機械翻訳について

プライベート・エンドポイントでのAutonomous DatabaseからAutonomous Databaseへのデータベース・リンクの作成

データベース・リンクは、Autonomous Databaseからプライベート・エンドポイントにあるターゲットAutonomous Databaseに作成できます。

ターゲットAutonomous Databaseの構成に応じて、次のオプションがあります:

• Wallet (TLS)を使用しないプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成

• Wallet (mTLS)を使用したプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成

詳細については、「Autonomous DatabaseからDatabase Cloud Serviceインスタンスへのデータベース・リンクの作成方法」を参照してください。

トピック

• プライベート・エンドポイント上のAutonomous DatabaseからターゲットAutonomous Databaseへのデータベース・リンクの前提条件
  プライベート・エンドポイントにあるターゲットAutonomous Databaseへのデータベース・リンクを作成するための前提条件をリストします。
• Wallet (TLS)を使用しないプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成
  Autonomous Databaseからプライベート・エンドポイントにあるターゲットAutonomous Databaseへのデータベース・リンクを作成し、ウォレット(TLS)なしで接続できます。
• Wallet (mTLS)を使用したプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成
  データベース・リンクは、Autonomous Databaseから、プライベート・エンドポイント(mTLS)上にあるターゲットAutonomous Databaseに作成できます。

プライベート・エンドポイント上のAutonomous DatabaseからターゲットAutonomous Databaseへのデータベース・リンクの前提条件

プライベート・エンドポイントにあるターゲットAutonomous Databaseへのデータベース・リンクを作成するための前提条件をリストします。

プライベート・エンドポイントでターゲットAutonomous Databaseへのデータベース・リンクを作成するには:

• ターゲット・データベースは、ソース・データベースのOracle Cloud Infrastructure VCNからアクセスできる必要があります。 たとえば、次の場合にターゲット・データベースに接続できます:

  • ターゲット・データベースはプライベート・エンドポイントにあります。

  • ソース・データベースとターゲット・データベースの両方が同じOracle Cloud Infrastructure VCNにあります。

  • ソース・データベースとターゲット・データベースは、ペアになっている異なるOracle Cloud Infrastructure VCNにあります。

  • ターゲット・データベースは、FastConnectまたはVPNを使用してソース・データベースのOracle Cloud Infrastructure VCNに接続されています。

• プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用して単一のホスト名を指定できます。 プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイントにある場合、CREATE_DATABASE_LINKではIPアドレス、SCAN IPまたはSCANホスト名の使用がサポートされます)。

• DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKは、hostnameパラメータに対してlocalhostの値をサポートしていません。

• プライベート・エンドポイントに対して、次のイングレス・ルールおよびエグレス・ルールを定義する必要があります:

  • ソース・データベースのサブネット・セキュリティ・リストまたはネットワーク・セキュリティ・グループで、TCPを介したトラフィックがターゲット・データベースのIPアドレスとポート番号に許可されるようにエグレス・ルールを定義します。

  • ターゲット・データベースのサブネット・セキュリティ・リストまたはネットワーク・セキュリティ・グループで、TCP経由のトラフィックがソース・データベースのIPアドレスから宛先ポートに許可されるようにイングレス・ルールを定義します。

  イングレス・ルールおよびエグレス・ルールを使用したプライベート・エンドポイントの構成の詳細は、「プライベート・エンドポイントを使用したネットワーク・アクセスの構成」を参照してください。

ノート:

Autonomous Databaseインスタンスがプライベート・エンドポイントで構成されている場合は、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを'PRIVATE_ENDPOINT'に設定して、すべての送信データベース・リンクがAutonomous Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールの対象となるように指定します。 詳細については、「プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化」を参照してください。

Wallet (TLS)を使用しないプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成

Autonomous Databaseからプライベート・エンドポイントにあるターゲットAutonomous Databaseへのデータベース・リンクを作成し、ウォレット(TLS)なしで接続できます。

必要に応じて、前提条件ステップを実行します。 詳細は「プライベート・エンドポイント上のAutonomous DatabaseからターゲットAutonomous Databaseへのデータベース・リンクの前提条件」を参照してください。

ウォレットを使用しないプライベート・エンドポイントでターゲットAutonomous Databaseへのデータベース・リンクを作成するには:

1. まだ実行していない場合は、Autonomous DatabaseインスタンスでTLS接続を有効にします。

   詳細は「TLSおよびmTLS認証の両方を許可するようにAutonomous Databaseインスタンスを更新」を参照してください。

2. ターゲットのAutonomous Databaseインスタンスにアクセスするための資格証明を作成します。 DBMS_CLOUD.CREATE_CREDENTIALで指定するusernameおよびpasswordは、(ターゲット・データベースがVCNを介してアクセスされる)データベース・リンク内で使用されるターゲット・データベースの資格証明です。

   たとえば:

   BEGIN
        DBMS_CLOUD.CREATE_CREDENTIAL(
            credential_name => 'PRIVATE_ENDPOINT_CRED',
            username => 'NICK',
            password => 'password'
            );
   END;
   /

   usernameパラメータの文字はすべて大文字にする必要があります。

   ノート:

   データベース・リンクのターゲット・データベース資格証明にボールト・シークレット資格証明を使用できます。 詳細については、「Vaultシークレット資格証明の使用」を参照してください。

   この操作では、資格証明がデータベースに暗号化された形式で保存されます。  資格証明名には任意の名前を使用できます。

3. DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを使用して、ターゲット・データベースへのデータベース・リンクを作成します。

   たとえば:

   BEGIN
        DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK(
            db_link_name => 'PRIVATE_ENDPOINT_LINK', 
            hostname => 'exampleHostname',
            port => '1521',
            service_name => 'example_high.adb.oraclecloud.com',
            credential_name => 'PRIVATE_ENDPOINT_CRED',
            directory_name => NULL,
            private_target => TRUE);
   END;
   /

   プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用して単一のホスト名を指定できます。 プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイントにある場合、CREATE_DATABASE_LINKではIPアドレス、SCAN IPまたはSCANホスト名の使用がサポートされます)。

   ADMIN以外のユーザーは、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKの実行権限を必要とします。

   例に示すように、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを使用して、ウォレットのないプライベート・エンドポイント上のターゲット・データベースへのデータベース・リンクを作成するには、次のすべてが必要です:

   • directory_nameパラメータはNULLである必要があります。

   • ssl_server_cert_dnパラメータは省略するか、NULL値を指定します。

   • private_targetパラメータはTRUEである必要があります。

     ノート:

     ROUTE_OUTBOUND_CONNECTIONSをPRIVATE_ENDPOINTに設定すると、このAPIではprivate_targetパラメータをTRUEに設定する必要はありません。 詳細については、「プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化」を参照してください。
4. 作成したデータベース・リンクを使用して、ターゲット・データベースのデータにアクセスします。

   たとえば:

   SELECT * FROM employees@PRIVATE_ENDPOINT_LINK;
                 

ノート:

ステップ1で作成した資格証明の場合、Oracle Database資格証明は、ターゲット・ユーザーのパスワードが変更されると、ターゲット・ユーザー資格証明を含む資格証明を次のように更新できます:

BEGIN
     DBMS_CLOUD.UPDATE_CREDENTIAL (
         credential_name => 'DB_LINK_CRED',
         attribute => 'PASSWORD',
         value => 'password');
END;
/

「パスワード」は新しいパスワードです。

この操作の後、この資格証明を使用する既存のデータベース・リンクは、データベース・リンクを削除して再作成することなく引き続き動作します。

詳細は、「CREATE_DATABASE_LINKプロシージャ」を参照してください。

Wallet (mTLS)を使用したプライベート・エンドポイントでのターゲットAutonomous Databaseへのデータベース・リンクの作成

データベース・リンクは、Autonomous Databaseから、プライベート・エンドポイント(mTLS)上にあるターゲットAutonomous Databaseに作成できます。

必要に応じて、前提条件ステップを実行します。 詳細は「プライベート・エンドポイント上のAutonomous DatabaseからターゲットAutonomous Databaseへのデータベース・リンクの前提条件」を参照してください。

プライベート・エンドポイント上のターゲットAutonomous Databaseへのデータベース・リンクをウォレットを使用して作成するには:

1. ターゲット・データベースの証明書を含むターゲット・データベースのウォレットcwallet.ssoをオブジェクト・ストアにコピーします。

   ノート:

   ウォレット・ファイル、データベース・ユーザーIDおよびパスワードは、ターゲットOracleデータベースのデータへのアクセスを提供します。 ウォレット・ファイルを安全な場所に保存します。 ウォレット・ファイルは、許可されたユーザーとのみ共有します。
2. cwallet.ssoを格納するオブジェクト・ストアにアクセスするための資格証明の作成。 様々なオブジェクト・ストレージ・サービスのusernameおよびpasswordパラメータの詳細は、「CREATE_CREDENTIALプロシージャ」を参照してください。
3. ウォレット・ファイルcwallet.sso用のディレクトリをAutonomous Databaseに作成します。

   たとえば:

   CREATE DIRECTORY wallet_dir AS 'directory_path_of_your_choice';
                 

   ディレクトリ作成の詳細は、「Autonomous Databaseでのディレクトリの作成」を参照してください。

4. DBMS_CLOUD.GET_OBJECTを使用して、前のステップのWALLET_DIRで作成したディレクトリにターゲット・データベース・ウォレットをアップロードします。

   たとえば:

   BEGIN 
       DBMS_CLOUD.GET_OBJECT(
           credential_name => 'DEF_CRED_NAME',
           object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
           directory_name => 'WALLET_DIR'); 
   END;
   /

   この例では、namespace-stringがOracle Cloud Infrastructureオブジェクト・ストレージのネームスペースで、bucketnameがバケット名です。 詳細については、「オブジェクト・ストレージのネームスペースについて」を参照してください。

   ノート:

   このステップで使用するcredential_nameは、オブジェクト・ストアの資格証明です。 次のステップでは、ターゲット・データベースにアクセスするための資格証明を作成します。
5. Autonomous Databaseで、ターゲット・データベースにアクセスするための資格証明を作成します。 DBMS_CLOUD.CREATE_CREDENTIALで指定するusernameおよびpasswordは、(ターゲット・データベースがVCNを介してアクセスされる)データベース・リンク内で使用されるターゲット・データベースの資格証明です。

   ノート:

   credential_nameパラメータを指定する必要があります。

   たとえば:

   BEGIN
       DBMS_CLOUD.CREATE_CREDENTIAL(
          credential_name => 'DB_LINK_CRED',
          username => 'NICK',
          password => 'password');
   END;
   /

   usernameパラメータの文字はすべて大文字にする必要があります。

   ノート:

   データベース・リンクのターゲット・データベース資格証明にボールト・シークレット資格証明を使用できます。 詳細については、「Vaultシークレット資格証明の使用」を参照してください。

   この操作では、資格証明がデータベースに暗号化された形式で保存されます。  資格証明名には任意の名前を使用できます。

6. DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを使用して、ターゲット・データベースへのデータベース・リンクを作成します。

   たとえば:

   BEGIN
       DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK(
           db_link_name => 'PEDBLINK1', 
           hostname => 'example1.adb.ap-osaka-1.oraclecloud.com',
           port => '1522',
           service_name => 'example_high.adb.oraclecloud.com',
           ssl_server_cert_dn => 'ssl_server_cert_dn',
           credential_name => 'DB_LINK_CRED',
           directory_name => 'WALLET_DIR',
           private_target => TRUE);
   END;
   /

   ノート:

   ROUTE_OUTBOUND_CONNECTIONSをPRIVATE_ENDPOINTに設定すると、このAPIではprivate_targetパラメータをTRUEに設定する必要はありません。 詳細については、「プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化」を参照してください。

   プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用して単一のホスト名を指定できます。 プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイントにある場合、CREATE_DATABASE_LINKではIPアドレス、SCAN IPまたはSCANホスト名の使用がサポートされます)。

   DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKは、hostnameパラメータに対してlocalhostの値をサポートしていません。

   ADMIN以外のユーザーは、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKの実行権限を必要とします。

7. 作成したデータベース・リンクを使用して、ターゲット・データベースのデータにアクセスします。

   たとえば:

   SELECT * FROM employees@PEDBLINK1;
                 

ノート:

ステップ5で作成した資格証明について、Oracle Database資格証明では、ターゲット・ユーザーのパスワードが変更された場合、次のようにターゲット・ユーザーの資格証明を含む資格証明を更新できます:

BEGIN
    DBMS_CLOUD.UPDATE_CREDENTIAL (
        credential_name => 'DB_LINK_CRED',
        attribute => 'PASSWORD',
        value => 'password');
END;
/

「パスワード」は新しいパスワードです。

この操作の後、この資格証明を使用する既存のデータベース・リンクは、データベース・リンクを削除して再作成することなく引き続き動作します。

詳細は、「CREATE_DATABASE_LINKプロシージャ」を参照してください。