Documentazione dell'infrastruttura Oracle Cloud

Prerequisiti per l'abilitazione dei database autonomi

Ops Insights consente di eseguire raccolte avanzate e di base sui database autonomi tramite un endpoint privato o tramite accesso sicuro da qualsiasi luogo, per abilitare la raccolta dei dati su un Autonomous Database è necessario soddisfare i prerequisiti riportati di seguito.

Database autonomi serverless e dedicati

Di base: non sono richiesti prerequisiti.
Funzioni complete: richiede tre tipi di prerequisiti: generale, per le connessioni basate su credenziali IAM e per le connessioni basate su credenziali locali. Assicurarsi che vengano soddisfatti i prerequisiti generali e i prerequisiti per il tipo di connessione delle credenziali desiderato.
  • Prerequisiti generali: se la rete lo richiede, creare un endpoint privato. Assicurarsi di impostare i requisiti di rete corretti per il database, inclusa la creazione di endpoint privati.
    Nella tabella riportata di seguito vengono descritti i requisiti di rete per tipo di database autonomi.
    Tipo ADB Tipi di accesso Requisiti di rete
    ADB Serverless (ADB-S) Accesso ovunque Nessuna.
    ADB Serverless (ADB-S) Endpoint privato Gli stessi requisiti degli endpoint privati dei database cloud.
    Nota

    Utilizzare la VCN/subnet dell'endpoint privato ADB anziché la VCN/subnet del database
    Per ulteriori informazioni, vedere: Abilitazione dei sistemi Exadata e dei database Cloud Service
    Nota

    Per le connessioni alle credenziali IAM, è necessario utilizzare un endpoint privato abilitato per il proxy DNS per gli Autonomous Database dedicati e gli Autonomous Database condivisi con accesso all'endpoint privato configurato.
    ADB Serverless (ADB-S) ACL (Lista di controllo dell'accesso) limitata L'endpoint privato deve essere posizionato in una delle reti VCN inserite nella lista di inclusione. Questa VCN deve avere accesso all'endpoint ADB pubblico, in genere tramite il gateway del servizio.

    Per ulteriori informazioni, vedere: Configurare le liste di controllo dell'accesso quando si esegue il provisioning o la copia di un'istanza
    ADB sull'infrastruttura dedicata (ADB-D) N/A Stessi requisiti dei database cloud. Per ulteriori informazioni, vedere: Abilitazione dei sistemi Exadata e dei database Cloud Service
    Nota

    Gli Autonomous Database dedicati richiedono un endpoint privato con il proxy DNS abilitato. Gli endpoint privati di Ops Insights creati prima di settembre 2023 non offrivano un proxy DNS. Potrebbe essere necessario creare un nuovo endpoint privato.
    ADB su Exadata Cloud@Customer (ADB-C@C) N/D

    Installare la versione più recente del Management Agent e garantire la connettività di rete per la stringa di connessione.

    Per informazioni su come installare un Management Agent da utilizzare con Ops Insights, vedere OCI: supporto per osservabilità e gestione per Exadata Cloud (ID articolo PNEWS1338)

    Per ulteriori informazioni sull'installazione dei Management Agent, vedere Install Management Agent.

    Assicurarsi che venga creato un utente di monitoraggio del database.

    Per informazioni sulla creazione delle credenziali Management Agent, vedere Credenziali di origine Management Agent.

    Esamina i suggerimenti sulla protezione dei dati: Proteggi il caricamento dei dati di osservabilità on-premise utilizzando Management Gateway.

    .

    Creare un criterio che consenta il principal della risorsa Ops Insights contenente i compartimenti in cui risiedono i database ADB-D abilitati per generare i wallet di Autonomous Database, ad esempio: 
    Allow any-user to read autonomous-database-family in compartment XYZ where
 ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'}
  • Prerequisiti delle credenziali locali: criterio che consente al servizio Ops Insights di leggere il segreto password del database: 
    Allow any-user to read secret-family in tenancy where
ALL{request.principal.type='opsidatabaseinsight', target.vault.id =  'Vault OCID'}

  • Prerequisiti delle credenziali IAM: Ops Insights può utilizzare l'autenticazione basata su IAM per connettersi a un database Oracle Autonomous, il che consente una soluzione più cloud-friendly e sicura. Con Ops Insights puoi scrivere un criterio del principal delle risorse che consente di raccogliere metriche basate su prestazioni e SQL da Autonomous Database (le stesse metriche verranno raccolte tramite questo approccio di autenticazione alternativo).

    Per ulteriori informazioni sulle connessioni basate su IAM, vedere: Informazioni sulla connessione a un'istanza di Autonomous Database mediante IAM.

    Esistono due modi per abilitare le connessioni IAM ai database autonomi, tramite script o manualmente. Ops Insights consiglia di utilizzare il metodo script.

    • Per abilitare le connessioni IAM per i database autonomi utilizzando lo script Ops Insights (metodo consigliato), attenersi alla procedura riportata di seguito.
      1. Creare un gruppo dinamico contenente la risorsa OPSI (ad esempio, iam_admin_dg_grp):
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      2. Eseguire lo script di creazione delle credenziali, disponibile nella nota MOS Creazione delle credenziali di monitoraggio di Autonomous Database per Oracle Cloud Operations Insights (KB95891).
        Nota

        Per creare il tipo di utente di database desiderato, vedere le istruzioni di utilizzo degli script nella parte inferiore della nota MOS.
    • Per abilitare manualmente le connessioni IAM per i database autonomi, effettuare le operazioni riportate di seguito.
      1. Aggiornare Autonomous Database per consentire connessioni basate su IAM:
        BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'OCI_IAM', force => TRUE );
END;
/
# Check if its enabled
SELECT NAME, VALUE , TYPE FROM V$PARAMETER WHERE NAME='identity_provider_type';
      2. Creare un gruppo dinamico contenente la risorsa OPSI (ad esempio, iam_admin_dg_grp):
        All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'}
      3. Creare un ruolo di monitoraggio con i privilegi necessari per creare la sessione e connettersi; nonché i privilegi alle tabelle raccolti da OPSI:
        CREATE ROLE DbTokenRole IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
      4. Creare un nuovo utente del database (globale) e assegnargli il ruolo creato nel passo 3:
        CREATE USER TESTDBUSER IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp';
GRANT CREATE SESSION, CONNECT TO testDbTokenRole;
# Need rest of grants within aforementioned script for OPSI collections to work properly