Documentation sur Oracle Cloud Infrastructure

Gérer les bases de données dans le service Oracle Exadata Database Service on Cloud@Customer

Rubrique parent : Guides pratiques

Préalables et limites pour la création et la gestion de bases de données Oracle sur le service Oracle Exadata Database sur Cloud@Customer

Vérifiez les préalables à la création et à la gestion de bases de données Oracle sur le service Oracle Exadata Database sur Cloud@Customer.

Avant de créer et d'utiliser un service Oracle Database sur le service Exadata Database sur Cloud@Customer, vous devez :

  • Provisionner le service Exadata Database sur l'infrastructure Cloud@Customer
  • Configurer une grappe de MV
  • Créer les destinations de sauvegarde requises

Vous pouvez créer une ou plusieurs bases de données sur chaque service Oracle Exadata Database sur Cloud@Customer. Outre les limites de stockage et de traitement de votre système Oracle Exadata, il n'y a pas de limite maximale pour le nombre de bases de données que vous pouvez créer. Par défaut, les bases de données sur le service Exadata Database sur Cloud@Customer utilisent Oracle Database Édition Enterprise - Extreme Performance. Cette édition fournit toutes les fonctions d'Oracle Database Édition Enterprise, ainsi que tous les ensembles de gestion d'entreprise de base de données et toutes les options d'Enterprise Edition, comme Oracle Database In-Memory et Oracle Real Application Clusters (RAC). Si vous utilisez vos propres licences Oracle Database, votre capacité à utiliser diverses fonctions est limitée par vos licences. Le chiffrement TDE est requis pour toutes les bases de données en nuage. Tous les nouveaux espaces-tables seront automatiquement activés pour le chiffrement.

Note

Les objets de paramètres régionaux personnalisés (tels que la langue, le territoire, le jeu de caractères et le classement) nécessitent le déploiement de fichiers de données de paramètres régionaux personnalisés sur les serveurs de base de données et de stockage, ce qui n'est pas pris en charge par le service Exadata Database sur Cloud@Customer.

Versions Oracle Database prises en charge par le service Oracle Exadata Database sur Cloud@Customer

Découvrez les versions d'Oracle Database prises en charge par le service Oracle Exadata Database sur Cloud@Customer.

Le service Exadata Database sur Cloud@Customer prend en charge les versions logicielles Oracle Database suivantes :

  • Oracle Database 23ai
  • Oracle Database 19c (19.x)
  • Oracle Database 12c version 2 (12.2.0.1) (nécessite un contrat de soutien pour la mise à niveau valide)
  • Oracle Database 12c version 1 (12.1.0.2) (nécessite un contrat de soutien pour la mise à niveau valide)
  • Oracle Database 11g version 2 (11.2.0.4) (nécessite un contrat de soutien pour la mise à niveau valide)

Pour connaître les délais de prise en charge des versions et des logiciels Oracle Database, consultez le Calendrier pour les versions de base de données courantes (ID document 742060.1) dans le portail My Oracle Support

À propos du provisionnement et de la configuration des bases de données Oracle sur le service Oracle Exadata Database sur Cloud@Customer

Voyez comment provisionner et configurer Oracle Database sur le service Oracle Exadata Database sur Cloud@Customer

Chaque base de données Oracle est configurée comme suit :
  • Lorsque vous provisionnez une base de données, vous pouvez l'associer à une destination de sauvegarde et activer des sauvegardes automatiques.
  • Lorsqu'une base de données est provisionnée, une tâche de maintenance archivelog est ajoutée à crontab pour la base de données.
    • Si la base de données n'est pas activée pour les sauvegardes, la tâche archivelog tiendra à jour la zone de récupération rapide (FRA) en supprimant les fichiers de journalisation d'archive datant de plus de 24 heures.
    • Si la base de données est activée pour les sauvegardes, la tâche archivelog sauvegardera les journaux d'archive qui n'ont pas été sauvegardés. Une fois qu'un journal archivé est sauvegardé, il sera supprimé s'il a plus de 24 heures.
  • Chaque base de données est configurée avec des instances de base de données Oracle Real Application Clusters (Oracle RAC) qui sont exécutées sur chaque noeud de la grappe de machines virtuelles.
  • Chaque base de données est créée dans un répertoire de base Oracle, qui utilise un jeu distinct de binaires Oracle dans un emplacement de base Oracle séparé.
  • Chaque base de données est configurée avec des paramètres d'instance par défaut. Si les valeurs par défaut conviennent à de nombreux cas, vous devez vérifier les paramètres d'instance pour vous assurer qu'ils répondent à vos besoins spécifiques d'application.

    Examinez particulièrement les paramètres d'instance de la zone globale du système Oracle Database (SGA) et de la zone globale de programme (PGA), surtout si votre grappe de machines virtuelles prend en charge plusieurs bases de données. Vérifiez également que la somme de toutes les affectations de mémoire Oracle Database ne dépasse jamais la mémoire physique disponible dans chaque machine virtuelle.

    • Lors de la création d'une base de données conteneur, le paramètre d'initialisation SGA_TARGET est défini par l'automatisation. Cela dimensionnera automatiquement les pools de mémoire SGA. Le paramètre varie en fonction de la taille de la mémoire totale de la machine virtuelle de la base de données. Si la machine virtuelle comporte moins de 60 Go de mémoire système, SGA_TARGET est réglé à 3 800 Mo. Si la machine virtuelle comporte au moins 60 Go de mémoire système, SGA_TARGET est réglé à 7 600 Mo.
    • Le paramètre d'initialisation de base de données USE_LARGE_PAGES est réglé à ONLY lors de la création de la base de données, ce qui nécessitera l'utilisation de larges pages pour la mémoire SGA. Si la machine virtuelle est configurée avec une quantité de larges pages insuffisante, le démarrage de l'instance échoue.
    • Le paramètre d'initialisation de base de données INMEMORY_FORCE est réglé à CELLMEMORY_LEVEL pour toutes les bases de données 19.8 et ultérieures créées au moyen de l'automatisation du nuage. Ce paramètre activera la fonction Cache de colonnes Exadata, qui accélère considérablement les interrogations d'analyse. Il est disponible pour les bases de données 19.8 et ultérieures et aucune licence In Memory n'est requise lors de l'exécution dans Exadata Cloud. Pour plus de renseignements, consultez la page INMEMORY_FORCE
  • Le service Exadata Database ne créera que des bases de données avec une taille de bloc de 8 Ko. Ce paramètre ne peut pas être modifié.
  • Chaque base de données utilisant Oracle Database 12c version 1 ou ultérieure est configurée en tant que base de données conteneur. Une base de données enfichable est créée dans la base de données conteneur. Par défaut :
    • La première base de données enfichable est configurée avec un compte d'utilisateur d'administration de base de données enfichable local nommé PDBADMIN.
    • Le compte d'utilisateur PDBADMIN est initialement configuré avec le même mot de passe d'administration que celui des utilisateurs CDB SYS et SYSTEM.
    • Le compte d'utilisateur PDBADMIN est initialement configuré avec les privilèges de base affectés au moyen de deux rôles : CONNECT et PDB_DBA. Toutefois, à des fins d'administration pratiques, vous devez affecter des privilèges supplémentaires au compte d'utilisateur PDBADMIN ou au rôle PDB_DBA.

    Vous pouvez utiliser les installations Oracle Database natives pour créer des bases de données enfichables supplémentaires et gérer toutes vos bases de données enfichables. L'utilitaire dbaascli fournit également des fonctions pratiques de gestion de bases de données enfichables.

Note

Évitez d'entrer des informations confidentielles lorsque vous affectez des descriptions, des étiquettes ou des noms conviviaux à vos ressources en nuage au moyen de la console, de l'API ou de l'interface de ligne de commande Oracle Cloud Infrastructure.

Utilisation de la console pour gérer les bases de données dans le service Oracle Exadata Database sur Cloud@Customer

Pour créer ou mettre fin à une base de données, exécutez les procédures à l'aide de la console Oracle Exadata.

Sujet parent : Gérer les bases de données dans le service Oracle Exadata Database Service on Cloud@Customer

Utilisation de la console pour créer une base de données

Pour créer une base de données Oracle avec la console, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Cliquez sur le nom de la grappe de machines virtuelles où vous voulez créer la base de données.

    Dans la page Détails de la grappe de MV, sous Ressources, l'option Bases de données est sélectionnée par défaut.

  4. Cliquez sur Créer une base de données.

    (ou)

    1. Cliquez sur Répertoires de base de la base de données.
    2. Cliquez sur le nom du répertoire de base où vous souhaitez créer la base de données.
    3. Cliquez sur Créer une base de données.
  5. Fournissez les informations demandées dans la page Créer une base de données :
    Note

    Vous ne pouvez pas modifier les paramètres db_name, db_unique_name et le préfixe SID après avoir créé la base de données.
    • Indiquer le nom de la base de données : Spécifiez le nom convivial qui sert à identifier la base de données. Le nom de la base de données ne doit contenir que les caractères autorisés.
      Consultez les directives suivantes lors de la sélection d'un nom de base de données.
      • Maximum de 8 caractères
      • Doit contenir uniquement des caractères alphanumériques
      • Doit commencer par un caractère alphabétique
      • ne peut pas faire partie des 8 premiers caractères d'un paramètre db_unique_name sur la grappe de machines virtuelles
      • Doit être unique dans une grappe de machines virtuelles
      • N'UTILISEZ PAS grid car grid est un nom réservé
      • N'UTILISEZ PAS ASM car ASM est un nom réservé

    • Fournir un nom unique pour la base de données : Facultativement, spécifiez un nom unique pour la base de données. Cet attribut définit la valeur du paramètre de base de données db_unique_name. La valeur n'est pas sensible à la casse.

      Le paramètre db_unique_name doit contenir uniquement les caractères autorisés. Consultez les directives suivantes lors de la sélection d'un nom de base de données.
      • Maximum de 30 caractères
      • Peut contenir des caractères alphanumériques et des traits de soulignement (_).
      • Doit commencer par un caractère alphabétique
      • Doit être unique pour l'ensemble du parc/location

      Si aucun nom unique n'est indiqué, le paramètre db_unique_name prend par défaut le format <db_name>_<3 char unique string>_<region-name>.

      Si vous prévoyez de configurer la base de données pour la sauvegarde vers une destination Boîtier ZDLRA, le nom unique de la base de données doit correspondre au nom configuré dans le boîtier ZDLRA.

    • Sélectionner une version de base de données : Dans la liste, choisissez la version du logiciel Oracle Database à déployer.
    • Indiquer le nom de la première base de données enfichable : (Facultatif) Indiquez le nom de la première base de données enfichable. Une base de données enfichable est créée avec la base de données.

      Pour éviter toute collision de noms de service lors de l'utilisation d'Oracle Net Services pour la connexion à la base de données enfichable, assurez-vous que le nom de cette dernière est unique dans toute la grappe de machines virtuelles. Si vous ne fournissez pas le nom de la première base de données enfichable, un nom généré par le système est utilisé.

    • Répertoire de base de la base de données : Sélectionnez un répertoire de base de base de données existant ou créez-en un s'il y a lieu. Notez que ce champ n'est pas disponible lorsque vous créez une base de données à partir de la page Détails du répertoire de base de la base de données.
      • Sélectionner un répertoire de base existant pour la base de données : Si un ou plusieurs répertoires de base existent déjà pour la version de base de données choisie, cette option est sélectionnée par défaut. En outre, vous verrez la liste des répertoires de base de base de données. Sélectionnez un répertoire de base de base de données dans la liste.
      • Créer un répertoire de base de base de données : Si aucun répertoire de base de base de données n'existe pour la version de base de données choisie, cette option est sélectionnée par défaut.
        1. Entrez le nom d'affichage du répertoire de base de la base de données.
        2. Cliquez sur Modifier l'image de base de données pour sélectionner votre version logicielle.

          Sélectionnez une fenêtre Image logicielle de base de données qui s'affiche.

        3. Sélectionnez un type d'image, soit Images logicielles de base de données fournies par Oracle ou Images logicielles de base de données personnalisées.

          Si vous choisissez Images logicielles de base de données fournies par Oracle, vous pouvez cliquer sur Afficher toutes les versions disponibles pour choisir parmi toutes les versions PSU et RU disponibles. La version la plus récente de chaque version majeure est indiquée par une étiquette La plus récente.

          Note

          Pour les versions principales d'Oracle Database disponibles dans Oracle Cloud Infrastructure, des images sont fournies pour la version courante plus les trois versions précédentes (N à N - 3). Par exemple, si une instance utilise Oracle Database 19c et que la dernière version proposée est 19.8.0.0, les images disponibles pour le provisionnement concernent les versions 19.8.0.0, 19.7.0.0, 19.6.0.0 et 19.5.0.0.
    • Fournir le mot de passe de l'administrateur : Fournissez et confirmez le mot de passe de l'administrateur Oracle Database. Ce mot de passe est utilisé pour les comptes et fonctions d'administration dans la base de données, notamment :
      • Mot de passe pour les utilisateurs Oracle Database SYS et SYSTEM .
      • Mot de passe du magasin de clés TDE.

      Pour Oracle Database 12c version 1 ou versions ultérieures, le mot de passe de l'administrateur de la base de données enfichable dans la première base de données enfichable (PDBADMIN) doit comporter entre 9 et 30 caractères, dont au moins deux majuscules, deux minuscules, deux chiffres et deux caractères spéciaux. Les caractères spéciaux doivent être_, # ou -. De plus, le mot de passe ne doit pas contenir le nom de la location ou des mots réservés, comme Oracle ou Table, quelle que soit la casse.

      • Utiliser le mot de passe de l'administrateur pour le portefeuille TDE : Lorsque cette option est sélectionnée, le mot de passe entré pour l'utilisateur SYS est également utilisé pour le portefeuille TDE. Pour définir manuellement le mot de passe du portefeuille TDE, désélectionnez cette option et entrez le mot de passe du portefeuille TDE.

    • Type de destination de sauvegarde : Sélectionnez une destination de sauvegarde pour la base de données. Sélectionnez une option dans la liste :

      • Local: Sélectionnez cette option pour stocker les sauvegardes localement sur les serveurs de stockage Oracle Exadata de votre système Oracle Exadata Cloud at Customer.

        Cette option n'est disponible que si vous avez activé les sauvegardes sur le stockage Oracle Exadata local dans la grappe de machines virtuelles qui doit héberger la base de données.

      • Stockage d'objets : Sélectionnez cette option pour stocker les sauvegardes dans un conteneur de stockage d'objets géré par Oracle dans Oracle Cloud Infrastructure.

        Pour utiliser cette option, votre système Oracle Exadata Cloud@Customer doit avoir une connectivité de sortie vers le stockage d'objets Oracle Cloud Infrastructure.

      • NFS : Sélectionnez cette option pour stocker les sauvegardes dans l'une des destinations définies précédemment utilisant le stockage NFS. Pour plus d'informations, consultez les informations sur les destinations de sauvegarde dans cette publication.

        Si vous sélectionnez cette option, vous devez également faire un choix dans la liste Destinations de sauvegarde NFS.

      • Boîtier ZDLRA : Sélectionnez cette option pour stocker des sauvegardes dans l'une des destinations définies précédemment utilisant un boîtier ZDLRA. Consultez les informations sur les options de destination de sauvegarde dans ce document.

        Si vous sélectionnez Boîtier ZDLRA comme option de sauvegarde, vous devez également :

        • Effectuer une sélection dans la liste Destinations de sauvegarde du boîtier.
        • Effectuer une sélection dans la liste Utilisateur VPC, qui contient les noms des utilisateurs du catalogue privé virtuel (VPC) définis dans la destination de sauvegarde Boîtier ZDLRA.
        • Fournissez le mot de passe de l'utilisateur VPC.
        Note

        Si vous sélectionnez une destination de sauvegarde, vous ne pouvez plus modifier un emplacement de sauvegarde après la création de la base de données.

      • Activer les sauvegardes automatiques : Sélectionnez cette option pour activer les sauvegardes quotidiennes à l'aide de la politique pour les sauvegardes automatiques.

        Vous pouvez modifier ce paramètre après la création de la base de données.

    • Gestion des clés : Sélectionnez une option de chiffrement, Oracle Wallet, Oracle Key Vault ou SM externe. L'option par défaut est Oracle Wallet.
      • Oracle Wallet :

        Utiliser le mot de passe de l'administrateur pour le portefeuille TDE : Lorsque cette option est sélectionnée, le mot de passe entré pour l'utilisateur SYS est également utilisé pour le portefeuille TDE. Pour définir manuellement le mot de passe de portefeuille TDE, décochez cette option, entrez le mot de passe de portefeuille TDE et confirmez-le.

      • Oracle Key Vault : Sélectionnez le compartiment dans lequel vous avez créé le magasin de clés, puis sélectionnez-le. Dans le cadre de la création de la base de données conteneur, un nouveau portefeuille est créé pour la base dans Oracle Key Vault (OKV). En outre, une clé principale TDE est générée pour la base de données conteneur et ajoutée au portefeuille dans OKV.
        Note

        • Les bases de données conteneur et les bases de données enfichables ne prennent en charge que les clés de chambre forte du module de sécurité matériel (HSM) 256 bits.
        • Valider le chiffrement de la clé OKV après le redémarrage : La clé de chiffrement principale TDE OKV est validée chaque fois que vous démarrez ou redémarrez votre CBD.
        • Le démarrage ou le redémarrage échoue si la clé n'est pas validée. Les demandes de travail et les états du cycle de vie indiquent la raison de l'échec.
        • Voir les clés OKV après la restauration de la base de données : Lorsque vous restaurez une base de données conteneur, la clé principale associée à cette sauvegarde est également restaurée.
        • Activer les sauvegardes de base de données conteneur pour saisir le nom du portefeuille : Informations sur le portefeuille associé à la sauvegarde lors des sauvegardes de base de données conteneur.
        • Porteur OKV ou clé principale TDE lors de la suppression de base de données conteneur : Si vous supprimez une base de données conteneur, le portefeuille et la clé principale TDE restent dans OKV et ne seront pas supprimés.
      • Magasin de clés externe :
        • Mot de passe pour le portefeuille TDE : Entrez le mot de passe du portefeuille TDE.
        • Données d'identification du magasin de clés externe : Entrez les données d'identification de l'utilisateur dans le format pris en charge par votre fournisseur de magasin de clés externe.
    • (Facultatif) Sélectionnez Afficher les options avancées. Dans cette fenêtre, vous pouvez sélectionner les options suivantes :
      • Fournir le préfixe IDS d'Oracle :
        Note

        L'entrée d'un préfixe SID n'est disponible que pour les bases de données 12.1 et versions supérieures.

        Facultativement, spécifiez le préfixe IDS d'Oracle pour la base de données. Le numéro d'instance est automatiquement ajouté au préfixe IDS pour devenir le paramètre de base de données instance_name. S'il n'est pas indiqué, le préfixe IDS est réglé par défaut à db_name.

        Consultez les directives suivantes lors de la sélection d'un nom de base de données :
        • Maximum de 12 caractères
        • Doit contenir uniquement des caractères alphanumériques
        • Doit commencer par un caractère alphabétique
        • Doit être unique dans la grappe de MV
      • Clé de chiffrement : Sélectionnez une option de chiffrement, Encrypt using Oracle-managed keys ou Encrypt using customer-managed keys (Chiffrer à l'aide des clés gérées par le client). L'option par défaut est le chiffrement au moyen des clés gérées par Oracle.

        Pour utiliser les clés gérées par le client, sélectionnez l'option Chiffrer à l'aide des clés gérées par le client, sélectionnez le compartiment où vous avez créé le magasin de clés, puis sélectionnez le magasin de clés. Dans le cadre de la création de la base de données conteneur, un nouveau portefeuille est créé pour la base dans Oracle Key Vault (OKV). En outre, une clé principale TDE est générée pour la base de données conteneur et ajoutée au portefeuille dans OKV.

        Note

        • Les bases de données conteneur et les bases de données enfichables ne prennent en charge que les clés de chambre forte du module de sécurité matériel (HSM) 256 bits.
        • Valider le chiffrement de la clé OKV après le redémarrage : La clé de chiffrement principale TDE OKV est validée chaque fois que vous démarrez ou redémarrez votre CBD.
        • Le démarrage ou le redémarrage échoue si la clé n'est pas validée. Les demandes de travail et les états du cycle de vie indiquent la raison de l'échec.
        • Voir les clés OKV après la restauration de la base de données : Lorsque vous restaurez une base de données conteneur, la clé principale associée à cette sauvegarde est également restaurée.
        • Activer les sauvegardes de base de données conteneur pour saisir le nom du portefeuille : Informations sur le portefeuille associé à la sauvegarde lors des sauvegardes de base de données conteneur.
        • Porteur OKV ou clé principale TDE lors de la suppression de base de données conteneur : Si vous supprimez une base de données conteneur, le portefeuille et la clé principale TDE restent dans OKV et ne seront pas supprimés.

      • Période de conservation des sauvegardes : Dans la liste, vous pouvez choisir la durée de conservation des sauvegardes automatiques.

        Pour les sauvegardes vers le stockage Exadata local, vous pouvez sélectionner une période de conservation de 7 ou 14 jours. La période de conservation par défaut est de 7 jours.

        Pour les sauvegardes vers le stockage d'objets Oracle Cloud Infrastructure ou vers une destination de sauvegarde NFS, vous pouvez sélectionner une des périodes de conservation prédéfinies suivantes : 7 jours, 14 jours, 30 jours, 45 jours ou 60 jours. La période de conservation par défaut est de 30 jours.

        Cette option ne s'applique pas aux destinations de sauvegarde Boîtier ZDLRA. Pour les sauvegardes vers un boîtier ZDLRA, la politique de conservation mise en oeuvre dans le boîtier contrôle la période de conservation.

      • Jeu de caractères : Jeu de caractères de la base de données. La valeur par défaut est AL32UTF8.
      • Jeu de caractères national : Jeu de caractères national de la base de données. La valeur par défaut est AL16UTF16.
      • Marqueurs : (Facultatif) Vous pouvez choisir d'appliquer des marqueurs. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, consultez les informations sur les marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  6. Cliquez sur Créer.
Note

Vous pouvez maintenant :

  • Créez ou supprimez une base de données conteneur lorsqu'une configuration Data Guard s'exécute sur une autre base de données dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données conteneur en exécutant simultanément des actions Data Guard (permutation, basculement et remise en service) dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données conteneur lors de la création ou de la suppression simultanée d'une base de données enfichable dans le même répertoire de base Oracle, et inversement.
  • Créez ou supprimez une base de données conteneur simultanément sur différentes bases de données dans le même répertoire de base Oracle.
  • Créez ou supprimez une base de données conteneur lors de la mise à jour simultanée des marqueurs de grappe de machines virtuelles.

Utilisation de la console pour gérer les mots de passe d'utilisateur SYS et de portefeuille TDE

Voyez comment gérer les mots de passe de l'administrateur (utilisateur SYS) et du portefeuille TDE.

  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer
  2. Sélectionnez le compartiment qui contient la grappe de machines virtuelles hébergeant la base de données à modifier.
  3. Cliquez sur le nom de la grappe de machines virtuelles qui contient la base de données dont vous voulez modifier les mots de passe.
  4. Dans la liste Ressources de la page Détails de la grappe de MV, cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données à modifier.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la page Détails de la base de données, cliquez sur Plus d'actions, puis sur Gérer les mots de passe.
  7. Dans la boîte de dialogue Manage passwords (Gérer les mots de passe) qui s'affiche, cliquez sur Update Administrator Password (Modifier le mot de passe de l'administrateur) ou sur Update TDE Wallet Password (Modifier le mot de passe pour le portefeuille TDE).

    Selon l'option sélectionnée, le système affiche les champs à modifier.

    • Mettre à jour le mot de passe de l'administrateur : Entrez le nouveau mot de passe dans les champs Nouveau mot de passe de l'administrateur et Confirmer celui-ci.
      Note

      L'option Mettre à jour le mot de passe de l'administrateur ne modifie que le mot de passe de l'utilisateur sys. Les mots de passe d'autres comptes d'administrateur tels que système, pdbadmin et portefeuille TDE ne seront pas modifiés.
    • Mettre à jour le mot de passe pour le portefeuille TDE : Entrez le mot de passe courant dans le champ Entrer le mot de passe pour le portefeuille TDE existant, puis entrez le nouveau mot de passe dans les champs Nouveau mot de passe pour le portefeuille TDE et Confirmer le mot de passe pour le portefeuille TDE.
  8. Cliquez sur Appliquer pour mettre à jour le mot de passe choisi.

Utilisation de la console pour migrer des clés de chiffrement d'Oracle Wallet vers d'autres méthodes de chiffrement (Oracle Key Vault, magasin de clés externe)

Voyez comment migrer des clés de chiffrement entre différentes méthodes de chiffrement.

Note

  • La migration nécessite les données d'identification pour la clé de chiffrement, qui doit déjà être présente dans le magasin de clés externe.
  • La migration des clés fonctionne de façon transparente dans un environnement Data Guard.
  • Vous ne pouvez pas migrer des clés si d'autres bases de données de la même grappe de machines virtuelles utilisent déjà des méthodes de chiffrement différentes, telles qu'un magasin de clés externe ou Oracle Key Vault (OKV).
  • Vous rencontrerez un problème lors des opérations de création ou de clonage de la base de données enfichable sur les bases de données migrées vers un magasin de clés externe. Le correctif de ce problème sera inclus dans la mise à jour de janvier 2025 pour les versions de base de données 19c et 23ai. Jusqu'à ce que l'utilitaire RU devienne disponible, Oracle recommande d'appliquer le correctif ponctuel 36930984 pour résoudre le problème.
  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.
    Par défaut, l'option Grappes de MV est sélectionnée.
  2. Sélectionnez le compartiment contenant la grappe de machines virtuelles qui héberge la base de données pour laquelle vous migrez des clés de chiffrement.
  3. Cliquez sur le nom de la grappe de machines virtuelles qui contient la base de données que vous voulez migrer des clés de chiffrement.
  4. Dans la liste Ressources de la page Détails de la grappe de MV, cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données à migrer vers une méthode de chiffrement des différences.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Chiffrement, cliquez sur le lien Migrer la clé.
  7. Dans la page Migrer la clé qui s'affiche, modifiez la méthode de chiffrement des clés et cliquez sur Enregistrer les modifications.

Utilisation de la console pour effectuer la rotation des clés de chiffrement

Voyez comment effectuer la rotation des clés de chiffrement. Notez que la rotation des clés n'est disponible que pour les bases de données qui n'utilisent pas Oracle Wallet comme méthode de chiffrement.

Note

La fonctionnalité "Clé de rotation" s'applique uniquement aux bases de données qui n'utilisent pas Oracle Wallet.
  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.
    Par défaut, l'option Grappes de MV est sélectionnée.
  2. Sélectionnez le compartiment contenant la grappe de machines virtuelles qui héberge la base de données pour laquelle vous effectuez la rotation des clés de chiffrement.
  3. Cliquez sur le nom de la grappe de machines virtuelles qui contient la base de données dont vous voulez effectuer la rotation des clés de chiffrement.
  4. Dans la liste Ressources de la page Détails de la grappe de MV, cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données pour laquelle vous voulez effectuer la rotation des clés de chiffrement.

    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.

  6. Dans la section Chiffrement, cliquez sur le lien Effectuer la rotation de la clé.
  7. Dans la boîte de dialogue Rotation de la clé qui s'affiche, cliquez sur Effectuer la rotation.

Utilisation de la console pour déplacer une base de données vers un autre répertoire de base

Voyez comment déplacer une base de données vers un autre répertoire de base.

