Documentación de Oracle Cloud Infrastructure

Conexión de aplicaciones Python con una cartera (mTLS)

Puede conectar aplicaciones de Python a su instancia de Autonomous Database con una cartera.

La conexión de una aplicación Python con una cartera (mTLS) proporciona una seguridad mejorada para la autenticación y el cifrado, y la seguridad se aplica mediante credenciales de cliente (al proporcionar un nombre de usuario y una contraseña).

El "modo fino" predeterminado del controlador python-oracledb se conecta directamente a Oracle Database. De manera opcional, el controlador puede utilizar las bibliotecas del cliente de Oracle, "Thick mode", para algunas funciones adicionales. Las bibliotecas de clientes de Oracle pueden ser de Oracle Instant Client, de Oracle Client completo o de una instalación de Oracle Database.

Siga estos pasos para conectar la aplicación Python a una instancia de Autonomous Database mediante una cartera (mTLS):

  1. Instalación de Python y el controlador python-oracledb
  2. Obtención de credenciales de seguridad (Oracle Wallet) y activación de la conectividad de red
  3. Realice este paso si solo desea conectarse en modo Thin: Ejecute la aplicación Python con el modo Thin de python-oracledb con una cartera (mTLS)
  4. Realice este paso si desea conectarse en modo grueso: Ejecute la aplicación Python con el modo grueso de python-oracledb con una cartera (mTLS)

Temas

Tema principal: Conexión de aplicaciones Python a Autonomous Database

Obtención de credenciales de seguridad (Oracle Wallet) y activación de la conectividad de red

Obtenga credenciales de seguridad de cliente para conectarse a una instancia de Autonomous Database.

  1. Descargue un archivo de cartera de la instancia de Autonomous Database para obtener un archivo zip que contenga las credenciales de seguridad del cliente y los valores de configuración de red necesarios para acceder a una instancia de Autonomous Database.

    Obtenga las credenciales de seguridad del cliente (archivo wallet.zip):

    • Usuario ADMIN: en la consola de Oracle Cloud Infrastructure, haga clic en Conexión de base de datos. Consulte Descarga de credenciales de cliente (carteras).

    • Otro usuario (no administrativo): obtenga Oracle Wallet del administrador para su instancia de Autonomous Database.

    Nota

    Proteja el archivo wallet.zip y su contenido para evitar el acceso no autorizado a la base de datos.
  2. Descomprima el archivo de credenciales de cliente (wallet.zip).

Ejecución de la aplicación Python con el modo delgado python-oracledb con una cartera (mTLS)

Por defecto, python-oracledb utiliza el modo Thin para conectarse directamente a la instancia de Autonomous Database.

En el modo Thin solo se necesitan dos archivos del zip de cartera:

  • tnsnames.ora: asigna los nombres de servicio de red utilizados para las cadenas de conexión de aplicación a los servicios de base de datos.

  • ewallet.pem: activa las conexiones SSL/TLS en modo Thin.

Para conectarse en modo Thin:

  1. Mueva los archivos tnsnames.ora y ewallet.pem a una ubicación del sistema.

    • En Linux, por ejemplo:

      /opt/OracleCloud/MYDB

    • Por ejemplo en Windows:

      C:\opt\OracleCloud\MYDB
  2. En la aplicación Python, defina los siguientes parámetros de conexión para conectarse a una instancia de Autonomous Database:
    • config_dir: especifica el directorio que contiene tnsnames.ora.
    • dsn: se utiliza para especificar el alias de red deseado del archivo tnsnames.ora.
    • password: especifica la contraseña de usuario de la base de datos.
    • user: especifica el usuario de la base de datos.
    • wallet_location: especifica el directorio que contiene el archivo PEM (ewallet.pem).
    • wallet_password: especifica la contraseña para el archivo PEM (ewallet.pem). Esta contraseña se define al descargar el archivo wallet.zip.

