールを使用したOracle Walletからの暗号化キーのその他の暗号化方式への移行(Oracle Key Vault、外部キーストア)

異なる暗号化方式間での暗号化キーの移行について学習します。

ノート:

  • 移行には、外部キーストアにすでに存在する暗号化キーに対する資格証明が必要です。
  • Data Guard環境では、キーの移行がシームレスに機能します。
  • 同じVMクラスタ内の他のデータベースが、外部キーストアやOracle Key Vault (OKV)などの異なる暗号化方式をすでに使用している場合は、キーを移行できません。
  • 外部キーストアに移行されたデータベースに対するPDBの作成またはクローニング操作中に問題が発生します。 この問題の修正は、データベース・バージョン19cおよび23aiの2025年1月リリース更新(RU)に含まれます。 RUが使用可能になるまで、Oracleでは、この問題に対処するために個別パッチ36930984を適用することをお薦めします。
  1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
    VMクラスタがデフォルトで選択されています。
  2. 暗号化キーを移行するデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 暗号化キーを移行するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページのResourcesリストで、「データベース」をクリックします。
  5. 暗号化キーを異なる暗号化メソッドに移行するデータベースの名前をクリックします。

    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「移行キー」リンクをクリックします。
  7. 表示された「移行キー」ページで、キー暗号化方式を変更し、「変更の保存」をクリックします。

コンソールを使用した暗号化キーのローテーション

暗号化キーをローテーションする方法を学習します。 キー・ローテーションは、暗号化メソッドとしてOracle Walletを使用しないデータベースでのみ使用できます。

ノート:

「キーのローテーション」機能は、Oracle Walletを使用していないデータベースにのみ適用されます。
  1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
    VMクラスタがデフォルトで選択されています。
  2. 暗号化キーをローテーションするデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページのResourcesリストで、「データベース」をクリックします。
  5. 暗号化キーをローテーションするデータベースの名前をクリックします。

    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キーのローテーション」リンクをクリックします。
  7. 表示される「キーのローテーション」ダイアログで、「回転」をクリックします。

コンソールを使用した別のデータベース・ホームへのデータベースの移動

データベースを別のデータベース・ホームに移動する方法を学習します。

  1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
    VMクラスタがデフォルトで選択されています。
  2. 移動するデータベースをホストするVMクラスタを含む「コンパートメント」を選択します。
  3. 移動するデータベースが含まれているVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページのResourcesリストで、「データベース」をクリックします。
  5. 移動するデータベースの名前をクリックします。
    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。
  6. 「データベースの移動」をクリックします。
  7. 表示されるダイアログで、ターゲット・データベース・ホームを選択します。

    ノート:

    Oracleでは、ターゲットDBホームに移動してデータベースのソフトウェア・バージョンを更新する際に、最新(N)から3バージョン(N-3)のRUバージョンを実行しているデータベース・ホームを使用することをお薦めします。 データベースを移動するためのターゲット・ホームとして使用できるのは、このベスト・プラクティス基準を満たすデータベース・バージョンでプロビジョニングされたDBホームのみです。
  8. 「データベースの移動」をクリックします。

データベースは現在のホームで停止され、宛先ホームで再起動されます。 データベースの移動中は、データベース・ホームのステータスが「データベースの移動」として表示されます。 操作が完了すると、データベース・ホームが現在のホームで更新されます。 操作が失敗すると、データベースのステータスが「失敗」として表示され、「データベース・ホーム」フィールドに失敗の理由に関する情報が表示されます。

コンソールを使用したデータベースの終了

データベースを終了して、終了したデータベースをCloud Control Planeから削除できます。

データベースを終了すると、Cloud Control Planeから削除されます。 このプロセスでは、関連付けられているすべてのデータファイルおよびバックアップが破棄されます。
  1. ナビゲーション・メニューを開きます。 Oracle Databaseの下で、Exadata Database Service on Cloud@Customerをクリックします。
    VMクラスタがデフォルトで選択されています。
  2. 終了するデータベースをホストするVMクラスタを含む「コンパートメント」を選択します。
  3. 終了するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページのResourcesリストで、「データベース」をクリックします。
  5. 終了するデータベースの名前をクリックします。
    「データベースの詳細」ページには、選択したデータベースに関する情報が表示されます。
  6. 「終了」をクリックします。
  7. 表示されるダイアログで、データベースの名前を入力し、「データベースの終了」をクリックしてアクションを確認します。

ノート:

現在、次のことが可能です:

  • Data Guard設定が同じOracleホームの別のデータベースで実行されている場合はCDBを終了します。その逆も同様です。
  • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。

APIを使用したOracle Databaseコンポーネントの管理

様々なAPI機能を使用して、Oracle Exadata Database Service on Cloud@Customerでデータベースを管理します。

APIの使用およびリクエストの署名の詳細は、「REST API」および「セキュリティ資格証明」を参照してください。 SDKの詳細は、「ソフトウェア開発キットおよびコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用して、様々なデータベース・コンポーネントを管理します。

データベース・ホーム:
  • CreateDbHome
  • DeleteDbHome
  • GetDbHome
  • ListDbHomes
データベース:
  • CreateDatabase
  • GetDatabase
  • ListDatabases
  • UpdateDatabase
  • UpdateDatabaseDetails
ノード:
  • GetDbNode
  • List DbNodes

UpdateDatabaseを使用してデータベースを別のデータベース・ホームに移動し、データベースをターゲット・データベース・ホームと同じバージョンに更新します。

APIの完全なリストは、「データベース・サービスAPI」を参照してください。

データベース・パスワードの変更

SYSパスワードを変更するか、TDEウォレット・パスワードを変更するには、この手順を使用します。

新しいExadata Database Service on Cloud@Customerインスタンスまたはデータベースを作成するときに「データベース管理者パスワード」フィールドに指定するパスワードは、SYS、SYSTEM、TDEウォレットおよびPDB管理者資格証明のパスワードとして設定されます。 既存のデータベースのパスワードを変更する必要がある場合は、次の手順を使用します。

ノート:

データベースに対してData Guardを有効にしている場合、プライマリ・データベースとスタンバイ・データベースのSYSパスワードとTDEウォレットのパスワードがすべて同じである必要があります。

ノート:

dbaascliを使用してSYSパスワードを変更すると、バックアップ/リストアの自動化によって、クラスタ内のすべてのノードでチャネルをパラレル化できます。

Exadata Database Service on Cloud@CustomerデータベースのSYSパスワードを変更するには

  1. Exadata Database Service on Cloud@Customer仮想マシンにopcとしてログインします。
  2. 次のコマンドを実行します。
    sudo dbaascli database changepassword --dbname database_name --user SYS

Data Guard環境でデータベース・パスワードを変更するには

  1. プライマリ・データベースで次のコマンドを実行します:
    dbaascli database changePassword —dbName <dbname> --user SYS --prepareStandbyBlob true --blobLocation <location to create the blob file>
  2. 作成したblobファイルをすべてのスタンバイ・データベースにコピーし、ファイル所有権をoracleユーザーに更新します。
  3. すべてのスタンバイ・データベースで次のコマンドを実行します:
    dbaascli database changePassword —dbName <dbname> --user SYS --standbyBlobFromPrimary <location of copies the blob file>

Exadata Database Service on Cloud@CustomerデータベースのTDE Walletパスワードを変更するには

  1. Exadata Database Service on Cloud@Customer仮想マシンにopcとしてログインします。
  2. 次のコマンドを実行します。
    sudo dbaascli tde changepassword --dbname database_name

Oracle Exadata Database Service on Cloud@Customerでのプラガブル・データベースの管理

Oracle Exadata Database Service on Cloud@Customerでプラガブル・データベースを管理する方法について学習します。

プラガブル・データベース操作

コンソールおよびAPIを使用して、Oracle Exadata Database Service on Cloud@Customerシステムでプラガブル・データベース(PDB)を作成および管理できます。

