このページは機械翻訳したものです。

Oracle Cloud Infrastructureドキュメント
Free Tierを試してみる

Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

親トピック: ハウツー・ガイド

Oracle Exadata Database Service on Cloud@CustomerでのOracle Databaseの作成および管理の前提条件と制限事項

Oracle Exadata Database Service on Cloud@CustomerでOracle Databaseを作成および管理するための前提条件を確認します。

Exadata Database Service on Cloud@CustomerでOracle Databaseを作成して使用する前に、次を実行する必要があります:

  • Exadata Database Service on Cloud@Customerインフラストラクチャのプロビジョニング
  • VMクラスタの構成
  • 必要なバックアップ保存先の作成

各Oracle Exadata Database Service on Cloud@Customerシステムで1つ以上のデータベースを作成できます。Oracle Exadataシステムのストレージおよび処理制限を別とすれば、作成できるデータベースの最大数はありません。デフォルトでは、Exadata Database Service on Cloud@Customer上のデータベースは、Oracle Database Enterprise Edition - Extreme Performanceを使用します。このエディションでは、Oracle Database Enterprise Editionのすべての機能に加えて、すべてのデータベース・エンタープライズ管理パックと、Oracle Database In-MemoryやOracle Real Application Clusters (Oracle RAC)などのすべてのEnterprise Editionオプションが提供されます。独自のOracle Databaseライセンスを使用する場合、様々な機能を使用できるかどうかは、保持しているライセンスによって制限されます。TDE暗号化は、すべてのクラウド・データベースに必要です。すべての新しい表領域は、自動的に暗号化に対して有効になります。

ノート

カスタム・ロケール・オブジェクト(言語、地域、文字セット、照合順序など)では、Exadata Database Service on Cloud@Customerでサポートされていないデータベース・サーバーとストレージ・サーバーの両方にカスタム・ロケール・データファイルをデプロイする必要があります。

Oracle Exadata Database Service on Cloud@CustomerによってサポートされるOracle Databaseリリース

Oracle Exadata Database Service on Cloud@CustomerでサポートされるOracle Databaseのバージョンについて学習します。

Exadata Database Service on Cloud@Customerでは、次のOracle Databaseソフトウェア・リリースがサポートされます:

  • Oracle Database 23ai
  • Oracle Database 19c (19.x)
  • Oracle Database 12cリリース2 (12.2.0.1) (有効なアップグレード・サポート契約が必要)
  • Oracle Database 12c Release 1 (12.1.0.2) (有効なアップグレード・サポート契約が必要)
  • Oracle Database 11gリリース2 (11.2.0.4) (有効なアップグレード・サポート契約が必要)

Oracle Databaseリリースおよびソフトウェアのサポート・タイムラインについては、My Oracle SupportポータルのRelease Schedule of Current Database Releases (Doc ID 742060.1)を参照してください。

Oracle Exadata Database Service on Cloud@CustomerでのOracle Databaseのプロビジョニングおよび構成について

Oracle Exadata Database Service on Cloud@CustomerでOracle Databaseをプロビジョニングおよび構成する方法について学習します

各Oracle Databaseは、次のように構成されます:
  • データベースをプロビジョニングする際に、データベースをバックアップ保存先に関連付け、自動バックアップを有効にできます。
  • データベースがプロビジョニングされると、データベースのcrontabにアーカイブ・ログ・メンテナンス・ジョブが追加されます。
    • データベースでバックアップが有効になっていない場合、アーカイブ・ログ・ジョブは、24時間より古いアーカイブREDOログを削除することでFRA領域を維持します。
    • データベースでバックアップが有効になっている場合、アーカイブ・ログ・ジョブは、バックアップされていないアーカイブ・ログをバックアップします。バックアップされたアーカイブ・ログは、24時間より古くなるとパージされます。
  • 各データベースは、仮想マシン(VM)クラスタのすべてのノードで実行されているOracle Real Application Clusters (Oracle RAC)データベース・インスタンスを使用して構成されます。
  • 各データベースは、Oracleホームで作成され、異なるOracleホームの場所でOracleバイナリの別々のセットを使用します。
  • 各データベースは、デフォルトのインスタンス・パラメータ設定を使用して構成されます。デフォルト値は多くのケースに適していますが、特定のアプリケーション・ニーズを満たすようにインスタンス・パラメータ設定を確認する必要があります。

    特に、VMクラスタで複数のデータベースをサポートしている場合は、Oracle Databaseシステム・グローバル領域(SGA)およびプログラム・グローバル領域(PGA)のインスタンス・パラメータ設定を確認します。また、すべてのOracle Databaseメモリー割当ての合計が、各仮想マシンの使用可能な物理メモリーを超えないことを確認します。

    • コンテナ・データベースの作成時に、初期化パラメータSGA_TARGETが自動化によって設定されます。これにより、SGAメモリー・プールのサイズが自動的に設定されます。この設定は、データベースのVM合計メモリーのサイズによって異なります。VMのシステム・メモリーが60GB以下の場合、SGA_TARGETは3800MBに設定されます。VMに60GB以上のシステム・メモリーがある場合、SGA_TARGETは7600MBに設定されます。
    • データベース初期化パラメータUSE_LARGE_PAGESは、データベースの作成時にのみ設定され、SGAメモリーにラージ・ページを使用する必要があります。VMが十分なラージ・ページで構成されていない場合、インスタンスの起動は失敗します。
    • クラウド自動化を介して作成された19.8以降のデータベースすべてについて、データベース初期化パラメータINMEMORY_FORCECELLMEMORY_LEVELに設定されています。この設定により、分析問合せを大幅に高速化するExadataコラム・キャッシュ機能が有効になります。19.8 以降のデータベースで使用可能であり、Exadata Cloudで実行する場合、インメモリー・ライセンスは必要ありません。詳細は、次を参照してください INMEMORY_FORCE
  • Exadata Database Serviceでは、8Kのブロック・サイズのデータベースのみが作成されます。このパラメータは変更できません。
  • Oracle Database 12cリリース1以上のリリースを使用する各データベースは、コンテナ・データベース(CDB)として構成されます。1つのプラガブル・データベース(PDB)がCDB内に作成されます。デフォルトでは:
    • 最初のPDBは、PDBADMINというローカルPDB管理ユーザー・アカウントで構成されます。
    • PDBADMINユーザー・アカウントは、最初はCDB SYSおよびSYSTEMユーザーと同じ管理パスワードで構成されます。
    • PDBADMINユーザー・アカウントは、最初は2つのロール(CONNECTおよびPDB_DBA)を通じて割り当てられる基本権限で構成されます。ただし、最も実用的な管理目的では、PDBADMINユーザー・アカウントまたはPDB_DBAロールに追加の権限を割り当てる必要があります。

    Oracle Databaseのネイティブ機能を使用して、追加のPDBを作成し、すべてのPDBを管理できます。dbaascliユーティリティには、一連の便利なPDB管理機能も用意されています。

ノート

Oracle Cloud Infrastructureコンソール、APIまたはCLIを使用して、クラウド・リソースに説明、タグまたはわかりやすい名前を割り当てる場合、機密情報を入力することは避けてください。

コンソールを使用したOracle Exadata Database Service on Cloud@Customerでのデータベースの管理

データベースを作成または終了するには、Oracle Exadataコンソールを使用して手順を完了します。

親トピック: Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

コンソールを使用したデータベースの作成

コンソールを使用してOracle Databaseを作成するには、この手順を使用します。

  1. 「Oracle Database」でナビゲーション・メニューを開き、「Exadata Database Service on Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. データベースを作成するVMクラスタの名前をクリックします。

    「VMクラスタ詳細」ページの「リソース」で、「データベース」がデフォルトで選択されています。

  4. 「データベースの作成」をクリックします。

    (または)

    1. 「データベース・ホーム」をクリックします。
    2. データベースを作成するデータベース・ホームの名前をクリックします。
    3. 「データベースの作成」をクリックします。
  5. 「データベースの作成」ページで、リクエストされた情報を指定します:
    ノート

    データベースの作成後にdb_namedb_unique_nameおよびSID接頭辞を変更することはできません。
    • データベース名の指定: データベースの識別に使用できるわかりやすい名前を指定します。データベース名に使用できるのは、許可されている文字のみです。
      データベース名を選択する場合は、次のガイドラインを確認してください。
      • 最大8文字です
      • 英数字のみを含めます
      • 英字で始めます
      • VMクラスタのdb_unique_nameの最初の8文字の部分にはできません
      • VMクラスタ内で一意
      • gridは予約名であるため、gridを使用しないでください
      • ASMは予約名であるため、ASMを使用しないでください

    • データベースの一意の名前の指定: オプションで、データベースに一意の名前を指定します。この属性では、db_unique_nameデータベース・パラメータの値を定義します。この値は大/小文字が区別されません。

      db_unique_nameに使用できるのは、許可されている文字のみです。データベース名を選択する場合は、次のガイドラインを確認してください。
      • 最大30文字です
      • 英数字およびアンダースコア(_)を含めることができます
      • 英字で始めます
      • フリート/テナンシ全体で一意にします

      一意の名前が指定されない場合、db_unique_nameは、デフォルトで<db_name>_<3 char unique string>_<region-name>というフォーマットになります。

      リカバリ・アプライアンスのバックアップ保存先にバックアップするためにデータベースを構成する予定の場合、一意のデータベース名はリカバリ・アプライアンスで構成されている名前と一致する必要があります。

    • データベース・バージョンの選択: リストから、デプロイするOracle Databaseソフトウェア・リリースを選択します。
    • データベース・ホーム: 既存のデータベース・ホームを選択するか、必要に応じて作成します。「データベース・ホームの詳細」ページでデータベースを作成する場合は、このフィールドを使用できないことに注意してください。
      • 既存のデータベース・ホームの選択: 選択したデータベース・バージョンのデータベース・ホームが1つ以上すでに存在する場合、このオプションがデフォルトで選択されます。また、データベース・ホームのリストが表示されます。リストからデータベース・ホームを選択します。
      • 新規データベース・ホームの作成: 選択したデータベース・バージョンのデータベース・ホームが存在しない場合、このオプションがデフォルトで選択されます。
        1. データベース・ホームの表示名を入力します。
        2. 「データベース・イメージの変更」をクリックして、ソフトウェア・バージョンを選択します。

          「データベース・ソフトウェア・イメージの選択」ウィンドウが表示されます。

        3. イメージ・タイプ「Oracle提供のデータベース・ソフトウェア・イメージ」または「カスタム・データベース・ソフトウェア・イメージ」を選択します。

          「Oracle提供のデータベース・ソフトウェア・イメージ」を選択した場合、「使用可能なすべてのバージョンの表示」スイッチを使用して、使用可能なすべてのPSUおよびRUから選択できます。各メジャー・バージョンの最新リリースは、「最新」ラベルで示されます。

          ノート

          Oracle Cloud Infrastructureで使用可能なOracle Databaseのメジャー・バージョン・リリースについては、現在のバージョンに加え、直近の3つの旧バージョン(NからN - 3まで)のイメージが提供されます。たとえば、インスタンスでOracle Database 19cを使用しており、提供される19cの最新バージョンが19.8.0.0.0である場合、プロビジョニングに使用できるイメージは、バージョン19.8.0.0.0、19.7.0.0、19.6.0.0および19.5.0.0が対象になります。
    • 最初のPDBの名前の指定: (オプション)最初のPDBの名前を指定します。PDBはデータベースとともに作成されます。

      Oracle Net Servicesを使用してPDBに接続する場合に、サービス名の競合の可能性を回避するには、PDB名がVMクラスタ全体で一意であることを確認します。最初のPDBの名前を指定しない場合、システム生成の名前が使用されます。

