Documentazione dell'infrastruttura Oracle Cloud

Impostare l'accesso agli storage server

È necessario eseguire determinati task per impostare l'accesso agli storage server che si desidera monitorare utilizzando Gestione database.

Prima di aggiungere una connessione al server di storage durante il processo di ricerca automatica dell'infrastruttura Exadata, è necessario eseguire i task riportati di seguito poiché le credenziali utente del server di storage e il certificato SSL importati nel truststore del Management Agent vengono sottoposti a test sul server di storage. La connessione al server di storage da Management Agent può essere aggiunta solo dopo l'invio di una query di test dal Management Agent al server di storage.

Assicurare la disponibilità di un utente ExaCLI per accedere a e monitorare i server di storage

Il Management Agent utilizzato per la connessione agli storage server richiede le credenziali ExaCLI per raccogliere le metriche tramite l'endpoint REST del server di storage.

Per infrastruttura Exadata esterna

Opzione consigliata: si consiglia di utilizzare l'utente cellmonitor integrato.

Opzione secondaria: è inoltre possibile creare un nuovo utente amministrativo ExaCLI. Se si sceglie di creare un nuovo utente amministrativo ExaCLI, il nuovo utente deve essere creato in tutti gli storage server. Inoltre, il nuovo utente deve disporre dei privilegi list su tutti gli oggetti. Ad esempio: 

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

Per creare un nuovo utente ExaCLI su più server di storage utilizzando la utility dcli, effettuare le operazioni riportate di seguito. 

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Per informazioni su come eseguire le operazioni riportate di seguito.

Per l'infrastruttura Exadata Oracle Cloud distribuita in ExaDB-D o ExaDB-C@C

Utilizzare l'utente ExaCLI preconfigurato disponibile con il servizio per accedere e monitorare i server di storage. L'utente preconfigurato è cloud_user_<clustername>, dove <clustername> è il nome del cluster VM. Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

Assicurarsi che il certificato SSL del server di storage sia disponibile nel truststore del Management Agent

I certificati SSL sono necessari per verificare l'identità dei server di storage nell'infrastruttura Exadata al Management Agent. La comunicazione tra gli storage server e il Management Agent utilizza HTTPS e richiede che i certificati SSL del server di storage siano presenti nel truststore del Management Agent.

Prima di importare il certificato SSL del server di storage nel truststore del Management Agent, si consiglia di eseguire il test del certificato sull'endpoint REST del server di storage nell'host dell'agente:

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Ad esempio:

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

È possibile importare il certificato SSL del server di storage nel truststore predefinito del Management Agent all'interno della directory di installazione dell'agente o in un truststore personalizzato situato al di fuori della directory di installazione dell'agente.

  • Per utilizzare il truststore predefinito del Management Agent, effettuare le operazioni riportate di seguito.
    1. Scaricare il certificato dallo storage server:
      echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem
    2. Importare il certificato nel truststore del Management Agent. Il truststore del Management Agent dispone di una password facoltativa, definita nel parametro CredentialWalletPassword del file di risposta dell'installazione dell'agente. Di seguito sono riportate le posizioni del truststore agente.
      • Per un Management Agent standalone:
        /opt/oracle/mgmt_agent/agent_inst/config/security/comm/commwallet.jks
      • Per un Management Agent installato come plugin Oracle Cloud Agent (OCA):
        /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/security/comm/commwallet.jks
      Nota

      Se si utilizzano certificati SSL personalizzati con un nome di dominio comune per tutti i server di storage (dove tutti i server di storage utilizzano lo stesso certificato), è necessario importare il certificato solo una volta nel truststore, anche se si utilizza lo stesso Management Agent per monitorare più server di storage.
  • Per utilizzare un truststore personalizzato al di fuori della directory agente, procedere come segue.
    1. Scaricare il certificato dallo storage server:
      echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem
    2. Importare il file nel truststore personalizzato utilizzando il comando seguente:
      keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore [path_to_JKS_truststore_file] -storetype JKS
    Nota

    Se si utilizza un truststore situato al di fuori della directory di installazione dell'agente, ad esempio /etc/pki/ca-trust/extracted/java/cacerts, assicurarsi che l'utente mgmt_agent disponga delle autorizzazioni necessarie per accedere al file truststore cacerts e alle relative directory padre.

Per ulteriori informazioni, vedere Importa certificati per Management Agent.