Conditions préalables au déploiement d'une charge de travail Oracle Database

Ce document décrit les conditions préalables au déploiement d'une charge de travail Oracle Database sur Google Cloud à l'aide du gestionnaire de charges de travail.

Avant de déployer une charge de travail Oracle Database, vous devez d'abord remplir les conditions préalables pour utiliser l'outil d'automatisation du déploiement guidé.

Conditions préalables	Description
Google Cloud ressources réseau	Créez ou sélectionnez un réseau et un sous-réseau VPC pour votre déploiement Oracle Database, puis activez l'accès privé à Google.
Comptes de service	Créez les comptes de service requis pour le déploiement et assurez-vous qu'ils disposent de tous les rôles nécessaires au déploiement de votre charge de travail. Pour en savoir plus, consultez Comptes de service.
Secrets pour la charge de travail Oracle Database	Pour stocker et gérer les mots de passe de votre base de données, vous devez utiliser des secrets créés avec Secret Manager. Pour en savoir plus, consultez Secrets pour la charge de travail Oracle Database.
Quotas	Assurez-vous de disposer d'un quota de ressources suffisant dans votre projet pour déployer la base de données Oracle. Pour en savoir plus, consultez Quotas.
Bucket Cloud Storage	Créez un bucket Cloud Storage dans le projet dans lequel vous souhaitez héberger vos fichiers d'installation du logiciel Oracle. Pour en savoir plus, consultez Bucket Cloud Storage.

Réseau et sous-réseau VPC

Si votre projet dispose d'un réseau VPC par défaut, ne l'utilisez pas pour créer un déploiement. À la place, nous vous recommandons de créer votre propre réseau VPC afin que les seules règles de pare-feu appliquées soient celles que vous créez explicitement pour le réseau. Créez un réseau VPC et un sous-réseau, ou contactez l'équipe réseau de votre organisation Google Cloud .

Lors du processus de déploiement, Workload Manager crée automatiquement les règles de pare-feu nécessaires au déploiement.

Activer l'accès privé à Google

Pour vous assurer que votre VM peut accéder aux API et services Google Cloud , tels que Cloud Monitoring, sans avoir besoin d'une route Internet, vous devez activer l'accès privé à Google pour le sous-réseau de la VM.

Pour savoir comment activer l'accès privé à Google, consultez Configuration de l'accès privé à Google.

Comptes de service

Workload Manager utilise les comptes de service suivants pour votre déploiement Oracle :

Compte de service Workload Manager : ce compte de service est utilisé pour accorder les rôles et autorisations IAM requis à Workload Manager pour créer des déploiements. Le compte de service Workload Manager nécessite les rôles suivants pour un déploiement Oracle :

Compte de service Rôles requis

Compte de service	Rôles requis
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Administrateur Cloud Infrastructure Manager (`roles/config.admin`) Visionneuse de journaux (`roles/logging.viewer`) Utilisateur du compte de service (`roles/iam.serviceAccountUser`) Agent de service du gestionnaire de charges de travail (`roles/workloadmanager.serviceAgent`) Accesseur de secrets Secret Manager (`roles/secretmanager.secretAccessor`) Lecteur des objets de l'espace de stockage (`roles/storage.objectViewer`) Lecteur de réseau Compute (`roles/compute.networkViewer`)

Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com

Administrateur Cloud Infrastructure Manager (roles/config.admin)
Visionneuse de journaux (roles/logging.viewer)
Utilisateur du compte de service (roles/iam.serviceAccountUser)
Agent de service du gestionnaire de charges de travail (roles/workloadmanager.serviceAgent)
Accesseur de secrets Secret Manager (roles/secretmanager.secretAccessor)
Lecteur des objets de l'espace de stockage (roles/storage.objectViewer)
Lecteur de réseau Compute (roles/compute.networkViewer)

Compte de service géré par l'utilisateur : ce compte de service est associé à votre déploiement. Il appelle d'autres API et services pour créer les ressources Google Cloud nécessaires au déploiement, telles que les VM, les disques, les règles de pare-feu et les dépôts Artifact Registry.
Compte de service Compute Engine : ce compte de service est associé aux VM de base de données créées lors du processus de déploiement.

Attention : Nous vous recommandons de créer un compte de service Compute Engine. L'utilisation du compte de service Compute Engine par défaut et l'octroi d'un accès à Secret Manager à ce compte augmentent considérablement le risque pour la sécurité. Nous vous recommandons plutôt de créer un compte de service à usage unique et de limiter l'accès utilisateur au shell des VM.

En fonction de votre application et de votre configuration, Workload Manager peut vous inviter à accorder les rôles et autorisations IAM manquants à votre compte de service.

Secrets pour les charges de travail Oracle Database

L'outil d'automatisation du déploiement guidé utilise Secret Manager pour stocker les mots de passe nécessaires lors du processus de déploiement, tels que les mots de passe des comptes utilisateur. Les mots de passe en texte clair sont interdits conformément à nos bonnes pratiques Terraform.

Avant de créer un déploiement de base de données Oracle, créez les deux secrets suivants :

Secret pour les identifiants de la base de données Oracle. Cela inclut les mots de passe des utilisateurs SYS et SYSTEM. Si vous utilisez Oracle Multitenant, cela inclut le mot de passe de l'utilisateur PDBADMIN.
Secret pour les identifiants de surveillance de la base de données. Si vous utilisez Cloud Monitoring, ce secret inclut le mot de passe utilisé par l'agent pour les charges de travail de calcul afin d'authentifier votre base de données pour la collecte de métriques.

Vous devez créer des secrets dans le projet dans lequel vous déployez la charge de travail Oracle. Pour savoir comment créer un secret, consultez Créer un secret et y accéder à l'aide de Secret Manager.

Pour vous assurer que les secrets répondent aux exigences relatives aux mots de passe Oracle, suivez ces consignes :

Le mot de passe doit comporter entre 8 et 30 caractères.
Doit contenir au moins une lettre majuscule.
Doit contenir au moins une lettre minuscule.
Doit contenir au moins un chiffre.
Doit contenir au moins un caractère spécial (# $ @ % * _ + = -).
Ne doit pas contenir de mots courants non autorisés, tels que "oracle".

Une fois le déploiement effectué, vous pouvez modifier ou attribuer de nouveaux mots de passe à ces utilisateurs.

Quotas

Google Cloud utilise des quotas pour protéger et contrôler le nombre de ressources qu'un compte ou une organisation spécifiques peuvent utiliser. Les charges de travail Oracle Database consomment souvent une grande partie des ressources. Compte tenu de la taille des bases de données et des applications, vous pouvez rencontrer des problèmes de quota lors du déploiement.

Pour éviter les problèmes de quota, procédez comme suit :

Affichez le quota de ressources disponibles pour votre projet.
Si nécessaire, demandez une valeur de quota plus élevée ou contactez l'administrateur de votre projet.

Bucket Cloud Storage

Créez un bucket Cloud Storage vide qui servira à héberger les fichiers d'installation du logiciel Oracle lors du processus de déploiement. Le bucket doit exister dans le projet dans lequel vous créez le déploiement.

Étapes suivantes

Découvrez comment déployer une charge de travail Oracle Database.