    • Por ejemplo, en Linux para conectarse como usuario ADMIN mediante oracledb.connect con el nombre de servicio de red db2024_low (el nombre de servicio se encuentra en tnsnames.ora): 

      connection=oracledb.connect(
     config_dir="/opt/OracleCloud/MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location="/opt/OracleCloud/MYDB",
     wallet_password=wallet_pw)

    • Por ejemplo, en Windows para conectarse como usuario ADMIN mediante oracledb.connect con el nombre de servicio de red db2024_low (el nombre de servicio se encuentra en tnsnames.ora): 

      connection=oracledb.connect(
     config_dir=r"C:\opt\OracleCloud\MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location=r"C:\opt\OracleCloud\MYDB",
     wallet_password=wallet_pw)

      El uso de una cadena 'raw' r"..." significa que las barras invertidas se tratan como separadores de directorio.

    Como se muestra en este ejemplo, wallet_location y config_dir se definen en el mismo directorio (y el directorio contiene tnsnames.ora y ewallet.pem). No es necesario especificar el mismo directorio para estos archivos.

Si está detrás de un firewall, puede establecer un túnel de las conexiones TLS/SSL mediante un proxy mediante HTTPS_PROXY en el descriptor de conexión o mediante la definición de atributos de conexión. La conexión correcta depende de configuraciones de proxy específicas. Oracle no recomienda utilizar un proxy en un entorno de producción, debido al posible impacto en el rendimiento.

En el modo Thin puede especificar un proxy agregando los parámetros https_proxy y http_proxy_port.

Por ejemplo, en Linux:

connection=oracledb.connect(
     config_dir="/opt/OracleCloud/MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location="/opt/OracleCloud/MYDB",
     wallet_password=wallet_pw,
     https_proxy='myproxy.example.com',
     https_proxy_port=80)

Por ejemplo, en Windows:

connection=oracledb.connect(
     config_dir=r"C:\opt\OracleCloud\MYDB",
     user="admin",
     password=password,
     dsn="db2024_low",
     wallet_location=r"C:\opt\OracleCloud\MYDB",
     wallet_password=wallet_pw,
     https_proxy='myproxy.example.com',
     https_proxy_port=80)

Ejecución de la aplicación Python con el modo grueso python-oracledb con una cartera (mTLS)

Por defecto, python-oracledb se ejecuta en modo Thin, que se conecta directamente a Oracle Database. Las funciones adicionales de python-oracledb están disponibles cuando el controlador se ejecuta en modo grueso.
Nota

El modo grueso requiere que las bibliotecas del cliente de Oracle se instalen donde se ejecuta Python. También debe llamar a oracledb.init_oracle_client() en el código Python.

En el modo Thick se necesitan los tres archivos siguientes del archivo zip de cartera:

  • tnsnames.ora: contiene los nombres de servicio de red utilizados para las cadenas de conexión de la aplicación y asigna las cadenas a los servicios de base de datos.

  • sqlnet.ora: especifica la configuración del cliente de SQL*Net.

  • cwallet.sso: contiene la cartera de SSO de apertura automática.

Para conectarse en modo grueso:

  1. Coloque los archivos tnsnames.ora, sqlnet.ora y cwallet.sso en el sistema.

    Utilice una de las dos opciones para colocar estos archivos en el sistema:

    • Si va a utilizar Instant Client, mueva los archivos a una jerarquía de subdirectorio network/admin en el directorio Instant Client. Por ejemplo, en función de la arquitectura o del sistema cliente y donde haya instalado Instant Client, los archivos deben estar en una ubicación de directorio, como: 

      /home/myuser/instantclient_19_21/network/admin

      o

      /usr/lib/oracle/19.21/client64/lib/network/admin

      Por ejemplo, en Linux, si utiliza el cliente de Oracle completo, mueva los archivos a $ORACLE_HOME/network/admin.

    • También puede mover los archivos a cualquier directorio accesible.

