DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
1
Provisioning und Patching mitOracle Enterprise Manager 10gR2
Grid Control
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
2
Jutta Adam-FussServer Technology Competence Center FrankfurtORACLE Deutschland GmbH
Herausforderungen in RZ-Umgebungen
� Flexibilität– Reagieren auf sich ständig ändernde Umgebungen
� Hohes Aufkommen an Software Updates und Patches –spez. Sicherheits-Patches
� Neue Services werden in kurzen Intervallen benötigt� Kapazitätsplanung in Abhängigkeit der Auslastung
� Skalierbarkeit– Verwaltung von sehr vielen Komponenten
� Extremes Server Wachstum in den letzten 2 Jahren
� Ausfallsicherheit– Systemausfälle in Folge von Änderungen
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
3
Install andConfigure
Activate
UpgradeAndUpdate
Install Configure
Activate
Operate
CloneUpgrade
Patch
Uninstall
Deactivate
Software Lebenszyklus
Command Line Utilities
• Oracle Universal Installer
• Opatch
• Konfigurations-Assistenten
9iR2
Automatisierung des Oracle TechnologieStacks
• DB OH Cloning für Single Instance Systeme
• Cloning für J2EE AS
• Critical Patch Facility für DB
• Single Instance Database Patching
• Single Click Agent Patching für interim Patches
10gR1
Umfassende und Erweiter-
bare Automatisierung des
Oracle Technologie Stacks
• Software Library zur Verwaltung von Images
• Template basiertes Bare Metal
Provisioning für Linux (RAC/AS)
• RAC/CRS/DB und AS Middle-Tier Cloning
• Extending Database
(RAC/CRS/ASM) und AS Cluster
• Patching für ST Produkte; 10g/9i DB, 10g AS, 10g OCS
• Linux Betriebssystem Patching
• Ad hoc und built-in Reports
10gR2
Oracle Software Deployment Evolution
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
4
GC 10gR2 ProvisioningSoftware und Server
� Software und Server Bereitstellung betragenca. 25% der Zeit von DBA und Systemadministration
� Automatisiert die meisten Software und Server Bereitstellungs-Operationen
� Keine andere Lösung automatisiert die Verteilung von Oracle Software und Patches komplett
� Reduzierung von manuellen Tätigkeiten
Provisioning in EM 10gR2
� Bare Metal Provisioning
� Cloning
� Cluster erweitern
� Patching von Oracle Produkten– DB
– AS
� OS patching– Linux
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
5
View/Search
Compare/Diff
Change Tracking
Reference
Configurations
Analyze
Install/Clone
Configure
Patch
Secure
ProvisionLiveLink
Oracle.com
Product Updates
Patches
Product
Configuration
Oracle
Inventory
Software
Configurations
Hardware
Configurations
Discover
EnterpriseManager
Provisioning und Patching
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
9
ProvisioningSoftware und Server
DesignSoftware KomponentenServer/Netzwerk/Storage TemplatesDirektiven/SkripteGold Images
ReportSoftware Package CompliancePatch ComplianceChange Tracking
AutomatisierungSoftware Image ProvisioningBare-metal ProvisioningSoftware Updates/PatchesMulti-Server Provisioning
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
10
Provisioning- Konzept
� Hardware Server
� Staging und Boot Server
� Software Komponenten
� Images
� Default Image
� Direktiven
� Software Library
Templates
� Server Templates– Typ und Min/Max CPU– Name und Min/Mix
Festplatten– Min/Max RAM– Netzwerk
� Storage Templates– Mount points– Name– Kapazität– Partitionierung, Größen– Benutzung (swap, raid, …)– Typ des Dateisystems
� Netzwerk Templates– Liste der Adapter– Name– Hostname/Domain
Name/IP Adresse/DNS IP Adresse (Liste)
– Netzwerk Maske/ Broadcast Adresse/Ports
– Netzwerk Zugriff� Public, Intern, Privat
– Security (open/secure)
Systemeigenschaften definieren und nutzen
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
11
Out-of-Box Library
DB 9iR2 serverDB 10gR1 server
DB 10gR1 RAC
10g AS J2EE
GC 10g agent
Komponenten TemplatesHardware Templates- Single box DB/AS
- Multi-tier (2 MTs+RAC)
- Multi-tier(2 MTs+DB)
Storage Templates- NAS/OCFS
Netzwerk Templates- 2 NICs
- 3 NICs RAC-interconnect
DB 9iR2DB 10gR1
DB 10gR1 RAC
10g AS
10g OCS
Extend 10g RAC
Extend 10g CRS
Extend 10gAS cluster
Direktiven
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
12
Provisioning Operationen
� Software Image– Aus einer Library mit Komponenten
� Bare-Metal– Linux
� Patches und Software Updates– Automatisierte Anwendung von Oracle Critical Patches
– Installation neuer RPMs
� Multi-Server– CRS, RAC und AS Cluster
– Multi-tier Applikationen
Software Image Provisioning
� Jedes Image aus der Standard Software Library kann auf jedem Server deployed werden
– Unterstützung aller Software Packages
– Unterstützung aller Plattformen
� Update existierender Deployments mit neuerOracle Software über Cloning
– Clonen von Gold Images (Oracle Home)
– Erweitern von RAC und AS Cluster
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
13
� Automatisches Erkennen der Bare Metal Hardware� PXE (netzwerk) basierendes Provisioning� Benutzt native OS Installationsprogramme� Template basierendes Anwenden der Images� Unterstützung für Server mit oder ohne lokale Platten
Bare MetalBare Metal
Enterprise
Manager
Grid Control
10g
Server eingefügt in Rackund eingeschaltet
Erkannt in EM
Production
Einsatz desGold Images
Production
Gold Image
Bare Metal Provisioning (Linux)
Gold Image Erstellen
Server und StorageTemplates
Direktive zum RDBMS 9iR2 Silent Install
Software Komponente RDBMS 9iR2
ModulareKomponenten
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
14
Software Cloning in 10gR2
� Clone – Referenz Oracle Home– Software Library
� Sudo Funktionalität für root.sh� Pre und Post Skripte� Cloning von RAC and CRS Oracle Homes
– um neuen Cluster zu erstellen– um bestehenden Cluster zu erweitern
� AS Cloning Verbesserungen– Unterstützung aller Middle-Tier-Installationen
(J2EE, Portal&Wireless, BI/Forms)– Erweitern eines existierenden Clusters
Erstellen und Erweitern vonDatenbank Cluster
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
15
Skalieren von AS Cluster
Vier Schritte zum neuen RAC
1. Auswahl des CRS Gold Images aus der Software Library und auf Knoten 1 klonen
– Cluster Configuration Utilities laufen als Post Scripts
2. Auswahl des RAC Gold Images aus der Software Library und auf Knoten 1 klonen
– [OPTIONAL: Falls die DB ASM nutzt, muss noch ein ASM-Home erstellt werden in dem die ASM Instanz läuft]. Auswahl des ASM Gold Images aus der Software Library und auf Knoten 1 klonen um eine ASM Home zu erstellen
3. Klonen des Single Instanz Datenbank Gold Images auf Knoten 14. Ausführen des Kovertierungs-Utilities um die Single Instanz DB
in RAC zu konvertieren.– OPTIONAL: Konfiguration von RAC um ASM zu nutzen.
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
16
Drei Schritte um RAC zu erweitern
1. Auswahl des CRS Gold Images aus der Software Library und auf Knoten 2 klonen– Cluster Configuration Utilities laufen als Post Scripts
2. Auswahl des RAC Gold Images aus der Software Library und auf Knoten 2 bis n klonen.� [OPTIONAL: Falls die DB ASM nutzt, muss noch ein ASM-Home
erstellt werde]. Auswahl des ASM Gold Images aus der Software Library und auf Knoten 2 bis n klonen
3. Aufruf von “Add Instance” im EM und die Liste der Knoten auswählen, für die die DB Instanz hinzugefügt werden soll.
4. Nun hat der Benutzer einen n-Knoten RAC Cluster.
Patching - Herausforderungen
� Kenntnis– Woher weis ich, dass ein neuer Patch für eine bestimmte Version
und Plattform existiert? – Woher weis ich welche Installationen gefährdet sind?– Woher weis ich welche Auswirkungen ein Patch hat?– Woher weis ich auf welchen Systemen welche Patches installiert
sind?
� Verteilung und Planung– Wie verteile ich Patches auf viele Ziele?– Wie kann ich “Massen-Patching” planen? – Unterstützt der Scheduler Wiederholungen/Zeitzonen, etc?
� Applikation– Wie verteile ich einen Patch auf mehrere Hosts parallel?– Wie kümmere ich mich um Startup und Shutdown?– Kann ich eigene Skripte während des Patches laufen lassen?
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
17
Patching
Critical Patch Advisory
� Tägliche Überprüfung aller Installationen undKennzeichnung der “Violators”
� RefreshFromMetalink Job� Critical Patch Facility gibt Empfehlungen für
die einzuspielenden Patches� Patch Wizard unterstützt bei der Verteilung
und beim Einspielen der Patches
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
18
Critical Patch Facility Empfehlungen
Offline Patching
� Ohne Verbindung zu Metalink� Offline Patch
– Hochladen des Patches in den Patch Cache – Anwenden eines Patches von Stage
� Offline Critical Patch Advisories– Super-Administrator lädt Critical Patch Facility
Metadaten Dateien in das Management Repository
– RefreshFromMetalink Job nutzt diese Informationen
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
19
Oracle Patching
• End-to-End Automatisierung• Unterstützung für Pre und Post Patch Phasen• Shutdown/Startup aller Prozesse• Patch einspielen inklusive aller SQL
Operationen
• Unterstützung für • DB 9i und 10g Patch Sets• RAC/CRS• Rolling Upgrade• Shared Oracle Homes• Grid Control Agent (Mass Deployment)
Oracle Patching
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
20
Patching
Patching auf der Linux Plattform
Linux OS Patch
Neuer Patch im Patch
Repository1
Identifizieren der
betroffenen Systeme2
Patch wird automatisch
bei betroffenen
Systemen angewendet3
Referenz Image
anpassen4
Linux Patching
• Referenz-Basiert– Referenz RPM Repository– Target oder Gruppe mit Repository assoziieren– Wizard zum Einspielen von Notfall Patches
• Regeln zur Konformitätsprüfung– Kriterien: Wann ist ein Package überholt?– Kriterien: Wann ist ein Package schädlich?– Packages neu starten möglich
• Flexibel– Unterstützung unterschiedlicher Versionen (Entw., Test,
Prod)
• Nutzt YUM (Yellow Updater, Modified)
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
21
Linux Operating System Patching
� Unternehmensweite Sicht der Konformität� Einfache Drill Downs zu einzelnen Hosts� Unterstützt Gruppen und unterschiedliche Umgebungen (Dev, Test, Prod)� Unterstützung für Packages, die einen Reboot erfordern� Automatische oder Ad Hoc Aktion zum Erfüllen der Konformität
Linux Operating System Patching
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
22
Konformitätsberichte
� Berichte pro Komponente (Host, DB, …)– Für ausgewählte Ziele empfohlene PatchSets und Patches– Nicht-konforme Hosts und Gruppen– Out-of-Date Packages oder installierte Rogue Packages– Historie und wann war der letzte Konformitäts-Check
� Patching Berichte– Eingespielte Patches auf einem Host oder einer Gruppe
von Hosts pro Plattform und Produkt/Version
� Notfall Patching Berichte– In einer vergangenen Zeitspanne geplante Emergency
Packages – Status von geplanten Jobs und Packages – Für Patching ausgewählte Hosts und Gruppen
Konformitätsberichte
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
24
Enterprise Security Advisor
� Globales Sicherheits Monitoring
� Einbindung von Security Best Practices vonunabhängigen Fachleuten
– Pete Finnigan’s Step by Step Oracle Security
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
25
Enterprise Security Advisor
� Security At a Glance� Erweiterte Menge von Security Policies
– Mehr als 100 Regeln� DB: >60� AS: >20
� Policy Scoring -> Compliance Score� Detaillierte Dokumentation der Policies� Security Reporting
– Mehr als 25 out-of-box Security Reports
� Integration mit Target/Group Management� Critical Security Patch Advisories
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
26
Automated Security Checks (Beispiele)
All Oracle Software1. Security alerts2. Critical patches
Host1. Detect open ports2. Detect insecure services
Application Server1. HTTPD has minimal privileges2. Use HTTP/S3. Apache logging should be on4. Demo applications disabled5. Disable default banner page6. Disable access to unused directories7. Disable directory indexing8. Forbid access to certain packages9. Disable packages not used by DAD owner10. Remove unused DAD configurations11. Redirect _pages directory12. Password complexity enabled13. Use HTTP/S
Database Services1. Enable listener logging2. Password-protect listeners3. Disable direct listener administration4. Disallow remote OS roles and authentication5. Disallow use of remote password file
Database User Privileges1. Disable install and demo accounts2. Disallow default user/password3. PUBLIC has execute System privilege4. PUBLIC has execute Object privilege5. PUBLIC has execute UTL_FILE privilege6. Password complexity7. Restrict number of failed login attempts8. Authentication protocol fallback9. Connect and Resource grants10. Limit or deny access to DBMS_LOB11. Set password_reuse_max12. Avoid using utl_file_dir parameter
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
27
Security At a Glance
� Globale Sicht auf Security– Security Health
– Security Policies
– Critical Security Patches für Oracle Produkte
� Security Integration mit Target/Group Home Pages
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
28
Confidential
Confidential
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
29
Security Policy Dokumentation
Security Berichte
� 25+ Out-of-Box Berichte � Berichte über Security Konfigurationen erfordern menschliche
Beurteilung � Beispiel Berichte
– Anzeigen von historischen Änderungen– Sicherheits-Konformität und Regel-Verstöße (Policy Violations) – Security Patch Konformität– Datenbank Monitoring
� Benutzer mit überhöhten Privilegien� PL/SQL Pakete mit überhöhten Privilegien� Zugehörigkeit zur DBA Gruppe� Dateien/Verzeichnisse (inkl. Tracing und Auditing relevante Dateien)
mit überhöhten Zugriffsrechten� Verfügbarkeit
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
30
Last der Systeme steigt - zusätzliche
Resourcen sind notwendig
1
Beschaffung der Systeme
2
Neue Hardware RAC DB
Production Application
Application Servers
Neue Server für die Applikation bereitstellen
3
Image/Clone ASImage/Clone DBAssociate AS with InfrastructureAdd AS to clusterAdd DB server to RAC clusterConfigure DB server to get AS requestsConfigure SLB to include new AS
Capacity-on-Demand
Vorteile
� Reduzierung von manuellen, immer wiederkehrenden, fehleranfälligen Aufgaben
� Automatisierung von Verwaltungsaufgaben entlasten die Administratoren
� Stabilere und effizientere Systemumgebungen durch pro-aktives Management führen zu höherer Verfügbarkeit ihrer Anwendungen
� Automatische Sicherheitsüberwachung und Einhaltung von Standards durch Out-of-the-Box Policies
– Z.B. fehlende kritische Patches, offene Ports, Standard Passworte, …
� Übersicht der im Unternehmen installierten Oracle Software, inkl. der Hard- und Software Konfigurationen sowie Betriebssysteme und Patch-Level
� Geringerer Aufwand für Softwarebereitstellung, Installation und Konfiguration der Oracle Software sowie Patches
DOAG 2005 Provisioning und Patching mitOracle Enterprise Manager 10gR2 Grid Control
31
Verfügbarkeit
http://metalink.oracle.com
Informationen
http://www.oracle.com/enterprise_manager
http://www.oracle.com/technology/products/oem