このドキュメントでは、"database"は、CDBとも呼ばれるコンテナ・データベースを指します。 これらのリソース・タイプの詳細は、「Oracle Databaseドキュメントのマルチテナント・アーキテクチャ」を参照してください。

仮想マシンで作成されたOracle 19c以降のデータベースには、コンソールのCDBの「データベースの詳細」ページからアクセスできる初期PDBが含まれています。 コンソールまたはAPIを使用して、PDBを起動、停止、クローニングおよび削除できます。 コンテナ・データベースに追加のPDBを作成することもできます。 コンソールまたはAPIを使用して実行されるすべてのPDB操作を、操作によって生成された「作業リクエスト」を使用して監視できます。

  • バックアップ

    CDBが自動バックアップ機能で構成されている場合、必要に応じて、作成、クローニングまたは再配置操作中にPDBのバックアップを作成できます。 PDBバックアップの保存先は常にCDBと同じであり、バックアップに直接アクセスしたり、オンデマンドで作成することはできません。 Oracleでは、PDBを作成またはクローニングした後、PDBをすぐにバックアップすることをお薦めします。 これは、次の日次自動バックアップが正常に完了するまでPDBはリカバリできず、データが失われる可能性があるためです。

  • リストア
    • ベース・データベース・サービス / Oracle Exadata Database Service on Dedicated Infrastructure:
      • インプレース・リストア: 同じCDB内のPDBを、最後に認識された正常な状態または指定したタイムスタンプにリストアできます。
      • アウト・オブ・プレース・リストア: PDBをリストアするには、バックアップからデータベース(CDB)を作成し、新しいデータベースでリストアするPDBまたはそれらのサブセットを選択します。
    • Oracle Exadata Database Service on Cloud@Customer:
      • インプレース・リストア: 同じCDB内のPDBを、最後に認識された良好な状態および指定されたタイムスタンプにリストアできます。
      • アウト・オブ・プレース・リストア: 利用できません。
    PDBを指定した状態または時間に戻す場合は、インプレース・リストアを実行できます。 CDBとPDBの両方が稼働している必要があり、一度にリストアできるPDBは1つのみです。
    • CDBに複数のPDBがあり、それらの複数のPDBを同じCDBにリストアする場合は、CDBバックアップから個々のPDBを一度に1つずつリストアできます。
    • CDBが停止すると、CDB全体をリストアでき、そのCDB内のすべてのPDBもリストアされます。
    • データベースを指定されたタイムスタンプにリストアすることも、最後に確認された正常な状態にリストアすることもできます。
  • リロケート
    同じ可用性ドメイン(AD)内のあるCDBから別のCDBにPDBを再配置できます:
    • コンパートメント間、VMクラスタ、DBシステム(BaseDBのみ)、またはVCN (ExaDB-C@Cには適用されません)。 2つの異なるVCNを使用する場合は、再配置する前に両方のVCNをピアリングする必要があります。
    • 同じまたはそれ以上のデータベース・バージョン。

    再配置中、PDBはソースCDBから削除され、稼働中の宛先CDBに移動されます。 Data Guard関連付けでは、プライマリに再配置されたPDBもスタンバイと同期されます。

  • クローニング

    クローンは、クローニング操作時に存在していた特定のデータベースの独立した完全なコピーです。 同じCDBまたは別のCDB内にPDBのクローンを作成し、クローニングされたPDBをリフレッシュできます。

    次のタイプのクローンがサポートされています:
    • ローカル・クローン: PDBのコピーは同じCDB内に作成されます。
    • リモート・クローン: PDBのコピーが別のCDBに作成されます。
      同じ可用性ドメイン(AD)内のあるCDBから別のCDBに、PDBのリモート・クローンを実行できます:
      • コンパートメント間、VMクラスタ、DBシステム(BaseDBのみ)、またはVCN (ExaDB-C@Cには適用されません)。 2つの異なるVCNを使用する場合は、クローニングの前に両方のVCNをピアリングする必要があります。
      • 同じまたはそれ以上のデータベース・バージョン。
    • リフレッシュ可能クローン: PDBのコピーは別のCDBに作成され、クローニングされたPDBをリフレッシュできます。

      同じ可用性ドメイン(AD)内のあるCDBから別のCDBに、PDBのリフレッシュ可能なクローンを実行できます:
      • コンパートメント間、VMクラスタ、DBシステム(BaseDBのみ)、またはVCN (ExaDB-C@Cには適用されません)。 2つの異なるVCNを使用する場合は、クローニングの前に両方のVCNをピアリングする必要があります。
      • 同じまたはそれ以上のデータベース・バージョン。
  • リフレッシュ可能クローン
    リフレッシュ可能クローンを使用すると、リモート・クローンをソースPDBで更新したままにできます。 PDBがマウント・モードの場合にのみリフレッシュできます。 オープン・モードは読取り専用のみであり、読取り専用モードの間はリフレッシュを実行できません。
    • リフレッシュ可能クローンを作成するには、データベース・リンク・ユーザー資格証明が必要です。
    • リフレッシュ可能クローンでは、クローン、再配置およびインプレース・リストア操作はサポートされていません。 再配置およびインプレース・リストア操作はソースではサポートされず、ソースはリフレッシュ可能クローンの切断または削除後にのみ削除できます。
    • Data Guard関連付けでは、リフレッシュ可能クローンをスタンバイに作成することはできませんが、プライマリに作成できます。 ただし、プライマリはスタンバイに同期されません。

      ノート:

      スタンバイのPDBは、リフレッシュ可能なPDBのソースとして使用できません。

  • リフレッシュ可能なPDBを通常のPDBに変換

    リフレッシュ可能PDBを通常のPDBに変換するには、ソースPDBからリフレッシュ可能クローン(宛先PDB)をいつでも切断します。 リフレッシュPDBがData Guard関連付けにある場合、通常のPDBに変換されると、PDBは変換プロセスの一部としてスタンバイに同期されます。

  • オープン・モード

    コンソールで、PDBのオープン・モード(読取り/書込み、読取り専用、マウントなど)を確認できます。 PDBステータスがすべてのノードで同じ場合、すべてのPDBで同じステータスが表示されます。 PDBステータスがノード間で異なる場合、PDBが読取り/書込みモードでオープンされているノードを示すメッセージが表示されます。 APIまたはコンソールを使用してPDBのオープン・モードを変更することはできません。 ただし、PDBを起動または停止できます。 PDBを起動すると、読取り/書込みモードで起動します。 PDBを停止すると、PDBはクローズされ、マウント・モードのままになります。

プラガブル・データベース管理の制限

PDBの管理における制限のリストを確認します。

  • Oracleでは、コンソールまたはAPIベースのツール(OCI CLI、SDKおよびTerraformを含む)を使用して、PDBを作成および管理することをお薦めします。 ただし、DBAASCLIおよびSQL*Plusを使用して作成されたPDBの定期的な同期があります。
  • OCIコンソールおよびAPIを使用したPDB管理は、Oracle Databaseバージョン19c以上でのみ使用できます。
  • PDBはCDBレベルでバックアップされ、各バックアップにはデータベース内のすべてのPDBが含まれます。 OCI Control Planeは、個々のPDBのバックアップの作成をサポートしていません。 ただし、bkup_apiはPDBバックアップ操作をサポートします。 詳細は、「bkup_apiを使用したバックアップの構成およびカスタマイズ」を参照してください。
    例:
    • バックアップのリスト:
      /var/opt/oracle/bkup_api/bkup_api list --dbname psarch
    • 初期PDBバックアップを手動で作成します:
      /var/opt/oracle/bkup_api/bkup_api bkup_start --level1 --dbname psarch --pdb NEWPDBA
  • リストア操作はCDBレベルで実行されます。 OCI Control Planeでは、個々のPDBのリストアはサポートされていません。 ただし、bkup_apiはPDBリストア操作をサポートします。
    例:
    • データ損失がほとんどまたはまったくないPDBをリカバリします:
      /var/opt/oracle/bkup_api/bkup_api recover_start --latest --dbname psarch --pdb NEWPDBA
    • PDBをある時点にリカバリします:
      /var/opt/oracle/bkup_api/bkup_api recover_start -t '17-AUG2021 21:15:00' --dbname psarch --pdb NEWPDBA
    • SCNまでリカバリ:
      /var/opt/oracle/bkup_api/bkup_api recover_start -scn 138935800 -pdb=NEWPDBA -uuid=fec6579e077211ec8b0a00102ee75632 -bname=psarch
プラガブル・データベースの作成