    • 管理者パスワードの指定: Oracle Database管理パスワードを指定して確認します。このパスワードは、次のようなデータベース内の管理アカウントおよび機能で使用されます:
      • SYSおよびSYSTEM ユーザーのパスワード。
      • 透過的データ暗号化(TDE)キーストアのパスワード。

      Oracle Database 12cリリース1以上のリリースでは、最初のPDBのPDB管理ユーザー(PDBADMIN)のパスワードは、9から30文字で、少なくとも2つの大文字、2つの小文字、2つの数字および2つの特殊文字を含む必要があります。特殊文字は、_#または-である必要があります。また、パスワードには、大/小文字の区別に関係なく、テナンシの名前または予約語(OracleTableなど)を含めることはできません。

      • 管理者パスワードをTDEウォレットに使用: このオプションを選択すると、SYSユーザー用に入力したパスワードがTDEウォレットにも使用されます。TDEウォレット・パスワードを手動で設定するには、このオプションの選択を解除して、TDEウォレット・パスワードを入力します。

    • バックアップ保存先のタイプ: データベースのバックアップ保存先を選択します。リストからオプションを選択します:

      • なし: データベースのバックアップ構成を定義しない場合に選択します。
      • ローカル: Oracle Exadata Cloud at Customerシステム上のOracle Exadata Storage Serverにローカルにバックアップを格納する場合に選択します。

        このオプションは、データベースをホストするVMクラスタ内のローカルOracle Exadataストレージでバックアップを有効にした場合にのみ使用できます。

      • オブジェクト・ストレージ: Oracle Cloud InfrastructureのOracle管理オブジェクト・ストレージ・コンテナにバックアップを格納する場合に選択します。

        このオプションを使用する場合、Oracle Exadata Cloud@CustomerシステムにOracle Cloud Infrastructure Object Storageへのエグレス接続が必要です。

      • NFS: ネットワーク・ファイル・システム(NFS)ストレージを使用する事前定義済のいずれかのバックアップ保存先にバックアップを格納する場合に選択します。詳細は、このドキュメントのバックアップ保存先に関する情報を参照してください。

        このオプションを選択する場合、NFSバックアップ保存先のリストから選択する必要もあります。

      • リカバリ・アプライアンス: Oracle Zero Data Loss Recovery Applianceを使用する事前定義済のいずれかのバックアップ保存先にバックアップを格納する場合に選択します。このドキュメントのバックアップ保存先オプションに関する情報を参照してください。

        バックアップ・オプションとしてOracle Zero Data Loss Recovery Applianceを選択する場合、次も必要です:

        • アプライアンスのバックアップ保存先のリストから選択します。
        • 「VPCユーザー」リストから選択します。これには、Oracle Zero Data Loss Recovery Applianceのバックアップ保存先に定義されている仮想プライベート・カタログ(VPC)ユーザー名のリストが含まれています。
        • VPCユーザーのパスワードを指定します。
        ノート

        バックアップ保存先を選択した場合、データベースの作成後にバックアップの場所を変更することはできません。ただし、ここで「なし」を選択した場合、データベースの作成後にバックアップ保存先を選択できます。

      • 自動バックアップの有効化: 自動バックアップのポリシーを使用して日次バックアップを有効にする場合は、このオプションを選択します。

        このオプションは、「バックアップ保存先のタイプ」「なし」以外を選択した場合にのみ有効になります。この設定は、データベースの作成後に変更できます。

    • キー管理: 暗号化オプション「Oracle Wallet」「Oracle Key Vault」または「外部HSM」を選択します。デフォルト・オプションはOracle Walletです。
      • Oracle Wallet:

        管理者パスワードをTDEウォレットに使用: このオプションを選択すると、SYSユーザー用に入力したパスワードがTDEウォレットにも使用されます。TDEウォレット・パスワードを手動で設定するには、このオプションの選択を解除してTDEウォレット・パスワードを入力し、確認します。

      • Oracle Key Vault: キー・ストアを作成したコンパートメントを選択し、キーストアを選択します。CDB作成の一環として、Oracle Key Vault (OKV)のCDBに新しいウォレットが作成されます。また、CDBのTDEマスター・キーが生成され、OKVのウォレットに追加されます。
        ノート

        • コンテナ・データベース(CDB)およびプラガブル・データベース(PDB)は、256ビット・ハードウェア・セキュリティ・モジュール(HSM)のVaultキーのみをサポートします。
        • 再起動後のOKVキー暗号化の検証: OKV TDEマスター・キーは、CBDを起動または再起動するたびに検証されます。
        • キーが検証されない場合、起動または再起動は失敗します。作業リクエストおよびライフサイクルの状態は、失敗の理由を示します。
        • データベース・リストア後のOKVキーの表示: CDBをリストアすると、そのバックアップに関連付けられているマスター・キーもリストアされます。
        • ウォレット名を取得するためのCDBバックアップの有効化: バックアップに関連付けられているウォレットに関するCDBバックアップ情報。
        • CDB削除時のOKV WalletまたはTDEマスター・キー: CDBを削除すると、ウォレットおよびTDEマスター・キーはOKVに残り、削除されません。
      • 外部キーストア:
        • TDEウォレット・パスワード: TDEウォレット・パスワードを入力します。
        • 外部キーストア資格証明:外部キーストア・プロバイダがサポートする形式でユーザー資格証明を入力します。
    • (オプション)「拡張オプションの表示」を選択します。このウィンドウでは、次のオプションを選択できます:
      • Oracle SID接頭辞の指定:
        ノート

        SID接頭辞の入力は、12.1以上のデータベースでのみ可能です。

        オプションで、データベースのOracle SID接頭辞を指定します。インスタンス番号は、SID接頭辞に自動的に追加され、instance_nameデータベース・パラメータになります。指定しない場合、SID接頭辞はデフォルトでdb_nameに設定されます。

        データベース名を選択する場合は、次のガイドラインを確認してください:
        • 最大12文字です
        • 英数字のみを含めます
        • 英字で始めます
        • VMクラスタ内で一意にします
      • 暗号化キー: 暗号化オプションとして、「Oracle管理キーを使用した暗号化」または「顧客管理キーを使用した暗号化」を選択します。デフォルト・オプションは、Oracle管理キーです。

        顧客管理キーを使用するには、「顧客管理キーを使用した暗号化」オプションを選択し、キー・ストアを作成したコンパートメントを選択してから、キー・ストアを選択します。CDB作成の一環として、Oracle Key Vault (OKV)のCDBに新しいウォレットが作成されます。また、CDBのTDEマスター・キーが生成され、OKVのウォレットに追加されます。

        ノート

        • コンテナ・データベース(CDB)およびプラガブル・データベース(PDB)は、256ビット・ハードウェア・セキュリティ・モジュール(HSM)のVaultキーのみをサポートします。
        • 再起動後のOKVキー暗号化の検証: OKV TDEマスター・キーは、CBDを起動または再起動するたびに検証されます。
        • キーが検証されない場合、起動または再起動は失敗します。作業リクエストおよびライフサイクルの状態は、失敗の理由を示します。
        • データベース・リストア後のOKVキーの表示: CDBをリストアすると、そのバックアップに関連付けられているマスター・キーもリストアされます。
        • ウォレット名を取得するためのCDBバックアップの有効化: バックアップに関連付けられているウォレットに関するCDBバックアップ情報。
        • CDB削除時のOKV WalletまたはTDEマスター・キー: CDBを削除すると、ウォレットおよびTDEマスター・キーはOKVに残り、削除されません。

      • バックアップ保持期間: リストから、自動バックアップを保持する期間を選択できます。

        ローカルExadataストレージへのバックアップの場合、7日または14日の保持期間を選択できます。デフォルトの保持期間は7日です。

        Oracle Cloud Infrastructure Object StorageまたはNFSバックアップ保存先へのバックアップの場合、事前設定された保持期間(7日、14日、30日、45日または60日)のいずれかを選択できます。デフォルトの保持期間は30日です。

        このオプションは、Oracle Zero Data Loss Recovery Applianceのバックアップ保存先には適用されません。Oracle Zero Data Loss Recovery Applianceへのバックアップの場合、アプライアンスに実装されている保持ポリシーによって保持期間が制御されます。

      • 文字セット: データベースの文字セット。デフォルトはAL32UTF8です。
      • 各国語文字セット: データベースの各国語文字セット。デフォルトはAL16UTF16です。
      • タグ: (オプション)タグの適用を選択できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグに関する情報を参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  6. 「データベースの作成」をクリックします。
ノート

次のことができるようになりました:

  • Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間、CDBを作成または削除します。その逆も同様です。
  • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。
  • 同じOracleホーム内でPDBを同時に作成または削除しながら、CDBを作成または削除します。その逆も同様です。
  • 同じOracleホーム内の異なるデータベースでCDBを同時に作成または削除します。
  • VMクラスタ・タグを同時に更新しながら、CDBを作成または削除します。

コンソールを使用したSYSユーザーおよびTDE Walletのパスワードの管理

管理者(SYSユーザー)およびTDEウォレット・パスワードの管理について学習します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」をクリックし、「Exadata Database Service on Cloud@Customer」をクリックします
  2. パスワードを変更するデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. パスワードを変更するデータベースを含む VMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. パスワードを変更するデータベースの名前をクリックします。

    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

  6. 「データベース詳細」ページで、「その他のアクション」をクリックし、「パスワードの管理」をクリックします。
  7. 表示される「パスワードの管理」ダイアログで、「管理者パスワードの更新」または「TDE Walletパスワードの更新」をクリックします。

    選択したオプションに応じて、編集するフィールドが表示されます。

    • 管理者パスワードの更新: 「新規管理者パスワード」フィールドと「管理者パスワードの確認」フィールドの両方に新しいパスワードを入力します。
      ノート

      「管理者パスワードの更新」オプションでは、sysユーザー・パスワードのみが変更されます。システム、pdbadmin、TDEウォレットなどの他の管理者アカウントのパスワードは変更されません。
    • TDE Walletパスワードの更新: 「既存のTDEウォレット・パスワードを入力」フィールドに現在のウォレット・パスワードを入力し、「新しいTDEウォレット・パスワード」フィールドと「TDEウォレット・パスワードの確認」フィールドの両方に新しいパスワードを入力します。
  8. 「適用」をクリックして、選択したパスワードを更新します。

コンソールを使用したOracle Walletからその他の暗号化方法への暗号化キーの移行(Oracle Key Vault、外部キーストア)

異なる暗号化方式間で暗号化キーを移行する方法について学習します。

ノート

  • 移行には、外部キーストアにすでに存在する暗号化キーに対する資格証明が必要です。
  • Data Guard環境では、キーの移行がシームレスに機能します。
  • 同じVMクラスタ内の他のデータベースが、外部キーストアやOracle Key Vault (OKV)などの異なる暗号化方式をすでに使用している場合は、キーを移行できません。
  • 外部キーストアに移行されたデータベースに対するPDBの作成またはクローニング操作中に問題が発生します。この問題の修正は、データベース・バージョン19cおよび23aiの2025年1月リリース更新(RU)に含まれます。RUが使用可能になるまで、Oracleでは、この問題に対処するために個別パッチ36930984を適用することをお薦めします。
  1. ナビゲーション・メニューを開きます。「Oracle Database」で、「Exadata Database Service on Cloud@Customer」をクリックします。
    デフォルトでVMクラスタが選択されています。
  2. 暗号化キーを移行するデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 暗号化キーを移行するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. 暗号化キーを異なる暗号化方法に移行するデータベースの名前をクリックします。

