自律型AIデータベースからプライベート・エンドポイント上の自律型AIデータベースへのデータベース・リンクの作成

Autonomous AI Databaseから、プライベート・エンドポイントにあるターゲットAutonomous AI Databaseへのデータベース・リンクを作成できます。

ターゲットAutonomous AI Databaseの構成に応じて、次のオプションがあります:

詳細は、Autonomous AIデータベースからDatabase Cloud Serviceインスタンスへのデータベース・リンクの作成方法を参照してください。

Autonomous AI Databaseからプライベート・エンドポイント上のターゲットAutonomous AI Databaseへのデータベース・リンクの前提条件

プライベート・エンドポイントにあるターゲットAutonomous AI Databaseへのデータベース・リンクを作成するための前提条件をリストします。

プライベート・エンドポイントでターゲットAutonomous AI Databaseへのデータベース・リンクを作成するには:

  • ターゲット・データベースは、ソース・データベースのOracle Cloud Infrastructure VCNからアクセスできる必要があります。たとえば、次の場合にターゲット・データベースに接続できます。

    • ターゲット・データベースはプライベート・エンドポイントにあります。

    • ソース・データベースとターゲット・データベースの両方が、同じOracle Cloud Infrastructure VCNにあります。

    • ソース・データベースとターゲット・データベースは、ペアになっている別のOracle Cloud Infrastructure VCNsにあります。

    • ターゲット・データベースは、FastConnectまたはVPNを使用してソース・データベースのOracle Cloud Infrastructure VCNに接続されます。

  • プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用した単一のホスト名の指定がサポートされています。プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイント上にある場合、CREATE_DATABASE_LINKはIPアドレス、SCAN IPまたはSCANホスト名の使用をサポートしています)。

  • DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータの値localhostはサポートされていません。

  • プライベート・エンドポイントには、次のイングレスおよびエグレス・ルールを定義する必要があります:

    • ソース・データベースのサブネット・セキュリティ・リストまたはネットワーク・セキュリティ・グループにエグレス・ルールを定義して、TCP経由のトラフィックがターゲット・データベースのIPアドレスおよびポート番号に対して許可されるようにします。

    • ソース・データベースのIPアドレスから宛先ポートへのTCP経由のトラフィックが許可されるように、ターゲット・データベースのサブネット・セキュリティ・リストまたはネットワーク・セキュリティ・グループにイングレス・ルールを定義します。

    イングレスおよびエグレス・ルールを使用したプライベート・エンドポイントの構成の詳細は、プライベート・エンドポイントを使用したネットワーク・アクセスの構成を参照してください。

ノート

ノート: Autonomous AI Databaseインスタンスがプライベート・エンドポイントで構成されている場合、ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定して、すべての送信データベース・リンクがAutonomous AI Databaseインスタンスのプライベート・エンドポイントVCNのエグレス・ルールに従うことを指定します。詳細は、プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化を参照してください。

Wallet (TLS)を使用しないプライベート・エンドポイントでのターゲットAutonomous AIデータベースへのデータベース・リンクの作成

Autonomous AI Databaseから、プライベート・エンドポイントにあるターゲットAutonomous AI Databaseへのデータベース・リンクを作成し、ウォレット(TLS)なしで接続できます。

必要に応じて、前提条件ステップを実行します。詳細は、Autonomous AIデータベースからプライベート・エンドポイント上のターゲットAutonomous AIデータベースへのデータベース・リンクの前提条件を参照してください。

ウォレットを使用しないプライベート・エンドポイントでターゲットAutonomous AI Databaseへのデータベース・リンクを作成するには:

  1. 自律型AIデータベース・インスタンスでTLS接続を有効にしていない場合は、有効にします。

    詳細は、TLS認証とmTLS認証の両方を許可するようにAutonomous AIデータベース・インスタンスの更新を参照してください。

  2. ターゲットAutonomous AI Databaseインスタンスにアクセスするための資格証明を作成します。DBMS_CLOUD.CREATE_CREDENTIALで指定するusernameおよびpasswordは、データベース・リンク内で使用されるターゲット・データベースの資格証明です(ターゲット・データベースはVCNを介してアクセスされます)。

    たとえば:

