Configurar o Acesso a Servidores de Armazenamento

Garantir a disponibilidade de um usuário do ExaCLI para acessar e monitorar servidores de armazenamento

O Agente de Gerenciamento usado para estabelecer conexão com os servidores de armazenamento requer credenciais ExaCLI para coletar métricas por meio do ponto final REST do servidor de armazenamento.

Para Infraestrutura Externa do Exadata

Opção Recomendada: É recomendado que você use o usuário cellmonitor pronto para uso.

Opção secundária: Você também tem a opção de criar um novo usuário administrativo ExaCLI. Se você optar por criar um novo usuário administrativo ExaCLI, o novo usuário deverá ser criado em todos os servidores de armazenamento. Além disso, o novo usuário deve ter privilégios list em todos os objetos. Por exemplo:

> ssh root@<storage server>
> cellcli

CellCLI> CREATE ROLE monitor
CellCLI> GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor
CellCLI> CREATE USER mycellmon password=*
CellCLI> GRANT ROLE monitor TO USER mycellmon

Para criar um novo usuário ExaCLI em vários servidores de armazenamento usando o utilitário dcli:

dcli -l <OS User> -c <storage_server_1>,<storage_server_2>,... "cellcli -e CREATE ROLE monitor; cellcli -e GRANT PRIVILEGE list ON ALL OBJECTS ALL ATTRIBUTES WITH ALL OPTIONS TO ROLE monitor; cellcli -e CREATE USER mycellmon password=*; cellcli -e GRANT ROLE monitor TO USER mycellmon"

Para obter informações sobre como:

• Crie um novo usuário administrativo ExaCLI. Consulte Creating Users for Use with ExaCLI no Oracle Exadata Database Machine Maintenance Guide.
• Use o utilitário CellCLI. Consulte Using the CellCLI Utility no Oracle Exadata System Software User's Guide.
• Use o utilitário dcli. Consulte Usando o Utilitário dcli no Guia do Usuário do Software Oracle Exadata System.

Para a Infraestrutura do Oracle Cloud Exadata implantada no ExaDB-D ou ExaDB-C@C

Usar o usuário ExaCLI pré-configurado disponível com o serviço para acessar e monitorar servidores de armazenamento. O usuário pré-configurado é cloud_user_<clustername>, em que <clustername> é o nome do cluster de VMs. Para obter mais informações, consulte:

• Monitorando e Gerenciando Exadata Storage Servers com o ExaCLI na documentação do Exadata Database Service on Dedicated Infrastructure
• Monitorando e Gerenciando Exadata Storage Servers com o ExaCLI na documentação do Exadata Database Service on Cloud@Customer

Garantir a disponibilidade do certificado SSL do servidor de armazenamento no armazenamento confiável do Management Agent

Os certificados SSL são necessários para verificar a identidade dos servidores de armazenamento na Infraestrutura do Exadata para o Agente de Gerenciamento. A comunicação entre os servidores de armazenamento e o Agente de Gerenciamento usa HTTPS e exige que os certificados SSL do servidor de armazenamento estejam presentes no armazenamento confiável do Agente de Gerenciamento.

Antes de importar o certificado SSL do servidor de armazenamento para o armazenamento confiável do Management Agent, é recomendável que você teste o certificado no ponto final REST do servidor de armazenamento no host do agente:

curl -u [cellmonitorUserName:cellmonitoruserpassword] --cacert [certificate file] 'https://[storage_server_name]:[port]/MS/RESTService/?cmd=list+cell'

Por exemplo:

curl -u monitor_user1:monitor_password --cacert ./my_storage_server.pem 'https://my_storage_server:443/MS/RESTService/?cmd=list+cell'

Você pode importar o certificado SSL do servidor de armazenamento para o armazenamento confiável padrão do Management Agent dentro do diretório de instalação do agente ou para um armazenamento confiável personalizado localizado fora do diretório de instalação do agente.

• Para usar a área de armazenamento confiável padrão do Management Agent:
  1. Faça download do certificado do servidor de armazenamento:

     echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem

  2. Importe o certificado para o armazenamento confiável do Management Agent. O armazenamento confiável do Management Agent tem uma senha opcional, que é definida no parâmetro CredentialWalletPassword do arquivo de resposta de instalação do agente. Estes são os locais de armazenamento confiável do agente:
     • Para um Agente de Gerenciamento independente:

       /opt/oracle/mgmt_agent/agent_inst/config/security/comm/commwallet.jks

     • Para um Management Agent instalado como um plug-in do Oracle Cloud Agent (OCA):

       /var/lib/oracle-cloud-agent/plugins/oci-managementagent/polaris/agent_inst/config/security/comm/commwallet.jks

     Observação
     
     Se você estiver usando certificados SSL personalizados com um nome de domínio comum para todos os servidores de armazenamento (em que todos os servidores de armazenamento usam o mesmo certificado), só precisará importar o certificado uma vez para o armazenamento confiável, mesmo que esteja usando o mesmo Agente de Gerenciamento para monitorar vários servidores de armazenamento.
• Para usar uma área de armazenamento confiável personalizada fora do diretório do agente:
  1. Faça download do certificado do servidor de armazenamento:

     echo | openssl s_client -showcerts -servername [storage_server_name] -connect [storage_server_name:port] 2>/dev/null | openssl x509 -out storage_server_certificate.pem

  2. Importe-o para o armazenamento confiável personalizado usando o seguinte comando:

     keytool -importcert -alias [storage_server_name] -file [path_to_storage_server_certificate.pem] -trustcacerts -keystore [path_to_JKS_truststore_file] -storetype JKS

  Observação
  
  Se você usar um armazenamento confiável localizado fora do diretório de instalação do agente, por exemplo, /etc/pki/ca-trust/extracted/java/cacerts, certifique-se de que o usuário mgmt_agent tenha as permissões necessárias para acessar o arquivo de armazenamento confiável cacerts e seus diretórios pai.

Para obter mais informações, consulte Importar Certificados para o Management Agent.