PDBは、OCIコンソールまたはプラガブル・データベースAPIから作成できます。

コンソールを使用したプラガブル・データベースの作成

コンソールを使用してプラガブル・データベースを作成するには、この手順を使用します。

ノート:

データベースがゲストVMに直接作成されている場合、属性の使用状況データは遅延します。
  1. ナビゲーション・メニューのOracle Databaseで開き、Exadata Database Service on Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. クラウドVMクラスタのリストで、PDBを作成するクラスタの名前をクリックし、その名前をクリックしてデータベースの詳細ページを表示します。
  4. データベースの詳細ページの左下隅で、「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  5. 「プラガブル・データベースの作成」をクリックします。

    「プラガブル・データベースの作成」ダイアログ・ボックスが表示されます。

  6. 「プラガブル・データベースの作成」ダイアログ・ボックスで、次のように入力します:
    • PDB名の入力: PDBの名前を入力します。 名前は、英字で始める必要があります。最大30個の英数字を含めることができます。
    • PDB管理アカウントのロック解除:
      • 管理者パスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。 パスワードには次のものが含まれる必要があります。
          • 9文字以上30文字以下
          • 少なくとも2つの大文字
          • 2つ以上の小文字
          • 2つ以上の特殊文字。 有効な特殊文字は、アンダースコア(_)、ポンドまたはハッシュ記号(#)およびダッシュ(-)です。 同じ文字の2つまたは同じ文字の任意の組合せを使用できます。
          • 2文字以上の数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者パスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。 このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。 PDBを使用するには、管理者パスワードをリセットする必要があります。

        ノート:

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルで管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*Plus CONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
          CON_NAME
          ------------------------
          CDB$ROOT

          詳細は、「Oracle® Multitenant管理者ガイド」「CDBの管理」および「PDBの管理」を参照してください。

        2. PDBの管理者名を探します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
          Session altered.
          
          SQL> show con_name;
          CON_NAME
          ------------------------
          <PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
          User altered.
    • データベースのTDE Walletパスワード: CDBのウォレット・パスワードを入力します。 このパスワードには、PDB管理パスワードと同じルールがあります。
    • PDBの作成直後に、PDBのバックアップを作成します: PDBを作成した直後にバックアップするには、CDBで自動バックアップを有効にする必要があります。 CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。

      ノート:

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、「リソース・タグ」を参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。
      • 暗号化キー・ストア: これは、CDBの暗号化キーがOracleによって管理されているか、顧客によって管理されているかを示します。 顧客マネージャ・キーの場合は、CDB用に構成したキー・ストアの名前が表示されます。 このフィールドを編集することはできません。
  7. 「プラガブル・データベースの作成」をクリックします。

    作成プロセスが開始され、新しいPDBの作業「リクエスト」ページが開きます。 作業リクエスト・ページには、新しいPDBの作成プロセスのステータスが表示されます。

    デフォルトでは、作業リクエストの詳細ページには、システムによって作成されたログ・メッセージが表示されます。 「エラー・メッセージ」または「関連リソース」をクリックして、作成プロセスのエラー・メッセージまたは関連リソースをページの左側にあるリソース領域に表示します。

    ノート:

    • 「ログ・メッセージ」「エラー・メッセージ」および「関連リソース」リンクの右側にある数値は、各アイテムが存在する数を示します。
    • Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間にPDBを作成または削除します。その逆も同様です。
    • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、PDBを作成または削除します。その逆も同様です。
    • 同じOracleホーム内の異なるデータベースでPDBを同時に作成または削除します。
    • VMクラスタ・タグを同時に更新しながら、PDBを作成または削除します。
コンソールを使用したプラガブル・データベースの再配置

コンソールを使用してプラガブル・データベースを再配置するには、この手順を使用します。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、PDBを作成するクラスタの名前をクリックし、その名前をクリックしてデータベースの詳細ページを表示します。
  4. データベースの詳細ページの左下隅で、「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  5. 再配置するPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「再配置」を選択します。

    (または)

    アクション・メニュー(3つのドット)をクリックし、「再配置」を選択します。

  6. 結果のプラガブル・データベースの再配置ウィンドウで、次のように入力します:
    • VMクラスタ: メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBが作成される既存のデータベースを選択します。 このデータベースは、ソースPDBが存在するCDBと同じバージョンか、それ以上のバージョンである可能性があります。
    • クローンの新しいPDB名: 名前は英字で始める必要があり、最大30文字を含めることができます。 PDB名を同じにするには、ソースPDB名を再入力します。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者パスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。 パスワードには次のものが含まれる必要があります。
          • 9文字以上30文字以下
          • 少なくとも2つの大文字
          • 2つ以上の小文字
          • 2つ以上の特殊文字。 有効な特殊文字は、アンダースコア(_)、ポンドまたはハッシュ記号(#)およびダッシュ(-)です。 同じ文字の2つまたは同じ文字の任意の組合せを使用できます。
          • 2文字以上の数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者パスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。 このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。 PDBを使用するには、管理者パスワードをリセットする必要があります。

        ノート:

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルで管理者に付与されます。

        パスワードをリセットするには:
        1. SQL*Plus CONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
          CON_NAME
          ------------------------
          CDB$ROOT

          詳細は、「Oracle® Multitenant管理者ガイド」「CDBの管理」および「PDBの管理」を参照してください。

        2. PDBの管理者名を探します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
          Session altered.
          
          SQL> show con_name;
          CON_NAME
          ------------------------
          <PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
          User altered.
    • データベースのTDE Walletパスワード: CDBのウォレット・パスワードを入力します。 このパスワードには、PDB管理パスワードと同じルールがあります。
    • PDBの作成直後に、PDBのバックアップを作成します: PDBを作成した直後にバックアップするには、CDBで自動バックアップを有効にする必要があります。 CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。

      ノート:

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、「リソース・タグ」を参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。
  7. 「プラガブル・データベースの再配置」をクリックします。

    ノート:

    再配置では、プロセス中に停止時間が発生し、必要な時間はPDBのサイズに基づきます。

APIを使用したプラガブル・データベースの作成

様々なAPI機能を使用して、Oracle Exadata Database Service on Cloud@Customerでプラガブル・データベースを作成します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。 SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

このAPI操作を使用して、Oracle Exadata Database Service on Cloud@Customerシステムにプラガブル・データベースを作成します。
  • CreatePluggableDatabase
プラガブル・データベースの管理

PDBを起動、停止、クローニングおよび削除するには、これらの手順を使用します。

コンソールを使用したプラガブル・データベースの起動

この手順を使用するには、PDBが使用可能で停止されている必要があります。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、起動するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 起動するPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 「起動」をクリックします。

    「PDBの起動」ダイアログ・ボックスが表示されます。

  9. 「PDBの起動」をクリックして、開始操作を確認します。
コンソールを使用したプラガブル・データベースの停止

この手順を使用するには、PDBが使用可能で実行中(起動済)である必要があります。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、停止するPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、停止するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 停止するPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 「Stop」をクリックします。

