Documentation Oracle Cloud Infrastructure

Prérequis pour l'activation des bases de données autonomes

Ops Insights vous permet d'effectuer des collectes avancées et de base sur vos bases de données autonomes via une adresse privée ou via un accès sécurisé à partir de n'importe où. Pour activer la collecte de données sur une instance Autonomous Database, les prérequis suivants doivent être respectés :

Bases de données autonomes sans serveur et dédiées

De base : aucun prérequis n'est requis.
Fonctionnalités complètes : nécessite trois types de prérequis : général, pour les connexions basées sur des informations d'identification IAM et pour les connexions basées sur des informations d'identification locales. Assurez-vous que les prérequis généraux sont satisfaits et les prérequis pour le type de connexion d'informations d'identification souhaité.
  • Prérequis généraux : si votre réseau le requiert, créez une adresse privée. Assurez-vous de configurer les exigences réseau appropriées pour votre base de données, y compris la création d'adresses privées.
    Le tableau suivant décrit les exigences réseau par type de base de données autonome :
    Type de base de données ADB Type d'accès Exigences réseau
    ADB sans serveur (ADB-S) Un accès sans contrainte Aucune.
    ADB sans serveur (ADB-S) Adresse privée Exigences relatives aux adresses privées identiques à celles des bases de données cloud.
    Remarque

    Utilisez le VCN/sous-réseau de l'adresse privée ADB au lieu du VCN/sous-réseau de base de données.
    Pour plus d'informations, reportez-vous à Activation des systèmes Exadata et des bases de données Cloud Service.
    Remarque

    Pour les connexions d'informations d'identification IAM, une adresse privée compatible avec le proxy DNS doit être utilisée pour les bases de données autonomes dédiées et les bases de données autonomes partagées dont l'accès à l'adresse privée est configuré.
    ADB sans serveur (ADB-S) ACL (liste de contrôle d'accès) restreinte L'adresse privée doit être placée dans l'un des réseaux cloud virtuels sur liste blanche. Ce VCN doit avoir accès à l'adresse ADB publique, généralement via une passerelle de service.

    Pour plus d'informations, reportez-vous à Configuration de listes de contrôle d'accès lorsque vous provisionnez ou clonez une instance.
    ADB sur une infrastructure dédiée (ADB-D) N/A Les mêmes exigences que les bases de données cloud. Pour plus d'informations, reportez-vous à Activation des systèmes Exadata et des bases de données Cloud Service.
    Remarque

    Les bases de données autonomes dédiées nécessitent une adresse privée avec le proxy DNS activé. Les adresses privées Ops Insights créées avant septembre 2023 n'offraient pas de proxy DNS. Vous devrez peut-être créer une adresse privée.
    ADB sur Exadata Cloud@Customer (ADB-C@C) S/O

    Installez la dernière version de l'agent OMA et assurez-vous de la connectivité réseau pour la chaîne de connexion.

    Pour plus d'informations sur l'installation d'un agent de gestion à utiliser avec Ops Insights, reportez-vous à OCI : Observability & Management Support for Exadata Cloud (ID d'article PNEWS1338)

    Pour plus d'informations sur l'installation des agents de gestion, reportez-vous à la section Install Management Agents.

    Assurez-vous qu'un utilisateur de surveillance de base de données est créé.

    Pour plus d'informations sur la création d'informations d'identification d'agent de gestion, reportez-vous à Informations d'identification de source d'agent de gestion.

    Vérifiez la sécurisation des recommandations de données : téléchargement des données d'observabilité sur site sécurisé à l'aide de la passerelle de gestion.

    .

    Créez une stratégie qui autorise le principal de ressource Ops Insights contenant les compartiments dans lesquels résident les bases de données ADB-D activées pour générer des portefeuilles Autonomous Database, par exemple : 
    Allow any-user to read autonomous-database-family in compartment XYZ where
 ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
  • Prérequis d'informations d'identification locales : stratégie permettant au service Ops Insights de lire la clé secrète de mot de passe de base de données : 
    Allow any-user to read secret-family in tenancy where
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}

  • Prérequis d'informations d'identification IAM : Ops Insights peut utiliser l'authentification basée sur IAM pour se connecter à une base de données autonome Oracle, ce qui permet une solution plus cloud et sécurisée. Avec Ops Insights, vous pouvez écrire une stratégie de principal de ressource qui lui permet de collecter des mesures de performances et SQL à partir d'Autonomous Database (les mêmes mesures seront collectées via cette autre approche d'authentification).

    Pour plus d'informations sur les connexions basées sur IAM, reportez-vous à A propos de la connexion à une instance Autonomous Database à l'aide d'IAM.

    Il existe deux façons d'activer les connexions IAM à vos bases de données autonomes, par script ou manuellement. Ops Insights recommande fortement d'utiliser la méthode de script.

    • Afin d'activer les connexions IAM pour vos bases de données autonomes à l'aide du script Ops Insights (méthode recommandée), procédez comme suit :
      1. Créez un groupe dynamique contenant la ressource OPSI (par exemple, iam_admin_dg_grp) :
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      2. Exécutez le script de création d'informations d'identification, situé dans la note MOS Création des informations d'identification de surveillance Autonomous Database pour Oracle Cloud Operations Insights (KB95891).
        Remarque

        Reportez-vous aux instructions d'utilisation de script en bas de la note MOS pour créer le type d'utilisateur de base de données souhaité.
    • Pour activer manuellement les connexions IAM pour vos bases de données autonomes, procédez comme suit :
      1. Mettez à jour Autonomous Database pour autoriser les connexions basées sur IAM :
        BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'OCI_IAM', force => TRUE );
END;
/
# Check if its enabled
SELECT NAME, VALUE , TYPE FROM V$PARAMETER WHERE NAME='identity_provider_type';
      2. Créez un groupe dynamique contenant la ressource OPSI (par exemple, iam_admin_dg_grp) :
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      3. Créer un rôle de surveillance avec les autorisations nécessaires pour créer une session et se connecter ; et également les autorisations aux tables collectées par OPSI à partir de :
        CREATE ROLE DbTokenRole IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
      4. Créez un utilisateur de base de données (global) et affectez-lui le rôle créé à l'étape 3 :
        CREATE USER TESTDBUSER IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
GRANT CREATE SESSION, CONNECT TO testDbTokenRole;
# Need rest of grants within aforementioned script for OPSI collections to work properly