Garantire la disponibilità di un utente ExaCLI per accedere e monitorare gli storage server

Il Management Agent utilizzato per connettersi agli storage server richiede le credenziali ExaCLI per raccogliere le metriche tramite l'endpoint REST dello storage server.

Opzione consigliata: si consiglia di utilizzare l'utente cellmonitor predefinito.

Opzione secondaria: è possibile anche creare un nuovo utente amministrativo ExaCLI. Se si sceglie di creare un nuovo utente amministrativo ExaCLI, è necessario creare il nuovo utente in tutti gli storage server. Inoltre, il nuovo utente deve disporre dei privilegi list su tutti gli oggetti. Ad esempio:

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

Per creare un nuovo utente ExaCLI in più storage server mediante la utility dcli:

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Per informazioni su come:

• Creare un nuovo utente amministrativo ExaCLI. Vedere Creating Users for Use with ExaCLI in Oracle Exadata Database Machine Maintenance Guide.
• Utilizzare la utility CellCLI, vedere Using the CellCLI Utility in Oracle Exadata System Software User's Guide.
• Utilizzare la utility dcli, vedere Using the dcli Utility in Oracle Exadata System Software User's Guide.

Garantire la disponibilità del certificato SSL dello storage server nel truststore del Management Agent

I certificati SSL sono necessari per confermare l'identità degli storage server nell'infrastruttura Exadata al Management Agent. La comunicazione tra gli storage server e il Management Agent utilizza HTTPS e richiede i certificati SSL degli storage server nel truststore del Management Agent.

Prima di importare il certificato SSL del server di storage nel truststore del Management Agent, si consiglia di eseguire il test del certificato SSL sull'endpoint REST dello storage server nell'host agente:

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Ad esempio:

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

Per importare il certificato SSL dello storage server nel truststore del Management Agent, effettuare le operazioni riportate di seguito.

1. Ottenere il certificato SSL dello storage server. Per scaricare il certificato dagli storage server:

   echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem

2. Aggiungere il certificato SSL del server di storage a un truststore nel nodo Management Agent. Se è già stato creato un truststore nel nodo Management Agent, è possibile riutilizzarlo. Per creare un nuovo truststore o aggiungere il certificato SSL a un truststore esistente, effettuare le operazioni riportate di seguito.

   keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore /path/to/truststore -storetype JKS

Quando si aggiunge una connessione per monitorare lo storage server mediante Gestione database, è necessario fornire la posizione del file del truststore. Per informazioni, vedere Aggiungere connessioni ai server di storage.

Tenere presente che se si utilizzano certificati SSL personalizzati con un nome di dominio comune per tutti gli storage server, in cui tutti gli storage server utilizzano lo stesso certificato, è necessario importare tale certificato una sola volta nel truststore (se si utilizza lo stesso Management Agent per monitorare più storage server).