  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.
    Par défaut, l'option Grappes de MV est sélectionnée.
  2. Sélectionnez le compartiment qui contient la grappe de MV hébergeant la base de données à déplacer.
  3. Cliquez sur le nom de la grappe de machines virtuelles qui contient la base de données que vous voulez déplacer.
  4. Dans la liste Ressources de la page Détails de la grappe de MV, cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données à déplacer.
    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.
  6. Cliquez sur Déplacer la base de données.
  7. Dans la boîte de dialogue qui s'affiche, sélectionnez le répertoire de base cible.
    Note

    Oracle recommande d'utiliser les répertoires de base de base de données, qui exécutent la dernière (N) version et les 3 versions à partir de la dernière (N-3) version RU lors de la mise à jour de la version logicielle de la base de données en les déplaçant vers un répertoire de base cible. Seuls les répertoires de base provisionnés avec des versions de base de données, qui répondent à ce critère de bonne pratique, sont disponibles en tant que répertoires de base cibles pour le déplacement de votre base de données.
  8. Cliquez sur Déplacer.

La base de données sera arrêtée dans le répertoire de base courant, puis redémarrée dans le répertoire de base de destination. Pendant le déplacement de la base de données, le statut du répertoire de base affiche Déplacement de base de données. Une fois l'opération terminée, le répertoire de base est mis à jour au répertoire de base courant. Si l'opération échoue, le statut de la base de données affiche Échec et le champ Répertoire de base de base de données fournit des informations sur la cause de l'échec.

Utilisation de la console pour mettre fin à une base de données

Vous pouvez mettre fin à une base de données et ainsi supprimer cette base de données du plan de contrôle du nuage.

Mettre fin à une base de données la supprime du plan de contrôle du nuage. Parallèlement, tous les fichiers de données et sauvegardes associés sont détruits.
  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.
    Par défaut, l'option Grappes de MV est sélectionnée.
  2. Sélectionnez le compartiment qui contient la grappe de MV hébergeant la base de données à laquelle vous voulez mettre fin.
  3. Cliquez sur le nom de la grappe de machines virtuelles qui contient la base de données à laquelle vous voulez mettre fin.
  4. Dans la liste Ressources de la page Détails de la grappe de MV, cliquez sur Bases de données.
  5. Cliquez sur le nom de la base de données à laquelle vous voulez mettre fin.
    La page Détails de la base de données affiche des informations sur la base de données sélectionnée.
  6. Cliquez sur Plus d'actions, puis sélectionnez Mettre fin.
  7. Dans la boîte de dialogue qui s'affiche, entrez le nom de la base de données, puis cliquez sur Mettre fin à la base de données pour confirmer l'action.
Note

Vous pouvez maintenant :

  • Mettre fin à une base de données conteneur lorsque la configuration de Data Guard est exécutée sur une autre base de données dans le même répertoire de base Oracle, et vice versa.
  • Créez ou supprimez une base de données conteneur en exécutant simultanément des actions Data Guard (permutation, basculement et remise en service) dans le même répertoire de base Oracle, et inversement.

Utilisation de l'API pour gérer les composants Oracle Database

Utilisez diverses fonctions d'API pour gérer vos bases de données sur le service Oracle Exadata Database sur Cloud@Customer.

Pour des informations sur l'utilisation de l'API et sur les demandes de signature, voir "API REST" et "Données d'identification de sécurité". Pour des informations sur les trousses SDK, voir "Trousses SDK et interface de ligne de commande".

Utilisez les opérations d'API suivantes pour gérer différents composants de base de données.

Répertoires de base de base de données :
  • CreateDbHome
  • DeleteDbHome
  • GetDbHome
  • ListDbHomes
Bases de données :
  • CreateDatabase
  • GetDatabase
  • ListDatabases
  • UpdateDatabase
  • UpdateDatabaseDetails
Noeuds :
  • GetDbNode
  • List DbNodes

Utilisez UpdateDatabase pour déplacer une base de données vers un répertoire de base différent, et ainsi mettre à jour la base de données à la même version que celle du répertoire de base cible.

Pour obtenir la liste complète des API, voir API du service de base de données.

Modification des mots de passe de base de données

Pour modifier le mot de passe SYS ou modifier le mot de passe de portefeuille TDE, utilisez cette procédure.

Le mot de passe que vous avez spécifié dans le champ Mot de passe de l'administrateur de base de données lors de la création d'une nouvelle instance ou base de données du service Exadata Database sur Cloud@Customer est défini en tant que mot de passe pour les données d'identification d'administrateur SYS, SYSTEM, portefeuille TDE et PDB. Utilisez les procédures suivantes si vous devez modifier les mots de passe d'une base de données existante.

Note

Si vous activez Data Guard pour une base de données, les mots de passe SYS et portefeuille TDE des bases de données principale et de secours doivent tous être identiques.
Note

L'utilisation de dbaascli pour modifier le mot de passe SYS garantira que l'automatisation de la sauvegarde/restauration peut paralléliser les canaux sur tous les noeuds de la grappe.

Pour modifier le mot de passe SYS pour une base de données du service Exadata Database sur Cloud@Customer

  1. Connectez-vous à la machine virtuelle du service Exadata Database sur Cloud@Customer en tant qu'utilisateur opc.
  2. Exécutez la commande suivante :
    sudo dbaascli database changepassword --dbname database_name --user SYS

Pour modifier les mots de passe de base de données dans un environnement Data Guard

  1. Exécutez la commande suivante sur la base de données principale :
    dbaascli database changePassword —dbName <dbname> --user SYS --prepareStandbyBlob true --blobLocation <location to create the blob file>
  2. Copiez le fichier blob créé dans toutes les bases de données de secours et mettez à jour la propriété de fichier à l'utilisateur oracle.
  3. Exécutez la commande suivante sur toutes les bases de données de secours :
    dbaascli database changePassword —dbName <dbname> --user SYS --standbyBlobFromPrimary <location of copies the blob file>

Pour modifier le mot de passe du portefeuille TDE pour une base de données du service Exadata Database sur Cloud@Customer

  1. Connectez-vous à la machine virtuelle du service Exadata Database sur Cloud@Customer en tant qu'utilisateur opc.
  2. Exécutez la commande suivante :
    sudo dbaascli tde changepassword --dbname database_name

Gérer les bases de données enfichables dans le service Oracle Exadata Database Service on Cloud@Customer

Voyez comment gérer des bases de données enfichables dans le service Oracle Exadata Database Service on Cloud@Customer.

Sujet parent : Gérer les bases de données dans le service Oracle Exadata Database Service on Cloud@Customer

Opérations de base de données enfichables

Vous pouvez créer et gérer des bases de données enfichables dans les systèmes du service Oracle Exadata Database Service on Cloud@Customer à l'aide de la console et des API.

Dans cette documentation, le terme "base de données" fait référence à une base de données conteneur. Pour plus d'informations sur ces types de ressource, voir Architecture multilocataire dans la documentation sur Oracle Database.

Les bases de données Oracle 19c ou ultérieures créées dans une machine virtuelle incluent une base de données enfichable initiale à laquelle vous pouvez accéder à partir de la page Détails de la base de données de la base de données conteneur dans la console. À l'aide de la console ou des API, vous pouvez démarrer, arrêter, cloner et supprimer la base de données enfichable. Vous pouvez également créer des bases de données enfichables supplémentaires dans la base de données conteneur. Vous pouvez surveiller toutes les opérations de base de données enfichable effectuées à l'aide de la console ou des API à l'aide de la demande de travail générée par l'opération.

  • Sauvegarde

    Vous pouvez effectuer une sauvegarde de la base de données enfichable éventuellement lors des opérations de création, de clonage ou de déplacement lorsque la base de données conteneur est configurée avec la fonction de sauvegarde automatique. La destination de la sauvegarde de la base de données enfichable sera toujours la même que celle de la base de données conteneur, et les sauvegardes ne sont pas accessibles directement ni créées sur demande. Oracle recommande de sauvegarder immédiatement la base de données enfichable après l'avoir créée ou clonée. En effet, la base de données enfichable ne sera pas récupérable tant que la prochaine sauvegarde automatique quotidienne ne sera pas terminée, ce qui peut entraîner une perte de données.

  • restaurer
    • Base Database Service / Oracle Exadata Database Service on Dedicated Infrastructure:
      • Restauration en place : Vous pouvez restaurer une base de données enfichable au sein de la même base de données conteneur pour le dernier état de bon fonctionnement connu ou à un horodatage spécifié.
      • Restauration sans place : Vous pouvez restaurer une base de données enfichable en créant une base de données conteneur à partir de la sauvegarde, puis en sélectionnant une base de données enfichable ou un sous-ensemble d'entre eux que vous voulez restaurer sur la nouvelle base de données.
    • Service Oracle Exadata Database sur Cloud@Customer :
      • Restauration en place : Vous pouvez restaurer une base de données enfichable au sein de la même base de données conteneur pour conserver son dernier état de bon fonctionnement connu et l'horodatage spécifié.
      • Restauration sans place : Elle n'est pas disponible.
    Vous pouvez effectuer une restauration sur place lorsque vous voulez déplacer une base de données enfichable vers un état ou une heure spécifié. La base de données conteneur et la base de données enfichable doivent être en cours d'exécution et une seule base de données enfichable peut être restaurée à la fois.
    • Si vous avez plusieurs bases de données enfichables dans votre base de données conteneur et que vous voulez restaurer plusieurs d'entre elles dans la même base de données conteneur, vous pouvez restaurer chaque base de données enfichable individuelle, une base de données enfichable à la fois, à partir de la sauvegarde de la base de données conteneur.
    • Lorsque la base de données conteneur est arrêtée, vous pouvez restaurer la base de données conteneur complète et toutes les bases de données enfichables qu'elle contient seront également restaurées.
    • Vous pouvez restaurer la base de données à l'horodatage spécifié ou à son dernier état de bon fonctionnement connu.
  • Déplacer
    Vous pouvez déplacer une base de données enfichable d'une base de données conteneur vers une autre base de données conteneur dans le même domaine de disponibilité :
    • Entre les compartiments, les grappes de machines virtuelles, le système de base de données (pour BaseDB uniquement) ou les réseaux en nuage virtuels (sans objet pour ExaDB-C@C). Si deux réseaux en nuage virtuels différents sont utilisés, ils doivent être appairés avant le déplacement.
    • Vers la même version de base de données ou une version supérieure.

    Lors du déplacement, la base de données enfichable sera supprimée de la base de données conteneur source et déplacée vers la base de données conteneur de destination qui est en cours d'exécution. Dans une association Data Guard, une base de données enfichable déplacée vers la base principale sera également synchronisée avec la base de secours.

  • Cloner

    Un clone est une copie indépendante et complète de la base de données indiquée telle qu'elle existait au moment de l'opération de clonage. Vous pouvez créer des clones de votre base de données enfichable dans la même base de données conteneur ou une autre base de données conteneur et actualiser la base de données enfichable clonée.

    Les types de clone suivants sont pris en charge :
    • Clone local : Une copie de la base de données enfichable est créée dans la même base de données conteneur.
    • Clone distant : Une copie de la base de données enfichable est créée dans une autre base de données conteneur.
      Vous pouvez effectuer un clone distant d'une base de données enfichable d'une base de données conteneur à une autre au sein du même domaine de disponibilité :
      • Entre les compartiments, les grappes de machines virtuelles, le système de base de données (pour BaseDB uniquement) ou les réseaux en nuage virtuels (sans objet pour ExaDB-C@C). Si deux réseaux en nuage virtuels différents sont utilisés, ils doivent être appairés avant le clonage.
      • Vers la même version de base de données ou une version supérieure.

    • Clone actualisable : Une copie de la base de données enfichable est créée dans une autre base de données conteneur et vous pourrez actualiser la base de données enfichable clonée.

      Vous pouvez effectuer un clone actualisable d'une base de données enfichable d'une base de données conteneur à une autre au sein du même domaine de disponibilité :
      • Entre les compartiments, les grappes de machines virtuelles, le système de base de données (pour BaseDB uniquement) ou les réseaux en nuage virtuels (sans objet pour ExaDB-C@C). Si deux réseaux en nuage virtuels différents sont utilisés, ils doivent être appairés avant le clonage.
      • Vers la même version de base de données ou une version supérieure.
  • Clone actualisable
    Un clone actualisable vous permet de mettre à jour votre clone distant avec la base de données enfichable source. Vous ne pouvez effectuer une actualisation que lorsque la base de données enfichable est en mode de montage. Le seul mode ouvert que vous pouvez avoir est en lecture seule et l'actualisation ne peut pas être effectuée tant qu'elle est en lecture seule.
    • Des données d'identification d'utilisateur de lien de base de données sont requises pour créer un clone actualisable.
    • Les opérations de clonage, de déplacement et de restauration sur place ne sont pas prises en charge dans le clone actualisable. Les opérations de déplacement et de restauration sur place ne sont pas prises en charge dans la source, et la source ne peut être supprimée qu'après la déconnexion ou la suppression du clone actualisable.
    • Dans une association Data Guard, un clone actualisable ne peut pas être créé sur une base de secours, mais il peut l'être sur la base principale. Toutefois, la base principale ne sera pas synchronisée avec la base de secours.
      Note

      Une base de données enfichable dans la base de secours ne peut pas être utilisée comme source pour une base de données enfichable actualisable.

  • Convertir la base de données pluggable actualisable en base de données pluggable standard

    Vous pouvez convertir une base de données enfichable actualisable en base de données enfichable standard en déconnectant à tout moment le clone actualisable (base de données enfichable de destination) de la base de données enfichable source. Si la base de données enfichable d'actualisation est dans une association Data Guard, lorsqu'elle est convertie en base de données enfichable standard, la base de données enfichable est synchronisée avec la base de secours dans le cadre du processus de conversion.

  • Modes ouverts

    Dans la console, vous pouvez voir les modes ouverts d'une base de données enfichable, tels que lecture-écriture, lecture seule et montée. Si le statut de la base de données enfichable est identique sur tous les noeuds, le système affiche le même statut pour toutes les bases de données enfichables. Si les statuts des bases de données enfichables sont différents d'un noeud à l'autre, le système affiche un message indiquant sur quels noeuds les bases de données enfichables sont ouvertes en mode lecture-écriture. Vous ne pouvez pas modifier le mode d'ouverture d'une base de données enfichable au moyen de l'API ou de la console. Toutefois, vous pouvez démarrer ou arrêter une base de données enfichable. Le démarrage de la base de données enfichable la démarre en mode lecture-écriture. L'arrêt de la base de données enfichable la fermera et elle restera en mode de montage.

Rubriques connexes

Rubrique parent : Gérer les bases de données enfichables dans le service Oracle Exadata Database Service on Cloud@Customer

Limitations pour la gestion de bases de données enfichables

Consultez la liste des limitations de la gestion des bases de données enfichables.

  • Les nouvelles bases de données enfichables créées avec SQL ne sont pas immédiatement détectées par le plan de contrôle d'OCI et affichées dans la console. Toutefois, OCI effectue régulièrement une opération de synchronisation pour détecter les bases de données enfichables créées manuellement. Elles doivent être visibles dans la console et avec des outils basés sur une API dans les 45 minutes suivant leur création. Oracle recommande d'utiliser la console ou les outils basés sur une API (y compris l'interface de ligne de commande OCI, les trousses SDK et Terraform) pour créer les bases de données enfichables.
  • Les opérations de base de données enfichable sont prises en charge uniquement pour les bases de données utilisant Oracle Database 19c et versions ultérieures.
  • Les bases de données enfichables sont sauvegardées au niveau de la base de données conteneur lors de l'utilisation de la console OCI ou des API. Chaque sauvegarde inclut toutes les bases de données enfichables de la base de données. Toutefois, la commande dbaascli database backup de l'utilitaire dbaascli vous permet de créer des sauvegardes de bases de données enfichables spécifiées. Pour plus d'informations, voir Utilisation de l'utilitaire dbaascli avec le service Oracle Exadata Database Service on Cloud@Customer.
  • Les opérations de restauration sont effectuées au niveau de la base de données conteneur lors de l'utilisation de la console ou des API OCI. Toutefois, la commande dbaascli pdb recover de l'utilitaire dbaascli vous permet de restaurer les sauvegardes de bases de données enfichables spécifiées. Pour plus d'informations, voir Utilisation de l'utilitaire dbaascli avec le service Oracle Exadata Database Service on Cloud@Customer.
Créer une base de données enfichable

Vous pouvez créer une base de données enfichable à partir de la console OCI ou à l'aide des API de base de données enfichables.

Rubrique parent : Opérations de base de données enfichables

Utilisation de la console pour créer une base de données enfichable

Pour créer une base de données enfichable avec la console, utilisez cette procédure.

Note

Si les bases de données sont créées directement sur la machine virtuelle invitée, les données d'utilisation attribuées seraient retardées.
  1. Ouvrez le menu de navigation. Sous Oracle Database, cliquez sur Service Exadata Database sur Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles en nuage, cliquez sur le nom de la grappe dans laquelle vous voulez créer la base de données enfichable, puis cliquez sur son nom pour afficher la page des détails de la base de données.
  4. Dans le coin inférieur gauche de la page des détails de la base de données, cliquez sur Bases de données enfichables.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  5. Cliquez sur Créer une base de données enfichable.

    La boîte de dialogue Créer une base de données enfichable s'affiche.

  6. Dans la boîte de dialogue Créer une base de données enfichable, entrez les informations suivantes :
    • Nom de la base de données enfichable : Entrez un nom pour la base de données enfichable. Le nom doit commencer par un caractère alphabétique et ne peut pas contenir plus de 30 caractères alphanumériques.
    • Déverrouiller mon compte d'administrateur de base de données enfichable :
      • Pour entrer le mot de passe de l'administrateur, cochez cette case.
        • Mot de passe de l'administrateur de la base de données enfichable : Entrez le mot de passe de l'administrateur de la base de données enfichable. Le mot de passe doit contenir :
          • au moins 9 caractères et au maximum 30 caractères
          • au moins deux caractères majuscules
          • au moins deux caractères minuscules
          • au moins deux caractères spéciaux. Les caractères spéciaux valides sont le trait de soulignement ( _ ), le carré (#) et le tiret (-). Vous pouvez utiliser deux fois le même caractère ou n'importe quelle combinaison de deux caractères identiques.
          • au moins deux caractères numériques (0 - 9)
        • Confirmer le mot de passe de l'administrateur de la base de données enfichable : Entrez le même mot de passe dans le champ de confirmation.
      • Pour ignorer l'entrée du mot de passe de l'administrateur, désélectionnez cette case. Si vous désélectionnez cette case, la base de données enfichable est créée mais vous ne pouvez pas l'utiliser. Pour utiliser la base de données enfichable, vous devez réinitialiser le mot de passe de l'administrateur.
        Note

        Lorsque vous créez une nouvelle base de données enfichable, un utilisateur local de la base de données enfichable est créé en tant qu'administrateur et le rôle PDB_DBA est octroyé localement à l'administrateur.
        Pour réinitialiser le mot de passe :
        1. Connectez-vous au conteneur où existe votre base de données enfichable à l'aide de l'énoncé SQL*Plus CONNECT.
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          Pour plus d'informations, voir Administration d'une base de données conteneur et Administration des bases de données enfichables dans le guide de l'administrateur d'Oracle® Multitenant.

        2. Recherchez le nom d'administrateur de votre base de données enfichable :
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. Passez à la base de données enfichable :
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. Réinitialisez le mot de passe de l'administrateur de la base de données enfichable :
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • Mot de passe du portefeuille TDE : Entrez un mot de passe de portefeuille TDE pour la base de données conteneur. Ce mot de passe a les mêmes règles que le mot de passe de l'administrateur de la base de données enfichable.
    • Sauvegardez la base de données enfichable immédiatement après l'avoir créée : Vous devez activer la sauvegarde automatique sur la base de données conteneur pour la sauvegarder immédiatement après l'avoir créée. Cette case est cochée par défaut si la sauvegarde automatique a été activée sur la base de données conteneur.
      Note

      Si la case n'est pas cochée, le système affiche un avertissement indiquant que la base de données enfichable ne peut pas être récupérée tant que la sauvegarde quotidienne suivante n'est pas terminée.

    • Options avancées :
      • Marqueurs : Vous pouvez appliquer des marqueurs si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
      • Magasin de clés de chiffrement : Indique si la clé de chiffrement de la base de données conteneur est gérée par Oracle ou par le client. Dans le cas des clés du gestionnaire de client, le nom du magasin de clés que vous avez configuré pour la base de données conteneur s'affiche. Vous ne pouvez pas modifier ce champ.
  7. Cliquez sur Créer.

    Le système démarre le processus de création et ouvre la page Demande de travail pour la nouvelle base de données enfichable. La page Demande de travail affiche le statut du processus de création de la nouvelle base de données enfichable.

    Par défaut, la page Détails de la demande de travail affiche les messages du journal créés par le système. Cliquez sur Messages d'erreur ou sur Ressources associées pour voir les messages d'erreur ou les ressources associées au processus de création, dans la zone Ressources du côté gauche de la page.

    Note

    • Les nombres à droite des liens Messages du journal, Messages d'erreur et Ressources associées indiquent le nombre de chaque élément existant.
    • Créez ou supprimez une base de données enfichable alors qu'une configuration Data Guard s'exécute sur une autre base de données dans le même répertoire de base Oracle, et vice versa.
    • Créez ou supprimez une base de données enfichable lors de l'exécution simultanée d'actions Data Guard (passerelle, basculement et remise en service) dans le même répertoire de base Oracle, et inversement.
    • Créez ou supprimez une base de données enfichable simultanément sur différentes bases de données dans le même répertoire de base Oracle.
    • Créez ou supprimez une base de données enfichable lors de la mise à jour simultanée des marqueurs de grappe de machines virtuelles.
Utilisation de la console pour déplacer une base de données pluggable

Pour déplacer une base de données pluggable avec la console, utilisez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe dans laquelle vous voulez créer la base, puis cliquez sur son nom pour afficher la page de détails de la base de données.
  4. Dans le coin inférieur gauche de la page des détails de la base de données, cliquez sur Bases de données enfichables.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  5. Cliquez sur le nom de la base de données enfichable à déplacer.

    Dans la page des détails de la base de données enfichable, cliquez sur Actions supplémentaires, puis sélectionnez Relocaliser.

    (ou)

    Cliquez sur le menu Actions (trois points) et sélectionnez Relocaliser.

  6. Dans la fenêtre Relocate Pluggable Database qui s'affiche, entrez les informations suivantes :
    • Grappe de MV : Utilisez le menu pour sélectionner la grappe de MV de destination.
    • Base de données de destination : Utilisez le menu pour sélectionner une base de données existante où la base de données enfichable sera créée. Cette base de données peut être de la même version que la base de données enfichable source ou d'une version supérieure.
    • Nouveau nom de base de données enfichable pour le clone : Le nom doit commencer par un caractère alphabétique et peut contenir jusqu'à 30 caractères. Pour conserver le nom de la base de données enfichable, entrez de nouveau le nom de la base de données enfichable source.
    • Mot de passe du portefeuille TDE de base de données : Entrez le mot de passe du portefeuille TDE pour la base de données conteneur parent de la base de données enfichable source.
    • Déverrouiller mon compte d'administrateur de base de données enfichable :
      • Pour entrer le mot de passe de l'administrateur, cochez cette case.
        • Mot de passe de l'administrateur de la base de données enfichable : Entrez le mot de passe de l'administrateur de la base de données enfichable. Le mot de passe doit contenir :
          • au moins 9 caractères et au maximum 30 caractères
          • au moins deux caractères majuscules
          • au moins deux caractères minuscules
          • au moins deux caractères spéciaux. Les caractères spéciaux valides sont le trait de soulignement ( _ ), le carré (#) et le tiret (-). Vous pouvez utiliser deux fois le même caractère ou n'importe quelle combinaison de deux caractères identiques.
          • au moins deux caractères numériques (0 - 9)
        • Confirmer le mot de passe de l'administrateur de la base de données enfichable : Entrez le même mot de passe dans le champ de confirmation.
      • Pour ignorer l'entrée du mot de passe de l'administrateur, désélectionnez cette case. Si vous désélectionnez cette case, la base de données enfichable est créée mais vous ne pouvez pas l'utiliser. Pour utiliser la base de données enfichable, vous devez réinitialiser le mot de passe de l'administrateur.
        Note

        Lorsque vous créez une nouvelle PDB, un utilisateur local de la PDB est créé en tant qu'administrateur et le rôle PDB_DBA est octroyé localement à l'administrateur.

        Pour réinitialiser le mot de passe :
        1. Connectez-vous au conteneur où existe votre base de données enfichable à l'aide de l'énoncé SQL*Plus CONNECT.
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          Pour plus d'informations, voir Administration d'une base de données conteneur et Administration des bases de données enfichables dans le guide de l'administrateur d'Oracle® Multitenant.

        2. Recherchez le nom d'administrateur de votre base de données enfichable :
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. Passez à la base de données enfichable :
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. Réinitialisez le mot de passe de l'administrateur de la base de données enfichable :
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • Mot de passe du portefeuille TDE : Entrez un mot de passe de portefeuille TDE pour la base de données conteneur. Ce mot de passe a les mêmes règles que le mot de passe de l'administrateur de la base de données enfichable.
    • Sauvegardez la base de données enfichable immédiatement après l'avoir créée : Vous devez activer la sauvegarde automatique sur la base de données conteneur pour la sauvegarder immédiatement après l'avoir créée. Cette case est cochée par défaut si la sauvegarde automatique a été activée sur la base de données conteneur.
      Note

      Si la case n'est pas cochée, le système affiche un avertissement indiquant que la base de données enfichable ne peut pas être récupérée tant que la sauvegarde quotidienne suivante n'est pas terminée.

    • Options avancées :
      • Marqueurs : Vous pouvez appliquer des marqueurs si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  7. Cliquez sur Relocate (Remettre en place).
    Note

    Le déplacement entraînera un temps d'arrêt pendant le processus et le temps requis sera basé sur la taille de la base de données enfichable.

Utilisation de l'API pour créer une base de données enfichable

Utilisez diverses fonctions d'API pour créer vos bases de données pluggables sur le service Oracle Exadata Database Service on Cloud@Customer.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez cette opération d'API pour créer des bases de données pluggables sur les systèmes Oracle Exadata Database Service on Cloud@Customer.
  • CreatePluggableDatabase
Gérer une base de données enfichable

Pour démarrer, arrêter, cloner et supprimer une base de données enfichable, utilisez ces procédures.

Rubrique parent : Opérations de base de données enfichables

Utilisation de la console pour démarrer une base de données enfichable

Pour cette procédure, la base de données enfichable doit être disponible et arrêtée.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à démarrer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à démarrer.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à démarrer.

    La page des détails de la base de données enfichable s'affiche.

  8. Cliquez sur Démarrer.

    La boîte de dialogue Démarrer la base de données enfichable s'affiche.

  9. Cliquez sur Commencer pour confirmer l'opération de démarrage.
Utilisation de la console pour arrêter une base de données enfichable

Pour cette procédure, la base de données enfichable doit être disponible et en cours d'exécution (démarrée).

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à arrêter, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à arrêter.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à arrêter.

    La page des détails de la base de données enfichable s'affiche.

  8. Cliquez sur Arrêter.

    La boîte de dialogue Arrêter la base de données enfichable s'affiche.

  9. Cliquez sur Arrêter pour confirmer l'opération d'arrêt.
Utilisation de la console pour supprimer une base de données enfichable

Pour cette procédure, la base de données enfichable doit être disponible et arrêtée.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à supprimer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à supprimer.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à supprimer.

    La page des détails de la base de données enfichable s'affiche.

  8. Cliquez sur Plus d'actions, puis sélectionnez Supprimer.

    La boîte de dialogue Supprimer la base de données enfichable est affichée.

  9. Cliquez sur Supprimer pour confirmer l'opération de suppression.
Note

Vous pouvez maintenant supprimer une base de données enfichable lorsque la configuration de Data Guard est exécutée sur une autre base de données dans le même répertoire de base Oracle, et vice versa.

Utilisation de la console pour obtenir les chaînes de connexion pour une base de données enfichable

Voyez comment obtenir les chaînes de connexion pour le service d'administration d'une base de données enfichable. Oracle recommande de connecter des applications à un service d'application à l'aide des chaînes créées pour le service d'application.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable pour laquelle vous voulez obtenir des chaînes de connexion, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable dont vous voulez obtenir les chaînes de connexion.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable dont vous voulez obtenir les chaînes de connexion.

    La page des détails de la base de données enfichable s'affiche.