    「PDBの停止」ダイアログ・ボックスが表示されます。

  9. 「PDBの停止」をクリックして停止操作を確認します。
コンソールを使用したプラガブル・データベースの削除

この手順を使用するには、PDBが使用可能で停止されている必要があります。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、削除するPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、削除するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 削除するPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 他のアクションをクリックし、「削除」を選択します。

    「PDBの削除」ダイアログ・ボックスが表示されます。

  9. 「PDBの削除」をクリックして削除操作を確認します。

ノート:

Data Guard設定が同じOracleホーム内の別のデータベースで実行されている場合、またはその逆の場合に、PDBを削除できるようになりました。

コンソールを使用したプラガブル・データベースの接続文字列の取得

PDBの管理サービスの接続文字列を取得する方法について学習します。 Oracleでは、アプリケーション・サービス用に作成された文字列を使用して、アプリケーションをアプリケーション・サービスに接続することをお薦めします。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、接続文字列を取得するPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、接続文字列を取得するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 接続文字列を取得するPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 「PDB接続」をクリックします。
  9. 「プラガブル・データベース接続」ダイアログで、「表示」および「コピー」リンクを使用して、必要に応じて接続文字列を表示およびコピーします。
  10. 「閉じる」をクリックし、ダイアログを終了します。
プラガブル・データベース(PDB)のクローニング

クローンは、クローニング操作時に存在していた特定のデータベースの独立した完全なコピーです。 同じCDBまたは別のCDB内にPDBのクローンを作成し、クローニングされたPDBをリフレッシュすることもできます。

ノート:

19cから23aiにPDBをクローニングすると、クローニングされたPDBは自動的に23aiにアップグレードされます。 たとえば、リフレッシュ可能クローンを使用して23aiにクローニングし、それを通常のPDBに変換すると、必要なすべてのアップグレード・ステップが自動的に処理され、リフレッシュ可能クローンが完全にアップグレードされた23ai PDBに変換されます。

次のタイプのクローンがサポートされています:

  • ローカル・クローン: PDBのクローンは、同じCDB内に作成されます。
  • リモート・クローン: PDBのクローンが別のCDBに作成されます。
  • リフレッシュ可能クローン: PDBのクローンが別のCDBに作成され、クローニングされたPDBをリフレッシュできます。

    リフレッシュ可能クローンの詳細は、「リフレッシュ可能なクローンPDBについて。」を参照してください。

コンソールを使用したプラガブル・データベース(PDB)のローカル・クローンの作成

PDBのローカル・クローンを作成するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  7. 「Clone」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次のように入力します:
    • クローン・タイプの選択: ローカル・クローンを選択して、ソースPDBのコピーを同じCDBに作成します。
    • VMクラスタ: メニューを使用して、ソースVMクラスタを選択します。
    • 宛先データベース: このフィールドは無効です。
    • クローンの新しいPDB名: 名前は英字で始める必要があり、最大30文字を含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者パスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。 パスワードには次のものが含まれる必要があります。
          • 9文字以上30文字以下
          • 少なくとも2つの大文字
          • 2つ以上の小文字
          • 2つ以上の特殊文字。 有効な特殊文字は、アンダースコア(_)、ポンドまたはハッシュ記号(#)およびダッシュ(-)です。 同じ文字の2つまたは同じ文字の任意の組合せを使用できます。
          • 2文字以上の数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者パスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。 このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。 PDBを使用するには、管理者パスワードをリセットする必要があります。

        ノート:

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルで管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*Plus CONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
          CON_NAME
          ------------------------
          CDB$ROOT

          詳細は、「Oracle® Multitenant管理者ガイド」「CDBの管理」および「PDBの管理」を参照してください。

        2. PDBの管理者名を探します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
          Session altered.
          
          SQL> show con_name;
          CON_NAME
          ------------------------
          <PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
          User altered.
    • PDBの作成直後に、PDBのバックアップを作成します: PDBを作成した直後にバックアップするには、CDBで自動バックアップを有効にする必要があります。 CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。

      ノート:

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • シン・クローンの有効化: デフォルトでは、すべてのクローンはシン・クローンです。 シン・クローンの詳細は、「Oracle® Exadata Exascaleユーザーズ・ガイド」「プラガブル・データベースのシン・クローニング」を参照してください。 特に厚いクローン(完全コピー)が必要な場合は、このオプションの選択を解除する必要があります。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。
コンソールを使用したプラガブル・データベース(PDB)のリモート・クローンの作成

PDBのリモート・クローンを作成するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  7. 「Clone」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次のように入力します:
    • クローン・タイプの選択: リモート・クローンを選択して、ソースPDBのコピーを同じCDBに作成します。
    • VMクラスタ: メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBが作成される既存のデータベースを選択します。 このデータベースは、ソースPDBが存在するCDBと同じバージョンか、それ以上のバージョンである可能性があります。
    • クローンの新しいPDB名: 名前は英字で始める必要があり、最大30文字を含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者パスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。 パスワードには次のものが含まれる必要があります。
          • 9文字以上30文字以下
          • 少なくとも2つの大文字
          • 2つ以上の小文字
          • 2つ以上の特殊文字。 有効な特殊文字は、アンダースコア(_)、ポンドまたはハッシュ記号(#)およびダッシュ(-)です。 同じ文字の2つまたは同じ文字の任意の組合せを使用できます。
          • 2文字以上の数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者パスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。 このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。 PDBを使用するには、管理者パスワードをリセットする必要があります。

        ノート:

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルで管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*Plus CONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
          CON_NAME
          ------------------------
          CDB$ROOT

          詳細は、「Oracle® Multitenant管理者ガイド」「CDBの管理」および「PDBの管理」を参照してください。

        2. PDBの管理者名を探します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
          Session altered.
          
          SQL> show con_name;
          CON_NAME
          ------------------------
          <PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
          User altered.
    • ソース・データベースのSYSパスワード: データベース管理パスワードを入力します。
    • データベース・リンク: データベース・リンクのユーザー名とパスワードを入力します。 ユーザーは、ソース・データベースに事前に作成されている必要があります。 DBリンクは、そのユーザー名とパスワードを使用して宛先に作成されます。

      ノート:

      データベース・リンク情報を指定しない場合、クラウド自動化は共通ユーザーを使用してデータベース・リンクを作成します。 ただし、クラウドの自動化で特定のデータベース・リンクを使用する場合は、データベース・リンク情報を指定できます。
    • PDBの作成直後に、PDBのバックアップを作成します: PDBを作成した直後にバックアップするには、CDBで自動バックアップを有効にする必要があります。 CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。

      ノート:

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • シン・クローンの有効化: デフォルトでは、すべてのクローンはシン・クローンです。 シン・クローンの詳細は、「Oracle® Exadata Exascaleユーザーズ・ガイド」「プラガブル・データベースのシン・クローニング」を参照してください。 特に厚いクローン(完全コピー)が必要な場合は、このオプションの選択を解除する必要があります。

      ノート:

      ソースとターゲットのVMクラスタが同じボールトを共有していない場合、シン・クローン・オプションは無効(グレー表示)になります。 このような場合、太いクローンのみサポートされます。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。
コンソールを使用したプラガブル・データベース(PDB)のリフレッシュ可能クローンの作成

PDBのリフレッシュ可能クローンを作成するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  7. 「Clone」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次のように入力します:
    • クローン・タイプの選択: リフレッシュ可能クローンを選択して、ソースPDBのコピーを同じCDBに作成します。