    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キーの移行」リンクをクリックします。
  7. 表示される「キーの移行」ページで、キーの暗号化方法を変更し、「変更の保存」をクリックします。

コンソールを使用した暗号化キーのローテーション

暗号化キーをローテーションする方法を学習します。キー・ローテーションは、暗号化方法としてOracle Walletを使用しないデータベースでのみ使用できます。

ノート

「キーのローテーション」機能は、Oracle Walletを使用していないデータベースにのみ適用されます。
  1. ナビゲーション・メニューを開きます。「Oracle Database」で、「Exadata Database Service on Cloud@Customer」をクリックします。
    デフォルトでVMクラスタが選択されています。
  2. 暗号化キーをローテーションするデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 暗号化キーをローテーションするデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. 暗号化キーをローテーションするデータベースの名前をクリックします。

    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。

  6. 「暗号化」セクションで、「キーのローテーション」リンクをクリックします。
  7. 表示される「キーのローテーション」ダイアログで、「ローテーション」をクリックします。

コンソールを使用した別のデータベース・ホームへのデータベースの移動

別のデータベース・ホームにデータベースを移動する方法について学習します。

  1. ナビゲーション・メニューを開きます。「Oracle Database」で、「Exadata Database Service on Cloud@Customer」をクリックします。
    デフォルトでVMクラスタが選択されています。
  2. 移動するデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 移動するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. 移動するデータベースの名前をクリックします。
    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。
  6. 「データベースの移動」をクリックします。
  7. 表示されたダイアログで、ターゲット・データベース・ホームを選択します。
    ノート

    Oracleでは、ターゲットDBホームに移動することでデータベースのソフトウェア・バージョンを更新する場合、最新(N)のバージョンから最新より3つ前(N-3)までのRUバージョンを実行しているデータベース・ホームを使用することをお薦めします。このベスト・プラクティス基準を満たすデータベース・バージョンでプロビジョニングされたDBホームのみが、データベースを移動するためのターゲット・ホームとして使用可能です。
  8. 「データベースの移動」をクリックします。

データベースは、現在のホームで停止された後、宛先のホームで再起動されます。データベースが移動されている間、データベース・ホームのステータスは「データベースの移動中」と表示されます。操作が完了すると、「データベース・ホーム」が現在のホームで更新されます。操作が失敗した場合、データベースのステータスは「失敗」と表示され、「データベース・ホーム」フィールドに失敗の理由に関する情報が表示されます。

コンソールを使用したデータベースの終了

データベースを終了して、終了したデータベースをクラウド・コントロール・プレーンから削除できます。

データベースを終了すると、それがクラウド・コントロール・プレーンから削除されます。このプロセスでは、関連するすべてのデータ・ファイルおよびバックアップが破棄されます。
  1. ナビゲーション・メニューを開きます。「Oracle Database」で、「Exadata Database Service on Cloud@Customer」をクリックします。
    デフォルトでVMクラスタが選択されています。
  2. 終了するデータベースをホストするVMクラスタを含むコンパートメントを選択します。
  3. 終了するデータベースを含むVMクラスタの名前をクリックします。
  4. 「VMクラスタ詳細」ページの「リソース」リストで、「データベース」をクリックします。
  5. 終了するデータベースの名前をクリックします。
    「データベース詳細」ページに、選択したデータベースに関する情報が表示されます。
  6. 「終了」をクリックします。
  7. 表示されたダイアログで、データベースの名前を入力し、「データベースの終了」をクリックしてアクションを確認します。
ノート

次のことができるようになりました:

  • Data Guard設定が同じOracleホームの別のデータベースで実行されている場合はCDBを終了します(その逆も同様です)。
  • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、CDBを作成または削除します(またはその逆)。

APIを使用したOracle Databaseコンポーネントの管理

様々なAPI機能を使用して、Oracle Exadata Database Service on Cloud@Customerでデータベースを管理します。

APIの使用およびリクエストの署名の詳細は、「REST API」および「セキュリティ資格証明」を参照してください。SDKについては、「ソフトウェア開発キットとコマンドライン・インタフェース」を参照してください。

次のAPI操作を使用して、様々なデータベース・コンポーネントを管理します。

データベース・ホーム:
  • CreateDbHome
  • DeleteDbHome
  • GetDbHome
  • ListDbHomes
データベース:
  • CreateDatabase
  • GetDatabase
  • ListDatabases
  • UpdateDatabase
  • UpdateDatabaseDetails
ノード:
  • GetDbNode
  • List DbNodes

UpdateDatabaseを使用してデータベースを別のデータベース・ホームに移動し、ターゲット・データベース・ホームと同じバージョンにデータベースを更新します。

APIの完全なリストは、「データベース・サービスAPI」を参照してください。

データベース・パスワードの変更

SYSパスワードを変更するか、TDEウォレット・パスワードを変更するには、この手順を使用します。

新しいExadata Database Service on Cloud@Customerインスタンスまたはデータベースを作成するときに「データベース管理パスワード」フィールドで指定したパスワードは、SYS、SYSTEM、TDEウォレットおよびPDB管理者資格証明のパスワードとして設定されます。既存のデータベースのパスワードを変更する必要がある場合は、次の手順を使用します。

ノート

データベースでData Guardを有効にする場合、プライマリ・データベースとスタンバイ・データベースのSYSパスワードおよびTDEウォレット・パスワードはすべて同じである必要があります。
ノート

dbaascliを使用してSYSパスワードを変更すると、バックアップ/リストアの自動化によってクラスタ内のすべてのノード間でチャネルをパラレル化できます。

Exadata Database Service on Cloud@CustomerデータベースのSYSパスワードを変更するには

  1. Exadata Database Service on Cloud@Customer仮想マシンにopcとしてログオンします。
  2. 次のコマンドを実行します:
    sudo dbaascli database changepassword --dbname database_name --user SYS

Data Guard環境でデータベース・パスワードを変更するには

  1. 次のコマンドをプライマリ・データベースで実行します:
    dbaascli database changePassword —dbName <dbname> --user SYS --prepareStandbyBlob true --blobLocation <location to create the blob file>
  2. 作成されたBLOBファイルをすべてのスタンバイ・データベースにコピーし、ファイルの所有権をoracleユーザーに更新します。
  3. すべてのスタンバイ・データベースで次のコマンドを実行します:
    dbaascli database changePassword —dbName <dbname> --user SYS --standbyBlobFromPrimary <location of copies the blob file>

Exadata Database Service on Cloud@CustomerデータベースのTDEウォレット・パスワードを変更するには

  1. Exadata Database Service on Cloud@Customer仮想マシンにopcとしてログオンします。
  2. 次のコマンドを実行します:
    sudo dbaascli tde changepassword --dbname database_name

Oracle Exadata Database Service on Cloud@Customerでのプラガブル・データベースの管理

Oracle Exadata Database Service on Cloud@Customerでプラガブル・データベースを管理する方法について学習します。

親トピック: Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

プラガブル・データベース操作

コンソールおよびAPIを使用して、Oracle Exadata Database Service on Cloud@Customerシステムでプラガブル・データベース(PDB)を作成および管理できます。

このドキュメントでは、「データベース」とはコンテナ・データベース(CDBとも呼ばれる)を示します。これらのリソース・タイプの詳細は、Oracle Databaseドキュメントのマルチテナント・アーキテクチャを参照してください。

仮想マシンで作成されたOracle 19c以上のデータベースには、コンソールのCDBの「データベース詳細」ページからアクセスできる初期PDBが含まれます。コンソールまたはAPIを使用して、PDBを起動、停止、クローニングおよび削除できます。コンテナ・データベースに追加のPDBを作成することもできます。コンソールまたはAPIを使用して実行されたすべてのPDB操作は、操作によって生成された作業リクエストを使用してモニターできます。

  • バックアップ

    CDBが自動バックアップ機能で構成されている場合、作成、クローニングまたは再配置操作中に、オプションでPDBのバックアップを取得できます。PDBバックアップの保存先は常にCDBと同じであり、バックアップに直接アクセスしたり、オンデマンドで作成することはできません。Oracleでは、PDBを作成またはクローニングした後、すぐにPDBをバックアップすることをお薦めします。これは、次の日次自動バックアップが正常に完了するまでPDBがリカバリできず、データ損失が発生する可能性があるためです。

  • リストア
    • ベース・データベース・サービス/Oracle Exadata Database Service on Dedicated Infrastructure:
      • インプレース・リストア:同じCDB内のPDBを、最新の正常な状態または指定したタイムスタンプにリストアできます。
      • アウトオブプレース・リストア: PDBをリストアするには、バックアップからデータベース(CDB)を作成し、新しいデータベースにリストアするPDBまたはPDBのサブセットを選択します。
    • Oracle Exadata Database Service on Cloud@Customer:
      • インプレース・リストア:同じCDB内のPDBを、最新の正常な状態および指定されたタイムスタンプにリストアできます。
      • アウトオブプレース・リストア:使用できません。
    PDBを指定された状態または時間に戻す場合は、インプレース・リストアを実行できます。CDBとPDBの両方が稼働している必要があり、一度にリストアできるPDBは1つのみです。
    • CDBに複数のPDBがあり、それらの複数のPDBを同じCDBにリストアする場合は、CDBバックアップから個々のPDB (一度に1つのPDB)をリストアできます。
    • CDBが停止すると、完全なCDBをリストアでき、そのCDB内のすべてのPDBもリストアできます。
    • データベースを指定されたタイムスタンプにリストアするか、最新の正常な状態にリストアできます。
  • 再配置
    CDB間で同じ可用性ドメイン(AD)内の別のCDBにPDBを再配置できます。
    • コンパートメント間、VMクラスタ間、DBシステム(BaseDBのみ)またはVCN (ExaDB-C@Cには適用されません)。2つの異なるVCNが使用されている場合、再配置の前に両方のVCNをピアリングする必要があります。
    • 同じまたはそれ以上のデータベース・バージョン。

    再配置中、PDBはソースCDBから削除され、稼働中の宛先CDBに移動されます。Data Guardアソシエーションでは、プライマリに再配置されたPDBもスタンバイと同期されます。

  • クローン

    クローンは、クローニング操作時に存在していた特定のデータベースの独立した完全なコピーです。同じCDBまたは別のCDB内にPDBのクローンを作成し、クローニングされたPDBをリフレッシュできます。

    次のタイプのクローンがサポートされています。
    • ローカル・クローン: PDBのコピーが同じCDB内に作成されます。
    • リモート・クローン: PDBのコピーが別のCDBに作成されます。
      同じ可用性ドメイン(AD)内のあるCDBから別のCDBへのPDBのリモート・クローンを実行できます。
      • コンパートメント間、VMクラスタ間、DBシステム(BaseDBのみ)またはVCN (ExaDB-C@Cには適用されません)。2つの異なるSCNを使用する場合は、クローニングの前に両方のVCNをピアリングする必要があります。
      • 同じまたはそれ以上のデータベース・バージョン。