  8. Cliquez sur Connexion à la base de données enfichable.
  9. Dans la boîte de dialogue Connexion à la base de données enfichable, utilisez les liens Afficher et Copier pour afficher et copier des chaînes de connexion, au besoin.
  10. Cliquez sur Fermer pour quitter la boîte de dialogue.
Cloner une base de données pluggable

Un clone est une copie indépendante et complète de la base de données indiquée telle qu'elle existait au moment de l'opération de clonage. Vous pouvez créer des clones de votre base de données enfichable dans la même base de données conteneur ou une autre base de données conteneur et actualiser la base de données enfichable clonée.

Note

Lors du clonage d'une base de données enfichable de 19c à 23ai, la base de données enfichable clonée est automatiquement mise à niveau vers 23ai. Par exemple, si vous utilisez des clones actualisables pour cloner vers la version 23ai, puis que vous la convertissez en base de données enfichable standard, toutes les étapes de mise à niveau nécessaires sont traitées automatiquement, ce qui convertit le clone actualisable en base de données enfichable 23ai entièrement mise à niveau.

Les types de clone suivants sont pris en charge :

  • Clone local : Un clone de la base de données enfichable est créé dans la même base de données conteneur.
  • Clone distant : Un clone de la base de données enfichable est créé dans une autre base de données conteneur.
  • Clone actualisable : Un clone de la base de données enfichable est créé dans une autre base de données conteneur et vous pourrez actualiser la base de données enfichable clonée.

    Pour plus d'informations sur les clones actualisables, voir À propos des bases de données enfichables de clone actualisables.

Rubrique parent : Gérer une base de données enfichable

Utilisation de la console pour créer un clone local d'une base de données enfichable

Pour créer un clone local de vos bases de données enfichables, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à cloner, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à cloner.
  5. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  6. Cliquez sur le nom de la base de données enfichable à cloner.

    La page des détails de la base de données enfichable s'affiche.

  7. Cliquez sur Cloner.
  8. Dans la boîte de dialogue Cloner une base de données enfichable, entrez les données suivantes :
    • Sélectionner un type de clone : Sélectionnez Clone local pour créer une copie de la base de données enfichable source vers la même base de données conteneur.
    • Grappe de MV : Utilisez le menu pour sélectionner la grappe de MV source.
    • Base de données de destination : Ce champ est désactivé.
    • Nouveau nom de base de données enfichable pour le clone : Le nom doit commencer par un caractère alphabétique et peut contenir jusqu'à 30 caractères.
    • Mot de passe du portefeuille TDE de base de données : Entrez le mot de passe du portefeuille TDE pour la base de données conteneur parent de la base de données enfichable source.
    • Déverrouiller mon compte d'administrateur de base de données enfichable :
      • Pour entrer le mot de passe de l'administrateur, cochez cette case.
        • Mot de passe de l'administrateur de la base de données enfichable : Entrez le mot de passe de l'administrateur de la base de données enfichable. Le mot de passe doit contenir :
          • au moins 9 caractères et au maximum 30 caractères
          • au moins deux caractères majuscules
          • au moins deux caractères minuscules
          • au moins deux caractères spéciaux. Les caractères spéciaux valides sont le trait de soulignement ( _ ), le carré (#) et le tiret (-). Vous pouvez utiliser deux fois le même caractère ou n'importe quelle combinaison de deux caractères identiques.
          • au moins deux caractères numériques (0 - 9)
        • Confirmer le mot de passe de l'administrateur de la base de données enfichable : Entrez le même mot de passe dans le champ de confirmation.
      • Pour ignorer l'entrée du mot de passe de l'administrateur, désélectionnez cette case. Si vous désélectionnez cette case, la base de données enfichable est créée mais vous ne pouvez pas l'utiliser. Pour utiliser la base de données enfichable, vous devez réinitialiser le mot de passe de l'administrateur.
        Note

        Lorsque vous créez une nouvelle base de données enfichable, un utilisateur local de la base de données enfichable est créé en tant qu'administrateur et le rôle PDB_DBA est octroyé localement à l'administrateur.
        Pour réinitialiser le mot de passe :
        1. Connectez-vous au conteneur où existe votre base de données enfichable à l'aide de l'énoncé SQL*Plus CONNECT.
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          Pour plus d'informations, voir Administration d'une base de données conteneur et Administration des bases de données enfichables dans le guide de l'administrateur d'Oracle® Multitenant.

        2. Recherchez le nom d'administrateur de votre base de données enfichable :
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. Passez à la base de données enfichable :
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. Réinitialisez le mot de passe de l'administrateur de la base de données enfichable :
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • Sauvegardez la base de données enfichable immédiatement après l'avoir créée : Vous devez activer la sauvegarde automatique sur la base de données conteneur pour la sauvegarder immédiatement après l'avoir créée. Cette case est cochée par défaut si la sauvegarde automatique a été activée sur la base de données conteneur.
      Note

      Si la case n'est pas cochée, le système affiche un avertissement indiquant que la base de données enfichable ne peut pas être récupérée tant que la sauvegarde quotidienne suivante n'est pas terminée.

    • Activer le clone léger : Tous les clones sont des clones fins par défaut. Pour plus d'informations sur le clonage léger, voir Clonage léger d'une base de données enfichable dans le guide de l'utilisateur d'Oracle® Exadata Exascale. Si vous voulez spécifiquement un clone épais (copie complète), vous devez désélectionner cette option.
    • Options avancées :
      • Marqueurs : Vous pouvez appliquer des marqueurs si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  9. Cliquez sur Cloner.

Rubriques connexes

Rubrique parent : Cloner une base de données enfichable

Utilisation de la console pour créer un clone distant d'une base de données enfichable

Pour créer un clone distant de vos bases de données enfichables, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à cloner, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à cloner.
  5. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  6. Cliquez sur le nom de la base de données enfichable à cloner.

    La page des détails de la base de données enfichable s'affiche.

  7. Cliquez sur Cloner.
  8. Dans la boîte de dialogue Cloner une base de données enfichable, entrez les données suivantes :
    • Sélectionner un type de clone : Sélectionnez Clone distant pour créer une copie de la base de données enfichable source vers la même base de données conteneur.
    • Grappe de MV : Utilisez le menu pour sélectionner la grappe de MV de destination.
    • Base de données de destination : Utilisez le menu pour sélectionner une base de données existante où la base de données enfichable sera créée. Cette base de données peut être de la même version que la base de données enfichable source ou d'une version supérieure.
    • Nouveau nom de base de données enfichable pour le clone : Le nom doit commencer par un caractère alphabétique et peut contenir jusqu'à 30 caractères.
    • Mot de passe du portefeuille TDE de base de données : Entrez le mot de passe du portefeuille TDE pour la base de données conteneur parent de la base de données enfichable source.
    • Déverrouiller mon compte d'administrateur de base de données enfichable :
      • Pour entrer le mot de passe de l'administrateur, cochez cette case.
        • Mot de passe de l'administrateur de la base de données enfichable : Entrez le mot de passe de l'administrateur de la base de données enfichable. Le mot de passe doit contenir :
          • au moins 9 caractères et au maximum 30 caractères
          • au moins deux caractères majuscules
          • au moins deux caractères minuscules
          • au moins deux caractères spéciaux. Les caractères spéciaux valides sont le trait de soulignement ( _ ), le carré (#) et le tiret (-). Vous pouvez utiliser deux fois le même caractère ou n'importe quelle combinaison de deux caractères identiques.
          • au moins deux caractères numériques (0 - 9)
        • Confirmer le mot de passe de l'administrateur de la base de données enfichable : Entrez le même mot de passe dans le champ de confirmation.
      • Pour ignorer l'entrée du mot de passe de l'administrateur, désélectionnez cette case. Si vous désélectionnez cette case, la base de données enfichable est créée mais vous ne pouvez pas l'utiliser. Pour utiliser la base de données enfichable, vous devez réinitialiser le mot de passe de l'administrateur.
        Note

        Lorsque vous créez une nouvelle base de données enfichable, un utilisateur local de la base de données enfichable est créé en tant qu'administrateur et le rôle PDB_DBA est octroyé localement à l'administrateur.
        Pour réinitialiser le mot de passe :
        1. Connectez-vous au conteneur où existe votre base de données enfichable à l'aide de l'énoncé SQL*Plus CONNECT.
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          Pour plus d'informations, voir Administration d'une base de données conteneur et Administration des bases de données enfichables dans le guide de l'administrateur d'Oracle® Multitenant.

        2. Recherchez le nom d'administrateur de votre base de données enfichable :
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. Passez à la base de données enfichable :
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. Réinitialisez le mot de passe de l'administrateur de la base de données enfichable :
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • Mot de passe SYS de la base de données source : Entrez le mot de passe de l'administrateur de base de données.
    • Lien de base de données : Entrez le nom d'utilisateur et le mot de passe pour le lien de base de données. Notez que l'utilisateur doit être précréé dans la base de données source. Le lien de base de données sera créé dans la destination à l'aide de ce nom d'utilisateur et de ce mot de passe.
      Note

      Si vous ne fournissez pas d'informations sur les liens de base de données, l'automatisation du nuage créera un lien de base de données à l'aide de l'utilisateur commun. Toutefois, vous pouvez spécifier les informations de lien de base de données si vous souhaitez que l'automatisation du nuage utilise un lien de base de données spécifique.
    • Sauvegardez la base de données enfichable immédiatement après l'avoir créée : Vous devez activer la sauvegarde automatique sur la base de données conteneur pour la sauvegarder immédiatement après l'avoir créée. Cette case est cochée par défaut si la sauvegarde automatique a été activée sur la base de données conteneur.
      Note

      Si la case n'est pas cochée, le système affiche un avertissement indiquant que la base de données enfichable ne peut pas être récupérée tant que la sauvegarde quotidienne suivante n'est pas terminée.

    • Activer le clone léger : Tous les clones sont des clones fins par défaut. Pour plus d'informations sur le clonage léger, voir Clonage léger d'une base de données enfichable dans le guide de l'utilisateur d'Oracle® Exadata Exascale. Si vous voulez spécifiquement un clone épais (copie complète), vous devez désélectionner cette option.
      Note

      L'option de clonage léger sera désactivée (grisée) si les grappes de machines virtuelles source et cible ne partagent pas la même chambre forte. Dans ce cas, seuls les clones épais sont pris en charge.
    • Options avancées :
      • Marqueurs : Vous pouvez appliquer des marqueurs si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  9. Cliquez sur Cloner.

Rubriques connexes

Rubrique parent : Cloner une base de données enfichable

Utilisation de la console pour créer un clone actualisable d'une base de données enfichable

Pour créer un clone actualisable de vos bases de données enfichables, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à cloner, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à cloner.
  5. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  6. Cliquez sur le nom de la base de données enfichable à cloner.

    La page des détails de la base de données enfichable s'affiche.

  7. Cliquez sur Cloner.
  8. Dans la boîte de dialogue Cloner une base de données enfichable, entrez les données suivantes :
    • Sélectionner un type de clone : Sélectionnez Clone actualisable pour créer une copie de la base de données enfichable source vers la même base de données conteneur.

      Pour plus d'informations sur les clones actualisables, voir À propos des bases de données enfichables de clone actualisables.

    • Grappe de MV : Utilisez le menu pour sélectionner la grappe de MV de destination.
    • Base de données de destination : Utilisez le menu pour sélectionner une base de données existante où la base de données enfichable sera créée. Cette base de données peut être de la même version que la base de données enfichable source ou d'une version supérieure.
    • Nouveau nom de base de données enfichable pour le clone : Le nom doit commencer par un caractère alphabétique et peut contenir jusqu'à 30 caractères.
    • Mot de passe du portefeuille TDE de base de données : Entrez le mot de passe du portefeuille TDE pour la base de données conteneur parent de la base de données enfichable source.
    • Déverrouiller mon compte d'administrateur de base de données enfichable :
      • Pour entrer le mot de passe de l'administrateur, cochez cette case.
        • Mot de passe de l'administrateur de la base de données enfichable : Entrez le mot de passe de l'administrateur de la base de données enfichable. Le mot de passe doit contenir :
          • au moins 9 caractères et au maximum 30 caractères
          • au moins deux caractères majuscules
          • au moins deux caractères minuscules
          • au moins deux caractères spéciaux. Les caractères spéciaux valides sont le trait de soulignement ( _ ), le carré (#) et le tiret (-). Vous pouvez utiliser deux fois le même caractère ou n'importe quelle combinaison de deux caractères identiques.
          • au moins deux caractères numériques (0 - 9)
        • Confirmer le mot de passe de l'administrateur de la base de données enfichable : Entrez le même mot de passe dans le champ de confirmation.
      • Pour ignorer l'entrée du mot de passe de l'administrateur, désélectionnez cette case. Si vous désélectionnez cette case, la base de données enfichable est créée mais vous ne pouvez pas l'utiliser. Pour utiliser la base de données enfichable, vous devez réinitialiser le mot de passe de l'administrateur.
        Note

        Lorsque vous créez une nouvelle base de données enfichable, un utilisateur local de la base de données enfichable est créé en tant qu'administrateur et le rôle PDB_DBA est octroyé localement à l'administrateur.
        Pour réinitialiser le mot de passe :
        1. Connectez-vous au conteneur où existe votre base de données enfichable à l'aide de l'énoncé SQL*Plus CONNECT.
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          Pour plus d'informations, voir Administration d'une base de données conteneur et Administration des bases de données enfichables dans le guide de l'administrateur d'Oracle® Multitenant.

