Tarefas pós-implementação para cargas de trabalho da base de dados Oracle

Antes de usar a base de dados Oracle implementada, recomendamos que execute as tarefas de pós-implementação descritas neste documento.

Reveja a implementação

Depois de implementar com êxito uma carga de trabalho da base de dados Oracle, pode rever a configuração e o resultado da implementação no painel de controlo.

Reveja os recursos de implementação

Para rever os recursos criados durante a implementação:

Na Google Cloud consola, aceda à página Gestor de cargas de trabalho.

Aceda ao Workload Manager
No painel de navegação do lado esquerdo, clique em Implementações para abrir o painel de controlo de implementação.
Selecione o nome da implementação para abrir a página Informações de implementação.
Clique no separador Resultado da implementação para ver uma lista de todos os recursos que foram criados durante a implementação, o tipo de recurso e um link para o recurso (se aplicável).

Reveja a configuração da implementação

Para rever a configuração da implementação:

Na Google Cloud consola, aceda à página Workload Manager.

Aceda ao Workload Manager
No painel de navegação do lado esquerdo, clique em Implementações para abrir o painel de controlo de implementação.
Selecione o nome da implementação para abrir a página Informações de implementação.
Clique no separador Detalhes para ver as informações que introduziu para a configuração inicial da implementação.

Modifique a implementação

O Workload Manager não suporta a modificação de uma implementação que foi implementada através da Google Cloud consola. Tem de criar uma nova implementação com as definições e as configurações necessárias. Em seguida, pode eliminar a implementação de que não precisa.

Pode modificar um recurso, como uma VM, que foi criado durante o processo de implementação.

Elimine a conta de serviço associada à implementação

Depois de a implementação ser concluída com êxito, pode eliminar a conta de serviço gerida pelo utilizador que associou à implementação durante o processo de implementação.

Antes de eliminar a conta de serviço, pode confirmar o nome da conta de serviço revendo o campo Conta de serviço no separador Detalhes da implementação na página Informações de implementação.

Em alternativa, pode manter a conta de serviço gerida pelo utilizador.

Valide a implementação da carga de trabalho da base de dados Oracle

Depois de configurar e implementar a carga de trabalho da base de dados Oracle, execute as seguintes tarefas para verificar se a implementação foi bem-sucedida:

Estabeleça ligação à VM através do SSH
Execute os comandos SSH para validar uma implementação

Depois de validar a implementação, ligue-se à base de dados Oracle através dos métodos padrão.

Estabeleça ligação à VM através do SSH

Para ver registos adicionais ou executar comandos de validação nas VMs criadas durante a implementação, tem de estabelecer ligação às VMs através de SSH.

Se não configurou endereços IP externos durante o processo de implementação, use o SSH para estabelecer uma ligação com uma VM na mesma rede que tenha um endereço IP externo e, em seguida, ligue-se diretamente às outras VMs. Para mais informações, consulte o artigo Estabeleça ligação a VMs do Linux através de um anfitrião bastion.

Execute os comandos para validar uma implementação

Para validar a implementação da base de dados Oracle, execute os seguintes comandos na VM respetiva na sua implementação:

sudo su - oracle
sqlplus -s / as sysdba <<< 'select instance_name, status from v$instance;'

Se a base de dados estiver em execução, o comando devolve status como OPEN.

Associe à sua base de dados Oracle

Esta secção descreve como aceder à sua base de dados Oracle implementada.

Credenciais da base de dados de acesso

Para aceder às credenciais da base de dados usadas para a implementação, faça o seguinte:

Na Google Cloud consola, navegue para a página Workload Manager e reveja a configuração da implementação.
No separador Detalhes da implementação, verifique o valor apresentado para Nome secreto das credenciais da base de dados.
Navegue para o Secret Manager no seu Google Cloud projeto e, de seguida, selecione o segredo que forneceu para a base de dados e a aplicação.
Para ver a palavra-passe, veja o valor secreto.

