本文說明使用 Workload Manager 在 Google Cloud 上部署 Oracle Database 工作負載的必要條件。
部署 Oracle Database 工作負載前,請務必先符合使用 Guided Deployment Automation 工具的必要條件。
| 修課條件 | 說明 |
|---|---|
| Google Cloud 網路資源 | 為 Oracle 資料庫部署作業建立或選取虛擬私有雲網路和子網路,並啟用 Private Google Access。 |
| 服務帳戶 | 為部署作業建立必要的服務帳戶,並確保服務帳戶具備部署工作負載所需的所有角色。詳情請參閱服務帳戶。 |
| Oracle Database 工作負載的密鑰 | 如要儲存及管理資料庫密碼,您必須使用透過 Secret Manager 建立的密鑰。詳情請參閱「Oracle Database 工作負載的密鑰」。 |
| 配額 | 請確認專案的資源配額充足,可供部署 Oracle 資料庫。詳情請參閱「配額」。 |
| Cloud Storage bucket | 在要代管 Oracle 軟體安裝檔案的專案中,建立 Cloud Storage bucket。詳情請參閱「Cloud Storage bucket」。 |
虛擬私有雲網路和子網路
如果專案有預設的虛擬私有雲網路,請勿使用該網路建立部署作業。建議您改為建立自己的虛擬私有雲網路,確保系統只套用您為該網路明確建立的防火牆規則。建立虛擬私有雲網路和子網路,或聯絡貴機構的 Google Cloud 網路團隊。
在部署程序中,Workload Manager 會自動為部署作業建立必要的防火牆規則。
啟用 Private Google Access
如要確保 VM 可以存取 Cloud Monitoring 等 API 和服務,且不需要網際網路路徑,請為 VM 的子網路啟用 Private Google Access。 Google Cloud
如要瞭解如何啟用 Private Google Access,請參閱Private Google Access 設定。
服務帳戶
Workload Manager 會使用下列服務帳戶進行 Oracle 部署作業:
Workload Manager 服務帳戶: 這個服務帳戶用於授予 Workload Manager 建立部署作業所需的 IAM 角色和權限。Workload Manager 服務帳戶需要下列角色,才能部署 Oracle:
服務帳戶 必要角色 Service-PROJECT_ID@gcp-sa-workloadmanager.iam.gserviceaccount.com - Cloud Infrastructure Manager 管理員 (
roles/config.admin) - 記錄檢視者 (
roles/logging.viewer) - 服務帳戶使用者 (
roles/iam.serviceAccountUser) - Workload Manager 服務代理 (
roles/workloadmanager.serviceAgent) - Secret Manager 密鑰存取者 (
roles/secretmanager.secretAccessor) - Storage 物件檢視者 (
roles/storage.objectViewer) - Compute 網路檢視者 (
roles/compute.networkViewer)
- Cloud Infrastructure Manager 管理員 (
使用者管理的服務帳戶: 這個服務帳戶會附加至部署作業,並呼叫其他 API 和服務,建立部署作業所需的資源,例如 VM、磁碟、防火牆規則和 Artifact Registry 存放區。 Google Cloud
Compute Engine 服務帳戶:這個服務帳戶會附加至部署程序期間建立的資料庫 VM。
視應用程式和設定而定,Workload Manager 可能會提示您將缺少的 IAM 角色和權限授予服務帳戶。
Oracle Database 工作負載的密鑰
導覽式部署自動化工具會使用 Secret Manager 儲存部署程序所需的密碼,例如使用者帳戶的密碼。根據 Terraform 最佳做法,系統禁止使用純文字密碼。
建立 Oracle Database 部署作業前,請先建立下列兩個密鑰:
- Oracle 資料庫憑證的密鑰。包括
SYS和SYSTEM使用者的密碼。如果您使用 Oracle 多租戶,這包括PDBADMIN使用者的密碼。 - 資料庫監控憑證的密鑰。如果您使用 Cloud Monitoring,這個 Secret 包含 Compute Workloads 代理程式用於驗證資料庫以收集指標的密碼。
您必須在部署 Oracle 工作負載的專案中建立 Secret。如要瞭解如何建立密鑰,請參閱「使用 Secret Manager 建立及存取密鑰」。
為確保密碼符合 Oracle 密碼規定,請遵循下列準則:
- 密碼長度必須介於 8 到 30 個字元。
- 至少要有一個大寫字母。
- 至少要有 1 個小寫字母。
- 至少要有 1 個數字。
- 至少要有一個特殊字元 (# $ @ % * _ + = -)。
- 不得包含常見的禁用字詞,例如「oracle」。
部署完成後,您可以修改這些使用者的密碼,或指派新密碼。
配額
Google Cloud 使用配額來保護及控管特定帳戶或機構可使用的資源數量。Oracle Database 工作負載通常會消耗大量資源。由於資料庫和應用程式的大小,您在部署程序中可能會遇到配額問題。
如要避免配額問題,請採取下列做法:
- 查看專案可用的資源配額。
- 如有需要,請要求提高配額值,或與專案管理員聯絡。
Cloud Storage 值區
建立空白的 Cloud Storage bucket,在部署程序期間用來存放 Oracle 軟體安裝檔案。bucket 必須位於您要建立部署作業的專案中。