      リフレッシュ可能クローンの詳細は、「リフレッシュ可能クローンPDBについて」を参照してください。

    • VMクラスタ: メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBが作成される既存のデータベースを選択します。 このデータベースは、ソースPDBが存在するCDBと同じバージョンか、それ以上のバージョンである可能性があります。
    • クローンの新しいPDB名: 名前は英字で始める必要があり、最大30文字を含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者パスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。 パスワードには次のものが含まれる必要があります。
          • 9文字以上30文字以下
          • 少なくとも2つの大文字
          • 2つ以上の小文字
          • 2つ以上の特殊文字。 有効な特殊文字は、アンダースコア(_)、ポンドまたはハッシュ記号(#)およびダッシュ(-)です。 同じ文字の2つまたは同じ文字の任意の組合せを使用できます。
          • 2文字以上の数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者パスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。 このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。 PDBを使用するには、管理者パスワードをリセットする必要があります。

        ノート:

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルで管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*Plus CONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
          CON_NAME
          ------------------------
          CDB$ROOT

          詳細は、「Oracle® Multitenant管理者ガイド」「CDBの管理」および「PDBの管理」を参照してください。

        2. PDBの管理者名を探します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
          Session altered.
          
          SQL> show con_name;
          CON_NAME
          ------------------------
          <PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
          User altered.
    • ソース・データベースのSYSパスワード: データベース管理パスワードを入力します。
    • データベース・リンク: データベース・リンクのユーザー名とパスワードを入力します。 ユーザーは、ソース・データベースに事前に作成されている必要があります。 DBリンクは、そのユーザー名とパスワードを使用して宛先に作成されます。

      ノート:

      リフレッシュ可能クローンの場合、データベース・リンク・パラメータは必須であり、この情報を指定する必要があります。
    • シン・クローンの有効化: デフォルトでは、すべてのクローンはシン・クローンです。 シン・クローンの詳細は、「Oracle® Exadata Exascaleユーザーズ・ガイド」「プラガブル・データベースのシン・クローニング」を参照してください。 特に厚いクローン(完全コピー)が必要な場合は、このオプションの選択を解除する必要があります。

      ノート:

      ソースとターゲットのVMクラスタが同じボールトを共有していない場合、シン・クローン・オプションは無効(グレー表示)になります。 このような場合、太いクローンのみサポートされます。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。 リソースを作成する権限がある場合は、そのリソースにフリー・フォーム・タグを適用する権限もあります。 定義済のタグを適用するには、タグ・ネームスペースを使用する権限が必要です。 タグ付けの詳細は、リソース・タグを参照してください。 タグを適用するかどうか不明な場合は、このオプションをスキップする(タグを後から適用できます)か、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。

関連トピック

コンソールを使用したクローニングされたプラガブル・データベース(PDB)のリフレッシュ

クローニングされたPDBのリフレッシュを作成するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、リフレッシュするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、リフレッシュするPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. リフレッシュするPDBの名前をクリックします。

    プラガブルの詳細ページが表示されます。

  8. 「その他のアクション」をクリックし、「リフレッシュ」を選択します。
  9. 表示されたリフレッシュ・ダイアログ・ボックスで、「リフレッシュ」をクリックして確認します。
コンソールを使用したリフレッシュ可能クローンの通常のプラガブル・データベース(PDB)への変換

リフレッシュ可能クローンを通常のPDBに変換するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、通常のPDBに変換するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、通常のPDBに変換するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 通常のPDBに変換するPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「通常のPDBに変換」を選択します。

    (または)

    アクション・メニュー(3つのドット)をクリックし、「通常のPDBに変換」を選択します。

  8. 結果の通常のPDBに変換ダイアログで、次のように入力します:
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDBの作成直後に、PDBのバックアップを作成します: PDBを作成した直後にバックアップするには、CDBで自動バックアップを有効にする必要があります。 CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。

      ノート:

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

  9. 「変換」をクリックします。
プラガブル・データベース(PDB)のリストア

同じCDB内のPDBを、最後に認識された良好な状態および指定されたタイムスタンプにリストアできます。

コンソールを使用したプラガブル・データベース(PDB)のインプレース・リストアの実行

インプレース・リストアを実行するには、この手順に従います。

  1. Oracle Databaseでナビゲーション・メニューを開き、Exadata Cloud@Customerをクリックします。

    VMクラスタがデフォルトで選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントのVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、リストアするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、リストアするリフレッシュ可能なPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベースの詳細」ページを表示します。
  6. ページの「リソース」セクションで「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. リストアするPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「リストア」を選択します。

    (または)

    アクション・メニュー(3つのドット)をクリックし、「リストア」を選択します。

  8. 表示される「PDBのリストア」ダイアログで、次のように入力します:
    • 最新にリストア: データ損失がゼロ(または最小)でデータベースをリストアおよびリカバリするには、このオプションを選択します。
    • タイムスタンプにリストアします: 指定したタイムスタンプにデータベースをリストアおよびリカバリするには、このオプションを選択します。
  9. 「リストア」をクリックします。
APIを使用したプラガブル・データベースの管理

Oracle Exadata Database Service on Cloud@Customer上のプラガブル・データベースの管理に役立つ様々なAPI機能を使用します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。 SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

これらのAPIを使用して、Exadata Cloud@Customerシステム上のプラガブル・データベースを管理します。
  • ListPluggableDatabases
  • GetPluggableDatabase
  • StartPluggableDatabase
  • StopPluggableDatabase
  • CreatePluggableDatabase
  • DeletePluggableDatabase
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

データベース・サービスのAPIの完全なリストは、「データベース・サービスAPI」を参照してください。

APIを使用したプラガブル・データベースのクローニング

ソースPDBと同じデータベース(CDB)にプラガブル・データベース(PDB)をクローニングするか、ソースPDBとは異なるデータベースにクローニングします。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。 SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

これらのAPIを使用して、Exadata Cloud@Customerシステム上のプラガブル・データベースを管理します。
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

データベース・サービスのAPIの完全なリストは、「データベース・サービスAPI」を参照してください。

プラガブル・データベース(PDB)のコストおよび使用状況属性

ノート:

これは、マルチテナント・デプロイメントで実行されているOracle Databases 19c以降でのみサポートされます。

OCIコスト管理サービスのコスト分析機能に対するこの機能拡張により、VMクラスタ内のすべてのPDBの帰属使用量およびコストを表示できます。 このデータは、コスト分析ダッシュボードおよびレポートで使用できます。

前提条件:
  • dbaastools: (最小バージョン) 24.3.2
    • ゲストVMでdbaastools rpmのバージョンを確認するには、次を実行します:
      rpm -qa | grep dbaastools
    • ゲストVMでdbaastools rpmを更新するには、次を実行します:
      dbaascli admin updateStack

      rpm -qa | grep dbaastoolsコマンドを実行して、dbaastools rpmを更新した後に必要なdbaastoolsの最小バージョンがあることを確認します。

  • dbcsagentは、ゲストVMで実行されている必要があります。 必要なdbcsagentの最小バージョンは、23.3.2です。
    • ゲストVMでdbcsagentのバージョンを確認するには、次を実行します:
      rpm -qa | grep dbcs-agent-update
    • ゲストVMでdbcsagentを更新するには、My Oracle Supportでサービス・リクエストを開く必要があります。
    • dbcsagentのステータスを確認するには、次を実行します:
      systemctl status dbcsagent

      dbcsagentがアクティブ(実行中)状態でない場合は、systemctl start dbcsagentを実行します。

      エージェントのステータスを再度確認して、エージェントが実行中であることを確認します。

  • ネットワーク設定: コントロール・プレーン・サーバーは、「Oracle Exadata Database Service on Cloud@Customerのネットワーク要件」の表3-2 の「測定とモニタリング」セクションで指定されているエンドポイントとの接続を確立できる必要があります。
プラガブル・データベースの属性コスト分析レポートの生成

