Voraussetzungen für die Bereitstellung einer Oracle Database-Arbeitslast

In diesem Dokument werden die Voraussetzungen für die Bereitstellung einer Oracle Database-Arbeitslast mit dem Arbeitslastmanager Google Cloud beschrieben.

Sie müssen zuerst die Voraussetzungen für die Verwendung des Tools für die geführte Bereitstellungsautomatisierung erfüllen, bevor Sie eine Oracle Database-Arbeitslast bereitstellen.

Voraussetzungen	Beschreibung
Google Cloud Netzwerkressourcen	Erstellen oder wählen Sie ein VPC-Netzwerk und ein Subnetzwerk für Ihre Oracle Database-Bereitstellung aus und aktivieren Sie den privaten Google-Zugriff.
Dienstkonten	Erstellen Sie die erforderlichen Dienstkonten für die Bereitstellung und prüfen Sie, ob die Dienstkonten alle Rollen haben, die für die Bereitstellung Ihrer Arbeitslast erforderlich sind. Weitere Informationen finden Sie unter Dienstkonten.
Secrets für Oracle Database-Arbeitslasten	Zum Speichern und Verwalten von Passwörtern für Ihre Datenbank müssen Sie Secrets verwenden, die mit Secret Manager erstellt wurden. Weitere Informationen finden Sie unter Secrets für Oracle Database-Arbeitslasten.
Kontingente	Prüfen Sie, ob in Ihrem Projekt ein ausreichendes Ressourcenkontingent für die Bereitstellung der Oracle-Datenbank vorhanden ist. Weitere Informationen finden Sie unter Kontingente.
Cloud Storage-Bucket	Erstellen Sie einen Cloud Storage-Bucket in dem Projekt, in dem Sie Ihre Oracle-Softwareinstallationsdateien hosten möchten. Weitere Informationen finden Sie unter Cloud Storage-Bucket.

VPC-Netzwerk und Subnetz

Wenn Ihr Projekt ein Standard-VPC-Netzwerk hat, verwenden Sie es nicht für die Erstellung einer Bereitstellung. Stattdessen empfehlen wir, ein eigenes VPC-Netzwerk zu erstellen, sodass nur die Firewallregeln gelten, die Sie explizit für das Netzwerk erstellen. Erstellen Sie ein VPC-Netzwerk und ein Subnetz oder wenden Sie sich an das Google Cloud Netzwerkteam Ihrer Organisation.

Während der Bereitstellung erstellt der Arbeitslastmanager automatisch die erforderlichen Firewallregeln für die Bereitstellung.

Privaten Google-Zugriff aktivieren

Damit Ihre VM auf Google Cloud APIs und Dienste wie Cloud Monitoring zugreifen kann, ohne eine Internetroute zu benötigen, müssen Sie den privater Google-Zugriff für das Subnetz der VM aktivieren.

Informationen zum Aktivieren des privater Google-Zugriff, finden Sie unter Privaten Google-Zugriff konfigurieren.

Dienstkonten

Der Arbeitslastmanager verwendet die folgenden Dienstkonten für Ihre Oracle-Bereitstellung:

Dienstkonto des Arbeitslastmanagers: Mit diesem Dienstkonto werden dem Arbeitslastmanager die erforderlichen IAM-Rollen und ‑Berechtigungen für die Erstellung von Bereitstellungen gewährt. Das Dienstkonto des Arbeitslastmanagers erfordert die folgenden Rollen für eine Oracle-Bereitstellung:

Dienstkonto Erforderliche Rollen

Dienstkonto	Erforderliche Rollen
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Cloud Infrastructure Manager-Administrator (`roles/config.admin`) Loganzeige (`roles/logging.viewer`) Dienstkontonutzer (`roles/iam.serviceAccountUser`) Dienst-Agent des Arbeitslastmanagers (`roles/workloadmanager.serviceAgent`) Zugriffsperson für Secret Manager-Secret (`roles/secretmanager.secretAccessor`) Storage-Objekt-Betrachter (`roles/storage.objectViewer`) Compute-Netzwerkbetrachter (`roles/compute.networkViewer`)

Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com

Cloud Infrastructure Manager-Administrator (roles/config.admin)
Loganzeige (roles/logging.viewer)
Dienstkontonutzer (roles/iam.serviceAccountUser)
Dienst-Agent des Arbeitslastmanagers (roles/workloadmanager.serviceAgent)
Zugriffsperson für Secret Manager-Secret (roles/secretmanager.secretAccessor)
Storage-Objekt-Betrachter (roles/storage.objectViewer)
Compute-Netzwerkbetrachter (roles/compute.networkViewer)

Vom Nutzer verwaltetes Dienstkonto: Dieses Dienstkonto ist an Ihre Bereitstellung angehängt und ruft andere APIs und Dienste auf, um die Google Cloud für die Bereitstellung erforderlichen Ressourcen zu erstellen, z. B. VMs, Laufwerke, Firewallregeln und Artifact Registry-Repositories.
Compute Engine-Dienstkonto: Dieses Dienstkonto ist an die Datenbank-VMs angehängt, die während der Bereitstellung erstellt werden.

Achtung: Wir empfehlen, ein neues Compute Engine-Dienstkonto zu erstellen. Wenn Sie das Compute Engine-Standarddienstkonto verwenden und dem Konto Zugriff auf Secret Manager gewähren, erhöht sich das Sicherheitsrisiko erheblich. Stattdessen empfehlen wir, ein Dienstkonto für einen einzigen Zweck zu erstellen und den Shell-Zugriff des Nutzers auf VMs zu beschränken.

Je nach Anwendung und Konfiguration werden Sie vom Arbeitslastmanager möglicherweise aufgefordert, Ihrem Dienstkonto fehlende IAM-Rollen und ‑Berechtigungen zu gewähren.

Secrets für Oracle Database-Arbeitslasten

Das Tool für die geführte Bereitstellungsautomatisierung verwendet Secret Manager um Passwörter zu speichern, die während der Bereitstellung benötigt werden, z. B. die Passwörter für Nutzerkonten. Passwörter im Klartext sind gemäß unseren Best Practices für Terraform nicht zulässig.

Erstellen Sie vor der Bereitstellung einer Oracle Database-Bereitstellung die folgenden beiden Secrets:

Secret für Oracle-Datenbankanmeldedaten. Dazu gehören Passwörter für die Nutzer SYS und SYSTEM. Wenn Sie Oracle Multitenant verwenden, enthält dieses Secret das Passwort für den Nutzer PDBADMIN.
Secret für Anmeldedaten für das Datenbankmonitoring. Wenn Sie Cloud Monitoring verwenden, enthält dieses Secret das Passwort, das vom Agent für Compute-Arbeitslasten verwendet wird, um Ihre Datenbank für die Messwerterfassung zu authentifizieren.

Sie müssen Secrets in demselben Projekt erstellen, in dem Sie die Oracle-Arbeitslast bereitstellen. Informationen zum Erstellen eines Secrets finden Sie unter Secret mit Secret Manager erstellen und darauf zugreifen.

Damit die Secrets die Oracle-Passwortanforderungen erfüllen, folgen Sie diesen Richtlinien:

Das Passwort muss zwischen 8 und 30 Zeichen lang sein.
Es muss mindestens einen Großbuchstaben enthalten.
Es muss mindestens einen Kleinbuchstaben enthalten.
Es muss mindestens eine Ziffer enthalten.
Es muss mindestens ein Sonderzeichen enthalten (# $ @ % * _ + = -).
Es darf keine häufig verwendeten unzulässigen Wörter wie „oracle“ enthalten.

Nach der erfolgreichen Bereitstellung können Sie diese Passwörter ändern oder neue Passwörter zuweisen.

Kontingente

Google Cloud verwendet Kontingente, um die Anzahl der Ressourcen zu schützen und zu steuern, die von einem bestimmten Konto oder einer bestimmten Organisation verwendet werden können. Oracle Database-Arbeitslasten verbrauchen oft einen großen Teil der Ressourcen. Angesichts der Größe der Datenbanken und Anwendungen können während der Bereitstellung Kontingentprobleme auftreten.

So vermeiden Sie Kontingentprobleme:

Sehen Sie sich das verfügbare Ressourcenkontingent für Ihr Projekt an.
Fordern Sie bei Bedarf einen höheren Kontingentwert an oder wenden Sie sich an Ihren Projektadministrator.

Cloud Storage-Bucket

Erstellen Sie einen leeren Cloud Storage-Bucket der während der Bereitstellung zum Hosten der Oracle-Softwareinstallationsdateien verwendet werden soll Prozess. Der Bucket muss in dem Projekt vorhanden sein, in dem Sie die Bereitstellung erstellen.

Nächste Schritte

Informationen zum Bereitstellen einer Oracle Database-Arbeitslast.