        2. Recherchez le nom d'administrateur de votre base de données enfichable :
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. Passez à la base de données enfichable :
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. Réinitialisez le mot de passe de l'administrateur de la base de données enfichable :
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • Mot de passe SYS de la base de données source : Entrez le mot de passe de l'administrateur de base de données.
    • Lien de base de données : Entrez le nom d'utilisateur et le mot de passe pour le lien de base de données. Notez que l'utilisateur doit être précréé dans la base de données source. Le lien de base de données sera créé dans la destination à l'aide de ce nom d'utilisateur et de ce mot de passe.
      Note

      Pour un clone actualisable, le paramètre de lien de base de données est obligatoire et vous devez fournir ces informations.
    • Activer le clone léger : Tous les clones sont des clones fins par défaut. Pour plus d'informations sur le clonage léger, voir Clonage léger d'une base de données enfichable dans le guide de l'utilisateur d'Oracle® Exadata Exascale. Si vous voulez spécifiquement un clone épais (copie complète), vous devez désélectionner cette option.
      Note

      L'option de clonage léger sera désactivée (grisée) si les grappes de machines virtuelles source et cible ne partagent pas la même chambre forte. Dans ce cas, seuls les clones épais sont pris en charge.
    • Options avancées :
      • Marqueurs : Vous pouvez appliquer des marqueurs si vous le souhaitez. Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Pour plus d'informations sur le marquage, voir Marqueurs de ressource. Si vous ne savez pas si vous devez appliquer des marqueurs, ignorez cette option (vous pourrez appliquer des marqueurs plus tard) ou demandez à l'administrateur.
  9. Cliquez sur Cloner.

Rubriques connexes

Rubrique parent : Cloner une base de données enfichable

Utilisation de la console pour actualiser une base de données enfichable clonée

Pour créer une actualisation d'une base de données enfichable clonée, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à actualiser, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à actualiser.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à actualiser.

    La page des détails de la base de données enfichable s'affiche.

  8. Cliquez sur Plus d'actions et sélectionnez Actualiser.
  9. Dans la boîte de dialogue Actualiser qui s'affiche, cliquez sur Actualiser pour confirmer.
Utilisation de la console pour convertir un clone actualisable en base de données enfichable standard

Pour créer une conversion d'un clone actualisable en base de données enfichable standard, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base PDB à convertir en base PDB standard, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données enfichable à convertir en une base de données enfichable standard.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base PDB à convertir en base PDB standard.

    Dans la page des détails de la base de données enfichable, cliquez sur Actions supplémentaires, puis sélectionnez Convertir en base enfichable standard.

    (ou)

    Cliquez sur le menu Actions (trois points) et sélectionnez Convertir en base de données enfichable standard.

  8. Dans la boîte de dialogue Convertir en base de données enfichable standard qui s'affiche, entrez les informations suivantes :
    • Mot de passe du portefeuille TDE de base de données : Entrez le mot de passe du portefeuille TDE pour la base de données conteneur parent de la base de données enfichable source.
    • Sauvegardez la base de données enfichable immédiatement après l'avoir créée : Vous devez activer la sauvegarde automatique sur la base de données conteneur pour la sauvegarder immédiatement après l'avoir créée. Cette case est cochée par défaut si la sauvegarde automatique a été activée sur la base de données conteneur.
      Note

      Si la case n'est pas cochée, le système affiche un avertissement indiquant que la base de données enfichable ne peut pas être récupérée tant que la sauvegarde quotidienne suivante n'est pas terminée.

  9. Cliquez sur Convertir.
Restaurer une base de données enfichable

Vous pouvez restaurer une base de données enfichable dans la même base de données conteneur pour qu'elle conserve son dernier état de bon fonctionnement connu et l'horodatage spécifié.

Utilisation de la console pour effectuer une restauration sur place d'une base de données enfichable

Pour effectuer une restauration sur place, suivez cette procédure.

  1. Ouvrez le menu de navigation. Sous Base de données Oracle, cliquez sur Exadata Cloud@Customer.

    Par défaut, l'option Grappes de MV est sélectionnée.

  2. Sélectionnez votre compartiment.

    Une liste des grappes de machines virtuelles est affichée pour le compartiment choisi.

  3. Dans la liste des grappes de machines virtuelles, cliquez sur le nom de la grappe qui contient la base de données enfichable à restaurer, puis cliquez sur son nom pour afficher la page de détails.
  4. Sous Bases de données, recherchez la base de données contenant la base de données pluggable actualisable à restaurer.
  5. Cliquez sur le nom de la base de données pour afficher la page Détails de la base de données.
  6. Cliquez sur Bases de données enfichables dans la section Ressources de la page.

    Une liste des bases de données enfichables existantes dans cette base de données s'affiche.

  7. Cliquez sur le nom de la base de données enfichable à restaurer.

    Dans la page des détails de la base de données enfichable, cliquez sur Actions supplémentaires, puis sélectionnez Restaurer.

    (ou)

    Cliquez sur le menu Actions (trois points) et sélectionnez Restaurer.

  8. Dans la boîte de dialogue Restore PDB qui s'affiche, entrez les données suivantes :
    • Restaurer au plus tard : Sélectionnez cette option pour restaurer et récupérer la base de données sans perte de données, ou le moins possible.
    • Restaurer à un heure : Sélectionnez cette option pour restaurer et récupérer la base de données à l'heure spécifiée.
  9. Cliquez sur Restaurer.
Utilisation de l'API pour gérer les bases de données enfichables

Utilisez diverses fonctions d'API pour gérer vos bases de données pluggables sur le service Oracle Exadata Database Service on Cloud@Customer.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez ces API pour gérer les bases de données enfichables sur les systèmes Exadata Cloud@Customer.
  • ListPluggableDatabases
  • GetPluggableDatabase
  • StartPluggableDatabase
  • StopPluggableDatabase
  • CreatePluggableDatabase
  • DeletePluggableDatabase
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

Pour obtenir la liste complète des API du service de base de données, voir API du service de base de données.

Utilisation de l'API pour cloner une base de données enfichable

Clonez une base de données enfichable dans la même base de données (base de données conteneur) que la base de données enfichable source ou dans une base de données différente de la base de données enfichable source.

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez ces API pour gérer les bases de données enfichables sur les systèmes Exadata Cloud@Customer.
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

Pour obtenir la liste complète des API du service de base de données, voir API du service de base de données.

Créer ou supprimer simultanément des bases de données enfichables

Vous pouvez maintenant créer ou supprimer jusqu'à 10 bases de données enfichables simultanément, même lorsque la base de données conteneur est à l'état Mise à jour. Toutefois, vous ne pouvez pas créer ou supprimer des bases de données enfichables lorsqu'une base de données conteneur est à l'état de mise à jour si d'autres opérations, à l'exclusion de la création ou de la suppression de bases de données enfichables, modifient ses métadonnées ou sa structure.

Le nombre maximal de bases de données conteneur et de bases de données enfichables pouvant être créées sur une grappe est déterminé par la mémoire disponible sur les machines virtuelles. Par défaut, pour Oracle Exadata Database Service on Cloud@Customer, chaque base de données conteneur reçoit 12,6 Go de mémoire (7,6 Go pour la mémoire SGA et 5 Go pour la mémoire PGA) si la machine virtuelle contient plus de 60 Go de mémoire totale. Pour les machines virtuelles de 60 Go ou moins, 6,3 Go sont alloués (3,8 Go pour la mémoire SGA et 2,5 Go pour la mémoire PGA).

En outre, Grid Infrastructure ou ASM consomme généralement de 2 à 4 Go de mémoire. Vous pouvez ajuster l'allocation de mémoire de la machine virtuelle si nécessaire. Il est important de noter que la mémoire allouée à une base de données conteneur est partagée entre ses bases de données enfichables. Si la mémoire d'une base de données conteneur est insuffisante, la création de la base de données enfichable échoue.

En outre, les bases de données enfichables peuvent désormais être créées ou supprimées simultanément dans un environnement Data Guard. Aucune restriction ne s'applique à la création ou à la suppression simultanées de bases de données enfichables dans des environnements autres que Data Guard.

Note :

  • La création simultanée de bases de données enfichables dans une base de données Oracle Database configurée avec Data Guard et l'utilisation d'un portefeuille basé sur des fichiers pour les clés de chiffrement TDE (clés gérées par Oracle) sont également prises en charge, mais Oracle créera en série les bases de données enfichables sur le serveur de base de données de secours. Toutefois, vous pouvez les supprimer simultanément.
  • Une base de données enfichable ne peut pas être supprimée si sa création est toujours en cours.

Opérations que vous pouvez effectuer en parallèle :

  • Créer ou supprimer des bases de données conteneur dans une grappe de machines virtuelles.
  • Créez une base de données conteneur dans une grappe de machines virtuelles alors que la suppression d'une autre base de données conteneur est en cours dans la même grappe.
  • Supprimez une base de données conteneur dans une grappe de machines virtuelles alors que la création d'une autre base de données conteneur est en cours dans la même grappe.
  • Dans une base de données conteneur, supprimez une base de données enfichable (PDB1) alors qu'une autre base de données enfichable (PDB2) est en cours de création.
  • Créer ou supprimer des bases de données enfichables supplémentaires si la base de données conteneur est à l'état de mise à jour.
  • Ajuster l'OCPU lors de la création ou de la suppression d'une base de données enfichable.

Attribution des coûts et de l'utilisation pour les bases de données enfichables

Note

Elle est prise en charge uniquement sur les bases de données Oracle 19c et supérieures s'exécutant dans un déploiement multilocataire.

Grâce à cette amélioration de la fonction d'analyse de coûts du service de gestion des coûts OCI, vous pouvez voir l'utilisation et le coût attribués à toutes les bases de données enfichables d'une grappe de machines virtuelles. Ces données seront disponibles dans le tableau de bord d'analyse de coûts et les rapports.

Conditions requises :
  • dbaastools : (version minimale) 24.3.2
    • Pour vérifier la version du régime dbaastools sur la machine virtuelle invitée, exécutez : 
      rpm -qa | grep dbaastools
    • Pour mettre à jour le régime dbaastools sur la machine virtuelle invitée, exécutez : 
      dbaascli admin updateStack

      Vérifiez que vous disposez de la version minimale de dbaastools requise après avoir mis à jour le régime dbaastools en exécutant la commande rpm -qa | grep dbaastools.

  • dbcsagent doit s'exécuter sur la machine virtuelle invitée. La version minimale de dbcsagent requise est 23.3.2.
    • Pour vérifier la version de dbcsagent sur la machine virtuelle invitée, exécutez : 
      rpm -qa | grep dbcs-agent-update
    • Vous devrez ouvrir une demande de service sur My Oracle Support pour mettre à jour dbcsagent sur la machine virtuelle invitée.
    • Pour vérifier le statut de dbcsagent, exécutez : 
      systemctl status dbcsagent

      Exécutez systemctl start dbcsagent si dbcsagent n'est pas à l'état actif (en cours d'exécution).

      Vérifiez à nouveau le statut de l'agent pour confirmer qu'il est en cours d'exécution.

  • Configuration du réseau : Le serveur de plan de contrôle doit pouvoir établir une connexion avec le point d'extrémité spécifié dans la section Mesure et surveillance du tableau 3-2 dans les exigences relatives au réseau pour le service Oracle Exadata Database Service on Cloud@Customer.

Rubrique parent : Gérer les bases de données pluggables dans le service Oracle Exadata Database Service on Cloud@Customer

Générer le rapport d'analyse des coûts attribués pour les bases de données enfichables

Suivez les étapes ci-dessous pour voir les coûts attribués en fonction de l'utilisation d'UC pour toutes les bases de données enfichables d'une grappe de machines virtuelles.

  1. Ouvrez le menu de navigation et cliquez sur Gestion de la facturation et des coûts. Sous Gestion des coûts, cliquez sur analyse des coûts.
  2. Dans Rapports, sélectionnez un des rapports prédéfinis ou utilisez le rapport sur les coûts par service par défaut.
  3. Apportez les modifications d'interrogation désirées.
    1. À partir de Date de début/fin (UTC), sélectionnez une période.
    2. Dans Granularité, sélectionnez Quotidienne ou mensuelle.
    3. Dans Afficher, sélectionnez Coût attribué.
    4. Dans Filtres, sélectionnez Marqueur.

      Dans la boîte de dialogue Marqueur qui s'affiche, sélectionnez orcl-cloud comme marqueur avec la clé parent_resource_id_1 égale à l'OCID de la grappe de machines virtuelles.

    5. Dans la liste Dimension de regroupement, sélectionnez la dimension de regroupement désirée. Par exemple, OCID de la ressource.

      L'OCID de la grappe de machines virtuelles est le parent des bases de données conteneur qu'elle contient, et l'OCID de la base de données conteneur est l'OCID parent des bases de données enfichables qu'elle contient.

    6. Cliquez sur Appliquer pour appliquer les modifications et recharger le graphique et la table en fonction des filtres sélectionnés.

      Le rapport généré affiche les coûts attribués pour toutes les bases de données enfichables de la grappe de machines virtuelles.

  4. Après avoir apporté des modifications, le nom du rapport prédéfini sélectionné dans le menu Rapport passe à (modifié).
  5. Si vous avez terminé d'apporter des modifications et souhaitez enregistrer un nouveau rapport, cliquez sur Enregistrer en tant que nouveau rapport.
  6. Dans la boîte de dialogue Enregistrer en tant que nouveau rapport, entrez le nom du rapport dans le champ Nom. Évitez d'entrer des informations confidentielles..
  7. Cliquez sur Enregistrer.

    Un avis s'affiche pour indiquer que votre rapport a été enregistré et celui-ci est également sélectionné dans le menu Rapports.

  8. Si vous n'avez pas déjà appliqué vos paramètres de rapport personnalisé, cliquez sur Appliquer pour voir vos modifications.

    Le nouveau rapport enregistré est maintenant disponible pour sélection future dans le menu Rapport, sous Rapports enregistrés.

    Pour plus d'informations sur la génération d'un rapport d'analyse de coûts attribués de base de données enfichable, voir Analyse de coûts.

Se connecter à une base de données Oracle à l'aide des utilisateurs du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure

Vous pouvez configurer le service Oracle Exadata Database sur Cloud@Customer pour qu'il utilise l'authentification et l'autorisation du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure afin de permettre aux utilisateurs GIA d'accéder à une base de données Oracle à l'aide des données d'identification GIA.

Sujet parent : Gérer les bases de données dans le service Oracle Exadata Database Service on Cloud@Customer

Authentification du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure (OCI) dans Oracle Database

Voyez comment activer une instance Oracle Database dans le service Oracle Exadata Database sur Cloud@Customer afin d'autoriser l'accès des utilisateurs avec un mot de passe de base de données GIA pour Oracle Cloud Infrastructure (à l'aide d'un vérificateur de mot de passe) ou de jetons d'authentification unique.

