Autonomous Databasesを有効にするための前提条件
Ops Insightsでは、プライベート・エンドポイントを介して、または任意の場所からのセキュア・アクセスを介して、Autonomous Databasesで高度な基本的な収集を実行し、Autonomous Databaseでのデータ収集を可能にするために、次の前提条件を満たす必要があります。
サーバーレスおよび専用Autonomous Databases
基本: 前提条件は必要ありません。- 一般的な前提条件: ネットワークで必要な場合は、プライベート・エンドポイントを作成します。プライベート・エンドポイントの作成など、データベースに対して正しいネットワーク要件を設定していることを確認してください。
次の表に、自律型データベースのタイプ別のネットワーク要件の概要を示します。
ADBタイプ アクセス・タイプ ネットワーク要件 ADBサーバーレス(ADB-S) どこからでもアクセス なし ADBサーバーレス(ADB-S) プライベート・エンドポイント クラウド・データベースと同じプライベート・エンドポイント要件。 ノート詳細は、ExadataシステムおよびCloud Serviceデータベースの有効化を参照してください
データベースVCN/サブネットのかわりにADBプライベート・エンドポイントVCN/サブネットを使用しますノート
IAM資格証明接続の場合、プライベート・エンドポイント・アクセスが構成されている専用Autonomous Databasesおよび共有Autonomous Databasesに、DNSプロキシが有効なプライベート・エンドポイントを使用する必要があります。ADBサーバーレス(ADB-S) ACL(アクセス制御リスト)の制限 プライベート・エンドポイントは、ホワイトリストに登録されたVCNsのいずれかに配置する必要があります。このVCNは、通常はサービス・ゲートウェイを介してパブリックADBエンドポイントにアクセスできる必要があります。 詳細は、インスタンスのプロビジョニング時またはクローニング時のアクセス制御リストの構成を参照してください
ADB on Dedicated Infrastructure(ADB-D) N/A クラウド・データベースと同じ要件。詳細は、ExadataシステムおよびCloud Serviceデータベースの有効化を参照してください ノート
専用Autonomous Databasesでは、DNSプロキシが有効になっているプライベート・エンドポイントが必要です。2023年9月より前に作成されたOps Insightsプライベート・エンドポイントでは、DNSプロキシは提供されませんでした。新しいプライベート・エンドポイントを作成する必要がある場合があります。Exadata Cloud@Customer上のADB (ADB-C@C) 該当なし 最新バージョンの管理エージェントをインストールし、接続文字列のネットワーク接続を確認します。
Opsインサイトで使用する管理エージェントのインストール方法の詳細は、「OCI: Exadata Cloudの可観測性および管理サポート(記事ID PNEWS1338)」を参照してください
管理エージェントのインストールの詳細は、管理エージェントのインストールを参照してください。
データベース監視ユーザーが作成されていることを確認します。
管理エージェントの資格証明の作成の詳細は、管理エージェントのソース資格証明を参照してください
データの保護に関する推奨事項を確認します: 管理ゲートウェイを使用したオンプレミスの可観測性データのアップロードの保護。
.有効なADB-Dデータベースが存在するコンパートメントを含むOpsインサイト・リソース・プリンシパルがAutonomous Databaseウォレットを生成できるようにするポリシーを作成します。次に例を示します:Allow any-user to read autonomous-database-family in compartment XYZ where ALL{request.principal.type='opsidatabaseinsight', request.operation='GenerateAutonomousDatabaseWallet'} - ローカル資格証明の前提条件: Opsインサイト・サービスがデータベース・パスワード・シークレットを読み取ることを許可するポリシー:
Allow any-user to read secret-family in tenancy where ALL{request.principal.type='opsidatabaseinsight', target.vault.id = 'Vault OCID'} -
IAM資格証明の前提条件: Ops Insightsでは、IAMベースの認証を使用してOracle Autonomousデータベースに接続できるため、クラウドフレンドリでセキュアなソリューションが可能になります。Opsインサイトでは、Autonomous DatabaseからパフォーマンスおよびSQLベースのメトリックを収集できるようにするリソース・プリンシパル・ポリシーを記述できます(同じメトリックはこの代替認証アプローチを介して収集されます)。
IAMベースの接続の詳細は、IAMを使用したAutonomous Databaseインスタンスへの接続についてを参照してください。
Autonomous DatabasesへのIAM接続を有効にするには、スクリプトまたは手動で2つの方法があります。Ops Insightsでは、スクリプト・メソッドを使用することを強くお薦めします。
- Opsインサイト・スクリプト(推奨方法)を使用してAutonomous DatabasesのIAM接続を有効にするには、次のステップに従います:
- OPSIリソースを含む動的グループを作成します(たとえば、
iam_admin_dg_grp)。All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'} - MOSノート「Oracle Cloud Operations Insights (KB95891)のAutonomous Databaseモニタリング資格証明の作成」にある資格証明作成スクリプトを実行します。
ノート
目的のデータベース・ユーザー・タイプの作成については、MOSノートの下部にあるスクリプトの使用手順を参照してください。
- OPSIリソースを含む動的グループを作成します(たとえば、
- Autonomous DatabasesでIAM接続を手動で有効にするには、次のステップに従います:
- IAMベースの接続を許可するようにAutonomous Databaseを更新します:
BEGIN DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION( type => 'OCI_IAM', force => TRUE ); END; / # Check if its enabled SELECT NAME, VALUE , TYPE FROM V$PARAMETER WHERE NAME='identity_provider_type'; - OPSIリソースを含む動的グループを作成します(たとえば、
iam_admin_dg_grp)。All {instance.compartment.id = '<compartmentid>', request.principal.type='opsidatabaseinsight'} - セッションおよび接続の作成に必要な権限がある監視ロールと、OPSIが収集する表への権限も作成します。
CREATE ROLE DbTokenRole IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp'; - 新しいデータベース・ユーザー(グローバル)を作成し、ステップ3で作成したロールを割り当てます。
CREATE USER TESTDBUSER IDENTIFIED GLOBALLY AS 'IAM_GROUP_NAME=iam_admin_dg_grp'; GRANT CREATE SESSION, CONNECT TO testDbTokenRole; # Need rest of grants within aforementioned script for OPSI collections to work properly
- IAMベースの接続を許可するようにAutonomous Databaseを更新します:
- Opsインサイト・スクリプト(推奨方法)を使用してAutonomous DatabasesのIAM接続を有効にするには、次のステップに従います: