doag2005 provisioning und patching mit oracle … 2005 provisioning und patching mit oracle...

DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control

1

Provisioning und Patching mitOracle Enterprise Manager 10gR2

Grid Control


2

Jutta Adam-FussServer Technology Competence Center FrankfurtORACLE Deutschland GmbH

Herausforderungen in RZ-Umgebungen

� Flexibilität– Reagieren auf sich ständig ändernde Umgebungen

� Hohes Aufkommen an Software Updates und Patches –spez. Sicherheits-Patches

� Neue Services werden in kurzen Intervallen benötigt� Kapazitätsplanung in Abhängigkeit der Auslastung

� Skalierbarkeit– Verwaltung von sehr vielen Komponenten

� Extremes Server Wachstum in den letzten 2 Jahren

� Ausfallsicherheit– Systemausfälle in Folge von Änderungen


3

Install andConfigure

Activate

UpgradeAndUpdate

Install Configure

Activate

Operate

CloneUpgrade

Patch

Uninstall

Deactivate

Software Lebenszyklus

Command Line Utilities

• Oracle Universal Installer

• Opatch

• Konfigurations-Assistenten

9iR2

Automatisierung des Oracle TechnologieStacks

• DB OH Cloning für Single Instance Systeme

• Cloning für J2EE AS

• Critical Patch Facility für DB

• Single Instance Database Patching

• Single Click Agent Patching für interim Patches

10gR1

Umfassende und Erweiter-

bare Automatisierung des

Oracle Technologie Stacks

• Software Library zur Verwaltung von Images

• Template basiertes Bare Metal

Provisioning für Linux (RAC/AS)

• RAC/CRS/DB und AS Middle-Tier Cloning

• Extending Database

(RAC/CRS/ASM) und AS Cluster

• Patching für ST Produkte; 10g/9i DB, 10g AS, 10g OCS

• Linux Betriebssystem Patching

• Ad hoc und built-in Reports

10gR2

Oracle Software Deployment Evolution


4

GC 10gR2 ProvisioningSoftware und Server

� Software und Server Bereitstellung betragenca. 25% der Zeit von DBA und Systemadministration

� Automatisiert die meisten Software und Server Bereitstellungs-Operationen

� Keine andere Lösung automatisiert die Verteilung von Oracle Software und Patches komplett

� Reduzierung von manuellen Tätigkeiten

Provisioning in EM 10gR2

� Bare Metal Provisioning

� Cloning

� Cluster erweitern

� Patching von Oracle Produkten– DB

– AS

� OS patching– Linux


5

View/Search

Compare/Diff

Change Tracking

Reference

Configurations

Analyze

Install/Clone

Configure

Patch

Secure

ProvisionLiveLink

Oracle.com

Product Updates

Patches

Product

Configuration

Oracle

Inventory

Software

Configurations

Hardware

Configurations

Discover

EnterpriseManager

Provisioning und Patching


6


7


8


9

ProvisioningSoftware und Server

DesignSoftware KomponentenServer/Netzwerk/Storage TemplatesDirektiven/SkripteGold Images

ReportSoftware Package CompliancePatch ComplianceChange Tracking

AutomatisierungSoftware Image ProvisioningBare-metal ProvisioningSoftware Updates/PatchesMulti-Server Provisioning


10

Provisioning- Konzept

� Hardware Server

� Staging und Boot Server

� Software Komponenten

� Images

� Default Image

� Direktiven

� Software Library

Templates

� Server Templates– Typ und Min/Max CPU– Name und Min/Mix

Festplatten– Min/Max RAM– Netzwerk

� Storage Templates– Mount points– Name– Kapazität– Partitionierung, Größen– Benutzung (swap, raid, …)– Typ des Dateisystems

� Netzwerk Templates– Liste der Adapter– Name– Hostname/Domain

Name/IP Adresse/DNS IP Adresse (Liste)

– Netzwerk Maske/ Broadcast Adresse/Ports

– Netzwerk Zugriff� Public, Intern, Privat

– Security (open/secure)

Systemeigenschaften definieren und nutzen


11

Out-of-Box Library

DB 9iR2 serverDB 10gR1 server

DB 10gR1 RAC

10g AS J2EE

GC 10g agent

Komponenten TemplatesHardware Templates- Single box DB/AS

- Multi-tier (2 MTs+RAC)

- Multi-tier(2 MTs+DB)

Storage Templates- NAS/OCFS

Netzwerk Templates- 2 NICs

- 3 NICs RAC-interconnect

DB 9iR2DB 10gR1

DB 10gR1 RAC

10g AS

10g OCS

Extend 10g RAC

Extend 10g CRS

Extend 10gAS cluster

Direktiven


12

Provisioning Operationen

� Software Image– Aus einer Library mit Komponenten

� Bare-Metal– Linux

� Patches und Software Updates– Automatisierte Anwendung von Oracle Critical Patches

– Installation neuer RPMs

� Multi-Server– CRS, RAC und AS Cluster

– Multi-tier Applikationen

Software Image Provisioning

� Jedes Image aus der Standard Software Library kann auf jedem Server deployed werden

– Unterstützung aller Software Packages

– Unterstützung aller Plattformen

� Update existierender Deployments mit neuerOracle Software über Cloning

– Clonen von Gold Images (Oracle Home)

– Erweitern von RAC und AS Cluster


13

� Automatisches Erkennen der Bare Metal Hardware� PXE (netzwerk) basierendes Provisioning� Benutzt native OS Installationsprogramme� Template basierendes Anwenden der Images� Unterstützung für Server mit oder ohne lokale Platten

Bare MetalBare Metal

Enterprise

Manager

Grid Control

10g

Server eingefügt in Rackund eingeschaltet

Erkannt in EM

Production

Einsatz desGold Images

Production

Gold Image

Bare Metal Provisioning (Linux)

Gold Image Erstellen

Server und StorageTemplates

Direktive zum RDBMS 9iR2 Silent Install

Software Komponente RDBMS 9iR2

ModulareKomponenten


14

Software Cloning in 10gR2

� Clone – Referenz Oracle Home– Software Library

� Sudo Funktionalität für root.sh� Pre und Post Skripte� Cloning von RAC and CRS Oracle Homes

– um neuen Cluster zu erstellen– um bestehenden Cluster zu erweitern

� AS Cloning Verbesserungen– Unterstützung aller Middle-Tier-Installationen

(J2EE, Portal&Wireless, BI/Forms)– Erweitern eines existierenden Clusters

Erstellen und Erweitern vonDatenbank Cluster


15

Skalieren von AS Cluster

Vier Schritte zum neuen RAC

1. Auswahl des CRS Gold Images aus der Software Library und auf Knoten 1 klonen

– Cluster Configuration Utilities laufen als Post Scripts

2. Auswahl des RAC Gold Images aus der Software Library und auf Knoten 1 klonen

– [OPTIONAL: Falls die DB ASM nutzt, muss noch ein ASM-Home erstellt werden in dem die ASM Instanz läuft]. Auswahl des ASM Gold Images aus der Software Library und auf Knoten 1 klonen um eine ASM Home zu erstellen

3. Klonen des Single Instanz Datenbank Gold Images auf Knoten 14. Ausführen des Kovertierungs-Utilities um die Single Instanz DB

in RAC zu konvertieren.– OPTIONAL: Konfiguration von RAC um ASM zu nutzen.


16

Drei Schritte um RAC zu erweitern

1. Auswahl des CRS Gold Images aus der Software Library und auf Knoten 2 klonen– Cluster Configuration Utilities laufen als Post Scripts

2. Auswahl des RAC Gold Images aus der Software Library und auf Knoten 2 bis n klonen.� [OPTIONAL: Falls die DB ASM nutzt, muss noch ein ASM-Home

erstellt werde]. Auswahl des ASM Gold Images aus der Software Library und auf Knoten 2 bis n klonen

3. Aufruf von “Add Instance” im EM und die Liste der Knoten auswählen, für die die DB Instanz hinzugefügt werden soll.

4. Nun hat der Benutzer einen n-Knoten RAC Cluster.

Patching - Herausforderungen

� Kenntnis– Woher weis ich, dass ein neuer Patch für eine bestimmte Version

und Plattform existiert? – Woher weis ich welche Installationen gefährdet sind?– Woher weis ich welche Auswirkungen ein Patch hat?– Woher weis ich auf welchen Systemen welche Patches installiert

sind?

� Verteilung und Planung– Wie verteile ich Patches auf viele Ziele?– Wie kann ich “Massen-Patching” planen? – Unterstützt der Scheduler Wiederholungen/Zeitzonen, etc?

� Applikation– Wie verteile ich einen Patch auf mehrere Hosts parallel?– Wie kümmere ich mich um Startup und Shutdown?– Kann ich eigene Skripte während des Patches laufen lassen?


17

Patching

Critical Patch Advisory

� Tägliche Überprüfung aller Installationen undKennzeichnung der “Violators”

� RefreshFromMetalink Job� Critical Patch Facility gibt Empfehlungen für

die einzuspielenden Patches� Patch Wizard unterstützt bei der Verteilung

und beim Einspielen der Patches


18

Critical Patch Facility Empfehlungen

Offline Patching

� Ohne Verbindung zu Metalink� Offline Patch

– Hochladen des Patches in den Patch Cache – Anwenden eines Patches von Stage

� Offline Critical Patch Advisories– Super-Administrator lädt Critical Patch Facility

Metadaten Dateien in das Management Repository

– RefreshFromMetalink Job nutzt diese Informationen


19

Oracle Patching

• End-to-End Automatisierung• Unterstützung für Pre und Post Patch Phasen• Shutdown/Startup aller Prozesse• Patch einspielen inklusive aller SQL

Operationen

• Unterstützung für • DB 9i und 10g Patch Sets• RAC/CRS• Rolling Upgrade• Shared Oracle Homes• Grid Control Agent (Mass Deployment)

Oracle Patching


20

Patching

Patching auf der Linux Plattform

Linux OS Patch

Neuer Patch im Patch

Repository1

Identifizieren der

betroffenen Systeme2

Patch wird automatisch

bei betroffenen

Systemen angewendet3

Referenz Image

anpassen4

Linux Patching

• Referenz-Basiert– Referenz RPM Repository– Target oder Gruppe mit Repository assoziieren– Wizard zum Einspielen von Notfall Patches

• Regeln zur Konformitätsprüfung– Kriterien: Wann ist ein Package überholt?– Kriterien: Wann ist ein Package schädlich?– Packages neu starten möglich

• Flexibel– Unterstützung unterschiedlicher Versionen (Entw., Test,

Prod)

• Nutzt YUM (Yellow Updater, Modified)


21

Linux Operating System Patching

� Unternehmensweite Sicht der Konformität� Einfache Drill Downs zu einzelnen Hosts� Unterstützt Gruppen und unterschiedliche Umgebungen (Dev, Test, Prod)� Unterstützung für Packages, die einen Reboot erfordern� Automatische oder Ad Hoc Aktion zum Erfüllen der Konformität

Linux Operating System Patching


22

Konformitätsberichte

� Berichte pro Komponente (Host, DB, …)– Für ausgewählte Ziele empfohlene PatchSets und Patches– Nicht-konforme Hosts und Gruppen– Out-of-Date Packages oder installierte Rogue Packages– Historie und wann war der letzte Konformitäts-Check

� Patching Berichte– Eingespielte Patches auf einem Host oder einer Gruppe

von Hosts pro Plattform und Produkt/Version

� Notfall Patching Berichte– In einer vergangenen Zeitspanne geplante Emergency

Packages – Status von geplanten Jobs und Packages – Für Patching ausgewählte Hosts und Gruppen