    • リフレッシュ可能クローン: PDBのコピーが別のCDBに作成され、クローニングされたPDBをリフレッシュできます。

      同じ可用性ドメイン(AD)内のあるCDBから別のCDBへのPDBのリフレッシュ可能クローンを実行できます。
      • コンパートメント間、VMクラスタ間、DBシステム(BaseDBのみ)またはVCN (ExaDB-C@Cには適用されません)。2つの異なるSCNを使用する場合は、クローニングの前に両方のVCNをピアリングする必要があります。
      • 同じまたはそれ以上のデータベース・バージョン。
  • リフレッシュ可能クローン
    リフレッシュ可能クローンを使用すると、リモート・クローンをソースPDBで更新したままにできます。リフレッシュできるのは、PDBがマウント・モードの場合のみです。保持できるオープン・モードは読取り専用で、読取り専用モードではリフレッシュを実行できません。
    • リフレッシュ可能クローンを作成するには、データベース・リンク・ユーザー資格証明が必要です。
    • リフレッシュ可能クローンでは、クローニング、再配置およびインプレース・リストア操作はサポートされていません。再配置およびインプレース・リストア操作はソースでサポートされていません。ソースは、リフレッシュ可能クローンの切断または削除後にのみ削除できます。
    • Data Guardアソシエーションでは、リフレッシュ可能クローンはスタンバイに作成できませんが、プライマリに作成できます。ただし、プライマリはスタンバイに同期されません。
      ノート

      スタンバイのPDBはリフレッシュ可能PDBのソースとして使用できません。

  • リフレッシュ可能PDBから通常のPDBへの変換

    リフレッシュ可能なPDBを通常のPDBに変換するには、いつでもソースPDBからリフレッシュ可能なクローン(宛先PDB)を切断します。リフレッシュPDBがData Guardアソシエーションにある場合、PDBを通常のPDBに変換すると、PDBは変換プロセスの一環としてスタンバイに同期されます。

  • オープン・モード

    コンソールで、PDBのオープン・モード(読取り/書込み、読取り専用、マウントなど)を確認できます。PDBステータスがすべてのノードで同じである場合、すべてのPDBで同じステータスが表示されます。PDBステータスがノード間で異なる場合、PDBが読取り/書込みモードでオープンされているノードを示すメッセージが表示されます。APIまたはコンソールを使用してPDBのオープン・モードを変更することはできません。ただし、PDBを起動または停止できます。PDBを起動すると、読取り/書込みモードで起動します。PDBを停止すると、PDBはクローズされ、マウント・モードのままになります。

関連トピック

親トピック: Oracle Exadata Database Service on Cloud@Customerでのプラガブル・データベースの管理

プラガブル・データベース管理の制限事項

PDB管理の制限事項のリストを確認します。

  • Oracleでは、コンソールまたはAPIベースのツール(OCI CLI、SDK、Terraformなど)を使用して、PDBを作成および管理することをお薦めします。ただし、DBAASCLIおよびSQL*Plusを使用して作成されたPDBの定期的な同期が発生します。
  • OCIコンソールおよびAPIを使用したPDB管理は、Oracle Databaseバージョン19c以上でのみ使用できます。
  • PDBはCDBレベルでバックアップされ、各バックアップにはデータベース内のすべてのPDBが含まれます。OCIコントロール・プレーンでは、個々のPDBのバックアップの作成はサポートされていません。ただし、bkup_apiでは、PDBバックアップ操作がサポートされます。詳細は、bkup_apiを使用したバックアップの構成およびカスタマイズを参照してください。
    例:
    • バックアップのリスト: 
      /var/opt/oracle/bkup_api/bkup_api list --dbname psarch
    • 初期PDBバックアップの手動作成: 
      /var/opt/oracle/bkup_api/bkup_api bkup_start --level1 --dbname psarch --pdb NEWPDBA
  • リストア操作はCDBレベルで実行されます。OCIコントロール・プレーンでは、個々のPDBのリストアはサポートされていません。ただし、bkup_apiでは、PDBリストア操作がサポートされます。
    例:
    • データ損失の可能性がほとんどないかまったくないPDBのリカバリ: 
      /var/opt/oracle/bkup_api/bkup_api recover_start --latest --dbname psarch --pdb NEWPDBA
    • 特定の時点へのPDBのリカバリ: 
      /var/opt/oracle/bkup_api/bkup_api recover_start -t '17-AUG2021 21:15:00' --dbname psarch --pdb NEWPDBA
    • SCNまでのリカバリ: 
      /var/opt/oracle/bkup_api/bkup_api recover_start -scn 138935800 -pdb=NEWPDBA -uuid=fec6579e077211ec8b0a00102ee75632 -bname=psarch
プラガブル・データベースの作成

PDBは、OCIコンソールまたはプラガブル・データベースAPIを使用して作成できます。

親トピック: プラガブル・データベース操作

コンソールを使用したプラガブル・データベースの作成

コンソールを使用してプラガブル・データベースを作成するには、この手順を使用します。

ノート

データベースがゲストVMに直接作成されている場合、帰属使用状況データは遅延します。
  1. 「Oracle Database」でナビゲーション・メニューを開き、「Exadata Database Service on Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. クラウドVMクラスタのリストで、PDBを作成するクラスタの名前をクリックし、その名前をクリックして「データベース詳細」ページを表示します。
  4. 「データベース詳細」ページの左下隅で、「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  5. 「プラガブル・データベースの作成」をクリックします。

    「プラガブル・データベースの作成」ダイアログ・ボックスが表示されます。

  6. 「プラガブル・データベースの作成」ダイアログ・ボックスで、次を入力します:
    • PDB名の入力: PDBの名前を入力します。名前は、英字で始める必要があります。最大30個の英数字を含めることができます。
    • PDB管理アカウントのロック解除:
      • 管理者のパスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。パスワードには次が含まれる必要があります:
          • 最小9文字および最大30文字
          • 少なくとも2つの大文字
          • 少なくとも2つの小文字
          • 少なくとも2つの特殊文字。有効な特殊文字は、アンダースコア( _ )、ポンド記号またはハッシュ記号(#)、およびダッシュ(-)です。2つの同じ文字を使用したり、2つの同じ文字の組合せを使用したりできます。
          • 少なくとも2つの数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者のパスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。PDBを使用するには、管理者パスワードをリセットする必要があります。
        ノート

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルに管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*PlusのCONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          詳細は、『Oracle® Multitenant管理者ガイド』CDBの管理およびPDBの管理を参照してください。

        2. PDBの管理者名を検索します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • データベースのTDEウォレット・パスワード: CDBのウォレット・パスワードを入力します。このパスワードには、PDB管理パスワードと同じルールがあります。
    • PDBの作成後にすぐにPDBのバックアップを取得します: CDBで自動バックアップを有効にして、PDBの作成後にすぐにPDBをバックアップする必要があります。CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。
      ノート

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
      • 暗号化キー・ストア:これは、CDBの暗号化キーがOracleによって管理されているか、顧客によって管理されているかを示します。顧客マネージャ・キーの場合、CDB用に構成したキー・ストアの名前が表示されます。このフィールドは編集できません。
  7. 「プラガブル・データベースの作成」をクリックします。

    システムによって作成プロセスが開始され、新しいPDBの「作業リクエスト」ページが開きます。「作業リクエスト」ページには、新しいPDBの作成プロセスのステータスが表示されます。

    デフォルトでは、「作業リクエストの詳細」ページには、システムによって作成されたログ・メッセージが表示されます。「エラー・メッセージ」または「関連付けられたリソース」をクリックすると、ページの左側にある「リソース」領域に、作成プロセスのエラー・メッセージまたは関連付けられたリソースが表示されます。

    ノート

    • 「ログ・メッセージ」「エラー・メッセージ」および「関連付けられたリソース」リンクの右側にある数字は、存在する各アイテムの数を示します。
    • Data Guard設定が同じOracleホーム内の別のデータベースで実行されている間(またはその逆)にPDBを作成または削除します。
    • 同じOracleホーム内でData Guardアクション(スイッチオーバー、フェイルオーバーおよび回復)を同時に実行しながら、PDBを作成または削除します(またはその逆)。
    • 同じOracleホーム内の異なるデータベースでPDBを同時に作成または削除します。
    • VMクラスタ・タグを同時に更新しながら、PDBを作成または削除します。
コンソールを使用したプラガブル・データベースの再配置

コンソールを使用してプラガブル・データベースを再配置するには、この手順を使用します。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、PDBを作成するクラスタの名前をクリックし、その名前をクリックして「データベース詳細」ページを表示します。
  4. 「データベース詳細」ページの左下隅で、「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  5. 再配置するPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「再配置」を選択します。

    (または)

    「アクション」メニュー(3つのドット)をクリックし、「再配置」を選択します。

  6. 結果の「プラガブル・データベースの再配置」ウィンドウで、次のように入力します。
    • VMクラスタ:メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBを作成する既存のデータベースを選択します。このデータベースは、ソースPDBが存在するCDBと同じバージョンまたはより上位のバージョンにすることができます。
    • クローンの新規PDB名: 名前は、英字で始める必要があります。最大30文字まで含めることができます。PDB名を同じままにするには、ソースPDB名を再入力します。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者のパスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。パスワードには次が含まれる必要があります:
          • 最小9文字および最大30文字
          • 少なくとも2つの大文字
          • 少なくとも2つの小文字
          • 少なくとも2つの特殊文字。有効な特殊文字は、アンダースコア( _ )、ポンド記号またはハッシュ記号(#)、およびダッシュ(-)です。2つの同じ文字を使用したり、2つの同じ文字の組合せを使用したりできます。
          • 少なくとも2つの数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者のパスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。PDBを使用するには、管理者パスワードをリセットする必要があります。
        ノート

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、ローカルで管理者にPDB_DBAロールが付与されます。

        パスワードをリセットするには:
        1. SQL*PlusのCONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          詳細は、『Oracle® Multitenant管理者ガイド』CDBの管理およびPDBの管理を参照してください。

        2. PDBの管理者名を検索します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • データベースのTDEウォレット・パスワード: CDBのウォレット・パスワードを入力します。このパスワードには、PDB管理パスワードと同じルールがあります。
    • PDBの作成後にすぐにPDBのバックアップを取得します: CDBで自動バックアップを有効にして、PDBの作成後にすぐにPDBをバックアップする必要があります。CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。
      ノート

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  7. 「プラガブル・データベースの再配置」をクリックします。
    ノート

    再配置では、プロセス中に停止時間が発生し、必要な時間はPDBのサイズに基づきます。

APIを使用したプラガブル・データベースの作成

様々なAPI機能を使用して、Oracle Exadata Database Service on Cloud@Customerでプラガブル・データベースを作成します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次のAPI操作を使用して、Oracle Exadata Database Service on Cloud@Customerシステムにプラガブル・データベースを作成します。
  • CreatePluggableDatabase
プラガブル・データベースの管理

PDBを起動、停止、クローニングおよび削除するには、次の手順を使用します。

親トピック: プラガブル・データベース操作

コンソールを使用したプラガブル・データベースの起動

この手順を使用するには、PDBが使用可能で停止されている必要があります。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、起動するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、起動するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 起動するPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「起動」をクリックします。

    「PDBの開始」ダイアログ・ボックスが表示されます。

  9. 「PDBの開始」をクリックして、起動操作を確認します。
コンソールを使用したプラガブル・データベースの停止

この手順を使用するには、PDBが使用可能で実行(起動)されている必要があります。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、停止するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、停止するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 停止するPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「停止」をクリックします。

    「PDBの停止」ダイアログ・ボックスが表示されます。

  9. 「PDBの停止」をクリックして、停止操作を確認します。
コンソールを使用したプラガブル・データベースの削除

この手順を使用するには、PDBが使用可能で停止されている必要があります。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、削除するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、削除するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 削除するPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「他のアクション」をクリックし、「削除」を選択します。

    「PDBの削除」ダイアログ・ボックスが表示されます。

  9. 「PDBの削除」をクリックして、削除操作を確認します。
ノート

Data Guard設定が同じOracleホーム内の別のデータベースで実行されている場合、またはその逆の場合にPDBを削除できるようになりました。

コンソールを使用したプラガブル・データベースの接続文字列の取得

PDBの管理サービスの接続文字列を取得する方法について学習します。Oracleでは、アプリケーション・サービス用に作成された文字列を使用してアプリケーション・サービスにアプリケーションを接続することをお薦めします。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、接続文字列を取得するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、接続文字列を取得するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 接続文字列を取得するPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「PDB接続」をクリックします。
  9. 「プラガブル・データベース接続」ダイアログで、「表示」および「コピー」リンクを使用して、必要に応じて接続文字列を表示およびコピーします。
  10. 「閉じる」をクリックし、ダイアログを終了します。
プラガブル・データベース(PDB)のクローニング

クローンは、クローニング操作時に存在していた特定のデータベースの独立した完全なコピーです。同じCDBまたは別のCDB内にPDBのクローンを作成し、クローニングされたPDBをリフレッシュすることもできます。

ノート

19cから23aiにPDBをクローニングすると、クローニングされたPDBは自動的に23aiにアップグレードされます。たとえば、リフレッシュ可能クローンを使用して23aiにクローニングし、通常のPDBに変換すると、必要なすべてのアップグレード・ステップが自動的に処理され、リフレッシュ可能クローンが完全にアップグレードされた23ai PDBに変換されます。

次のタイプのクローンがサポートされています。

  • ローカル・クローン: PDBのクローンは同じCDB内に作成されます。
  • リモート・クローン: PDBのクローンは別のCDBに作成されます。
  • リフレッシュ可能クローン: PDBのクローンは別のCDBに作成され、クローニングされたPDBをリフレッシュできます。

    リフレッシュ可能なクローンの詳細は、「リフレッシュ可能なクローンPDBについて」を参照してください。

親トピック: プラガブル・データベースの管理

コンソールを使用したプラガブル・データベース(PDB)のローカル・クローンの作成

PDBのローカル・クローンを作成するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  7. 「クローン」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次を入力します:
    • クローン・タイプの選択: 「ローカル・クローン」を選択して、同じCDBへのソースPDBのコピーを作成します。
    • VMクラスタ: メニューを使用して、ソースVMクラスタを選択します。
    • 宛先データベース:このフィールドは無効です。
    • クローンの新規PDB名: 名前は、英字で始める必要があります。最大30文字まで含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者のパスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。パスワードには次が含まれる必要があります:
          • 最小9文字および最大30文字
          • 少なくとも2つの大文字
          • 少なくとも2つの小文字
          • 少なくとも2つの特殊文字。有効な特殊文字は、アンダースコア( _ )、ポンド記号またはハッシュ記号(#)、およびダッシュ(-)です。2つの同じ文字を使用したり、2つの同じ文字の組合せを使用したりできます。
          • 少なくとも2つの数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者のパスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。PDBを使用するには、管理者パスワードをリセットする必要があります。
        ノート

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルに管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*PlusのCONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          詳細は、『Oracle® Multitenant管理者ガイド』CDBの管理およびPDBの管理を参照してください。

        2. PDBの管理者名を検索します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • PDBの作成後にすぐにPDBのバックアップを取得します: CDBで自動バックアップを有効にして、PDBの作成後にすぐにPDBをバックアップする必要があります。CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。
      ノート

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • シン・クローンの有効化:デフォルトでは、すべてのクローンはシン・クローンです。シン・クローンの詳細は、Oracle® Exadata Exascaleユーザーズ・ガイドプラガブル・データベースのシン・クローニングを参照してください。特にシック・クローン(フル・コピー)が必要な場合は、このオプションの選択を解除する必要があります。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。
コンソールを使用したプラガブル・データベース(PDB)のリモート・クローンの作成

PDBのリモート・クローンを作成するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  7. 「クローン」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次を入力します:
    • クローン・タイプの選択: 「リモート・クローン」を選択して、同じCDBへのソースPDBのコピーを作成します。
    • VMクラスタ:メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBを作成する既存のデータベースを選択します。このデータベースは、ソースPDBが存在するCDBと同じバージョンまたはより上位のバージョンにすることができます。
    • クローンの新規PDB名: 名前は、英字で始める必要があります。最大30文字まで含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者のパスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。パスワードには次が含まれる必要があります:
          • 最小9文字および最大30文字
          • 少なくとも2つの大文字
          • 少なくとも2つの小文字
          • 少なくとも2つの特殊文字。有効な特殊文字は、アンダースコア( _ )、ポンド記号またはハッシュ記号(#)、およびダッシュ(-)です。2つの同じ文字を使用したり、2つの同じ文字の組合せを使用したりできます。
          • 少なくとも2つの数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者のパスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。PDBを使用するには、管理者パスワードをリセットする必要があります。
        ノート

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルに管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*PlusのCONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          詳細は、『Oracle® Multitenant管理者ガイド』CDBの管理およびPDBの管理を参照してください。

        2. PDBの管理者名を検索します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • ソース・データベースSYSパスワード:データベース管理パスワードを入力します。
    • データベース・リンク:データベース・リンクのユーザー名とパスワードを入力します。ソース・データベースでユーザーが事前に作成されている必要があります。DBリンクは、そのユーザー名とパスワードを使用して宛先に作成されます。
      ノート

      データベース・リンク情報を指定しない場合、クラウド自動化では共通ユーザーを使用してデータベース・リンクが作成されます。ただし、クラウド自動化で特定のデータベース・リンクを使用する場合は、データベース・リンク情報を指定できます。
    • PDBの作成後にすぐにPDBのバックアップを取得します: CDBで自動バックアップを有効にして、PDBの作成後にすぐにPDBをバックアップする必要があります。CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。
      ノート

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

    • シン・クローンの有効化:デフォルトでは、すべてのクローンはシン・クローンです。シン・クローンの詳細は、Oracle® Exadata Exascaleユーザーズ・ガイドプラガブル・データベースのシン・クローニングを参照してください。特にシック・クローン(フル・コピー)が必要な場合は、このオプションの選択を解除する必要があります。
      ノート

      ソースとターゲットのVMクラスタが同じボールトを共有していない場合、シン・クローン・オプションは無効(グレー表示)になります。このような場合、太いクローンのみサポートされます。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。
コンソールを使用したプラガブル・データベース(PDB)のリフレッシュ可能クローンの作成

PDBのリフレッシュ可能クローンを作成するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、クローニングするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、クローニングするPDBを含むデータベースを検索します。
  5. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  6. クローニングするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  7. 「クローン」をクリックします。
  8. 「PDBのクローニング」ダイアログ・ボックスで、次を入力します:
    • クローン・タイプの選択: 「リフレッシュ可能クローン」を選択して、ソースPDBのコピーを同じCDBに作成します。

      リフレッシュ可能なクローンの詳細は、「リフレッシュ可能なクローンPDBについて」を参照してください。

    • VMクラスタ:メニューを使用して、宛先VMクラスタを選択します。
    • 宛先データベース: メニューを使用して、PDBを作成する既存のデータベースを選択します。このデータベースは、ソースPDBが存在するCDBと同じバージョンまたはより上位のバージョンにすることができます。
    • クローンの新規PDB名: 名前は、英字で始める必要があります。最大30文字まで含めることができます。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDB管理アカウントのロック解除:
      • 管理者のパスワードを入力するには、このチェック・ボックスを選択します。
        • PDB管理パスワード: PDB管理パスワードを入力します。パスワードには次が含まれる必要があります:
          • 最小9文字および最大30文字
          • 少なくとも2つの大文字
          • 少なくとも2つの小文字
          • 少なくとも2つの特殊文字。有効な特殊文字は、アンダースコア( _ )、ポンド記号またはハッシュ記号(#)、およびダッシュ(-)です。2つの同じ文字を使用したり、2つの同じ文字の組合せを使用したりできます。
          • 少なくとも2つの数字(0 - 9)
        • PDB管理パスワードの確認: 確認フィールドに同じPDB管理パスワードを入力します。
      • 管理者のパスワードの入力をスキップするには、このチェック・ボックスの選択を解除します。このチェック・ボックスの選択を解除すると、PDBは作成されますが、使用できません。PDBを使用するには、管理者パスワードをリセットする必要があります。
        ノート

        新しいPDBを作成すると、PDBのローカル・ユーザーが管理者として作成され、PDB_DBAロールがローカルに管理者に付与されます。
        パスワードをリセットするには:
        1. SQL*PlusのCONNECT文を使用して、PDBが存在するコンテナに接続します。
          SQL> show con_name;
CON_NAME
------------------------
CDB$ROOT

          詳細は、『Oracle® Multitenant管理者ガイド』CDBの管理およびPDBの管理を参照してください。

        2. PDBの管理者名を検索します:
          SQL> select grantee from cdb_role_privs where con_id = (select con_id from cdb_pdbs where pdb_name = '<PDB_NAME>') and granted_role = 'PDB_DBA';
        3. PDBに切り替えます:
          SQL> alter session set container=<PDB_NAME>;
Session altered.

          SQL> show con_name;
CON_NAME
------------------------
<PDB_NAME>
        4. PDB管理者パスワードをリセットします:
          SQL> alter user <PDB_Admin> identified by <PASSWORD>;
User altered.
    • ソース・データベースSYSパスワード:データベース管理パスワードを入力します。
    • データベース・リンク:データベース・リンクのユーザー名とパスワードを入力します。ソース・データベースでユーザーが事前に作成されている必要があります。DBリンクは、そのユーザー名とパスワードを使用して宛先に作成されます。
      ノート

      リフレッシュ可能クローンの場合、データベース・リンク・パラメータは必須であり、この情報を指定する必要があります。
    • シン・クローンの有効化:デフォルトでは、すべてのクローンはシン・クローンです。シン・クローンの詳細は、Oracle® Exadata Exascaleユーザーズ・ガイドプラガブル・データベースのシン・クローニングを参照してください。特にシック・クローン(フル・コピー)が必要な場合は、このオプションの選択を解除する必要があります。
      ノート

      ソースとターゲットのVMクラスタが同じボールトを共有していない場合、シン・クローン・オプションは無効(グレー表示)になります。このような場合、太いクローンのみサポートされます。
    • 拡張オプション:
      • タグ: オプションで、タグを適用できます。リソースを作成する権限がある場合、そのリソースにフリーフォーム・タグを適用する権限もあります。定義済タグを適用するには、タグ・ネームスペースを使用する権限が必要です。タグ付けの詳細は、リソース・タグを参照してください。タグを適用する必要があるかどうかがわからない場合は、このオプションをスキップするか(後でタグを適用できます)、管理者に問い合せてください。
  9. 「プラガブル・データベースのクローニング」をクリックします。

関連トピック

親トピック: プラガブル・データベース(PDB)のクローニング

コンソールを使用したクローニングされたプラガブル・データベース(PDB)のリフレッシュ

クローンPDBのリフレッシュを作成するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、リフレッシュするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、リフレッシュするPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. リフレッシュするPDBの名前をクリックします。

    プラガブル詳細ページが表示されます。

  8. 「他のアクション」をクリックし、「リフレッシュ」を選択します。
  9. 表示された「リフレッシュ」ダイアログ・ボックスで、「リフレッシュ」をクリックして確認します。
コンソールを使用したリフレッシュ可能クローンの通常のプラガブル・データベース(PDB)への変換

リフレッシュ可能クローンを通常のPDBに変換するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、通常のPDBに変換するPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、通常のPDBに変換するPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. 通常のPDBに変換するPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「通常のPDBに変換」を選択します。

    (または)

    「アクション」メニュー(3つのドット)をクリックし、「通常のPDBに変換」を選択します。

  8. 表示される「通常のPDBに変換」ダイアログで、次のように入力します。
    • データベースのTDEウォレット・パスワード: ソースPDBの親CDBのTDEウォレット・パスワードを入力します。
    • PDBの作成後にすぐにPDBのバックアップを取得します: CDBで自動バックアップを有効にして、PDBの作成後にすぐにPDBをバックアップする必要があります。CDBで自動バックアップが有効になっている場合、このチェック・ボックスはデフォルトで選択されます。
      ノート

      このチェック・ボックスの選択を解除すると、次の日次バックアップが正常に完了するまでPDBをリカバリできないことを示す警告が表示されます。

  9. 「変換」をクリックします
プラガブル・データベース(PDB)のリストア

同じCDB内のPDBを、最後に認識された良好な状態および指定されたタイムスタンプにリストアできます。

コンソールを使用したプラガブル・データベース(PDB)のインプレース・リストアの実行

インプレース・リストアを実行するには、この手順に従います。

  1. ナビゲーション・メニューを開き、「Oracle Database」で、「Exadata Cloud@Customer」をクリックします。

    デフォルトでVMクラスタが選択されています。

  2. コンパートメントを選択します。

    選択したコンパートメントに対するVMクラスタのリストが表示されます。

  3. VMクラスタのリストで、リストアするPDBを含むVMクラスタの名前をクリックし、その名前をクリックして詳細ページを表示します。
  4. 「データベース」で、リストアするリフレッシュ可能なPDBを含むデータベースを検索します。
  5. データベースの名前をクリックして、「データベース詳細」ページを表示します。
  6. ページの「リソース」セクションの「プラガブル・データベース」をクリックします。

    このデータベース内の既存のPDBのリストが表示されます。

  7. リストアするPDBの名前をクリックします。

    プラガブル・データベースの詳細ページで、「その他のアクション」をクリックし、「リストア」を選択します。

    (または)

    「アクション」メニュー(3つのドット)をクリックし、「リストア」を選択します。

  8. 表示される「PDBのリストア」ダイアログで、次のように入力します。
    • 最新にリストア:このオプションを選択すると、データ損失の可能性がゼロまたは最小でデータベースをリストアおよびリカバリできます。
    • タイムスタンプにリストア:データベースをリストアして、指定したタイムスタンプにリカバリするには、このオプションを選択します。
  9. 「リストア」をクリックします
APIを使用したプラガブル・データベースの管理

様々なAPI機能を使用して、Oracle Exadata Database Service on Cloud@Customerでプラガブル・データベースを管理します。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次のAPIを使用して、Exadata Cloud@Customerシステムでプラガブル・データベースを管理します。
  • ListPluggableDatabases
  • GetPluggableDatabase
  • StartPluggableDatabase
  • StopPluggableDatabase
  • CreatePluggableDatabase
  • DeletePluggableDatabase
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

データベース・サービスのAPIの完全なリストは、データベース・サービスAPIを参照してください。

APIを使用したプラガブル・データベースのクローニング

ソースPDBと同じデータベース(CDB)またはソースPDBとは異なるデータベースにプラガブル・データベース(PDB)をクローニングします。

APIの使用およびリクエストの署名の詳細は、REST APIおよびセキュリティ資格証明を参照してください。SDKについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

次のAPIを使用して、Exadata Cloud@Customerシステムでプラガブル・データベースを管理します。
  • LocalclonePluggableDatabase
  • RemoteclonePluggabledatabase

データベース・サービスのAPIの完全なリストは、データベース・サービスAPIを参照してください。

プラガブル・データベース(PDB)の同時作成または削除

コンテナ・データベース(CDB)が更新状態の場合でも、最大10個のPDBを同時に作成または削除できるようになりました。ただし、PDBの作成や削除以外の他の操作がそのメタデータまたは構造を変更している場合、CDBが更新状態にある間はPDBを作成または削除できません。

クラスタに作成できるCDBおよびPDBの最大数は、VMで使用可能なメモリーによって決まります。デフォルトでは、Oracle Exadata Database Service on Cloud@Customerの場合、VMの合計メモリーが60 GBを超えると、各CDBに12.6 GBのメモリー(SGAの場合は7.6 GB、PGAの場合は5 GB)が割り当てられます。60 GB以下のVMの場合、6.3 GBが割り当てられます(SGAの場合は3.8 GB、PGAの場合は2.5 GB)。

また、Grid InfrastructureまたはASMは、通常、2~4 GBのメモリーを消費します。必要に応じて、VMのメモリー割当てを調整できます。CDBに割り当てられたメモリーは、そのPDB間で共有されることに注意してください。CDBのメモリーが不足している場合、PDBの作成は失敗します。

また、Data Guard環境でPDBを同時に作成または削除できるようになりました。Data Guard以外の環境での同時PDBの作成または削除には制限はありません。

ノート:

  • Data Guardが構成され、TDE暗号化キー(Oracle管理キー)にファイルベースのウォレットを使用するOracle DatabaseでのPDBの同時作成もサポートされていますが、Oracleはスタンバイ・データベース・サーバーにシリアルにPDBをシリアルに作成します。ただし、同時に削除することもできます。
  • PDBの作成がまだ進行中の場合、そのPDBは削除できません。

パラレルで実行できる操作:

  • VMクラスタ内のCDBを作成または削除します。
  • 同じクラスタ内で別のCDBの削除が進行中のときに、VMクラスタにCDBを作成します。
  • 同じクラスタ内で別のCDBの作成が進行中のときに、VMクラスタ内のCDBを削除します。
  • CDBで、別のPDB (PDB2)が作成されている間にPDB (PDB1)を削除します。
  • CDBが更新状態の場合は、追加のPDBを作成または削除します。
  • PDBの作成または削除中にOCPUをスケーリングします。

プラガブル・データベース(PDB)のコストおよび使用状況属性

ノート

マルチテナント・デプロイメントで実行されているOracle Databases 19c以上でのみサポートされています。

OCI Cost Management Serviceのコスト分析機能の拡張により、VMクラスタ内のすべてのPDBの帰属使用量およびコストを表示できます。このデータは、コスト分析ダッシュボードおよびレポートで使用できます。

前提条件:
  • dbaastools: (最小バージョン) 24.3.2
    • ゲストVMでdbaastools rpmのバージョンを確認するには、次を実行します: 
      rpm -qa | grep dbaastools
    • ゲストVMでdbaastools rpmを更新するには、次を実行します: 
      dbaascli admin updateStack

      rpm -qa | grep dbaastoolsコマンドを実行して、dbaastools rpmを更新した後に必要なdbaastoolsの最小バージョンがあることを確認します。

  • dbcsagentは、ゲストVMで実行されている必要があります。必要なdbcsagentの最小バージョンは23.3.2です。
    • ゲストVMでdbcsagentのバージョンを確認するには、次のコマンドを実行します。 
      rpm -qa | grep dbcs-agent-update
    • ゲストVMのdbcsagentを更新するには、My Oracle Supportでサービス・リクエストを開く必要があります。
    • dbcsagentのステータスを確認するには、次のコマンドを実行します。 
      systemctl status dbcsagent

      dbcsagentがアクティブ(実行中)状態でない場合は、systemctl start dbcsagentを実行します。

      エージェントのステータスを再度確認して、エージェントが実行中であることを確認します。

  • ネットワーク設定: コントロール・プレーン・サーバーは、Oracle Exadata Database Service on Cloud@Customerのネットワーク要件の表3-2の「測定およびモニタリング」セクションで指定されているエンドポイントとの接続を確立できる必要があります。

親トピック: Oracle Exadata Database Service on Cloud@Customerでのプラガブル・データベースの管理

プラガブル・データベースの属性コスト分析レポートの生成

VMクラスタ内のすべてのプラガブル・データベースのCPU使用率に基づく属性コストを表示するには、次のステップに従います。

  1. ナビゲーション・メニューを開き、「請求とコスト管理」をクリックします。「コスト管理」で、「コスト分析」をクリックします。
  2. 「レポート」から、事前定義済レポートのいずれかを選択するか、デフォルトの「サービス別コスト」レポートを使用します。
  3. 必要に応じて問合せを調整します。
    1. 「開始日/終了日(UTC)」で、期間を選択します。
    2. 「粒度」から、「日次または月次」を選択します。
    3. 「表示」から、「属性コスト」を選択します。
    4. 「フィルタ」から、「タグ」を選択します。

      表示される「タグ」ダイアログで、キーparent_resource_id_1がVMクラスタのOCIDと等しいタグとしてorcl-cloudを選択します。

    5. 「グループ化ディメンション」で、目的のグループ化ディメンションを選択します。たとえば、リソースOCIDです。

      VMクラスタOCIDは含まれるCDBの親であり、CDB OCIDは含まれるPDBの親OCIDです。

    6. 「適用」をクリックして変更を適用し、選択したフィルタを使用してチャートおよび表をリロードします。

      生成されたレポートには、VMクラスタ内のすべてのPDBの帰属コストが表示されます。

  4. 変更を加えると、「レポート」メニューから現在選択されている事前定義済レポートの名前が(編集済)に変わります。
  5. 変更が完了し、新規レポートを保存する場合は、「保存」を新規レポートとしてクリックします。
  6. 「新規レポートとして保存」ダイアログで、「名前」フィールドにレポートの名前を入力します。機密情報を入力しないでください。
  7. 「保存」をクリックします。

    レポートが保存されたという通知が表示され、そのレポートが「レポート」メニューでも選択されます。

  8. カスタム・レポート設定をまだ適用していない場合は、「適用」をクリックして変更を表示します。

    新しい保存済レポートは、今後「レポート」メニューの「保存済レポート」の下から選択できるようになりました。

    PDB属性コスト分析レポートの生成の詳細は、コスト分析を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ユーザーを使用したOracle Databaseへの接続

IAMユーザーがIAM資格証明を使用してOracle Databaseにアクセスできるように、Oracle Cloud Infrastructure Identity and Access Management (IAM)の認証および認可を使用するようにOracle Exadata Database Service on Cloud@Customerを構成できます。

親トピック: Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証

Oracle Exadata Database Service on Cloud@Customer上のOracle Databaseインスタンスで、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)、またはSSOトークンによるユーザー・アクセスを可能にする方法について学習します。

親トピック: Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ユーザーを使用したOracle Databaseへの接続

Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証について

Oracle DatabaseインスタンスでユーザーにOracle Cloud Infrastructure (IAM)認証および認可を使用できるようにすることができます。

ノート

Oracle Databaseは、アイデンティティ・ドメインを持つOracle Cloud Infrastructure (OCI) IAMと、アイデンティティ・ドメインを含むレガシーIAMに対するOracle DBaaS統合をサポートしています。アイデンティティ・ドメインでIAMを使用する場合、デフォルト・ドメイン・ユーザーおよびデフォルト以外のドメイン・ユーザーおよびグループの両方がサポートされます。

IAM統合のサポートは、Oracle Databaseリリース19c、バージョン19.21以降でのみ使用できます(ただし、Oracle Databaseリリース21cでは使用できません)。

Oracle Exadata Database Service on Cloud@CustomerとのOracle Cloud Infrastructure IAM統合では、次がサポートされます:

  • IAMデータベース・パスワード認証
  • Identity and Access Management (IAM) SSOトークン・ベース認証

Oracle Exadata Database Service on Cloud@CustomerでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Database 19cセキュリティ・ガイドおよびOracle Database 23aiセキュリティ・ガイドOracle DBaaSデータベースに対するIAMユーザーの認証と認可を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)データベース・パスワード認証

Oracle Databaseインスタンスで、Oracle Cloud Infrastructure IAMデータベース・パスワード(パスワード・ベリファイアを使用)によるユーザー・アクセスを可能にすることができます。