    BEGIN
         DBMS_CLOUD.CREATE_CREDENTIAL(
             credential_name => 'PRIVATE_ENDPOINT_CRED',
             username => 'NICK',
             password => 'password'
             );
    END;
    /

    usernameパラメータの文字はすべて大文字である必要があります。

    ノート

    ノート:データベース・リンクのターゲット・データベース資格証明には、ボールト・シークレット資格証明を使用できます。詳細は、ボールト・シークレット資格証明の使用を参照してください。

    この操作によって、資格証明が暗号化された形式でデータベースに格納されます。資格証明には任意の名前を使用できます。

  3. DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを使用して、ターゲット・データベースのデータベース・リンクを作成します。

    たとえば:

    BEGIN
         DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK(
             db_link_name => 'PRIVATE_ENDPOINT_LINK',
             hostname => 'exampleHostname',
             port => '1521',
             service_name => '*example_high.adb.oraclecloud.com*',
             credential_name => 'PRIVATE_ENDPOINT_CRED',
             directory_name => NULL,
             private_target => TRUE);
    END;
    /

    プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用した単一のホスト名の指定がサポートされています。プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイント上にある場合、CREATE_DATABASE_LINKはIPアドレス、SCAN IPまたはSCANホスト名の使用をサポートしています)。

    ADMIN以外のユーザーがDBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを実行するには、権限が必要です。

    例に示すように、ウォレットのないプライベート・エンドポイント上のターゲット・データベースへのDBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを含むデータベース・リンクを作成するには、次のすべてが必要です。

    • directory_nameパラメータはNULLである必要があります。

    • ssl_server_cert_dnパラメータは省略することも、含まれる場合はNULL値を指定することもできます。

    • private_targetパラメータはTRUEである必要があります。

    ノート

    ノート: ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定する場合、このAPIでは、private_targetパラメータをTRUEに設定する必要はありません。詳細は、プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化を参照してください。

  4. 作成したデータベース・リンクを使用した、ターゲット・データベースのデータへのアクセス。

    たとえば:

    SELECT * FROM employees@PRIVATE_ENDPOINT_LINK;
    ノート

    注意:

    ステップ1で作成した資格証明(Oracle AI Databaseの資格証明)では、ターゲット・ユーザーのパスワードが変更された場合、ターゲット・ユーザーの資格証明を含む資格証明は、次のように更新できます:

    BEGIN
      DBMS_CLOUD.UPDATE_CREDENTIAL (
            credential_name => 'DB_LINK_CRED',
            attribute => 'PASSWORD',
            value => 'password');
    END;
    /

    ここで、passwordは新しいパスワードです。

    この操作の後、この資格証明を使用する既存のデータベース・リンクは、データベース・リンクを削除して再作成しなくても引き続き機能します。

    詳細は、「CREATE_DATABASE_LINKプロシージャ」を参照してください。

Wallet (mTLS)を使用したプライベート・エンドポイントでのターゲットAutonomous AIデータベースへのデータベース・リンクの作成

Autonomous AI Databaseから、プライベート・エンドポイント(mTLS)にあるターゲットAutonomous AI Databaseへのデータベース・リンクを作成できます。

必要に応じて、前提条件ステップを実行します。詳細は、Autonomous AIデータベースからプライベート・エンドポイント上のターゲットAutonomous AIデータベースへのデータベース・リンクの前提条件を参照してください。

プライベート・エンドポイントでターゲットAutonomous AI Databaseへのデータベース・リンクをウォレットで作成するには:

  1. ターゲット・データベースの証明書を含むターゲット・データベース・ウォレットcwallet.ssoをオブジェクト・ストアにコピーします。

    ノート

    ノート:ウォレット・ファイルは、データベース・ユーザーIDおよびパスワードと組み合せて、ターゲットOracleデータベース内のデータへのアクセスを可能にする。ウォレット・ファイルは安全な場所に保存してください。ウォレット・ファイルは、権限のあるユーザーとのみ共有してください。

  2. cwallet.ssoを格納するオブジェクト・ストアにアクセスするための資格証明を作成します。様々なオブジェクト・ストレージ・サービスのusernameおよびpasswordパラメータの詳細は、「CREATE_CREDENTIALプロシージャ」を参照してください。

  3. ウォレット・ファイルcwallet.ssoのディレクトリをAutonomous AI Databaseに作成します。

    たとえば:

    CREATE DIRECTORY WALLET_DIR AS '*directory_path_of_your_choice*';

    ディレクトリの作成の詳細は、「Autonomous AI Databaseでのディレクトリの作成」を参照してください。

  4. DBMS_CLOUD.GET_OBJECTを使用して、前のステップで作成したディレクトリWALLET_DIRにターゲット・データベース・ウォレットをアップロードします。

    たとえば:

    BEGIN
       DBMS_CLOUD.GET_OBJECT(
           credential_name => 'DEF_CRED_NAME',
           object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
           directory_name => 'WALLET_DIR');
    END;
    /

    この例では、namespace-stringはOracle Cloud Infrastructureオブジェクト・ストレージ・ネームスペースで、bucketnameはバケット名です。詳細は、オブジェクト・ストレージ・ネームスペースの理解を参照してください。

    ノート

    ノート:このステップで使用するcredential_nameは、オブジェクト・ストアの資格証明です。次のステップでは、ターゲット・データベースにアクセスするための資格証明を作成します。

  5. Autonomous AI Databaseで、ターゲット・データベースにアクセスするための資格証明を作成します。DBMS_CLOUD.CREATE_CREDENTIALで指定するusernameおよびpasswordは、データベース・リンク内で使用されるターゲット・データベースの資格証明です(ターゲット・データベースはVCNを介してアクセスされます)。

    ノート

    ノート: credential_nameパラメータの指定は必須です。

    たとえば:

    BEGIN
        DBMS_CLOUD.CREATE_CREDENTIAL(
           credential_name => 'DB_LINK_CRED',
           username => 'NICK',
           password => 'password');
    END;
    /

    usernameパラメータの文字はすべて大文字である必要があります。

    ノート

    ノート:データベース・リンクのターゲット・データベース資格証明には、ボールト・シークレット資格証明を使用できます。詳細は、ボールト・シークレット資格証明の使用を参照してください。

    この操作によって、資格証明が暗号化された形式でデータベースに格納されます。資格証明には任意の名前を使用できます。

  6. DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを使用して、ターゲット・データベースのデータベース・リンクを作成します。

    たとえば:

    BEGIN
        DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK(
            db_link_name => 'PEDBLINK1',
            hostname => 'example1.adb.ap-osaka-1.oraclecloud.com',
            port => '1522',
            service_name => '*example_high.adb.oraclecloud.com*',
            credential_name => 'DB_LINK_CRED',
            directory_name => 'WALLET_DIR',
            private_target => TRUE);
    END;
    /

    ノート

    ノート: ROUTE_OUTBOUND_CONNECTIONSデータベース・プロパティを設定する場合、このAPIでは、private_targetパラメータをTRUEに設定する必要はありません。詳細は、プライベート・エンドポイントを使用したアウトバウンド接続のセキュリティの強化を参照してください。

    プライベート・エンドポイント上のターゲットの場合、DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータを使用した単一のホスト名の指定がサポートされています。プライベート・エンドポイントでは、IPアドレス、SCAN IPまたはSCANホスト名の使用はサポートされていません(ターゲットがパブリック・エンドポイント上にある場合、CREATE_DATABASE_LINKはIPアドレス、SCAN IPまたはSCANホスト名の使用をサポートしています)。

    DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKでは、hostnameパラメータの値localhostはサポートされていません。

    ADMIN以外のユーザーがDBMS_CLOUD_ADMIN.CREATE_DATABASE_LINKを実行するには、権限が必要です。

  7. 作成したデータベース・リンクを使用した、ターゲット・データベースのデータへのアクセス。

    たとえば:

    SELECT * FROM employees@PEDBLINK1;
    ノート

    注意:

    ステップ5で作成した資格証明(Oracle AI Databaseの資格証明)では、ターゲット・ユーザーのパスワードが変更された場合、ターゲット・ユーザーの資格証明を含む資格証明は、次のように更新できます:

    BEGIN
      DBMS_CLOUD.UPDATE_CREDENTIAL (
        credential_name => 'DB_LINK_CRED',
        attribute => 'PASSWORD',
        value => 'password');
    END;
    /

    ここで、passwordは新しいパスワードです。

    この操作の後、この資格証明を使用する既存のデータベース・リンクは、データベース・リンクを削除して再作成しなくても引き続き機能します。

詳細は、「CREATE_DATABASE_LINKプロシージャ」を参照してください。