Documentation Oracle Cloud Infrastructure

Configuration de l'accès aux serveurs de stockage

Vous devez effectuer certaines tâches pour configurer l'accès aux serveurs de stockage à surveiller à l'aide de Database Management.

Les tâches suivantes doivent être effectuées avant d'ajouter une connexion au serveur de stockage lors du processus de repérage de l'infrastructure Exadata car les informations d'identification utilisateur du serveur de stockage et le certificat SSL importés dans le truststore de l'agent de gestion sont testés sur le serveur de stockage. La connexion au serveur de stockage à partir de l'agent OMA ne peut être ajoutée qu'après l'envoi d'une requête de test de l'agent OMA au serveur de stockage.

Garantir la disponibilité d'un utilisateur ExaCLI pour accéder aux serveurs de stockage et les surveiller

L'agent OMA utilisé pour se connecter aux serveurs de stockage requiert des informations d'identification ExaCLI pour collecter des mesures via l'adresse REST du serveur de stockage.

Pour une infrastructure Exadata externe

Option recommandée : il est recommandé d'utiliser l'utilisateur cellmonitor prêt à l'emploi.

Option secondaire : vous pouvez également créer un utilisateur d'administration ExaCLI. Si vous choisissez de créer un utilisateur d'administration ExaCLI, le nouvel utilisateur doit être créé dans tous les serveurs de stockage. En outre, le nouvel utilisateur doit disposer des privilèges list sur tous les objets. Par exemple : 

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

Pour créer un utilisateur ExaCLI sur plusieurs serveurs de stockage à l'aide de l'utilitaire dcli, procédez comme suit : 

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Pour obtenir des informations sur les opérations suivantes :

Pour l'infrastructure Exadata Oracle Cloud déployée dans ExaDB-D ou ExaDB-C@C

Utilisez l'utilisateur ExaCLI préconfiguré disponible avec le service pour accéder aux serveurs de stockage et les surveiller. L'utilisateur préconfiguré est cloud_user_<clustername>, où <clustername> est le nom de votre cluster de machines virtuelles. Pour plus d'informations, reportez-vous à :

Garantir la disponibilité du certificat SSL du serveur de stockage dans le truststore de l'agent de gestion

Des certificats SSL sont requis pour vérifier l'identité des serveurs de stockage dans l'infrastructure Exadata auprès de l'agent OMA. La communication entre les serveurs de stockage et l'agent OMA utilise HTTPS et requiert que les certificats SSL du serveur de stockage soient présents dans le truststore de l'agent OMA.

Avant d'importer le certificat SSL du serveur de stockage dans le truststore de l'agent OMA, il est recommandé de tester le certificat par rapport à l'adresse REST du serveur de stockage dans l'hôte de l'agent :

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Par exemple :

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

Vous pouvez importer le certificat SSL du serveur de stockage dans le truststore par défaut de l'agent OMA dans le répertoire d'installation de l'agent ou dans un truststore personnalisé situé en dehors du répertoire d'installation de l'agent.

  • Pour utiliser le truststore par défaut de l'agent OMA :
    1. Téléchargez le certificat à partir du serveur de stockage :
      echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem
    2. Importez le certificat dans le truststore de l'agent OMA. Le truststore de l'agent OMA dispose d'un mot de passe facultatif, défini dans le paramètre CredentialWalletPassword du fichier de réponses à l'installation de l'agent. Voici les emplacements de truststore de l'agent :
      • Pour un agent OMA autonome :
        /opt/oracle/mgmt_agent/agent_inst/config/security/comm/commwallet.jks
      • Pour un agent OCA installé en tant que module d'extension d'agent Oracle Cloud :
        /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/security/comm/commwallet.jks
      Remarque

      Si vous utilisez des certificats SSL personnalisés avec un nom de domaine commun pour tous les serveurs de stockage (où tous les serveurs de stockage utilisent le même certificat), vous n'avez besoin d'importer le certificat qu'une seule fois dans le truststore, même si vous utilisez le même agent de gestion pour surveiller plusieurs serveurs de stockage.
  • Pour utiliser un truststore personnalisé en dehors du répertoire de l'agent :
    1. Téléchargez le certificat à partir du serveur de stockage :
      echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem
    2. Importez-le dans le truststore personnalisé à l'aide de la commande suivante :
      keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore [path_to_JKS_truststore_file] -storetype JKS
    Remarque

    Si vous utilisez un truststore situé en dehors du répertoire d'installation de l'agent, par exemple /etc/pki/ca-trust/extracted/java/cacerts, assurez-vous que l'utilisateur mgmt_agent dispose des droits d'accès requis pour accéder au fichier de truststore cacerts et à ses répertoires parent.

Pour plus d'informations, reportez-vous à Import de certificats pour l'agent OMA.