ノート

サポートされている12c以上のデータベース・クライアントは、Oracle DatabaseへのIAMデータベース・パスワード・アクセスに使用できます。

Oracle Cloud Infrastructure IAMデータベース・パスワードを使用すると、Oracle Databaseユーザーが通常ユーザー名とパスワードでログインするようにIAMユーザーがOracle Databaseインスタンスにログインできます。ユーザーは、IAMユーザー名およびIAMデータベース・パスワードを入力します。IAMデータベースのパスワードは、Oracle Cloud Infrastructureコンソールのパスワードとは異なります。IAMユーザーとパスワード・ベリファイアを使用すると、サポートされている任意のデータベース・クライアントでOracle Databaseにログインできます。

パスワード・ベリファイアのデータベース・アクセスのために、Oracle DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。

IAMデータベース・パスワードの管理の詳細は、IAMデータベース・ユーザー名およびパスワードの作業を参照してください。

Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークン・ベース認証

Oracle DatabaseインスタンスでOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM) SSOトークンを使用できるようにすることができます。

IAMトークンを使用してデータベースにアクセスするには、Oracle DatabaseインスタンスへのIAMユーザーおよびOCIアプリケーションのマッピングを作成します。IAMユーザー・アカウント自体はIAMで管理されます。ユーザー・アカウントとユーザー・グループは、デフォルト・ドメインまたはカスタムのデフォルト以外のドメインにあります。

データベース・クライアントがIAMデータベース・トークンを取得するには、いくつかの方法があります:

  • クライアント・アプリケーションまたはツールは、IAMからユーザーのデータベース・トークンをリクエストでき、クライアントAPIを介してデータベース・トークンを渡すことができます。APIを使用してトークンを送信すると、データベース・クライアント内の他の設定がオーバーライドされます。IAMトークンを使用するには、最新のOracle Databaseクライアント19c (19.16以上)が必要です。一部の以前のクライアント(19cおよび21c)は、トークン・アクセス用の限られた一連の機能を提供します。Oracle Databaseクライアント21cは、IAMトークン・アクセス機能を完全にはサポートしていませんこのタイプのIAMデータベース・トークンの使用でサポートされているクライアントの詳細は、IAM接続でサポートされるクライアント・ドライバを参照してください。
  • アプリケーションまたはツールがクライアントAPIを介したIAMデータベース・トークンのリクエストをサポートしていない場合、IAMユーザーはまずOracle Cloud Infrastructureコマンドライン・インタフェース(CLI)を使用してIAMデータベース・トークンを取得し、ファイルの場所に保存できます。たとえば、この接続方法を使用してSQL*Plusおよびその他のアプリケーションおよびツールを使用するには、最初にOracle Cloud Infrastructure (OCI)コマンドライン・インタフェース(CLI)を使用してデータベース・トークンを取得します。詳細は、db-token getを参照してください。データベース・クライアントがIAMデータベース・トークン用に構成されている場合、ユーザーがスラッシュ・ログイン形式でログインすると、データベース・ドライバは、デフォルトまたは指定されたファイルの場所に保存されたIAMデータベース・トークンを使用します。
  • クライアント・アプリケーションまたはツールは、Oracle Cloud Infrastructure IAMインスタンス・プリンシパルまたはリソース・プリンシパルを使用してIAMデータベース・トークンを取得し、IAMデータベース・トークンを使用してOracle Databaseインスタンスに対して自身を認証できます。
  • 一部のOracle Database 23aiクライアントは、OCIコマンドライン・インタフェースを使用するかわりに、OCI IAMから直接トークンを取得することもできます。このネイティブIAM統合をサポートするクライアントを確認するには、クライアント・ドキュメントを確認してください。
  • IAMユーザーおよびOCIアプリケーションは、APIキーの使用など、いくつかの方法でIAMからデータベース・トークンをリクエストできます。たとえば、IAMトークンを使用するSQL*Plusのクライアント接続の構成を参照してください。OCIクラウド・シェル内での委任トークンの使用などの他の方法の詳細は、Oracle DBaaSデータベースに対するIAMユーザーの認証と認可を参照してください。

以前のリリースでは、IAMのユーザー名およびデータベース・パスワードを使用して、IAMからパスワード・ベリファイアのみを取得できました。パスワード・ベリファイアは扱いに注意を要すると考えられるため、これらの資格証明によるトークンの取得は、パスワード・ベリファイアの取得よりも安全です。トークンを使用することは、ベリファイアを渡したり使用したりする必要がないことを意味します。アプリケーションは、データベース・クライアントAPIを介してIAMユーザー名とパスワードによって取得されたトークンを渡すことはできません。このタイプのトークンを取得できるのは、データベース・クライアントのみです。データベース・クライアントは、IAMユーザー名およびIAMデータベース・パスワードを使用してデータベース・トークンを取得できます。

Oracle DatabaseでのOracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)認証の前提条件

Oracle DatabaseでのIdentity and Access Management (IAM)認証の前提条件を確認します。

  • 外部認証スキームの無効化
    IAMユーザーによるOracle Databaseへのアクセスを有効にするための前提条件を確認します。
  • OCIへのネットワーク接続の構成
    Oracle Exadata Database Service on Cloud@Customer上のデータベース・インスタンスに対してOCI IAMをコールしてIAMデータベース・アクセス・トークン(db-tokens)を受け入れるか、IAMデータベース・パスワード・ベリファイアを取得できるように、OCIへのネットワーク接続を構成します。
  • プロキシ設定の構成
    データベースがOCI IAMにアクセスできるように、環境でネットワーク・プロキシ設定を構成します。例に示されているネットワーク・プロキシURL http://www-proxy.example.com:80/およびデータベース名を自分のものに置き換えます。
  • IAMトークンを使用するためのTLSの構成
    データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合は、TLS接続を確立する必要があります。ExaDB-C@Cサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTの場所に格納する必要があります。WALLET_ROOT/<PDB GUID>/tlsのようになるようにtlsディレクトリを作成します。

親トピック: Oracle Cloud Infrastructure (OCI) Identity and Access Management (IAM)ユーザーを使用したOracle Databaseへの接続

外部認証スキームの無効化

IAMユーザーによるOracle Databaseへのアクセスを有効にするための前提条件を確認します。

データベースで別の外部認証スキームが有効になっている場合は、Oracle DatabaseインスタンスでIAMを使用することを確認します。ある時点において有効化できる外部認証スキームは1つのみです。

IAMを使用し、別の外部認証スキームが有効な場合は、まず他の外部認証スキームを無効にする必要があります。

OCIへのネットワーク接続の構成

Oracle Exadata Database Service on Cloud@Customer上のデータベース・インスタンスに対してOCI IAMをコールしてIAMデータベース・アクセス・トークン(db-tokens)を受け入れるか、IAMデータベース・パスワード・ベリファイアを取得できるように、OCIへのネットワーク接続を構成します。

  1. ExaDB-C@C管理者に問い合せて、ExaDB-C@Cインストールに割り当てられているOCIリージョンを確認します。
  2. そのOCIリージョンのOCI IAMエンドポイントを特定します。詳細は、アイデンティティおよびアクセス管理サービスAPIを参照してください
  3. Oracleオペレータの名前解決用のアイデンティティ・サービスのポート番号を確認します。詳細は、Oracle Exadata Database Service on Cloud@Customerのネットワーク要件表3-2 コントロール・プレーン接続用にオープンするポートを参照してください。

    たとえば、OCIリージョンがフェニックスの場合、ポート443https://identity.us-phoenix-1.OCI.oraclecloud.comに開きます。

  4. この接続を開くようにネットワークを構成します。

ログイン失敗のトラブルシューティングの詳細は、IAM接続のトラブルシューティングを参照してください。

プロキシ設定の構成

データベースがOCI IAMにアクセスできるように、環境でネットワーク・プロキシ設定を構成します。例に示されているネットワーク・プロキシURL http://www-proxy.example.com:80/およびデータベース名を自分のものに置き換えます。

  1. ホスト・オペレーティング・システムにログインします。
  2. プロキシ環境変数を設定します。
    srvctl setenv database -db exampledbname -env "https_proxy=http://www-proxy.example.com:80/"
srvctl setenv database -db exampledbname -env "http_proxy=http://www-proxy.example.com:80/"
  3. データベースを停止し、変数が設定されていることを確認します:
    $ srvctl stop database -db exampledbname
    $ srvctl getenv database -db exampledbname
http_proxy=http://www-proxy.example.com:80/
https_proxy=http://www-proxy.example.com:80/
  4. データベースを再起動します。
    $ srvctl start database -db exampledbname
IAMトークンを使用するためのTLSの構成

データベース・クライアントからデータベース・サーバーにIAMトークンを送信する場合は、TLS接続を確立する必要があります。ExaDB-C@Cサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTの場所に格納する必要があります。WALLET_ROOT/<PDB GUID>/tlsのようになるようにtlsディレクトリを作成します。

データベース・クライアントとサーバー間にTLSを構成する場合は、いくつかのオプションを検討する必要があります。
  • 自己署名データベース・サーバー証明書と、既知の認証局によって署名されたデータベース・サーバー証明書の使用の比較
  • 一方向TLS (TLS)と相互または双方向TLS (mTLS)の比較
  • クライアントのウォレットの有無

自己署名証明書

自己署名証明書を使用することは、内部でITリソースに接続する場合の一般的なプラクティスです。これらは独自に作成でき、無料であるためです。リソース(この場合はデータベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。自己署名証明書とルート証明書は、データベース・サーバー・ウォレットに格納されます。データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、ルート証明書のコピーがクライアントにも必要です。この自己作成ルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルト証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

既知のルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルト証明書ストアに格納されている可能性が高いという点でいくつかの利点があります。一般的なルート証明書の場合、クライアントがルート証明書を格納するための追加のステップはありません。欠点は、通常、これに関連付けられたコストがあることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供し、自身の認証を行います。クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのはサーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に提供されるアイデンティティ証明書があります。ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名するため、データベース・サーバーおよびクライアントで同じルート証明書を使用して他の証明書を認証できます。mTLSは、ユーザー・アイデンティティが証明書を介してデータベース・サーバーによって認証されるため、ユーザーの認証に使用されることがあります。これは、IAMトークンを渡すためには不要ですが、IAMトークンを渡すときに使用できます。

ウォレットありのクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。ただし、ルート証明書は、同じウォレットまたはシステムのデフォルト証明書ストアのいずれかに格納できます。

ウォレットなしのクライアント

次の条件でTLSを使用する場合、ウォレットなしでクライアントを構成できます: 1)クライアントに独自の証明書がない状態で一方向TLSが構成されており、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納されています。サーバー証明書が一般的な認証局によって署名されている場合、ルート証明書はすでに存在している可能性があります。自己署名証明書の場合は、クライアント・ウォレットを使用しないように、システムのデフォルト証明書ストアにルート証明書をインストールする必要があります。

データベース・クライアントとデータベース・サーバー間のTLSを構成する方法の詳細は、Oracle Databaseセキュリティ・ガイドトランスポート・レイヤー・セキュリティ暗号化の構成を参照してください。

Oracle Databaseセキュリティ・ガイドOracle Databaseウォレットおよび証明書の管理で、自己署名証明書の使用およびウォレット関連の追加タスクを選択した場合。

IAM統合のデータベースおよびクライアントの有効化

次の適切なリンクに従って、データベースにアクセスするようにIAMユーザーを構成します。

Oracle Exadata Database Service on Dedicated InfrastructureでIAMユーザーを使用するためのアーキテクチャの詳細は、Oracle Database 19cセキュリティ・ガイドおよびOracle Database 23aiセキュリティ・ガイドOracle DBaaSデータベースに対するIAMユーザーの認証と認可を参照してください。