Konformitätsberichte


23


24

Enterprise Security Advisor

� Globales Sicherheits Monitoring

� Einbindung von Security Best Practices vonunabhängigen Fachleuten

– Pete Finnigan’s Step by Step Oracle Security


25

Enterprise Security Advisor

� Security At a Glance� Erweiterte Menge von Security Policies

– Mehr als 100 Regeln� DB: >60� AS: >20

� Policy Scoring -> Compliance Score� Detaillierte Dokumentation der Policies� Security Reporting

– Mehr als 25 out-of-box Security Reports

� Integration mit Target/Group Management� Critical Security Patch Advisories


26

Automated Security Checks (Beispiele)

All Oracle Software1. Security alerts2. Critical patches

Host1. Detect open ports2. Detect insecure services

Application Server1. HTTPD has minimal privileges2. Use HTTP/S3. Apache logging should be on4. Demo applications disabled5. Disable default banner page6. Disable access to unused directories7. Disable directory indexing8. Forbid access to certain packages9. Disable packages not used by DAD owner10. Remove unused DAD configurations11. Redirect _pages directory12. Password complexity enabled13. Use HTTP/S

Database Services1. Enable listener logging2. Password-protect listeners3. Disable direct listener administration4. Disallow remote OS roles and authentication5. Disallow use of remote password file

Database User Privileges1. Disable install and demo accounts2. Disallow default user/password3. PUBLIC has execute System privilege4. PUBLIC has execute Object privilege5. PUBLIC has execute UTL_FILE privilege6. Password complexity7. Restrict number of failed login attempts8. Authentication protocol fallback9. Connect and Resource grants10. Limit or deny access to DBMS_LOB11. Set password_reuse_max12. Avoid using utl_file_dir parameter


27

Security At a Glance

� Globale Sicht auf Security– Security Health

– Security Policies

– Critical Security Patches für Oracle Produkte

� Security Integration mit Target/Group Home Pages


28

Confidential

Confidential


29

Security Policy Dokumentation

Security Berichte

� 25+ Out-of-Box Berichte � Berichte über Security Konfigurationen erfordern menschliche

Beurteilung � Beispiel Berichte

– Anzeigen von historischen Änderungen– Sicherheits-Konformität und Regel-Verstöße (Policy Violations) – Security Patch Konformität– Datenbank Monitoring

� Benutzer mit überhöhten Privilegien� PL/SQL Pakete mit überhöhten Privilegien� Zugehörigkeit zur DBA Gruppe� Dateien/Verzeichnisse (inkl. Tracing und Auditing relevante Dateien)

mit überhöhten Zugriffsrechten� Verfügbarkeit


30

Last der Systeme steigt - zusätzliche

Resourcen sind notwendig

1

Beschaffung der Systeme

2

Neue Hardware RAC DB

Production Application

Application Servers

Neue Server für die Applikation bereitstellen

3

Image/Clone ASImage/Clone DBAssociate AS with InfrastructureAdd AS to clusterAdd DB server to RAC clusterConfigure DB server to get AS requestsConfigure SLB to include new AS

Capacity-on-Demand

Vorteile

� Reduzierung von manuellen, immer wiederkehrenden, fehleranfälligen Aufgaben

� Automatisierung von Verwaltungsaufgaben entlasten die Administratoren

� Stabilere und effizientere Systemumgebungen durch pro-aktives Management führen zu höherer Verfügbarkeit ihrer Anwendungen

� Automatische Sicherheitsüberwachung und Einhaltung von Standards durch Out-of-the-Box Policies

– Z.B. fehlende kritische Patches, offene Ports, Standard Passworte, …

� Übersicht der im Unternehmen installierten Oracle Software, inkl. der Hard- und Software Konfigurationen sowie Betriebssysteme und Patch-Level

� Geringerer Aufwand für Softwarebereitstellung, Installation und Konfiguration der Oracle Software sowie Patches


31

Verfügbarkeit

http://metalink.oracle.com

Informationen

http://www.oracle.com/enterprise_manager

http://www.oracle.com/technology/products/oem


32

AQ&Q U E S T I O N SQ U E S T I O N S

A N S W E R SA N S W E R S

doag2005 provisioning und patching mit oracle … 2005 provisioning und patching mit oracle...

Documents