ストレージ・サーバーへのアクセスの設定
データベース管理を使用して監視するストレージ・サーバーへのアクセスを設定するには、特定のタスクを実行する必要があります。
ストレージ・サーバーのユーザー資格証明および管理エージェントのトラストストアにインポートされたSSL証明書がストレージ・サーバーに対してテストされるため、Exadataインフラストラクチャの検出プロセス中にストレージ・サーバーに接続を追加する前に、次のタスクを実行する必要があります。管理エージェントからストレージ・サーバーへの接続を追加できるのは、管理エージェントからストレージ・サーバーにテスト問合せが送信された後のみです。
ExaCLIユーザーがストレージ・サーバーにアクセスして監視できることを確認します。
ストレージ・サーバーへの接続に使用される管理エージェントには、ストレージ・サーバーのRESTエンドポイントを介してメトリックを収集するためのExaCLI資格証明が必要です。
推奨オプション: 即時利用可能なcellmonitorユーザーを使用することをお薦めします。
セカンダリ・オプション: 新しいExaCLI管理ユーザーを作成するオプションもあります。新しいExaCLI管理ユーザーを作成する場合は、すべてのストレージ・サーバーに新しいユーザーを作成する必要があります。また、新しいユーザーには、すべてのオブジェクトに対するlist権限が必要です。次に例を示します。
> ssh root@<storage server>
> cellcli
CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmondcliユーティリティを使用して複数のストレージ・サーバーに新しいExaCLIユーザーを作成するには:
dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"操作の詳細:
- 新しいExaCLI管理ユーザーを作成します。『Oracle Exadata Database Machineメンテナンス・ガイド』のExaCLIで使用するユーザーの作成を参照してください。
- CellCLIユーティリティを使用します。『Oracle Exadata Database Machineユーザーズ・ガイド』のCellCLIユーティリティの使用を参照してください。
dcliユーティリティを使用します。『Oracle Exadata Database Machineユーザーズ・ガイド』のdcliユーティリティの使用を参照してください。
管理エージェント・トラストストアでのストレージ・サーバーのSSL証明書の可用性の確認
SSL証明書は、Exadataインフラストラクチャ内のストレージ・サーバーのアイデンティティを管理エージェントに確認するために必要です。ストレージ・サーバーと管理エージェント間の通信では、HTTPSが使用され、管理エージェントのトラストストアにストレージ・サーバーのSSL証明書が必要です。
ストレージ・サーバーのSSL証明書を管理エージェントのトラストストアにインポートする前に、エージェント・ホストのストレージ・サーバーRESTエンドポイントに対してSSL証明書をテストすることをお薦めします。
curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'たとえば:
curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'ストレージ・サーバーのSSL証明書を管理エージェントのトラストストアにインポートするには:
- ストレージサーバーのSSL証明書を取得します。ストレージ・サーバーから証明書をダウンロードするには:
echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem - ストレージ・サーバーのSSL証明書を管理エージェント・ノードのトラストストアに追加します。管理エージェント・ノードにトラストストアがすでに作成されている場合は、再利用できます。新しいトラストストアを作成するか、既存のトラストストアにSSL証明書を追加するには:
keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore /path/to/truststore -storetype JKS
データベース管理を使用してストレージ・サーバーをモニターするための接続を追加する場合は、トラストストア・ファイルの場所を指定する必要があります。詳細は、ストレージ・サーバーへの接続の追加を参照してください。
すべてのストレージ・サーバーが同じ証明書を使用しているすべてのストレージ・サーバーに共通ドメイン名を持つカスタムSSL証明書を使用している場合、その証明書はトラストストアに1回のみインポートする必要があります(同じ管理エージェントを使用して複数のストレージ・サーバーをモニターする場合)。