VMクラスタ内のすべてのプラガブル・データベースのCPU使用率に基づく属性コストを表示するには、次のステップに従います。

  1. ナビゲーション・メニューを開き、「請求 &原価管理」をクリックします。 「原価管理」で、「原価分析」をクリックします。
  2. 「レポート」から、事前定義済レポートの1つを選択するか、デフォルトの「サービス別原価レポート」を使用します。
  3. 希望する問合せを調整します。
    1. 「開始日/終了日(UTC)」から、期間を選択します。
    2. 「粒度」から、「日次または月次」を選択します。
    3. 「表示」から、「属性原価」を選択します。
    4. 「フィルタ」から、「タグ」を選択します。

      表示される「タグ」ダイアログで、キーparent_resource_id_1がVMクラスタのOCIDと等しいタグとしてorcl-cloudを選択します。

    5. 「グループ化ディメンション」から、優先グループ・ディメンションを選択します。 たとえば、「リソースOCID」などです。

      VMクラスタOCIDは含まれるCDBの親であり、CDB OCIDは含まれるPDBの親OCIDです。

    6. 「適用」をクリックして変更を適用し、選択したフィルタを使用してチャートおよび表を再ロードします。

      生成されたレポートには、VMクラスタ内のすべてのPDBの帰属コストが表示されます。

  4. 変更すると、「レポート」メニューから現在選択されている事前定義済レポート名が(編集済)に変更されます。
  5. 変更が完了し、新規レポートを保存する場合は、「保存」を新規レポートとしてクリックします。
  6. 「新規レポートとして保存」ダイアログで、「名前」フィールドにレポート名を入力します。 機密情報を入力しないでください。
  7. 「保存」をクリックします。

    レポートが保存されたという通知が表示され、「レポート」メニューでレポートも選択されます。

  8. カスタム・レポート設定をまだ適用していない場合は、「適用」をクリックして変更を表示します。

    新しい保存済レポートは、「保存済レポート」の下の「レポート」メニューから今後選択できるようになります。

    PDB属性コスト分析レポートの生成の詳細は、「原価分析」を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ユーザーを使用してOracle Databaseに接続

Oracle Cloud Infrastructure Identity and Access Management (IAM)認証および認可を使用するようにOracle Exadata Database Service on Cloud@Customerを構成し、IAMユーザーがIAM資格証明を使用してOracle Databaseにアクセスできるようにします。

Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle Exadata Database Service on Cloud@CustomerでOracle Databaseインスタンスを有効にして、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)またはSSOトークンを使用したユーザー・アクセスを許可する方法について学習します。

Oracle Databaseを使用したOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証について

Oracle Databaseインスタンスを有効にして、ユーザーのOracle Cloud Infrastructure (IAM)認証および認可を使用できます。

ノート:

Oracle Databaseは、アイデンティティ・ドメインを含むOracle Cloud Infrastructure (OCI) IAMと、アイデンティティ・ドメインを含まないレガシーIAMに対するOracle DBaaS統合をサポートしています。 アイデンティティ・ドメインでIAMを使用するときは、デフォルトと非デフォルトの両方のドメイン・ユーザーおよびグループがサポートされます。

IAM統合のサポートは、Oracle Databaseリリース19c、バージョン19.21以降でのみ使用できます(Oracle Databaseリリース21cでは使用できません)。

Oracle Cloud Infrastructure Oracle Exadata Database Service on Cloud@CustomerとのIAM統合では、次がサポートされます:

  • IAMデータベース・パスワード認証
  • Identity and Access Management (IAM) SSOトークン・ベース認証

Oracle Exadata Database Service on Cloud@CustomerでIAMユーザーを使用するためのアーキテクチャの詳細は、「Oracle Database 19cセキュリティ・ガイド」および「Oracle Database 23aiセキュリティ・ガイド」「Oracle DBaaSデータベースのIAMユーザーの認証および認可」を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)データベース・パスワード認証

Oracle Databaseインスタンスを有効にして、(パスワード検証を使用して)Oracle Cloud Infrastructure IAMデータベース・パスワードを使用したユーザー・アクセスを許可できます。

ノート:

サポートされている12c以上のデータベース・クライアントは、Oracle DatabaseへのIAMデータベース・パスワード・アクセスに使用できます。

Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、IAMユーザーは、通常、Oracle Databaseユーザーがユーザー名とパスワードでログインするため、Oracle Databaseインスタンスにログインできます。 ユーザーは、IAMユーザー名およびIAMデータベースのパスワードを入力します。 IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。 パスワード検証でIAMユーザーを使用すると、サポートされている任意のデータベース・クライアントでOracle Databaseにログインできます。

パスワード・ベリファイア・データベース・アクセスの場合、IAMユーザーおよびOCIアプリケーションのOracle Databaseインスタンスへのマッピングを作成します。 IAMユーザー・アカウント自体はIAMで管理されます。 ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメイン内に存在できます。

IAMデータベース・パスワードの管理の詳細は、「IAMデータベース・ユーザー名とパスワードの操作」を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークン・ベースの認証

Oracle Databaseインスタンスを有効にして、Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できます。

IAMトークンを使用してデータベースにアクセスするには、IAMユーザーおよびOCIアプリケーションのOracle Databaseインスタンスへのマッピングを作成します。 IAMユーザー・アカウント自体はIAMで管理されます。 ユーザー・アカウントおよびユーザー・グループは、デフォルト・ドメインにすることも、デフォルト以外のカスタム・ドメインにすることもできます。

データベース・クライアントは、IAMデータベース・トークンを取得する方法はいくつかあります:

  • クライアント・アプリケーションまたはツールは、ユーザーのIAMからデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。 APIを使用してトークンを送信すると、データベース・クライアントの他の設定がオーバーライドされます。 IAMトークンを使用するには、最新のOracle Databaseクライアント19c (少なくとも19.16)が必要です。 一部の以前のクライアント(19cおよび21c)は、トークン・アクセスのための制限された機能セットを提供します。 Oracle Databaseクライアント21cは、IAMトークン・アクセス機能を完全にサポートしていません。 このタイプのIAMデータベース・トークンの使用でサポートされているクライアントの詳細は、IAM接続でサポートされるクライアント・ドライバを参照してください。
  • アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーは最初にOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルのロケーションに保存できます。 たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。 詳細は、db-token getを参照してください。 データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン・フォームでログインすると、データベース・ドライバは、デフォルトまたは指定したファイルのロケーションに保存されているIAMデータベース・トークンを使用します。
  • クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してOracle Databaseインスタンスに対して自身を認証できます。
  • 一部のOracle Database 23aiクライアントは、OCIコマンドライン・インタフェースを使用するかわりに、OCI IAMから直接トークンを取得することもできます。 クライアントのドキュメントを参照して、このネイティブIAM統合をサポートしているクライアントを確認してください。
  • IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかのメソッドでIAMからデータベース・トークンをリクエストできます。 例については、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。 OCIクラウド・シェル内での委任トークンの使用など、他のメソッドの説明は、Oracle DBaaSデータベースのIAMユーザーの認証および認可を参照してください。

以前のリリースでは、IAMユーザー名およびデータベース・パスワードのみを使用して、IAMからパスワード・ベリファイアを取得できました。 パスワード・ベリファイアは機密とみなされるため、これらの資格証明によるトークンの取得は、パスワード・ベリファイアの取得よりも安全です。 トークンを使用することは、ベリファイアを渡したり使用する必要がないことを意味します。 アプリケーションは、データベース・クライアントAPIを介してIAMのユーザー名およびパスワードで取得されたトークンを渡すことはできません。 このタイプのトークンを取得できるのは、データベース・クライアントのみです。 データベース・クライアントは、IAMユーザー名およびIAMデータベース・パスワードを使用してのみデータベース・トークンを取得できます。

Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

Oracle DatabaseのIdentity and Access Management (IAM)認証の前提条件を確認します。

外部認証スキームの無効化

Oracle DatabaseへのIAMユーザー・アクセスを有効にするための前提条件を確認します。

データベースが別の外部認証スキームに対して有効になっている場合は、Oracle DatabaseインスタンスでIAMを使用することを確認します。 常に有効な外部認証スキームは1つのみです。

