Zugriff auf Speicherserver einrichten

Verfügbarkeit eines ExaCLI-Benutzers für den Zugriff auf und die Überwachung von Speicherservern sicherstellen

Der Management Agent, mit dem eine Verbindung zu den Speicherservern hergestellt wird, benötigt ExaCLI-Zugangsdaten, um Metriken über den REST-Endpunkt des Speicherservers zu erfassen.

Für externe Exadata-Infrastruktur

Empfohlene Option: Es wird empfohlen, den sofort einsatzbereiten Benutzer cellmonitor zu verwenden.

Sekundäre Option: Sie haben auch die Möglichkeit, einen neuen ExaCLI-Administratorbenutzer zu erstellen. Wenn Sie einen neuen ExaCLI-Administratorbenutzer erstellen, muss der neue Benutzer auf allen Speicherservern erstellt werden. Außerdem muss der neue Benutzer über list-Berechtigungen für alle Objekte verfügen. Beispiel:

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

So erstellen Sie einen neuen ExaCLI-Benutzer über mehrere Speicherserver hinweg mit dem Utility dcli:

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Informationen zu folgenden Themen erhalten Sie:

• Erstellen Sie einen neuen administrativen ExaCLI-Benutzer. Informationen hierzu finden Sie unter Creating Users for Use with ExaCLI im Oracle Exadata Database Machine Maintenance Guide.
• Verwenden Sie das Utility CellCLI. Informationen hierzu finden Sie unter Using the CellCLI Utility in der Exadata System Software User's Guide.
• Verwenden Sie das Utility dcli. Informationen hierzu finden Sie unter Dcli-Utility verwenden in der Benutzerdokumentation zu Exadata System Software.

Für in ExaDB-D oder ExaDB-C@C bereitgestellte Oracle Cloud Exadata-Infrastruktur

Verwenden Sie den vorkonfigurierten ExaCLI-Benutzer, der mit dem Service verfügbar ist, um auf Speicherserver zuzugreifen und diese zu überwachen. Der vorkonfigurierte Benutzer ist cloud_user_<clustername>, wobei <clustername> der Name des VM-Clusters ist. Weitere Informationen finden Sie unter:

• Exadata Storage Servers mit ExaCLI überwachen und verwalten in der Dokumentation zu Exadata Database Service on Dedicated Infrastructure
• Exadata Storage Servers mit ExaCLI überwachen und verwalten in der Exadata Database Service on Cloud@Customer-Dokumentation

Stellen Sie sicher, dass das SSL-Zertifikat des Storage Servers im Truststore des Management Agent verfügbar ist

SSL-Zertifikate sind erforderlich, um die Identität von Speicherservern in der Exadata-Infrastruktur gegenüber dem Management Agent zu prüfen. Die Kommunikation zwischen den Speicherservern und dem Management Agent verwendet HTTPS und erfordert, dass die SSL-Zertifikate des Speicherservers im Management Agent-Truststore vorhanden sind.

Bevor Sie das SSL-Zertifikat des Speicherservers in den Management Agent-Truststore importieren, wird empfohlen, das Zertifikat mit dem REST-Endpunkt des Speicherservers im Agent-Host zu testen:

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Beispiel:

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

Sie können das SSL-Zertifikat des Speicherservers in den Standard-Truststore des Management Agent im Agent-Installationsverzeichnis oder in einen benutzerdefinierten Truststore außerhalb des Agent-Installationsverzeichnisses importieren.

• So verwenden Sie den Standard-Truststore von Management Agent:
  1. Laden Sie das Zertifikat vom Storage Server herunter:

     echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem

  2. Importieren Sie das Zertifikat in den Management Agent-Truststore. Der Management Agent-Truststore verfügt über ein optionales Kennwort, das im Parameter CredentialWalletPassword der Antwortdatei für die Agent-Installation definiert ist. Hier sind die Agent Truststore-Speicherorte:
     • Für einen Standalone-Management Agent:

       /opt/oracle/mgmt_agent/agent_inst/config/security/comm/commwallet.jks

     • Für einen Management Agent, der als Oracle Cloud Agent-(OCA-)Plug-in installiert ist:

       /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/security/comm/commwallet.jks

     Hinweis
     
     Wenn Sie benutzerdefinierte SSL-Zertifikate mit einem gemeinsamen Domainnamen für alle Speicherserver verwenden (bei denen alle Speicherserver dasselbe Zertifikat verwenden), müssen Sie das Zertifikat nur einmal in den Truststore importieren, selbst wenn Sie denselben Management Agent verwenden, um mehrere Speicherserver zu überwachen.
• So verwenden Sie einen benutzerdefinierten Truststore außerhalb des Agent-Verzeichnisses:
  1. Laden Sie das Zertifikat vom Storage Server herunter:

     echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem

  2. Importieren Sie es mit dem folgenden Befehl in den benutzerdefinierten Truststore:

     keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore [path_to_JKS_truststore_file] -storetype JKS

  Hinweis
  
  Wenn Sie einen Truststore außerhalb des Agent-Installationsverzeichnisses verwenden, z.B. /etc/pki/ca-trust/extracted/java/cacerts, stellen Sie sicher, dass der Benutzer mgmt_agent über die erforderlichen Berechtigungen für den Zugriff auf die Truststore-Datei cacerts und die zugehörigen übergeordneten Verzeichnisse verfügt.

Weitere Informationen finden Sie unter Zertifikate für Management Agent importieren.