Oracle Exadata Database Service on Cloud@CustomerでのOracle DatabasesのMicrosoft Entra ID (MS-EI)ユーザーの認証および認可

Oracle Databaseは、Microsoft Entra IDのMicrosoft Azureユーザーがシングル・サインオン認証を使用して接続するように構成できます。

親トピック: Oracle Exadata Database Service on Cloud@Customerでのデータベースの管理

Oracle Exadata Database Service on Cloud@CustomerでのOracle DatabasesのMicrosoft Entra ID (MS-EI)ユーザーの認可について

Oracle Exadata Database Service on Cloud@Customerのユーザーは、MS-EIサービスで一元的に管理できます。

Oracle DatabaseとMS-EIの統合は、オンプレミス・データベースおよびほとんどのOracle OCI DBaaSプラットフォームでサポートされています。

MS-EIを構成する手順では、これらの環境を含めるために「Oracle Database」という用語を使用します。

このタイプの統合により、MS-EIユーザーはOracle Exadata Database Service on Cloud@Customerインスタンスにアクセスできます。MS-EIユーザーおよびアプリケーションは、MS-EIシングル・サインオン(SSO)資格証明を使用してログインし、MS-EI OAuth2アクセス・トークンを取得してデータベースに送信できます。

管理者は、MS-EIでのOracle Exadata Database Service on Cloud@Customerインスタンスのアプリケーション登録(アプリ登録)を作成および構成します。管理者はまた、MS-EIでデータベース・アプリケーション登録のアプリケーション(アプリケーション)ロールを作成し、これらのロールをMS-EIユーザー、グループおよびアプリケーションに割り当てます。これらのアプリケーション・ロールは、データベース・グローバル・スキーマおよびグローバル・ロールにマップされます。アプリケーション・ロールに割り当てられたMS-EIプリンシパルは、データベース・グローバル・スキーマまたはデータベース・グローバル・ロールにマップされます。Oracleグローバル・スキーマは、MS-EIユーザーに排他的にマップすることもできます。プリンシパルがゲスト・ユーザーまたはサービス・プリンシパルの場合、それらはMS-EIアプリケーション・ロールでのみデータベース・スキーマにマップできます。Oracleグローバル・ロールは、MS-EIアプリケーション・ロールにのみマップできます。

MS-EIトークンをサポートするように更新されるツールおよびアプリケーションは、MS-EIを使用してユーザーを直接認証し、データベース・アクセス・トークンをOracle Exadata Database Service on Cloud@Customerインスタンスに渡すことができます。ファイルの場所からMS-EIトークンを使用するか、MS-EIから直接トークンを取得するように、SQL*Plusなどの既存のデータベース・ツールを構成できます。ユーティリティを使用してトークンを取得し、ファイルの場所を介してデータベース・クライアント・ドライバに渡す場合、MS-EIトークンは、Microsoft PowerShellやAzure CLIなどのツールを使用して取得し、ファイルの場所に配置できます。MS-EI OAuth2データベース・アクセス・トークンは、有効期限のあるベアラー・トークンです。Oracle Databaseクライアント・ドライバは、トークンが有効な形式であり、期限が切れていないことを確認してからデータベースに渡します。トークンの有効範囲はデータベースです。Azure ADプリンシパルに割り当てられたアプリケーション・ロールは、アクセス・トークンの一部として含まれます。MS-EIトークンのディレクトリの場所には、ユーザーがトークン・ファイルをその場所に書き込み、データベース・クライアントがこれらのファイルを取得するのに十分な権限のみ(プロセス・ユーザーによる読取りおよび書込みのみなど)が必要です。トークンによってデータベースへのアクセスが許可されるため、トークンはファイル・システム内で保護される必要があります。

MS-EIユーザーは、次のような方法を使用して、MS-EIアプリケーション登録に登録されたクライアントとしてトークンをリクエストできます。

  • 多要素認証の有無にかかわらず、MS-EI認証画面へのMS-EI資格証明の入力

Oracle Exadata Database Service on Cloud@Customerでは、次のMS-EI認証フローがサポートされています。

  • 対話型フロー(認可コード)。ブラウザを使用してユーザーの資格証明を入力できる場合に使用されます
  • クライアント資格証明。これは、エンドユーザーではなく自身で接続するアプリケーション用です
  • On-Behalf-Of (OBO)。ログイン・ユーザーのかわりにアプリケーションがアクセス・トークンをリクエストして、データベースに送信します
  • ROPCは、テストおよび開発環境でもサポートされています。

Oracle Exadata Database Service on Cloud@Customerは、次のMS-EIプリンシパルを表すトークンを受け入れます。

  • MS-EIユーザー(MS-EIテナンシに登録済ユーザー)
  • ゲスト・ユーザー。これは、MS-EIテナンシでゲスト・ユーザーとして登録されています
  • サービス。これは、クライアント資格証明フローを使用してデータベースに自身で接続する登録されたアプリケーションです(接続プールのユース・ケース)

Oracle Database for Microsoft Entra ID (MS-EI)統合の構成

MS-EIとOracle Databaseインスタンスとの統合では、データベースがMS-EI公開キーをリクエストできるように、データベースをMS-EIに登録する必要があります。

MS-EIの構成、データベースの構成およびデータベース・クライアントの構成の詳細は、次を参照してください。

Microsoft Entra ID (MS-EI)認証の前提条件

Oracle Exadata Database Service on Cloud@Customer上のOracle DatabaseとのMS-EI統合には、次のものが必要です。

  1. バージョン19.18以上のOracle Database。
  2. TLSポート2484のデータベースへの接続。TLS以外の接続はサポートされていません。
  3. MS-EIに登録するOracle Database。
  4. MS-EIトークンをリクエストする必要があるユーザーとアプリケーションは、MS-EIへのネットワーク接続も可能である必要があります。接続用のプロキシ設定を構成する必要がある場合があります。
  5. データベースがMS-EI公開キーをリクエストできるように、MS-EIへのアウトバウンド・ネットワーク接続。
    1. データベースのORACLE_SIDORACLE_HOMEおよびPATH変数が正しく設定されていることを確認します。
    2. オペレーティング・システムで、oracleユーザーとして次のsrvctlコマンドを実行します。 
      • $ srvctl setenv database -db <exampledbname> -env "https_proxy=http://www-proxy.example.com:80/"
      • $ srvctl setenv database -db <exampledbname> -env "http_proxy=http://www-proxy.example.com:80/"
      • $ srvctl stop database -db <exampledbname>
      • $ srvctl start database -db <exampledbname>
      • $ srvctl getenv database -db <exampledbname>
http_proxy=http://www-proxy.example.com:80/
https_proxy=http://www-proxy.example.com:80/
TNS_ADMIN=<exampledbhomename>/network/admin/<exampledbname>
    3. HTTPプロキシ設定は、ExaDB-C@Cネットワークでも設定する必要があります。

      これらの設定は、コンソールを使用したOracle Exadata Database Service on Cloud@Customerのプロビジョニングの説明に従って、Exadataインフラストラクチャの作成時にフリート管理者が定義します。

      ノート

      • HTTPプロキシを含むネットワーク構成を編集できるのは、Exadataインフラストラクチャが「アクティブ化が必要」状態になるまでです。いったんアクティブ化すると、それらの設定は編集できません。
      • すでにプロビジョニングされているExadataインフラストラクチャのHTTPプロキシを設定するには、My Oracle Supportでサービス・リクエスト(SR)が必要です。詳細は、My Oracle Supportでのサービス・リクエストの作成を参照してください。
Microsoft Entra ID (MS-EI)トークンを使用するためのTLSの構成

データベース・クライアントからデータベース・サーバーにMS-EIトークンを送信する場合は、TLS接続を確立する必要があります。ExaDB-C@Cサービス・インスタンスのデータベース証明書を含むTLSウォレットは、WALLET_ROOTの場所に格納する必要があります。WALLET_ROOT/<PDB GUID>/tlsのようにtlsディレクトリを作成します。

データベース・クライアントとサーバー間にTLSを構成する場合は、いくつかのオプションを検討する必要があります。

  • 自己署名データベース・サーバー証明書と、既知の認証局によって署名されたデータベース・サーバー証明書の使用の比較
  • 一方向TLS (TLS)と相互または双方向TLS (mTLS)の比較
  • クライアントのウォレットの有無

自己署名証明書

自己署名証明書を使用することは、内部でITリソースに接続する場合の一般的なプラクティスです。これらは独自に作成でき、無料であるためです。リソース(この場合はデータベース・サーバー)には、データベース・クライアントに対して自身を認証するための自己署名証明書があります。自己署名証明書とルート証明書は、データベース・サーバー・ウォレットに格納されます。データベース・クライアントがデータベース・サーバー証明書を認識できるようにするには、ルート証明書のコピーがクライアントにも必要です。この自己作成ルート証明書は、クライアント側のウォレットに格納することも、クライアント・システムのデフォルト証明書ストアにインストールすることもできます(WindowsおよびLinuxのみ)。セッションが確立されると、データベース・クライアントは、データベース・サーバーによって送信された証明書が同じルート証明書によって署名されていることを確認します。

既知の認証局

既知のルート認証局を使用すると、ルート証明書がすでにクライアント・システムのデフォルト証明書ストアに格納されている可能性が高いという点でいくつかの利点があります。一般的なルート証明書の場合、クライアントがルート証明書を格納するための追加のステップはありません。欠点は、通常、これに関連付けられたコストがあることです。

一方向TLS

標準のTLSセッションでは、サーバーのみがクライアントに証明書を提供し、自身の認証を行います。クライアントは、サーバーに対して自身を認証するために個別のクライアント証明書を必要としません(HTTPSセッションの確立方法と同様)。データベースにはサーバー証明書を格納するためのウォレットが必要ですが、クライアントに必要なのはサーバー証明書の署名に使用されるルート証明書のみです。

双方向TLS (相互TLS、mTLSとも呼ばれる)

mTLSでは、クライアントとサーバーの両方に、相互に提供されるアイデンティティ証明書があります。ほとんどの場合、同じルート証明書がこれらの証明書の両方に署名するため、データベース・サーバーおよびクライアントで同じルート証明書を使用して他の証明書を認証できます。mTLSは、ユーザー・アイデンティティが証明書を介してデータベース・サーバーによって認証されるため、ユーザーの認証に使用されることがあります。これは、IAMトークンを渡すためには不要ですが、IAMトークンを渡すときに使用できます。

ウォレットありのクライアント

クライアント証明書を格納するためにmTLSを使用する場合、クライアント・ウォレットは必須です。ただし、ルート証明書は、同じウォレットまたはシステムのデフォルト証明書ストアのいずれかに格納できます。

ウォレットなしのクライアント

次の条件でTLSを使用する場合、ウォレットなしでクライアントを構成できます: 1)クライアントに独自の証明書がない状態で一方向TLSが構成されており、2)データベース・サーバー証明書に署名したルート証明書がシステムのデフォルト証明書ストアに格納されています。サーバー証明書が一般的な認証局によって署名されている場合、ルート証明書はすでに存在している可能性があります。自己署名証明書の場合は、クライアント・ウォレットを使用しないように、システムのデフォルト証明書ストアにルート証明書をインストールする必要があります。

データベース・クライアントとデータベース・サーバー間のTLSを構成する方法の詳細は、次を参照してください:

自己署名証明書の使用およびウォレット関連の追加タスクを選択する場合は、次を参照してください:

この記事は役に立ちましたか。