Oracle Cloud Infrastructure-Dokumentation

Voraussetzungen für die Aktivierung autonomer Datenbanken

Mit Ops Insights können Sie erweiterte und grundlegende Collections in Ihren autonomen Datenbanken über einen privaten Endpunkt oder über sicheren Zugriff von überall aus ausführen, um die Datenerfassung in einer Autonomous Database zu aktivieren. Die folgenden Voraussetzungen müssen erfüllt sein:

Serverlose und dedizierte autonome Datenbanken

Einfach: Es sind keine Voraussetzungen erforderlich.
Vollständige Features: Erfordert drei Typen von Voraussetzungen: Allgemein, für auf IAM-Zugangsdaten basierende Verbindungen und für auf lokalen Zugangsdaten basierende Verbindungen. Stellen Sie sicher, dass die allgemeinen Voraussetzungen und die Voraussetzungen für den gewünschten Zugangsdatenverbindungstyp erfüllt sind.
  • Allgemeine Voraussetzungen: Wenn Ihr Netzwerk dies erfordert, erstellen Sie einen privaten Endpunkt. Stellen Sie sicher, dass Sie die richtigen Netzwerkanforderungen für Ihre Datenbank einrichten, einschließlich der Erstellung privater Endpunkte.
    In der folgenden Tabelle werden die Netzwerkanforderungen nach Typ der autonomen Datenbanken beschrieben:
    ADB-Typ Zugriffstyp Netzwerkanforderungen
    ADB Serverless (ADB-S) Zugriff überall Keine
    ADB Serverless (ADB-S) Privater Endpunkt Dieselben privaten Endpunktanforderungen wie Cloud-Datenbanken.
    Hinweis

    Verwenden Sie das private ADB-Endpunkt-VCN/Subnetz anstelle des Datenbank-VCN/Subnetzes
    Weitere Informationen finden Sie unter Exadata-Systeme und Cloud Service-Datenbanken aktivieren.
    Hinweis

    Bei IAM-Zugangsdatenverbindungen muss ein privater DNS-Proxyendpunkt für dedizierte autonome Datenbanken und gemeinsam verwendete autonome Datenbanken mit konfiguriertem privaten Endpunktzugriff verwendet werden.
    ADB Serverless (ADB-S) ACL (Access Control-Liste) eingeschränkt Der private Endpunkt muss in einem der VCNs mit Ausnahmeliste platziert werden. Dieses VCN muss Zugriff auf den öffentlichen ADB-Endpunkt haben, in der Regel über das Servicegateway.

    Weitere Informationen finden Sie unter Access-Control-Listen konfigurieren, wenn Sie eine Instanz bereitstellen oder klonen
    ADB auf dedizierter Infrastruktur (ADB-D) nicht zutreffend Gleiche Anforderungen wie bei Cloud-Datenbanken. Weitere Informationen finden Sie unter Exadata-Systeme und Cloud Service-Datenbanken aktivieren.
    Hinweis

    Für dedizierte autonome Datenbanken ist ein privater Endpunkt mit aktiviertem DNS-Proxy erforderlich. Private Ops Insights-Endpunkte, die vor September 2023 erstellt wurden, bieten keinen DNS-Proxy an. Möglicherweise muss ein neuer privater Endpunkt erstellt werden.
    ADB auf Exadata Cloud@Customer (ADB-C@C) N/V

    Installieren Sie die neueste Version des Management Agent, und stellen Sie die Netzwerkkonnektivität für die Verbindungszeichenfolge sicher.

    Informationen zur Installation eines Management-Agents zur Verwendung mit Ops Insights finden Sie unter OCI: Observability and Management Support for Exadata Cloud (Artikel-ID PNEWS1338)

    Weitere Informationen zur Installation von Management Agents finden Sie unter Management Agents installieren.

    Stellen Sie sicher, dass ein Datenbanküberwachungsbenutzer erstellt wird.

    Informationen zum Erstellen von Management Agent-Zugangsdaten finden Sie unter Management Agent-Quellzugangsdaten

    Prüfen Sie die Empfehlungen zum Sichern von Daten: Sicherer On-Premise-Überwachungsdatenupload mit Management Gateway.

    .

    Erstellen Sie eine Policy, mit der der Ops Insights-Resource Principal die Compartments enthält, in denen sich die aktivierten ADB-D-Datenbanken befinden, um Autonomous Database-Wallets zu generieren. Beispiel: 
    Allow any-user to read autonomous-database-family in compartment XYZ where
 ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
  • Voraussetzungen für lokale Zugangsdaten: Policy, mit der der Ops Insights-Service das Datenbankkennwort-Secret lesen kann: 
    Allow any-user to read secret-family in tenancy where
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}

  • Voraussetzungen für IAM-Zugangsdaten: Ops Insights kann mit IAM-basierter Authentifizierung eine Verbindung zu einer autonomen Oracle-Datenbank herstellen. Dadurch ist eine cloudfreundlichere und sicherere Lösung möglich. Mit Ops Insights können Sie eine Resource Principal Policy schreiben, mit der sie Performance- und SQL-basierte Metriken aus Autonomous Database erfassen kann (diese Metriken werden über diesen alternativen Authentifizierungsansatz erfasst).

    Weitere Informationen zu IAM-basierten Verbindungen finden Sie unter Verbindung zu einer Autonomous Database-Instanz mit IAM herstellen.

    Es gibt zwei Möglichkeiten, IAM-Verbindungen zu Ihren autonomen Datenbanken per Skript oder manuell zu aktivieren. Ops Insights empfiehlt dringend die Verwendung der Skriptmethode.

    • Um IAM-Verbindungen für Ihre autonomen Datenbanken mit dem Ops Insights-Skript (empfohlene Methode) zu aktivieren, führen Sie die folgenden Schritte aus:
      1. Erstellen Sie eine dynamische Gruppe mit der OPSI-Ressource (Beispiel: iam_admin_dg_grp):
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      2. Führen Sie das Skript zur Zugangsdatenerstellung im MOS-Hinweis Autonomous Database Monitoring-Zugangsdaten für Oracle Cloud Operations Insights erstellen (KB95891) aus.
        Hinweis

        Informationen zum Erstellen des gewünschten Datenbankbenutzertyps finden Sie in den Anweisungen zur Skriptverwendung unten in der MOS-Notiz.
    • So aktivieren Sie IAM-Verbindungen für Ihre autonomen Datenbanken manuell:
      1. Aktualisieren Sie Autonomous Database, um IAM-basierte Verbindungen zuzulassen:
        BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'OCI_IAM', force => TRUE );
END;
/
# Check if its enabled
SELECT NAME, VALUE , TYPE FROM V$PARAMETER WHERE NAME='identity_provider_type';
      2. Erstellen Sie eine dynamische Gruppe mit der OPSI-Ressource (Beispiel: iam_admin_dg_grp):
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      3. Erstellen Sie eine Überwachungsrolle mit den erforderlichen Berechtigungen, um eine Session zu erstellen und eine Verbindung herzustellen, sowie die Berechtigungen für die von OPSI erfassten Tabellen:
        CREATE ROLE DbTokenRole IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
      4. Erstellen Sie einen neuen Datenbankbenutzer (global), und weisen Sie ihm die in Schritt 3 erstellte Rolle zu:
        CREATE USER TESTDBUSER IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
GRANT CREATE SESSION, CONNECT TO testDbTokenRole;
# Need rest of grants within aforementioned script for OPSI collections to work properly