Rubrique parent : Se connecter à une base de données Oracle à l'aide des utilisateurs du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure (OCI)

À propos de l'authentification du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure (OCI) dans Oracle Database

Vous pouvez activer une instance Oracle Database pour qu'elle utilise l'authentification et l'autorisation du service GIA pour Oracle Cloud Infrastructure pour les utilisateurs.

Note

Oracle Database prend en charge l'intégration Oracle DBaaS pour le service IAM pour Oracle Cloud Infrastructure (OCI) avec des domaines d'identité, ainsi que le service IAM existant, qui n'inclut pas les domaines d'identité. Les utilisateurs et les groupes de domaines par défaut et non par défaut sont pris en charge lors de l'utilisation du service IAM avec des domaines d'identité.

La prise en charge de l'intégration IAM n'est disponible qu'avec Oracle Database version 19c, version 19.21 et versions ultérieures (mais pas avec Oracle Database version 21c).

L'intégration du service GIA pour Oracle Cloud Infrastructure au service Oracle Exadata Database sur Cloud@Customer prend en charge les éléments suivants :

  • Authentification par mot de passe de base de données GIA
  • Authentification basée sur un jeton d'authentification unique du service de gestion des identités et des accès (GIA)

Pour obtenir des détails complets sur l'architecture d'utilisation des utilisateurs IAM dans le service Oracle Exadata Database Service on Cloud@Customer, voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité d'Oracle Database 19c et le guide de sécurité d'Oracle Database 23ai.

Authentification par mot de passe de base de données du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure

Vous pouvez activer une instance Oracle Database pour autoriser l'accès des utilisateurs à l'aide d'un mot de passe de base de données GIA pour Oracle Cloud Infrastructure (à l'aide d'un vérificateur de mot de passe).

Note

Tout client de base de données 12c et supérieur pris en charge peut être utilisé pour l'accès par mot de passe de base de données IAM à Oracle Database.

Un mot de passe de base de données IAM pour Oracle Cloud Infrastructure permet à un utilisateur IAM de se connecter à une instance Oracle Database, car les utilisateurs d'Oracle Database se connectent généralement avec un nom d'utilisateur et un mot de passe. L'utilisateur entre son nom d'utilisateur GIA et son mot de passe de base de données GIA. Le mot de passe de base de données GIA est différent du mot de passe de la console Oracle Cloud Infrastructure. À l'aide d'un utilisateur GIA avec le vérificateur de mot de passe, vous pouvez vous connecter à Oracle Database avec n'importe quel client de base de données pris en charge.

Pour l'accès à la base de données du vérificateur de mot de passe, vous créez les mappages pour les utilisateurs IAM et les applications OCI à l'instance Oracle Database. Les comptes d'utilisateur IAM eux-mêmes sont gérés dans le service IAM. Les comptes d'utilisateur et les groupes d'utilisateurs peuvent se trouver dans le domaine par défaut ou dans un domaine personnalisé autre que celui par défaut.

Pour plus d'informations sur la gestion du mot de passe de base de données IAM, voir Utilisation des noms d'utilisateur et des mots de passe de base de données IAM.

Authentification basée sur un jeton d'authentification unique du service de gestion des identités et des accès (GIA) pour (OCI)

Vous pouvez activer une instance Oracle Database pour utiliser des jetons d'authentification unique du service GIA pour Oracle Cloud Infrastructure.

Pour accéder à la base de données à l'aide de jetons IAM, vous créez les mappages des utilisateurs IAM et des applications OCI avec l'instance Oracle Database. Les comptes d'utilisateur IAM eux-mêmes sont gérés dans le service IAM. Les comptes d'utilisateur et les groupes d'utilisateurs peuvent se trouver dans le domaine par défaut ou dans un domaine personnalisé autre que celui par défaut.

Il existe plusieurs façons pour un client de base de données d'obtenir un jeton de base de données GIA :

  • Une application ou un outil client peut demander le jeton de base de données à GIA pour l'utilisateur et le transmettre au moyen de l'API client. L'utilisation de l'API pour envoyer le jeton remplace les autres paramètres du client de base de données. L'utilisation de jetons GIA nécessite le dernier niveau de la version 19c du client Oracle Database (au moins 19.16). Certains clients antérieurs (19c et 21c) fournissent un jeu limité de capacités pour l'accès aux jetons. Le client Oracle Database 21c ne prend pas entièrement en charge la fonction d'accès par jeton GIA . Pour plus d'informations sur les clients pris en charge pour ce type d'utilisation de jeton de base de données GIA, voir Pilotes de client pris en charge pour les connexions GIA.
  • Si l'application ou l'outil ne prend pas en charge la demande de jeton de base de données GIA au moyen de l'API client, l'utilisateur GIA peut d'abord utiliser l'interface de ligne de commande d'Oracle Cloud Infrastructure pour extraire le jeton de base de données GIA et l'enregistrer dans un fichier. Par exemple, pour utiliser SQL*Plus et d'autres applications et outils à l'aide de cette méthode de connexion, vous devez d'abord obtenir le jeton de base de données à l'aide de l'interface de ligne de commande d'Oracle Cloud Infrastructure. Pour plus d'informations, voir db-token get. Si le client de base de données est configuré pour les jetons de base de données GIA, lorsqu'un utilisateur se connecte avec une barre oblique, le pilote de base de données utilise le jeton de base de données GIA qui a été enregistré dans un fichier par défaut ou spécifié.
  • Une application ou un outil client peut utiliser un principal d'instance ou un principal de ressource GIA d'Oracle Cloud Infrastructure pour obtenir un jeton de base de données GIA et utiliser ce jeton pour s'authentifier auprès d'une instance Oracle Database.
  • Certains clients Oracle Database 23ai peuvent également obtenir un jeton directement à partir d'OCI IAM au lieu d'utiliser l'interface de ligne de commande OCI. Consultez la documentation du client pour voir quels clients prennent en charge cette intégration IAM native.
  • Les utilisateurs GIA et les applications OCI peuvent demander un jeton de base de données à GIA à l'aide de plusieurs méthodes, notamment une clé d'API. Pour obtenir un exemple, voir Configuration d'une connexion client pour SQL*Plus qui utilise un jeton IAM. Voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS pour obtenir une description d'autres méthodes, telles que l'utilisation d'un jeton de délégation dans un interpréteur de commandes en nuage OCI.

Dans les versions précédentes, vous ne pouviez utiliser que le nom d'utilisateur et le mot de passe de base de données IAM pour obtenir un vérificateur de mot de passe à partir d'IAM. L'obtention d'un jeton avec ces données d'identification est plus sécurisée que l'obtention d'un vérificateur de mot de passe car un vérificateur de mot de passe est considéré comme sensible. L'utilisation d'un jeton signifie que vous n'avez pas besoin de passer ou d'utiliser le vérificateur. Les applications ne peuvent pas transmettre un jeton extrait par le nom d'utilisateur et le mot de passe GIA au moyen de l'API du client de base de données. Seul le client de base de données peut extraire ce type de jeton. Un client de base de données peut uniquement extraire un jeton de base de données à l'aide du nom d'utilisateur GIA et du mot de passe de base de données GIA.

Préalables pour l'authentification du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure (OCI) dans Oracle Database

Vérifiez les préalables pour l'authentification du service de gestion des identités et des accès (GIA) dans Oracle Database.

  • Désactiver le modèle d'authentification externe
    Vérifiez les préalables pour activer l'accès des utilisateurs GIA à Oracle Database.
  • Configurer une connexion réseau à OCI
    Configurez une connexion réseau à OCI pour pouvoir effectuer des appels au service GIA pour OCI pour les instances de base de données dans le service Oracle Exadata Database sur Cloud@Customer afin d'accepter les jetons d'accès de base de données GIA (db-tokens) ou d'obtenir les vérificateurs de mot de passe de base de données GIA.
  • Configurer les paramètres du mandataire
    Configurez les paramètres du mandataire de réseau dans votre environnement pour permettre à la base de données d'accéder au service GIA pour OCI. Remplacez l'URL du mandataire de réseau http://www-proxy.example.com:80/ et le nom de la base de données indiqué dans l'exemple par les vôtres.
  • Configurer TLS pour utiliser des jetons GIA
    Lors de l'envoi de jetons GIA du client de base de données au serveur de base de données, une connexion TLS doit être établie. Le portefeuille TLS doté du certificat de base de données pour l'instance de service ExaDB-C@C doit être stocké dans l'emplacement WALLET_ROOT. Créez un répertoire tls qui se présente comme suit : WALLET_ROOT/<PDB GUID>/tls.

Rubrique parent : Se connecter à une base de données Oracle à l'aide des utilisateurs du service de gestion des identités et des accès (GIA) pour Oracle Cloud Infrastructure (OCI)

Désactiver le modèle d'authentification externe

Vérifiez les préalables pour activer l'accès des utilisateurs GIA à Oracle Database.

Si la base de données est activée pour un autre modèle d'authentification externe, vérifiez que vous souhaitez utiliser GIA pour l'instance Oracle Database. Un seul modèle d'authentification externe peut être activé à la fois.

Si vous voulez utiliser le service GIA et qu'un autre modèle d'authentification externe est activé, vous devez d'abord désactiver l'autre modèle d'authentification externe.

Configurer une connexion réseau à OCI

Configurez une connexion réseau à OCI pour pouvoir effectuer des appels au service GIA pour OCI pour les instances de base de données dans le service Oracle Exadata Database sur Cloud@Customer afin d'accepter les jetons d'accès de base de données GIA (db-tokens) ou d'obtenir les vérificateurs de mot de passe de base de données GIA.

  1. Consultez l'administrateur ExaDB-C@C pour déterminer la région OCI affectée à votre installation ExaDB-C@C.
  2. Déterminez le point d'extrémité du service GIA pour OCI pour cette région OCI. Pour plus d'informations, voir API du service de gestion des identités et des accès.
  3. Recherchez le numéro de port du service d'identité pour la résolution des noms des opérateurs Oracle. Pour plus d'informations, voir Tableau 3-2 : Ports à ouvrir pour la connectivité du plan de contrôle dans Exigences relatives au réseau pour le service Oracle Exadata Database sur Cloud@Customer.

    Par exemple, si votre région OCI est Phoenix, ouvrez le port 443 à https://identity.us-phoenix-1.oci.oraclecloud.com.

  4. Configurez votre réseau pour ouvrir cette connexion.

Pour plus d'informations sur le dépannage des échecs de connexion, voir Dépannage des connexions IAM.

Configurer les paramètres du mandataire

Configurez les paramètres du mandataire de réseau dans votre environnement pour permettre à la base de données d'accéder au service GIA pour OCI. Remplacez l'URL du mandataire de réseau http://www-proxy.example.com:80/ et le nom de la base de données indiqué dans l'exemple par les vôtres.

  1. Connectez-vous au système d'exploitation de l'hôte.
  2. Définissez les variables d'environnement du mandataire.
    srvctl setenv database -db exampledbname -env "https_proxy=http://www-proxy.example.com:80/"
srvctl setenv database -db exampledbname -env "http_proxy=http://www-proxy.example.com:80/"
  3. Arrêtez la base de données et vérifiez que les variables ont été définies :
    $ srvctl stop database -db exampledbname
    $ srvctl getenv database -db exampledbname
http_proxy=http://www-proxy.example.com:80/
https_proxy=http://www-proxy.example.com:80/
  4. Redémarrez la base de données.
    $ srvctl start database -db exampledbname
Configurer TLS pour utiliser des jetons GIA

Lors de l'envoi de jetons GIA du client de base de données au serveur de base de données, une connexion TLS doit être établie. Le portefeuille TLS doté du certificat de base de données pour l'instance de service ExaDB-C@C doit être stocké dans l'emplacement WALLET_ROOT. Créez un répertoire tls qui se présente comme suit : WALLET_ROOT/<PDB GUID>/tls.

Lors de la configuration de TLS entre le client et le serveur de base de données, plusieurs options sont à prendre en compte.
  • Utilisation d'un certificat de serveur de base de données auto-signé ou d'un certificat de serveur de base de données signé par une autorité de certification connue
  • Authentification TLS unidirectionnelle (TLS) ou authentification TLS mutuelle ou bidirectionnelle (mTLS)
  • Client avec ou sans portefeuille

Certificat auto-signé

L'utilisation d'un certificat auto-signé est une pratique commune pour les ressources informatiques en interne, car vous pouvez les créer vous-même et gratuitement. La ressource (ici, le serveur de base de données) aura un certificat auto-signé pour s'authentifier auprès du client de base de données. Le certificat auto-signé et le certificat racine seront stockés dans le portefeuille du serveur de base de données. Pour que le client de base de données puisse reconnaître le certificat du serveur de base de données, une copie du certificat racine sera également nécessaire sur le client. Ce certificat racine créé automatiquement peut être stocké dans un portefeuille côté client ou installé dans le magasin de certificats par défaut du système client (Windows et Linux uniquement). Lorsque la session est établie, le client de base de données vérifie que le certificat envoyé par le serveur de base de données a été signé par le même certificat racine.

Autorité de certification bien connue

L'utilisation d'une autorité de certification racine connue présente certains avantages dans la mesure où le certificat racine est probablement déjà stocké dans le magasin de certificats par défaut du système client. Aucune étape supplémentaire n'est requise pour le client pour le stockage du certificat racine si celui-ci est un certificat racine commun. L'inconvénient est que généralement, cela représente un coût.

Authentification TLS unidirectionnelle

Dans la session TLS standard, seul le serveur fournit un certificat au client pour lui permettre de s'authentifier. Le client n'a pas besoin de disposer d'un certificat client distinct pour s'authentifier auprès du serveur (comme pour l'établissement des sessions HTTPS). Alors que la base de données nécessite un portefeuille pour stocker le certificat du serveur, la seule chose dont le client a besoin est le certificat racine utilisé pour signer le certificat du serveur.