IAMを使用し、別の外部認証スキームを有効にする場合は、まず他の外部認証スキームを無効にする必要があります。

OCIへのネットワーク接続の構成

Oracle Exadata Database Service on Cloud@Customer上のデータベース・インスタンスに対してOCI IAMをコールしてIAMデータベース・アクセス・トークン(db-tokens)を受け入れるか、IAMデータベース・パスワード検証を取得できるように、OCIへのネットワーク接続を構成します。

  1. ExaDB-C@C管理者に問い合せて、ExaDB-C@Cインストールに割り当てられているOCIリージョンを確認します。
  2. そのOCIリージョンのOCI IAMエンドポイントを決定します。 詳細は、アイデンティティおよびアクセス管理サービスAPIを参照してください
  3. 「Oracleオペレータの名前解決用のアイデンティティ・サービス」のポート番号を見つけます。 詳細は、「Oracle Exadata Database Service on Cloud@Customerのネットワーク要件」「表3-2 コントロール・プレーン接続用に開くポート」を参照してください。

    たとえば、OCIリージョンが「フェニックス」の場合、ポート443https://identity.us-phoenix-1.oci.oraclecloud.comに開きます。

  4. この接続を開くようにネットワークを構成します。

ログイン失敗のトラブルシューティングの詳細は、「IAM接続のトラブルシューティング」を参照してください。

プロキシ設定の構成

データベースがOCI IAMにアクセスできるように、環境でネットワーク・プロキシ設定を構成します。 ネットワーク・プロキシURL http://www-proxy.example.com:80/および例に示されているデータベース名を自分のものに置き換えます。

  1. ホスト・オペレーティング・システムにログインします。
  2. プロキシ環境変数を設定します。
    srvctl setenv database -db exampledbname -env "https_proxy=http://www-proxy.example.com:80/"
    srvctl setenv database -db exampledbname -env "http_proxy=http://www-proxy.example.com:80/"
    
  3. データベースを停止し、変数が設定されていることを確認します:
    $ srvctl stop database -db exampledbname
    $ srvctl getenv database -db exampledbname
    http_proxy=http://www-proxy.example.com:80/
    https_proxy=http://www-proxy.example.com:80/
  4. データベースを再起動します。
    $ srvctl start database -db exampledbname
IAMトークンを使用するためのTLSの構成

データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合、TLS接続を確立する必要があります。 ExaDB-C@Cサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTのロケーションに格納する必要があります。 tlsディレクトリを作成: WALLET_ROOT/<PDB GUID>/tls

データベース・クライアントとサーバー間のTLSを構成する場合、考慮すべきオプションがいくつかあります。
  • 自己署名データベース・サーバー証明書と、よく知られた認証局によって署名されたデータベース・サーバー証明書の使用
  • 一方向TLS (TLS)、相互または双方向TLS (mTLS)
  • ウォレットの有無にかかわらずクライアント

自己署名証明書

自己署名証明書の使用は、自分で作成でき、無料であるため、内部的にITリソースに直面する一般的な方法です。 リソース(この場合、データベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。 自己署名証明書およびルート証明書は、データベース・サーバー・ウォレットに格納されます。 データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、クライアントでルート証明書のコピーも必要です。 この自動作成されたルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルトの証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。 セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

一般的に知られているルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルトの証明書ストアに格納されている可能性が高いという点で、いくつかの利点があります。 共通のルート証明書であれば、クライアントがルート証明書を格納するための追加のステップはありません。 不利な点は、通常はコストが関連付けられていることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供して自身を認証します。 クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。 データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのは、サーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に表示されるアイデンティティ証明書があります。 ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名されているため、データベース・サーバーとクライアントで同じルート証明書を使用してほかの証明書を認証できます。ユーザー・アイデンティティは証明書によってデータベース・サーバーによって認証されるため、mTLSを使用してユーザーを認証することがあります。 これは、IAMトークンを渡すには必要ありませんが、IAMトークンを渡すときに使用できます。

ウォレットありのクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。 ただし、ルート証明書は、同じウォレットまたはシステムのデフォルトの証明書ストアに格納できます。

ウォレットなしのクライアント

これらの条件でTLSを使用する場合、クライアントはウォレットなしで構成できます: 1)一方向TLSは、クライアントに独自の証明書がなく、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納される場合に構成されます。 サーバー証明書が共通認証局によって署名されている場合、おそらくすでにルート証明書が存在することになります。 自己署名証明書の場合は、クライアント・ウォレットの使用を回避するために、システムのデフォルトの証明書ストアにルート証明書をインストールする必要があります。

前述のオプションを含むデータベース・クライアントとデータベース・サーバー間のTLSの構成方法の詳細は、「Oracle Databaseセキュリティ・ガイド」「Transport Layer Security暗号化の構成」を参照してください。

自己署名証明書の使用およびウォレット関連の追加タスクを選択した場合は、「Oracle Databaseセキュリティ・ガイド」「Oracle Databaseウォレットおよび証明書の管理」

IAM統合のデータベースおよびクライアントの有効化

次の該当するリンクに従って、データベースにアクセスするようにIAMユーザーを構成します。

Oracle Exadata Database Service on Dedicated InfrastructureでIAMユーザーを使用するためのアーキテクチャの詳細は、「Oracle Database 19cセキュリティ・ガイド」および「Oracle Database 23aiセキュリティ・ガイド」「Oracle DBaaSデータベースのIAMユーザーの認証および認可」を参照してください。

Oracle Exadata Database Service on Cloud@CustomerでのOracle DatabasesのMicrosoft Entra ID (MS-EI)ユーザーの認証および認可

Oracle Databaseは、シングル・サインオン認証を使用して接続するために、Microsoft Entra IDのMicrosoft Azureユーザーに対して構成できます。

Oracle Exadata Database Service on Cloud@CustomerでのOracle DatabasesのMicrosoft Entra ID (MS-EI)ユーザーの認可について

Oracle Exadata Database Service on Cloud@Customerのユーザーは、MS-EIサービスで集中管理できます。

MS-EIとのOracle Database統合は、オンプレミス・データベースおよびほとんどのOracle OCI DBaaSプラットフォームでサポートされています。

MS-EIを構成するプロシージャでは、これらの環境を網羅するために「Oracle Database」という用語を使用します。

このタイプの統合により、MS-EIユーザーはOracle Exadata Database Service on Cloud@Customerインスタンスにアクセスできます。 MS-EIユーザーおよびアプリケーションは、MS-EIシングル・サインオン(SSO)資格証明を使用してログインし、MS-EI OAuth2アクセス・トークンを取得してデータベースに送信できます。

管理者は、MS-EIを使用してOracle Exadata Database Service on Cloud@Customerインスタンスのアプリケーション登録(アプリケーション登録)を作成および構成します。 管理者はまた、MS-EIでデータベース・アプリケーション登録のアプリケーション(アプリケーション)ロールを作成し、これらのロールをMS-EIユーザー、グループおよびアプリケーションに割り当てます。 これらのアプリケーション・ロールは、データベース・グローバル・スキーマおよびグローバル・ロールにマップされます。 アプリケーション・ロールに割り当てられたMS-EIプリンシパルは、データベース・グローバル・スキーマまたはデータベース・グローバル・ロールにマップされます。 Oracleグローバル・スキーマは、MS-EIユーザーに排他的にマップすることもできます。 プリンシパルがゲスト・ユーザーまたはサービス・プリンシパルである場合、MS-EIアプリケーション・ロールを介してのみデータベース・スキーマにマップできます。 Oracleグローバル・ロールは、MS-EIアプリケーション・ロールにのみマップできます。

