Oracle 데이터베이스 워크로드 배포를 위한 사전 요건

이 문서에서는 워크로드 관리자를 사용하여 Oracle Database 워크로드를 배포하기 위한 기본 요건을 설명합니다. Google Cloud

Oracle Database 워크로드를 배포하기 전에 먼저 안내 배포 자동화 도구를 사용하기 위한 기본 요건을 충족해야 합니다.

기본 요건	설명
Google Cloud 네트워크 리소스	Oracle Database 배포를 위한 VPC 네트워크 및 서브네트워크를 만들거나 선택하고 비공개 Google 액세스를 사용 설정합니다.
서비스 계정	배포에 필요한 서비스 계정을 만들고 서비스 계정에 워크로드 배포에 필요한 모든 역할이 있는지 확인합니다. 자세한 내용은 서비스 계정을 참조하세요.
Oracle Database 워크로드의 보안 비밀	데이터베이스의 비밀번호를 저장하고 관리하려면 Secret Manager를 사용하여 만든 보안 비밀을 사용해야 합니다. 자세한 내용은 Oracle Database 워크로드의 보안 비밀을 참조하세요.
할당량	프로젝트에 Oracle 데이터베이스를 배포할 수 있는 충분한 리소스 할당량이 있는지 확인합니다. 자세한 내용은 할당량을 참조하세요.
Cloud Storage 버킷	Oracle 소프트웨어 설치 파일을 호스팅하려는 프로젝트에서 Cloud Storage 버킷을 만듭니다. 자세한 내용은 Cloud Storage 버킷을 참조하세요.

VPC 네트워크 및 서브넷

프로젝트에 기본 VPC 네트워크가 있더라도 배포를 만드는 데 사용하지 마세요. 대신 네트워크에 대해 명시적으로 만든 방화벽 규칙만 적용되도록 VPC 네트워크를 직접 만드는 것이 좋습니다. VPC 네트워크 및 서브넷을 만들거나 조직의 네트워킹팀에 Google Cloud 문의하세요.

배포 프로세스 중에 워크로드 관리자는 배포에 필요한 방화벽 규칙을 자동으로 만듭니다.

비공개 Google 액세스 사용 설정

VM이 인터넷 경로 없이 Google Cloud API 및 서비스(예: Cloud Monitoring)에 액세스할 수 있도록 하려면 인터넷 경로 없이 VM의 서브넷에 대해 비공개 Google 액세스를 사용 설정해야 합니다.

비공개 Google 액세스를 사용 설정하는 방법을 알아보려면 비공개 Google 액세스 구성을 참조하세요.

서비스 계정

워크로드 관리자는 Oracle 배포에 다음 서비스 계정을 사용합니다.

워크로드 관리자 서비스 계정: 이 서비스 계정은 배포를 만들기 위해 워크로드 관리자에게 필요한 IAM 역할과 권한을 부여하는 데 사용됩니다. 워크로드 관리자 서비스 계정에는 Oracle 배포에 다음 역할이 필요합니다.

서비스 계정 필요한 역할

서비스 계정	필요한 역할
Service-`PROJECT_ID`@gcp-sa-workloadmanager.iam.gserviceaccount.com	Cloud Infrastructure Manager 관리자 (`roles/config.admin`) 로그 뷰어 (`roles/logging.viewer`) 서비스 계정 사용자 (`roles/iam.serviceAccountUser`) 워크로드 관리자 서비스 에이전트 (`roles/workloadmanager.serviceAgent`) Secret Manager 보안 비밀 접근자 (`roles/secretmanager.secretAccessor`) 스토리지 객체 뷰어 (`roles/storage.objectViewer`) Compute 네트워크 뷰어 (`roles/compute.networkViewer`)

Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com

Cloud Infrastructure Manager 관리자 (roles/config.admin)
로그 뷰어 (roles/logging.viewer)
서비스 계정 사용자 (roles/iam.serviceAccountUser)
워크로드 관리자 서비스 에이전트 (roles/workloadmanager.serviceAgent)
Secret Manager 보안 비밀 접근자 (roles/secretmanager.secretAccessor)
스토리지 객체 뷰어 (roles/storage.objectViewer)
Compute 네트워크 뷰어 (roles/compute.networkViewer)

사용자 관리 서비스 계정: 이 서비스 계정은 배포에 연결되며 다른 API 및 서비스를 호출하여 Google Cloud VM, 디스크, 방화벽 규칙, Artifact Registry 저장소와 같은 배포에 필요한 리소스를 만듭니다.
Compute Engine 서비스 계정: 이 서비스 계정은 배포 프로세스 중에 생성되는 데이터베이스 VM에 연결됩니다.

주의: 새 Compute Engine 서비스 계정을 만드는 것이 좋습니다. Compute Engine 기본 서비스 계정을 사용하고 계정에 Secret Manager 액세스 권한을 부여하면 보안 위험이 크게 증가합니다. 대신 단일 목적 서비스 계정 을 만들고 VM에 대한 사용자의 셸 액세스를 제한하는 것이 좋습니다.

애플리케이션 및 구성에 따라 워크로드 관리자는 서비스 계정에 누락된 IAM 역할과 권한을 부여하라는 메시지를 표시할 수 있습니다.

Oracle Database 워크로드의 보안 비밀

안내 배포 자동화 도구는 Secret Manager 를 사용하여 배포 프로세스 중에 필요한 비밀번호(예: 사용자 계정의 비밀번호) 를 저장합니다. 일반 텍스트 비밀번호는 Terraform 권장사항에 따라 금지됩니다.

Oracle Database 배포를 만들기 전에 다음 두 가지 보안 비밀을 만듭니다.

Oracle 데이터베이스 사용자 인증 정보의 보안 비밀. 여기에는 SYS 및 SYSTEM 사용자의 비밀번호가 포함됩니다. Oracle 멀티테넌트를 사용하는 경우 PDBADMIN 사용자의 비밀번호가 포함됩니다.
데이터베이스 모니터링 사용자 인증 정보의 보안 비밀. Cloud Monitoring을 사용하는 경우 이 보안 비밀에는 Compute 워크로드용 에이전트가 측정항목 수집을 위해 데이터베이스를 인증하는 데 사용하는 비밀번호가 포함됩니다.

Oracle 워크로드를 배포하는 프로젝트와 동일한 프로젝트에서 보안 비밀을 만들어야 합니다. 보안 비밀을 만드는 방법을 알아보려면 Secret Manager를 사용하여 보안 비밀 만들기 및 액세스를 참조하세요.

보안 비밀이 Oracle 비밀번호 요구사항을 충족하는지 확인하려면 다음 가이드라인을 따르세요.

비밀번호는 8~30자여야 합니다.
대문자를 1개 이상 포함해야 합니다.
소문자를 1개 이상 포함해야 합니다.
숫자를 1개 이상 포함해야 합니다.
특수문자 (# $ @ % * _ + = -)를 1개 이상 포함해야 합니다.
'oracle'과 같은 일반적인 금지어는 포함하면 안 됩니다.

배포가 완료되면 이러한 사용자의 비밀번호를 수정하거나 새 비밀번호를 할당할 수 있습니다.

할당량

Google Cloud 은 특정 계정 또는 조직에서 사용할 수 있는 리소스 수를 보호하고 제어하기 위해 할당량을 사용합니다. Oracle Database 워크로드는 리소스의 상당 부분을 소비하는 경우가 많습니다. 데이터베이스 및 애플리케이션의 크기를 고려할 때 배포 프로세스 중에 할당량 문제가 발생할 수 있습니다.

할당량 문제를 방지하려면 다음 단계를 따르세요.

프로젝트에 사용 가능한 리소스 할당량을 확인합니다.
필요한 경우 더 높은 할당량 값을 요청하거나 프로젝트 관리자에게 문의합니다.

Cloud Storage 버킷

Oracle 소프트웨어 설치 파일을 배포 프로세스 중에 호스팅하는 데 사용할 빈 Cloud Storage 버킷을 만듭니다. 버킷은 배포를 만드는 프로젝트 내에 있어야 합니다.

다음 단계

Oracle Database 워크로드를 배포하는 방법을 알아봅니다.