      Por ejemplo, en Linux, mueva los archivos al directorio /opt/OracleCloud/MYDB y edite sqlnet.ora para cambiar el directorio de ubicación de cartera al directorio que contiene el archivo cwallet.sso.

      Por ejemplo, en Linux edite sqlnet.ora de la siguiente manera: 

      WALLET_LOCATION = (SOURCE = (METHOD=file) (METHOD_DATA = (DIRECTORY="/opt/OracleCloud/MYDB")))
SSL_SERVER_DN_MATCH=yes

      Cuando los archivos de configuración no están en la ubicación por defecto, la aplicación debe indicar dónde están, ya sea con el parámetro config_dir en la llamada oracledb.init_oracle_client() o definiendo la variable de entorno TNS_ADMIN.

      Nota

      No es necesario ninguno de estos valores y no es necesario editar sqlnet.ora si coloca todos los archivos de configuración en el directorio network/admin.
  2. En la aplicación Python, defina los siguientes parámetros de inicialización y conexión para conectarse a la instancia de Autonomous Database:
    • config_dir: especifica el directorio de configuración al colocar los archivos de configuración. Esto sólo es necesario cuando los archivos de configuración se colocan en un directorio fuera del directorio de configuración del cliente instantáneo network/admin.
    • dsn: especifica el alias de red deseado del archivo tnsnames.ora.
    • password: especifica la contraseña de usuario de la base de datos.
    • user: especifica el usuario de la base de datos.

    En el primer caso para la ubicación de los archivos de configuración, conéctese a la instancia de Autonomous Database mediante las credenciales de base de datos definiendo el parámetro dsn en el alias de red deseado de tnsnames.ora.

    Por ejemplo, para conectarse como usuario ADMIN mediante oracledb.init_oracle_client y conectarse con el nombre de servicio de red db2024_low (donde el nombre de servicio se encuentra en tnsnames.ora): 

    oracledb.init_oracle_client()
   connection=oracledb.connect(
       user="admin",
       password=password,
       dsn="db2024_low")

    Cuando los archivos de configuración están en un directorio fuera del directorio de configuración del cliente instantáneo, defina el parámetro config_dir al llamar a oracledb.init_oracle_client.

    • Por ejemplo, en Linux para conectarse como usuario ADMIN mediante el nombre de servicio de red db2024_low: 

      oracledb.init_oracle_client(config_dir="/opt/OracleCloud/MYDB")
   connection=oracledb.connect(
      user="admin",
      password=password,
      dsn="db2024_low")

    • Por ejemplo, en Windows para conectarse como usuario ADMIN mediante el nombre de servicio de red db2024_low: 

      oracledb.init_oracle_client(config_dir=r"C:\opt\OracleCloud\MYDB")
   connection=oracledb.connect(
      user="admin",
      password=password,
      dsn="db2024_low")

      El uso de una cadena 'raw' r"..." significa que las barras invertidas se tratan como separadores de directorio.

Si está detrás de un firewall, puede establecer un túnel de las conexiones TLS/SSL mediante un proxy mediante HTTPS_PROXY en el descriptor de conexión o mediante la definición de atributos de conexión. La conexión correcta depende de configuraciones de proxy específicas. Oracle no recomienda utilizar un proxy en un entorno de producción, debido al posible impacto en el rendimiento.

En el modo Thick puede especificar un proxy editando el archivo sqlnet.ora y agregando una línea: 

SQLNET.USE_HTTPS_PROXY=on

Además, edite tnsnames.ora y agregue un nombre de proxy HTTPS_PROXY y un puerto HTTPS_PROXY_PORT a la lista de direcciones de descriptor de conexión de cualquier nombre de servicio que desee utilizar.

Por ejemplo:

mydb_high=(description=
(address=(https_proxy=myproxy.example.com)
(https_proxy_port=80)
(protocol=tcps)(port=1522)(host=...)

Consulte Enabling python-oracledb Thick mode para obtener información sobre el modo Thick.