Oracle Cloud Infrastructure-Dokumentation

Zugriff auf Speicherserver einrichten

Sie müssen bestimmte Aufgaben ausführen, um den Zugriff auf die Speicherserver einzurichten, die Sie mit dem Datenbankmanagement überwachen möchten.

Die folgenden Aufgaben müssen ausgeführt werden, bevor Sie während des Discovery-Prozesses der Exadata-Infrastruktur eine Verbindung zum Speicherserver hinzufügen, da die Zugangsdaten des Speicherserverbenutzers und das in den Management Agent-Truststore importierte SSL-Zertifikat gegen den Speicherserver getestet werden. Die Verbindung zum Speicherserver vom Management Agent kann erst hinzugefügt werden, nachdem eine Testabfrage vom Management Agent an den Speicherserver gesendet wurde.

Verfügbarkeit eines ExaCLI-Benutzers für den Zugriff auf und die Überwachung der Storage Server sicherstellen

Der Management Agent, mit dem eine Verbindung zu den Speicherservern hergestellt wird, benötigt ExaCLI-Zugangsdaten, um Metriken über den REST-Endpunkt des Speicherservers zu erfassen.

Empfohlene Option: Es wird empfohlen, den sofort einsatzbereiten Benutzer cellmonitor zu verwenden.

Sekundäre Option: Sie haben auch die Möglichkeit, einen neuen ExaCLI-Administratorbenutzer zu erstellen. Wenn Sie einen neuen ExaCLI-Administratorbenutzer erstellen, muss der neue Benutzer auf allen Speicherservern erstellt werden. Außerdem muss der neue Benutzer über list-Berechtigungen für alle Objekte verfügen. Beispiel: 

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

So erstellen Sie einen neuen ExaCLI-Benutzer über mehrere Speicherserver hinweg mit dem Utility dcli: 

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Informationen zu folgenden Themen erhalten Sie:

  • Erstellen Sie einen neuen administrativen ExaCLI-Benutzer. Informationen hierzu finden Sie unter Creating Users for Use with ExaCLI im Oracle Exadata Database Machine Maintenance Guide.
  • Verwenden Sie das Utility CellCLI. Informationen hierzu finden Sie unter Using the CellCLI Utility in der Exadata System Software User's Guide.
  • Verwenden Sie das Utility dcli. Informationen hierzu finden Sie unter Dcli-Utility verwenden in der Benutzerdokumentation zu Exadata System Software.

Stellen Sie sicher, dass das SSL-Zertifikat des Storage Servers im Truststore des Management Agent verfügbar ist

Die SSL-Zertifikate sind erforderlich, um die Identität der Speicherserver in der Exadata-Infrastruktur gegenüber dem Management Agent zu bestätigen. Die Kommunikation zwischen den Speicherservern und dem Management Agent verwendet HTTPS und erfordert die SSL-Zertifikate des Speicherservers im Truststore des Management Agent.

Bevor Sie das SSL-Zertifikat des Storage Servers in den Truststore des Management Agent importieren, wird empfohlen, das SSL-Zertifikat anhand des REST-Endpunkts des Storage Servers im Agent-Host zu testen:

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Beispiel:

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

So importieren Sie das SSL-Zertifikat des Storage Servers in den Truststore des Management Agent:

  1. Rufen Sie das SSL-Zertifikat des Storage Servers ab. So laden Sie das Zertifikat vom Storage Server herunter:
    echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem
  2. Fügen Sie das SSL-Zertifikat des Storage Servers zu einem Truststore auf dem Management Agent-Knoten hinzu. Wenn bereits ein Truststore auf dem Management Agent-Knoten erstellt wurde, können Sie ihn wiederverwenden. So erstellen Sie einen neuen Truststore oder fügen einem vorhandenen Truststore ein SSL-Zertifikat hinzu:
    keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore /path/to/truststore -storetype JKS

Wenn Sie eine Verbindung zum Überwachen des Speicherservers mit Database Management hinzufügen, müssen Sie den Speicherort der Truststore-Datei angeben. Weitere Informationen finden Sie unter Verbindungen zu Speicherservern hinzufügen.

Wenn Sie benutzerdefinierte SSL-Zertifikate mit einem gemeinsamen Domainnamen für alle Speicherserver verwenden, bei denen alle Speicherserver dasselbe Zertifikat verwenden, müssen Sie dieses Zertifikat nur einmal in den Truststore importieren (wenn Sie mehrere Speicherserver mit demselben Management Agent überwachen).