Ligue-se remotamente à base de dados Oracle

Para estabelecer ligação à sua base de dados Oracle, faça o seguinte:

Recolha as seguintes informações:
- Nome do anfitrião da VM da base de dados
- Nome da base de dados
- Nome do serviço da sua base de dados
- Google Cloud ID do projeto que contém a sua VM de base de dados
- Zona da VM da base de dados
- Nome de utilizador da base de dados. Se estiver a usar o Oracle Multitenant, o nome de utilizador é PDBADMIN. Caso contrário, o nome de utilizador é SYSTEM.
- Palavra-passe da base de dados. Pode obter a palavra-passe através do segredo. Consulte o artigo Aceda às credenciais da base de dados.
Transfira e instale um cliente de base de dados, como o Oracle SQL Developer.
No cliente da base de dados, crie uma nova ligação com as seguintes informações:
- Tipo de base de dados: Oracle
- Nome de utilizador e palavra-passe
- Nome do serviço: se estiver a usar o Oracle multitenant, o nome do serviço é PDB. Caso contrário, é o próprio nome da base de dados.
Se a máquina cliente da base de dados tiver conetividade direta com a VM da base de dados (por exemplo, se estiver na mesma rede VPC), use o nome de anfitrião da VM da base de dados como o nome de anfitrião.

Caso contrário, configure o encaminhamento de portas SSH. Neste caso, o nome do anfitrião é localhost.
```
gcloud compute ssh VM_NAME --project=PROJECT_ID --zone=ZONE -- -L 1521:localhost:1521 -N
```
Substitua o seguinte:
- VM_NAME: o nome da VM da base de dados.
- PROJECT_ID: o ID do seu projeto do Google Cloud Google Cloud que contém a VM da base de dados.
- ZONE: a zona da VM da base de dados.
Clique em Ligar.
Para abrir uma folha de cálculo SQL, no painel esquerdo, clique duas vezes no nome da base de dados.

Restrinja o acesso à Internet das VMs de base de dados

Quando cria uma implementação da base de dados Oracle, a ferramenta de automatização da implementação guiada cria a VM da base de dados com um endereço IP externo para a configuração inicial. Esta configuração pode criar um risco de segurança contínuo ao expor a VM à Internet pública. Esta secção descreve como pode ajudar a proteger a sua VM após a implementação e garantir que mantém o acesso a serviços Google Cloud críticos, como o Cloud Monitoring, e estabelecer um plano para a manter atualizada.

Para restringir o acesso à Internet da VM da base de dados e protegê-la, faça o seguinte:

Ative o acesso privado à Google.

Antes de remover o endereço IP externo, tem de ativar o acesso privado à Google para a sub-rede da VM. O acesso privado à Google garante que, após a remoção do endereço IP externo, a VM continua a poder comunicar com APIs e serviços, como o Cloud Monitoring, sem precisar de uma rota de Internet. Google Cloud

Para ativar o acesso privado Google para a sua sub-rede, faça o seguinte:
```
 gcloud compute networks subnets update SUBNET_NAME 

 --region=REGION 

 --enable-private-ip-google-access
 
```
Substitua o seguinte:
- SUBNET_NAME: o nome da sua sub-rede da VPC.
- REGION: a região da sua sub-rede de VPC.
Remova o endereço IP externo.

Com o acesso privado à Google ativado, já pode remover em segurança o acesso direto da VM à Internet pública, isolando a VM de todo o tráfego de Internet de entrada.

Para remover o endereço IP externo, faça o seguinte:
1. Obtenha o nome da configuração de acesso. Por exemplo, External NAT.
```
 gcloud compute instances describe VM_NAME --zone=ZONE
 
```
  Substitua o seguinte:
  - VM_NAME: o nome da VM da base de dados.
  - ZONE: a zona da VM da base de dados.
    
    Segue-se um exemplo de resultado:
```
networkInterfaces:
‐ accessConfigs:
 ‐ kind: compute#accessConfig
   name: external-nat
   natIP: 203.0.113.1
   type: ONE_TO_ONE_NAT
```
2. Use o nome da configuração de acesso para eliminar o IP externo.
```
 gcloud compute instances delete-access-config VM_NAME 

 --zone=ZONE 

 --access-config-name="ACCESS_CONFIG_NAME"
 
```
  Substitua o seguinte:
  - VM_NAME: o nome da VM da base de dados.
  - ZONE: a zona da VM da base de dados.
  - ACCESS_CONFIG_NAME: o nome da configuração de acesso que obteve no passo 1.
A VM é agora privada. Consegue aceder às APIs e aos serviços Google, mas não consegue aceder à Internet pública, incluindo yum.oracle.com.
Estabeleça um caminho para as atualizações do SO.

Para permitir que a VM agora privada obtenha atualizações do SO da Oracle, pode escolher um dos seguintes métodos para fornecer uma nova rota de saída.
- Opção 1: use o Cloud NAT.
  
  Isto permite que a VM privada inicie ligações apenas de saída para qualquer endereço de Internet, incluindo repositórios YUM da Oracle. A VM continua protegida contra ligações de entrada.
  
  Para configurar o Cloud NAT, faça o seguinte:
  1. Crie um Cloud Router.
```
 gcloud compute routers create ROUTER_NAME 

 --network=NETWORK 

 --region=REGION
 
```
    Substitua o seguinte:
    - ROUTER_NAME: um nome para o router.
    - NETWORK: o nome da sua rede VPC.
    - REGION: a região na qual quer criar o router.
  2. Configure o Cloud NAT no router.
```
 gcloud compute routers nats create NAT_CONFIG 

 --router=ROUTER_NAME 

 --region=REGION 

 --auto-allocate-nat-external-ips 

 --nat-all-subnets-ip-ranges
 
```
    Substitua o seguinte:
    - NAT_CONFIG: um nome para a configuração do Cloud NAT.
    - ROUTER_NAME: o nome do seu Cloud Router.
    - REGION: a região onde quer usar a gateway do Cloud NAT.
- Opção 2: (recomendada) use uma replicação do repositório.
  
  A utilização de uma replicação do repositório impede todo o acesso direto à Internet para a VM. Configura a VM para extrair atualizações de um repositório interno, como um repositório remoto do Artifact Registry. Esta solução baseia-se no acesso privado à Google que ativou no Passo 1: ative o acesso privado à Google para alcançar os pontos finais do serviço de registo de artefactos privados.
- Opção 3: use um servidor proxy HTTP/HTTPS.
  
  Pode usar um servidor proxy central e gerido para encaminhar todo o tráfego Web de saída, ativar o registo centralizado e a filtragem detalhada (por exemplo, para adicionar à lista de autorizações apenas yum.oracle.com).
  
  Para configurar um servidor proxy, edite o ficheiro /etc/yum.conf e atualize a definição proxy=. O próprio servidor proxy precisa de um caminho de Internet de saída, idealmente, através do Cloud NAT, conforme descrito na Opção 1.
Desenvolva um plano de atualizações regulares.

Com um caminho de acesso estabelecido, tem de implementar um processo para atualizar regularmente o SO e a base de dados.
- Para o Oracle Linux (SO): defina um período de manutenção regular (por exemplo, mensal ou trimestral) para executar a atualização yum nas suas VMs. Isto usa o novo caminho (Cloud NAT, Artifact Registry ou servidor proxy) que configurou no Passo 3 Estabeleça um caminho para as atualizações do SO para aplicar as correções de erros e patches de segurança ao nível do SO mais recentes.
- Para a base de dados Oracle: os patches da base de dados (atualizações de lançamentos ou RUs) são aplicados através do utilitário opatch e não do YUM. O seu plano tem de ter em conta o seguinte:
  - Usar o novo caminho de saída (Cloud NAT ou servidor proxy) para transferir conjuntos de patches do apoio técnico da Oracle.
  - Agendar um período de descanso para aplicar estas correções através do opatch.
  - Aplicar patches regularmente (por exemplo, trimestralmente) para manter a base de dados alinhada com os níveis de patches recomendados da Oracle.

Veja as métricas da base de dados Oracle

Se ativou a monitorização na sua base de dados durante o processo de implementação, pode ver as métricas suportadas. Consulte o artigo Veja as métricas.

Passos seguintes após a implementação

Os passos seguintes após a implementação inicial dependem do seu exemplo de utilização e dos procedimentos padrão. Recomendamos que execute algumas das seguintes tarefas antes de usar a base de dados Oracle:

Crie utilizadores adicionais e conceda os privilégios adequados para o acesso de clientes da base de dados. Documentação da Oracle
Crie espaços de tabelas para dados de aplicações e configure espaços de tabelas predefinidos do utilizador. Documentação da Oracle
Ative a auditoria para acompanhar e registar as ações da base de dados para fins de segurança e conformidade documentação da Oracle
Migrar dados de bases de dados existentes. Documento técnico da Oracle
Configure a conetividade ao nível da rede para clientes de bases de dados. Considere usar ferramentas como o intercâmbio da rede da VPC, a VPC partilhada, o Network Connectivity Center e a VPN do Google Cloud.
Implemente uma estratégia de recuperação e cópia de segurança robusta. Documentação da Oracle
Faça atualizações regulares da base de dados e das aplicações Oracle e do Oracle Linux para garantir a segurança.