Authentification TLS bidirectionnelle (également appelée authentification TLS mutuelle, mTLS)

Dans mTLS, le client et le serveur disposent tous deux de certificats d'identité qui sont présentés l'un à l'autre. Dans la plupart des cas, le même certificat racine aura signé ces deux certificats de sorte que le même certificat racine puisse être utilisé avec le serveur et le client de base de données pour authentifier l'autre certificat. mTLS est parfois utilisé pour authentifier l'utilisateur puisque l'identité de l'utilisateur est authentifiée par le serveur de base de données au moyen du certificat. Bien que non nécessaire, cela peut être utilisé lors de la transmission de jetons GIA.

Client avec un portefeuille

Un portefeuille de client est obligatoire lors de l'utilisation de mTLS pour stocker le certificat de client. Toutefois, le certificat racine peut être stocké dans le même portefeuille ou dans le magasin de certificats par défaut du système.

Client sans portefeuille

Les clients peuvent être configurés sans portefeuille lors de l'utilisation de TLS dans les conditions suivantes : 1) L'authentification TLS unidirectionnelle est configurée lorsque le client ne dispose pas de son propre certificat et 2) Le certificat racine qui a signé le certificat du serveur de base de données est stocké dans le magasin de certificats par défaut du système. Le certificat racine est probablement déjà présent si le certificat du serveur est signé par une autorité de certification commune. S'il s'agit d'un certificat auto-signé, le certificat racine doit être installé dans le magasin de certificats par défaut du système pour éviter l'utilisation d'un portefeuille de client.

Pour plus de détails sur la configuration de TLS entre le client de base de données et le serveur de base de données, notamment les options décrites ci-dessus, voir Configuration du chiffrement TLS dans le guide sur la sécurité d'Oracle Database.

Si vous choisissez d'utiliser des certificats auto-signés et pour d'autres tâches liées au portefeuille, voir Gestion des portefeuilles et des certificats Oracle Database dans le guide sur la sécurité d'Oracle Database.

Activation de la base de données et des clients pour l'intégration IAM

Suivez le lien approprié ci-dessous pour configurer les utilisateurs IAM afin qu'ils puissent accéder à votre base de données.

Pour obtenir des détails complets sur l'architecture d'utilisation des utilisateurs IAM dans le service Oracle Exadata Database Service on Dedicated Infrastructure, voir Authentification et autorisation des utilisateurs IAM pour les bases de données Oracle DBaaS dans le guide de sécurité d'Oracle Database 19c et le guide de sécurité d'Oracle Database 23ai.

Authentification et autorisation des utilisateurs Microsoft Entra ID (MS-EI) pour les bases de données Oracle sur le service Oracle Exadata Database Service on Cloud@Customer

Vous pouvez configurer Oracle Database pour que les utilisateurs Microsoft Azure de Microsoft Entra ID puissent se connecter à l'aide de l'authentification unique.

Sujet parent : Gérer les bases de données dans le service Oracle Exadata Database Service on Cloud@Customer

À propos de l'autorisation des utilisateurs Microsoft Entra ID (MS-EI) pour des bases de données Oracle sur le service Oracle Exadata Database Service on Cloud@Customer

Les utilisateurs du service Oracle Exadata Database Service on Cloud@Customer peuvent être gérés de manière centralisée dans un service MS-EI.

L'intégration d'Oracle Database à MS-EI est prise en charge pour les bases de données sur place et la plupart des plates-formes Oracle OCI DBaaS.

Les instructions de configuration de MS-EI utilisent le terme Oracle Database pour englober ces environnements.

Ce type d'intégration permet à l'utilisateur MS-EI d'accéder à une instance du service Oracle Exadata Database Service on Cloud@Customer. Les utilisateurs et les applications MS-EI peuvent se connecter avec les identifiants d'authentification unique MS-EI (SSO) pour obtenir un jeton d'accès MS-EI OAuth2 à envoyer à la base de données.

L'administrateur crée et configure l'enregistrement d'application (enregistrement d'application) de l'instance du service Oracle Exadata Database Service on Cloud@Customer avec MS-EI. L'administrateur crée également des rôles d'application pour l'enregistrement de l'application de base de données dans MS-EI et affecte ces rôles aux utilisateurs, groupes et applications MS-EI. Ces rôles d'application seront mappés aux schémas et rôles globaux de la base de données. Un principal MS-EI affecté à un rôle d'application sera mappé à un schéma global de base de données ou à un rôle global de base de données. Un schéma mondial d'Oracle peut également être mappé exclusivement à un utilisateur MS-EI. Lorsque le principal est un utilisateur invité ou un principal de service, ils ne peuvent être mappés au schéma de base de données qu'au moyen d'un rôle d'application MS-EI. Un rôle global Oracle ne peut être mappé à un rôle d'application MS-EI.

Les outils et les applications mis à jour pour prendre en charge les jetons MS-EI peuvent authentifier les utilisateurs directement avec MS-EI et transmettre le jeton d'accès à la base de données à l'instance du service Oracle Exadata Database Service on Cloud@Customer. Vous pouvez configurer des outils de base de données existants tels que SQL*Plus pour utiliser un jeton MS-EI à partir d'un emplacement de fichier ou obtenir le jeton directement à partir de MS-EI. Lorsque vous utilisez un utilitaire pour obtenir le jeton à transmettre au pilote du client de base de données via un emplacement de fichier, les jetons MS-EI peuvent être extraits à l'aide d'outils tels que Microsoft PowerShell ou l'interface de ligne de commande Azure et placés dans un emplacement de fichier. Un jeton d'accès à la base de données OAuth2 MS-EI est un jeton de porteur avec un délai d'expiration. Le pilote du client Oracle Database s'assure que le jeton a un format valide et qu'il n'a pas expiré avant de le transmettre à la base de données. La portée du jeton est la base de données. Les rôles d'application affectés au principal Azure AD sont inclus dans le jeton d'accès. L'emplacement de répertoire du jeton MS-EI ne doit disposer que des autorisations suffisantes pour que l'utilisateur y écrive le fichier du jeton et pour que le client de base de données récupère ces fichiers (par exemple, lecture et écriture par l'utilisateur du processus). Comme le jeton autorise l'accès à la base de données, il doit être protégé dans le système de fichiers.

Les utilisateurs de MS-EI peuvent demander un jeton en tant que client enregistré avec l'enregistrement de l'application MS-EI à l'aide de méthodes telles que :

  • Entrée des données d'identification MS-EI dans un écran d'authentification MS-EI avec ou sans authentification multifacteur

Le service Oracle Exadata Database Service on Cloud@Customer prend en charge les flux d'authentification MS-EI suivants :

  • Flux interactif (code d'autorisation), utilisé lorsqu'un navigateur peut être utilisé pour entrer des données d'identification pour l'utilisateur
  • Données d'identification de client, qui concernent les applications qui se connectent en tant qu'elles-mêmes (et non l'utilisateur final)
  • OBO (au nom de), où une application demande un jeton d'accès au nom d'un utilisateur connecté pour l'envoyer à la base de données
  • ROPC est également pris en charge pour les environnements de test et de développement

Le service Oracle Exadata Database Service on Cloud@Customer accepte les jetons représentant les principaux MS-EI suivants :

  • Utilisateur MS-EI, utilisateur enregistré dans la location MS-EI
  • Utilisateur invité, qui est inscrit en tant qu'utilisateur invité dans la location MS-EI
  • Service : application enregistrée qui se connecte à la base de données en tant qu'elle-même avec le flux de données d'identification de client (cas d'utilisation de la réserve de connexions)

Configuration de l'intégration d'Oracle Database pour Microsoft Entra ID (MS-EI)

L'intégration MS-EI à l'instance Oracle Database nécessite que la base de données soit enregistrée auprès de MS-EI afin que la base de données puisse demander la clé publique MS-EI.

Pour plus d'informations sur la configuration de MS-EI, la configuration de la base de données et la configuration du client de base de données, voir :

Préalables pour l'authentification Microsoft Entra ID (MS-EI)

L'intégration MS-EI au service Oracle Database sur Oracle Exadata Database Service on Cloud@Customer nécessite :

  1. Oracle Database version 19.18 ou supérieure.
  2. Connectivité à la base de données sur le port TLS 2484. Les connexions non TLS ne sont pas prises en charge.
  3. Oracle Database à enregistrer auprès de MS-EI.
  4. Les utilisateurs et les applications qui doivent demander un jeton MS-EI doivent également être en mesure d'avoir une connectivité réseau avec MS-EI. Vous devrez peut-être configurer un paramètre de mandataire pour la connexion.
  5. Connectivité réseau sortante à MS-EI afin que la base de données puisse demander la clé publique MS-EI.
    1. Assurez-vous que les variables ORACLE_SID, ORACLE_HOME et PATH de la base de données sont définies correctement.
    2. Exécutez les commandes srvctl suivantes en tant qu'utilisateur oracle sur le système d'exploitation : 
      • $ srvctl setenv database -db <exampledbname> -env "https_proxy=http://www-proxy.example.com:80/"
      • $ srvctl setenv database -db <exampledbname> -env "http_proxy=http://www-proxy.example.com:80/"
      • $ srvctl stop database -db <exampledbname>
      • $ srvctl start database -db <exampledbname>
      • $ srvctl getenv database -db <exampledbname>
http_proxy=http://www-proxy.example.com:80/
https_proxy=http://www-proxy.example.com:80/
TNS_ADMIN=<exampledbhomename>/network/admin/<exampledbname>
    3. Les paramètres du mandataire HTTP doivent également être définis dans le réseau ExaDB-C@C.

      Ces paramètres sont définis par l'administrateur de votre parc lors de la création de l'infrastructure Exadata, comme décrit sous Utilisation de la console pour provisionner le service Oracle Exadata Database Service on Cloud@Customer.

      Note

      • La configuration réseau, y compris le mandataire HTTP, ne peut être modifiée que jusqu'à ce que l'infrastructure Exadata ait l'état Activation requise. Une fois activé, vous ne pouvez pas modifier ces paramètres.
      • La configuration d'un mandataire HTTP pour une infrastructure Exadata déjà provisionnée nécessite une demande de service dans My Oracle Support. Pour plus de détails, voir Créer une demande de service dans My Oracle Support.
Configurer TLS pour utiliser des jetons Microsoft Entra ID (MS-EI)

Lors de l'envoi de jetons MS-EI du client de base de données au serveur de base de données, une connexion TLS doit être établie. Le portefeuille TLS doté du certificat de base de données pour l'instance de service ExaDB-C@C doit être stocké dans l'emplacement WALLET_ROOT. Créez un répertoire tls qui ressemble à : WALLET_ROOT/<PDB GUID>/tls.

Lors de la configuration de TLS entre le client et le serveur de base de données, plusieurs options sont à prendre en compte.

  • Utilisation d'un certificat de serveur de base de données auto-signé ou d'un certificat de serveur de base de données signé par une autorité de certification connue
  • Authentification TLS unidirectionnelle (TLS) ou authentification TLS mutuelle ou bidirectionnelle (mTLS)
  • Client avec ou sans portefeuille

Certificat auto-signé

L'utilisation d'un certificat auto-signé est une pratique commune pour les ressources informatiques en interne, car vous pouvez les créer vous-même et gratuitement. La ressource (ici, le serveur de base de données) aura un certificat auto-signé pour s'authentifier auprès du client de base de données. Le certificat auto-signé et le certificat racine seront stockés dans le portefeuille du serveur de base de données. Pour que le client de base de données puisse reconnaître le certificat du serveur de base de données, une copie du certificat racine sera également nécessaire sur le client. Ce certificat racine créé automatiquement peut être stocké dans un portefeuille côté client ou installé dans le magasin de certificats par défaut du système client (Windows et Linux uniquement). Lorsque la session est établie, le client de base de données vérifie que le certificat envoyé par le serveur de base de données a été signé par le même certificat racine.

Autorité de certification bien connue

L'utilisation d'une autorité de certification racine connue présente certains avantages dans la mesure où le certificat racine est probablement déjà stocké dans le magasin de certificats par défaut du système client. Aucune étape supplémentaire n'est requise pour le client pour le stockage du certificat racine si celui-ci est un certificat racine commun. L'inconvénient est que généralement, cela représente un coût.

Authentification TLS unidirectionnelle

Dans la session TLS standard, seul le serveur fournit un certificat au client pour lui permettre de s'authentifier. Le client n'a pas besoin de disposer d'un certificat client distinct pour s'authentifier auprès du serveur (comme pour l'établissement des sessions HTTPS). Alors que la base de données nécessite un portefeuille pour stocker le certificat du serveur, la seule chose dont le client a besoin est le certificat racine utilisé pour signer le certificat du serveur.

Authentification TLS bidirectionnelle (également appelée authentification TLS mutuelle, mTLS)

Dans mTLS, le client et le serveur disposent tous deux de certificats d'identité qui sont présentés l'un à l'autre. Dans la plupart des cas, le même certificat racine aura signé ces deux certificats de sorte que le même certificat racine puisse être utilisé avec le serveur et le client de base de données pour authentifier l'autre certificat. mTLS est parfois utilisé pour authentifier l'utilisateur puisque l'identité de l'utilisateur est authentifiée par le serveur de base de données au moyen du certificat. Bien que non nécessaire, cela peut être utilisé lors de la transmission de jetons GIA.

Client avec un portefeuille

Un portefeuille de client est obligatoire lors de l'utilisation de mTLS pour stocker le certificat de client. Toutefois, le certificat racine peut être stocké dans le même portefeuille ou dans le magasin de certificats par défaut du système.

Client sans portefeuille

Les clients peuvent être configurés sans portefeuille lors de l'utilisation de TLS dans les conditions suivantes : 1) L'authentification TLS unidirectionnelle est configurée lorsque le client ne dispose pas de son propre certificat et 2) Le certificat racine qui a signé le certificat du serveur de base de données est stocké dans le magasin de certificats par défaut du système. Le certificat racine est probablement déjà présent si le certificat du serveur est signé par une autorité de certification commune. S'il s'agit d'un certificat auto-signé, le certificat racine doit être installé dans le magasin de certificats par défaut du système pour éviter l'utilisation d'un portefeuille de client.

Pour plus de détails sur la configuration de TLS entre le client de base de données et le serveur de base de données, notamment les options décrites ci-dessus, voir :

Si vous choisissez d'utiliser des certificats auto-signés et pour d'autres tâches liées au portefeuille, voir :