本文档介绍了在 Google Cloud 上使用 Workload Manager 部署 Oracle 数据库工作负载的前提条件。
在部署 Oracle 数据库工作负载之前,您必须先满足使用引导式部署自动化工具的前提条件。
| 前提条件 | 说明 |
|---|---|
| Google Cloud 网络资源 | 为 Oracle Database 部署创建或选择 VPC 网络和子网,并启用专用 Google 访问通道。 |
| 服务账号 | 为部署创建所需的服务账号,并确保这些服务账号具有部署工作负载所需的所有角色。 如需了解详情,请参阅服务账号。 |
| Oracle 数据库工作负载的 Secret | 如需存储和管理数据库的密码,您必须使用通过 Secret Manager 创建的 Secret。如需了解详情,请参阅 Oracle 数据库工作负载的 Secret。 |
| 配额 | 确保您的项目中有足够的资源配额来部署 Oracle 数据库。如需了解详情,请参阅配额。 |
| Cloud Storage 存储桶 | 在您要托管 Oracle 软件安装文件的项目中创建一个 Cloud Storage 存储桶。 如需了解详情,请参阅 Cloud Storage 存储桶。 |
VPC 网络和子网
如果您的项目具有默认 VPC 网络,请勿使用该网络来创建部署。我们建议您创建自己的 VPC 网络,以保证只有您明确为该网络创建的防火墙规则在起作用。创建 VPC 网络和子网,或与您组织的 Google Cloud 网络团队联系。
在部署过程中,Workload Manager 会自动为部署创建必要的防火墙规则。
启用专用 Google 访问通道
为确保虚拟机无需互联网路由即可访问 Google Cloud API 和服务(例如 Cloud Monitoring),您必须为虚拟机的子网启用专用 Google 访问通道。
如需了解如何启用专用 Google 访问通道,请参阅专用 Google 访问通道配置。
服务账号
Workload Manager 会使用以下服务账号来部署 Oracle:
Workload Manager 服务账号:此服务账号用于向 Workload Manager 授予创建部署所需的 IAM 角色和权限。Workload Manager 服务账号需要具有以下角色才能进行 Oracle 部署:
服务账号 所需角色 Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com - Cloud Infrastructure Manager Admin (
roles/config.admin) - Logs Viewer (
roles/logging.viewer) - Service Account User (
roles/iam.serviceAccountUser) - Workload Manager Service Agent (
roles/workloadmanager.serviceAgent) - Secret Manager Secret Accessor (
roles/secretmanager.secretAccessor) - Storage Object Viewer (
roles/storage.objectViewer) - Compute Network Viewer (
roles/compute.networkViewer)
- Cloud Infrastructure Manager Admin (
用户代管式服务账号:此服务账号会附加到您的部署,并调用其他 API 和服务来创建部署所需的 Google Cloud 资源,例如虚拟机、磁盘、防火墙规则和 Artifact Registry 代码库。
Compute Engine 服务账号:此服务账号附加到部署过程中创建的数据库虚拟机。
根据您的应用和配置,Workload Manager 可能会提示您向服务账号授予任何缺少的 IAM 角色和权限。
Oracle 数据库工作负载的 Secret
引导式部署自动化工具使用 Secret Manager 来存储部署过程中需要的密码,例如用户账号的密码。根据我们的 Terraform 最佳实践,禁止使用纯文本密码。
在创建 Oracle 数据库部署之前,请创建以下两个 Secret:
- Oracle 数据库凭据的 Secret。这包括
SYS和SYSTEM用户的密码。如果您使用的是 Oracle 多租户,则此参数包含PDBADMIN用户的密码。 - 用于数据库监控凭据的 Secret。如果您使用的是 Cloud Monitoring,此 Secret 包含 Agent for Compute Workloads 用于对数据库进行身份验证以收集指标的密码。
您必须在部署 Oracle 工作负载的项目中创建 Secret。如需了解如何创建 Secret,请参阅使用 Secret Manager 创建和访问 Secret。
为确保密钥符合 Oracle 密码要求,请遵循以下准则:
- 密码长度必须介于 8 到 30 个字符之间。
- 必须包含至少一个大写字母。
- 必须包含至少一个小写字母。
- 必须包含至少一个数字。
- 必须包含至少一个特殊字符(# $ @ % * _ + = -)。
- 不得包含常见的禁止字词,例如“oracle”。
成功部署后,您可以修改这些用户的密码或为其分配新密码。
配额
Google Cloud 使用配额来保护和控制特定账号或组织可以使用的资源数量。Oracle 数据库工作负载通常会消耗大量资源。鉴于数据库和应用的大小,您在部署过程中可能会遇到配额问题。
为避免配额问题,请执行以下操作:
- 查看项目的可用资源配额。
- 如有需要,请申请更高的配额值或与项目管理员联系。
Cloud Storage 存储桶
创建一个空的 Cloud Storage 存储桶,用于在部署过程中托管 Oracle 软件安装文件。存储桶必须存在于您要创建部署的项目中。
后续步骤
- 了解如何部署 Oracle 数据库工作负载。