MS-EIトークンをサポートするように更新されるツールおよびアプリケーションは、MS-EIを使用してユーザーを直接認証し、データベース・アクセス・トークンをOracle Exadata Database Service on Cloud@Customerインスタンスに渡すことができます。 SQL*Plusなどの既存のデータベース・ツールを構成して、ファイルのロケーションからMS-EIトークンを使用するか、MS-EIから直接トークンを取得できます。 ユーティリティを使用してトークンを取得し、ファイルのロケーションを介してデータベース・クライアント・ドライバに渡す場合、MS-EIトークンは、Microsoft PowerShellやAzure CLIなどのツールを使用して取得し、ファイルのロケーションに配置できます。 MS-EI OAuth2データベース・アクセス・トークンは、有効期限を持つベアラー・トークンです。 Oracle Databaseクライアント・ドライバは、トークンが有効な形式であり、データベースに渡される前に失効していないことを確認します。 トークンがデータベースにスコープ指定されます。 Azure ADプリンシパルに割り当てられたアプリケーション・ロールは、アクセス・トークンの一部として含まれます。 MS-EIトークンのディレクトリのロケーションには、ユーザーがトークン・ファイルをそのロケーションに書き込むための十分な権限と、これらのファイルを取得するためのデータベース・クライアント(たとえば、プロセス・ユーザーによる読取りおよび書込みのみ)のみが必要です。 トークンによってデータベースへのアクセスが許可されるため、このトークンはファイル・システム内で保護される必要があります。

MS-EIユーザーは、次のようなメソッドを使用して、MS-EIアプリケーション登録に登録されたクライアントとしてトークンをリクエストできます:

  • 多ファクタ認証の有無にかかわらず、MS-EI認証画面へのMS-EI資格証明の入力

Oracle Exadata Database Service on Cloud@Customerは、次のMS-EI認証フローをサポートします:

  • 対話型フロー(認可コード)。ブラウザを使用してユーザーの資格証明を入力できる場合に使用されます
  • クライアント資格証明(エンド・ユーザーではなく、自身として接続するアプリケーション用)
  • On-Behalf-Of (OBO)。ログイン・ユーザーのかわりにアプリケーションがアクセス・トークンをリクエストしてデータベースに送信
  • ROPCは、テストおよび開発環境でもサポートされています

Oracle Exadata Database Service on Cloud@Customerは、次のMS-EIプリンシパルを表すトークンを受け入れます:

  • MS-EIユーザー。MS-EIテナンシに登録されたユーザーです
  • MS-EIテナンシにゲスト・ユーザーとして登録されているゲスト・ユーザー
  • サービス。クライアント資格証明フロー(接続プール・ユース・ケース)を使用して、データベース自体に接続する登録済アプリケーションです

Microsoft Entra ID (MS-EI)統合のためのOracle Databaseの構成

Oracle DatabaseインスタンスとのMS-EI統合では、データベースがMS-EI公開キーをリクエストできるように、データベースをMS-EIに登録する必要があります。

MS-EIの構成、データベースの構成およびデータベース・クライアントの構成の詳細は、次を参照してください:

Microsoft Entra ID (MS-EI)認証の前提条件

Oracle Exadata Database Service on Cloud@CustomerのOracle DatabaseとのMS-EI統合には、次のものが必要です:

  1. バージョン19.18以上のOracle Database。
  2. TLSポート2484のデータベースへの接続。 TLS以外の接続はサポートされていません。
  3. MS-EIに登録するOracle Database。
  4. MS-EIトークンをリクエストする必要があるユーザーとアプリケーションは、MS-EIへのネットワーク接続も可能である必要があります。 接続のプロキシ設定を構成する必要がある場合があります。
  5. データベースがMS-EI公開キーをリクエストできるように、MS-EIへのアウトバウンド・ネットワーク接続。
    1. データベースのORACLE_SIDORACLE_HOMEおよびPATH変数が正しく設定されていることを確認します。
    2. オペレーティング・システムで、oracleユーザーとして次のsrvctlコマンドを実行します:
      • $ srvctl setenv database -db <exampledbname> -env "https_proxy=http://www-proxy.example.com:80/"
      • $ srvctl setenv database -db <exampledbname> -env "http_proxy=http://www-proxy.example.com:80/"
      • $ srvctl stop database -db <exampledbname>
      • $ srvctl start database -db <exampledbname>
      • $ srvctl getenv database -db <exampledbname>
        http_proxy=http://www-proxy.example.com:80/
        https_proxy=http://www-proxy.example.com:80/
        TNS_ADMIN=<exampledbhomename>/network/admin/<exampledbname>
    3. HTTPプロキシ設定は、ExaDB-C@Cネットワークでも設定する必要があります。

      これらの設定は、Exadataインフラストラクチャの作成時にフリート管理者が定義します(「コンソールを使用したOracle Exadata Database Service on Cloud@Customerのプロビジョニング」を参照)。

      ノート:

      • HTTPプロキシを含むネットワーク構成は、Exadataインフラストラクチャが「アクティブ化が必要」状態になるまでしか編集できません。 アクティブ化した後は、これらの設定を編集できません。
      • すでにプロビジョニングされているExadataインフラストラクチャのHTTPプロキシを設定するには、My Oracle Supportでサービス・リクエスト(SR)が必要です。 詳細は「My Oracle Supportでのサービス・リクエストの作成」を参照してください。
Microsoft Entra ID (MS-EI)トークンを使用するためのTLSの構成

データベース・クライアントからデータベース・サーバーにMS-EIトークンを送信する場合は、TLS接続を確立する必要があります。 ExaDB-C@Cサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTのロケーションに格納する必要があります。 tlsディレクトリを作成: WALLET_ROOT/<PDB GUID>/tls

データベース・クライアントとサーバー間のTLSを構成する場合、考慮すべきオプションがいくつかあります。

  • 自己署名データベース・サーバー証明書と、よく知られた認証局によって署名されたデータベース・サーバー証明書の使用
  • 一方向TLS (TLS)、相互または双方向TLS (mTLS)
  • ウォレットの有無にかかわらずクライアント

自己署名証明書

自己署名証明書の使用は、自分で作成でき、無料であるため、内部的にITリソースに直面する一般的な方法です。 リソース(この場合、データベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。 自己署名証明書およびルート証明書は、データベース・サーバー・ウォレットに格納されます。 データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、クライアントでルート証明書のコピーも必要です。 この自動作成されたルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルトの証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。 セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

一般的に知られているルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルトの証明書ストアに格納されている可能性が高いという点で、いくつかの利点があります。 共通のルート証明書であれば、クライアントがルート証明書を格納するための追加のステップはありません。 不利な点は、通常はコストが関連付けられていることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供して自身を認証します。 クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。 データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのは、サーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に表示されるアイデンティティ証明書があります。 ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名されているため、データベース・サーバーとクライアントで同じルート証明書を使用してほかの証明書を認証できます。ユーザー・アイデンティティは証明書によってデータベース・サーバーによって認証されるため、mTLSを使用してユーザーを認証することがあります。 これは、IAMトークンを渡すには必要ありませんが、IAMトークンを渡すときに使用できます。

Walletを使用するクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。 ただし、ルート証明書は、同じウォレットまたはシステムのデフォルトの証明書ストアに格納できます。

Walletを使用しないクライアント

これらの条件でTLSを使用する場合、クライアントはウォレットなしで構成できます: 1)一方向TLSは、クライアントに独自の証明書がなく、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納される場合に構成されます。 サーバー証明書が共通認証局によって署名されている場合、おそらくすでにルート証明書が存在することになります。 自己署名証明書の場合は、クライアント・ウォレットの使用を回避するために、システムのデフォルトの証明書ストアにルート証明書をインストールする必要があります。

データベース・クライアントとデータベース・サーバー間のTLSを構成する方法(前述のオプションを含む)の詳細は、次を参照してください:

自己署名証明書の使用およびウォレット関連の追加タスクを選択する場合は、次を参照してください: