Requisitos previos para implementar una carga de trabajo de Oracle Database

En este documento, se describen los requisitos previos para implementar una carga de trabajo de Oracle Database con Google Cloud Workload Manager.

Primero debes cumplir con los requisitos previos para usar la herramienta de automatización de implementación guiada antes de implementar una carga de trabajo de Oracle Database.

Requisitos	Descripción
Google Cloud Recursos de red	Crea o selecciona una red de VPC y una subred para tu implementación de Oracle Database, y habilita el Acceso privado a Google.
Cuentas de servicio	Crea las cuentas de servicio necesarias para la implementación y asegúrate de que tengan todos los roles necesarios para implementar tu carga de trabajo. Para obtener más información, consulta Cuentas de servicio.
Secretos para la carga de trabajo de Oracle Database	Para almacenar y administrar contraseñas de tu base de datos, debes usar secretos creados con Secret Manager. Para obtener más información, consulta Secretos para la carga de trabajo de Oracle Database.
Cuotas	Asegúrate de tener suficiente cuota de recursos en tu proyecto para implementar la base de datos de Oracle. Para obtener más información, consulta Cuotas.
Bucket de Cloud Storage	Crea un bucket de Cloud Storage en el proyecto en el que deseas alojar los archivos de instalación del software de Oracle. Para obtener más información, consulta Bucket de Cloud Storage.

Red y subred de VPC

Si tu proyecto tiene una red de VPC predeterminada, no la uses para crear una implementación. En su lugar, te recomendamos que crees tu propia red de VPC, de modo que las únicas reglas de firewall vigentes sean las que tú creaste de forma explícita para la red. Crea una red de VPC y una subred, o comunícate con el Google Cloud equipo de redes de tu organización.

Durante el proceso de implementación, Workload Manager crea automáticamente las reglas de firewall necesarias para la implementación.

Habilita el Acceso privado a Google

Para asegurarte de que tu VM pueda acceder a las Google Cloud APIs y los servicios, como Cloud Monitoring, sin necesidad de una ruta de Internet, debes habilitar el Acceso privado a Google para la subred de la VM.

Para obtener información sobre cómo habilitar el Acceso privado a Google, consulta Configuración del Acceso privado a Google.

Cuentas de servicio

Workload Manager usa las siguientes cuentas de servicio para tu implementación de Oracle:

Cuenta de servicio de Workload Manager: Esta cuenta de servicio se usa para otorgar los roles y permisos de IAM necesarios al Workload Manager para crear implementaciones. La cuenta de servicio de Workload Manager requiere los siguientes roles para una implementación de Oracle:

Cuenta de servicio Roles necesarios

Cuenta de servicio	Roles necesarios
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Administrador de Cloud Infrastructure Manager (`roles/config.admin`) Visor de registros (`roles/logging.viewer`) Usuario de la cuenta de servicio (`roles/iam.serviceAccountUser`) Agente de servicio del Administrador de cargas de trabajo (`roles/workloadmanager.serviceAgent`) Descriptor de acceso de secretos de Secret Manager (`roles/secretmanager.secretAccessor`) Visualizador de objetos de Storage (`roles/storage.objectViewer`) Visualizador de la red de Compute (`roles/compute.networkViewer`)

Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com

Administrador de Cloud Infrastructure Manager (roles/config.admin)
Visor de registros (roles/logging.viewer)
Usuario de la cuenta de servicio (roles/iam.serviceAccountUser)
Agente de servicio del Administrador de cargas de trabajo (roles/workloadmanager.serviceAgent)
Descriptor de acceso de secretos de Secret Manager (roles/secretmanager.secretAccessor)
Visualizador de objetos de Storage (roles/storage.objectViewer)
Visualizador de la red de Compute (roles/compute.networkViewer)

Cuenta de servicio administrada por el usuario: Esta cuenta de servicio está conectada a tu implementación y llama a otras APIs y servicios para crear los Google Cloud recursos necesarios para la implementación, como VMs, discos, reglas de firewall y repositorios de Artifact Registry.
Cuenta de servicio de Compute Engine: Esta cuenta de servicio está conectada a las VMs de la base de datos que se crean durante el proceso de implementación.

Precaución: Te recomendamos que crees una cuenta de servicio nueva de Compute Engine. Usar la cuenta de servicio predeterminada de Compute Engine y otorgar acceso a la cuenta a Secret Manager aumenta significativamente el riesgo de seguridad. En su lugar, te recomendamos que crees una cuenta de servicio de un solo propósito y limites el acceso de shell del usuario a las VMs.

Según tu aplicación y configuración, Workload Manager podría solicitarte que otorgues los roles y permisos de IAM faltantes a tu cuenta de servicio.

Secretos para cargas de trabajo de Oracle Database

La herramienta de automatización de implementación guiada usa Secret Manager para almacenar las contraseñas necesarias durante el proceso de implementación, como las contraseñas de las cuentas de usuario. Las contraseñas de texto sin formato están prohibidas de acuerdo con nuestras prácticas recomendadas de Terraform.

Antes de crear una implementación de Oracle Database, crea los siguientes dos secretos:

Secreto para las credenciales de la base de datos de Oracle. Esto incluye contraseñas para SYS y SYSTEM usuarios. Si usas Oracle Multitenant, esto incluye la contraseña del usuario PDBADMIN.
Secreto para las credenciales de supervisión de la base de datos. Si usas Cloud Monitoring, este secreto incluye la contraseña que usa el agente para cargas de trabajo de Compute para autenticar tu base de datos para la recopilación de métricas.

Debes crear secretos en el mismo proyecto en el que implementas la carga de trabajo de Oracle. Para obtener información sobre cómo crear un secreto, consulta Crea un secreto y accede a él con Secret Manager.

Para asegurarte de que los secretos cumplan con los requisitos de contraseña de Oracle, sigue estos lineamientos:

La contraseña debe tener entre 8 y 30 caracteres.
Debe tener al menos una letra en mayúscula.
Debe tener al menos una letra en minúscula.
Debe tener al menos un dígito.
Debe tener al menos un carácter especial (# $ @ % * _ + = -).
No debe contener palabras comunes no permitidas, como "oracle".

Después de una implementación exitosa, puedes modificar o asignar contraseñas nuevas a estos usuarios.

Cuotas

Google Cloud usa cuotas para proteger y controlar la cantidad de recursos que puede usar una cuenta o una organización en particular. Las cargas de trabajo de Oracle Database suelen consumir una gran parte de los recursos. Dado el tamaño de las bases de datos y las aplicaciones, es posible que experimentes problemas de cuota durante el proceso de implementación.

Para evitar problemas de cuota, haz lo siguiente:

Consulta la cuota de recursos disponible para tu proyecto.
Si es necesario, solicita un valor de cuota más alto o comunícate con el administrador del proyecto.

Bucket de Cloud Storage

Crea un bucket de Cloud Storage vacío para alojar los archivos de instalación del software de Oracle durante el proceso de implementación. El bucket debe existir dentro del proyecto en el que creas la implementación.

¿Qué sigue?

Aprende a implementar una carga de trabajo de Oracle Database.