1 说明

Oracle的PSU（Patch Set Update）补丁是Oracle公司为了其数据库产品定期发布的更新包，通常每季度发布一次。PSU包含了该季度内收集的一系列安全更新（CPU：Critical Patch Update）以及一些重要的错误修复。PSU旨在提供一个简单的方法来应用一系列已经被验证过的、重要的更新，从而减少单独安装多个补丁所带来的复杂性和潜在风险。

此次打的补丁集是201020，步骤大致如下：

1. 备份 ORACLE_HOME
2. 更新OPatch
3. 冲突检查
4. 应用GI PSU
5. 应用DB PSU
6. 应用OJVM PSU
7. SQL文件加载

2 准备阶段

2.1 收集环境信息

参数	参数值
数据库版本	11.2.0.4.0 - 64bit
GI home	/u01/app/11.2.0/grid
DB home	/u01/app/oracle/product/11.2/db_1
One-off Patch	无
PSU	无

2.2 PSU补丁下载

从MOS上下载所需的PSU补丁文件。

一、登录MOS网站 My Oracle Support

二、查找文档 Oracle Support Document 2118136.2

三、选择下载类型

四、版本号

五、下载最新的PSU补丁

可以看到，11gR2最新的补丁于2020年10月发布的，可以将数据库升级到11.2.0.4.201020版本，后续已经没有更新。

2.3 备份数据库

打PSU补丁之前最好备份一下GI home和DB home。防止打补丁失败，没有备份的话，就需要重建集群了。

一、备份DB home

$ cd /u01/app/oracle/product/11.2
$ tar -pcvf oracle_home_bkup.tar db_1

恢复操作（参考 Note 565017.1）：

$ cd /u01/app/oracle/product/11.2
$ mv db_1 db_1_bkup
$ tar -pxvf oracle_home_bkup.tar

二、备份GI home

$ cd /u01/app/11.2.0
$ tar -pcvf gi_home_bkup.tar grid

恢复参考db home。

2.4 熟悉升级步骤

打补丁前，应该先看一遍补丁包里的README.html文件，熟悉操作过程和步骤。

3 更新OPatch

OPatch工具是一个补丁的应用程序，主要用于安装、移除或回滚补丁包。

3.1 下载

当前PSU补丁要求OPatch版本在11.2.0.3.23或更高才能被应用。当前版本不满足要求：

在MOS中下载最新版本的OPatch工具：Patch 6880880

3.2 GI更新OPatch

在集群的每个节点上，滚动进行以下操作，完成GI更新OPatch。

一、移除$ORACLE_HOME/OPatch

root用户执行，也相当于做了备份。

[root@r11gn1 patchs]# cd /u01/app/11.2.0/grid/
[root@r11gn1 grid]# mv OPatch OPatch.240911.bak
[root@r11gn1 grid]# ll | grep OPatch
drwxr-xr-x  8 grid oinstall  4096 Apr  3 00:33 OPatch.240911.bak

二、解压缩并赋权

[root@r11gn1 patchs]# unzip -q p6880880_112000_Linux-x86-64.zip -d /u01/app/11.2.0/grid/
[root@r11gn1 patchs]# cd /u01/app/11.2.0/grid
[root@r11gn1 grid]# chown -R grid:oinstall OPatch

三、版本检查

3.3 DB更新OPatch

与刚刚的操作类似，在集群的每个节点上，滚动进行以下操作，完成DB更新OPatch。

一、移除$ORACLE_HOME/OPatch

root用户执行，也相当于做了备份。

[root@r11gn1 grid]# su - oracle
[oracle@r11gn1 ~]$ cd $ORACLE_HOME
[oracle@r11gn1 db_1]$ mv OPatch OPatch.240911.bak

二、解压缩并赋权

[root@r11gn1 patchs]# unzip -q p6880880_112000_Linux-x86-64.zip -d /u01/app/oracle/product/11.2/db_1/
[root@r11gn1 patchs]# cd /u01/app/oracle/product/11.2/db_1/
[root@r11gn1 db_1]# chown -R oracle:oinstall OPatch

三、版本检查

4 检查Inventory信息

在开始补丁应用程序之前，检查GI和DB的Inventory信息的一致性。

一、GI检查Inventory信息

[root@r11gn1 db_1]# su - grid
[grid@r11gn1 ~]$ $ORACLE_HOME/OPatch/opatch lsinventory -detail -oh $ORACLE_HOME

二、DB检查Inventory信息

[root@r11gn1 db_1]# su - oracle
[oracle@r11gn1 ~]$ $ORACLE_HOME/OPatch/opatch lsinventory -detail -oh $ORACLE_HOME

如果成功，会列出安装在主目录下的Oracle组件。可以将输出结果保存下来，做应用补丁之前的状态的留存。

5 应用补丁

以下操作，每个节点不要并行执行，采用轮询的方式执行。

5.1 解压缩补丁包

官方建议，解压缩的目录必须为空，不能为/tmp，具有oinstall组的读权限。使用grid用户unzip解压：

[grid@r11gn1 ~]$ cd /u01/app/patchs
[grid@r11gn1 patchs]$ ls
lost+found  p31718723_112040_Linux-x86-64(GI).zip  p6880880_112000_Linux-x86-64.zip
[grid@r11gn1 patchs]$ unzip -q p31718723_112040_Linux-x86-64\(GI\).zip

5.2 停止EM Agent进程

在打补丁前和回滚补丁前停止EM Agent进程。oracle用户执行：

$ $ORACLE_HOME/bin/emctl stop dbconsolename.

5.3 一次性补丁冲突检测

检查要安装的补丁和已经安装的一次性补丁是否存在冲突。

[grid@r11gn2 patchs]$ /u01/app/11.2.0/grid/OPatch/opatch prereq CheckConflictAgainstOHWithDetail -phBaseDir /u01/app/patchs/31718723/

Oracle Interim Patch Installer version 11.2.0.3.47
Copyright (c) 2024, Oracle Corporation.  All rights reserved.

PREREQ session

Oracle Home       : /u01/app/11.2.0/grid
Central Inventory : /u01/app/oraInventory
   from           : /u01/app/11.2.0/grid/oraInst.loc
OPatch version    : 11.2.0.3.47
OUI version       : 11.2.0.4.0
Log file location : /u01/app/11.2.0/grid/cfgtoollogs/opatch/opatch2024-09-11_01-59-15AM_1.log

Invoking prereq "checkconflictagainstohwithdetail"

Prereq "checkConflictAgainstOHWithDetail" passed.

OPatch succeeded.

5.4 打GI补丁

在其中一个节点，用root用户执行下列命令，使用GI home的OPatch：

[root@r11gn1 ~]# /u01/app/11.2.0/grid/OPatch/opatch auto /u01/app/patchs/31718723 -oh /u01/app/11.2.0/grid

5.5 检查GI补丁应用情况

节点1的GI补丁已经打上。其他节点重复5.1 - 5.5操作。

5.6 打DB补丁

用root用户轮询执行此命令，使用DB home的OPatch：

[root@r11gn1 ~]# /u01/app/oracle/product/11.2/db_1/OPatch/opatch auto /u01/app/patchs/31718723 -oh /u01/app/oracle/product/11.2/db_1

5.7 检查DB补丁应用情况

成功应用，其他节点滚动执行5.6和5.7操作打DB补丁。

6 打OJVM PSU

6.1 说明

在2014年10月之前，OJVM包含在PSU里面，用于防止9.2.0.8以后任何数据库版本中的Oracle JavaVM漏洞。在2014年10月后，独立出去，需要各自打补丁，依赖于同版本的DB PSU。如果只装了PSU，漏洞扫描就会出现警告。

6.2 下载

下载响应版本的OJVM PSU。

6.3 上传解压并赋权

[root@r11gn2 patchs]# unzip -q p31668908_112040_Linux-x86-64\(OJVM\).zip
[root@r11gn2 patchs]# chown -R oracle:oinstall 31668908

6.4 冲突检查

[oracle@r11gn2 ~]$ $ORACLE_HOME/OPatch/opatch prereq CheckConflictAgainstOHWithDetail -ph /u01/app/patchs/31668908
Oracle Interim Patch Installer version 11.2.0.3.47
Copyright (c) 2024, Oracle Corporation.  All rights reserved.

PREREQ session

Oracle Home       : /u01/app/oracle/product/11.2/db_1
Central Inventory : /u01/app/oraInventory
   from           : /u01/app/oracle/product/11.2/db_1/oraInst.loc
OPatch version    : 11.2.0.3.47
OUI version       : 11.2.0.4.0
Log file location : /u01/app/oracle/product/11.2/db_1/cfgtoollogs/opatch/opatch2024-09-11_09-16-38AM_1.log

Invoking prereq "checkconflictagainstohwithdetail"

Prereq "checkConflictAgainstOHWithDetail" passed.

OPatch succeeded.

6.5 应用OJVM补丁

2017以后的OJVM PSU包含以下情况，可以滚动升级：

6.5.1 停库和服务

关闭当前节点的实例和服务，rong用户执行停当前节点crs：

[root@r11gn1 patchs]# /u01/app/11.2.0/grid/bin/crsctl stop crs

6.5.2 应用

oracle用户执行，输入2次“y”：

[root@r11gn1 ~]# su - oracle
[oracle@r11gn1 ~]$ $ORACLE_HOME/OPatch/opatch apply /u01/app/patchs/31668908

6.5.3 检查补丁

[oracle@r11gn1 ~]$ $ORACLE_HOME/OPatch/opatch lspatches | grep 31668908
31668908;OJVM PATCH SET UPDATE 11.2.0.4.201020

6.5.4 启动集群

[root@r11gn1 ~]# /u01/app/11.2.0/grid/bin/crsctl start crs

检查服务状态：

其他节点重复以上操作。

7 SQL文件加载

一、以下步骤将修改后的SQL文件加载到数据库中。在Oracle RAC环境中，仅在一个节点上执行这些步骤就行。

cd $ORACLE_HOME/rdbms/admin
sqlplus /nolog
SQL> CONNECT / AS SYSDBA
SQL> @catbundle.sql psu apply
SQL> QUIT

二、关闭所有实例后（如果其他实例未关闭，则STARTUP UPGRADE不成功），在其中一个节点用oracle用户执行：

$ srvctl stop instance -d rac
$ cd $ORACLE_HOME/sqlpatch/31668908
sqlplus /nolog
SQL> CONNECT / AS SYSDBA
SQL> STARTUP
SQL> alter system set cluster_database=false scope=spfile;
SQL> SHUTDOWN
SQL> STARTUP UPGRADE
SQL> @postinstall.sql
SQL> alter system set cluster_database=true scope=spfile;
SQL> SHUTDOWN
SQL> STARTUP

三、在安装补丁的SQL部分之后，一些包可能会变为INVALID。这将在访问时重新编译，或者您可以运行utlrp。sql将它们恢复到VALID状态。oracle用户执行：

$ cd $ORACLE_HOME/rdbms/admin
$ sqlplus /nolog
SQL> CONNECT / AS SYSDBA
SQL> @utlrp.sql

将其他实例启动，至此所有补丁已经应用完成。

8 检查补丁版本

所有节点都检查，确保一致。

OPatch查看：

视图查看：

SQL> 
col ACTION_TIME for a40
col comments for a40
select ACTION_TIME,version,COMMENTS from registry$history;

9 总结

打PSU过程是比较多的，比较容易出现错误，需要比较细心。必须要做好相应的备份（ORACLE_HOME），打补丁失败后，可以恢复ORACLE_HOME，不至于要重建集群。采用滚动升级，确保就算出现问题，也有节点可以用。