使用 Wallet (mTLS) 创建从 Autonomous Database 到公共可访问的 Oracle Database 的数据库链接

您可以创建从 Autonomous Database 到公共端点上的目标 Oracle 数据库的数据库链接。

要将数据库链接与 Autonomous Database 一起使用，必须将目标数据库配置为使用 TCP/IP 和 SSL (TCPS) 验证。默认情况下，Autonomous Database 使用 TCP/IP 和 SSL (TCPS) 验证，因此您无需在目标数据库中执行任何其他配置即可链接到其他 Autonomous Database 。其他 Oracle 数据库必须配置为使用 TCP/IP 和 SSL (TCPS) 验证。有关详细信息，请参阅 Oracle Database 19c Security Guide 或 Oracle Database 23ai Security Guide 中的 Configuring Secure Sockets Layer Authentication 。

要创建指向公共目标的数据库链接，必须可以访问目标 Oracle Database。某些数据库可能会限制访问（例如，使用访问控制列表）。确保启用目标数据库以允许从源数据库访问数据库链接。如果限制访问控制列表 (Access Control List，ACL) 的访问，可以找到源 Autonomous Database 的出站 IP 地址并允许该 IP 地址连接到目标数据库。

有关详细信息，请参阅如何创建从 Autonomous Database 到 Database Cloud Service 实例的数据库链接。

使用 wallet (mTLS) 创建指向目标 Oracle 数据库的数据库链接：

1. 将包含目标数据库的证书的目标数据库 wallet cwallet.sso 复制到对象存储。

   请注意以下 Wallet 文件：

   • 通过 Wallet 文件以及数据库用户 ID 和密码，可以访问目标 Oracle Database 中的数据。将 wallet 文件存储在安全位置。仅与授权用户共享 wallet 文件。

   • 请勿重命名 wallet 文件。对象存储中的 wallet 文件必须命名为 cwallet.sso。

2. 创建身份证明以访问在其中存储 wallet 文件 cwallet.sso 的对象存储。有关不同对象存储服务的用户名和密码参数的信息，请参见CREATE_CREDENTIAL Procedure 。
3. 在 Autonomous Database 上为 wallet 文件 cwallet.sso 创建目录。

   例如：

   CREATE DIRECTORY dblink_wallet_dir AS 'directory_path_of_your_choice';
               

   有关创建目录的信息，请参见 Create Directory in Autonomous Database 。

4. 使用 DBMS_CLOUD.GET_OBJECT 将目标数据库 wallet 上载到您在上一步中创建的目录 DBLINK_WALLET_DIR 。

   例如：

   BEGIN 
       DBMS_CLOUD.GET_OBJECT(
           credential_name => 'DEF_CRED_NAME',
           object_uri => 'https://objectstorage.us-phoenix-1.oraclecloud.com/n/namespace-string/b/bucketname/o/cwallet.sso',
           directory_name => 'DBLINK_WALLET_DIR'); 
   END;
   /

   在此示例中，namespace-string 是 Oracle Cloud Infrastructure 对象存储名称空间，bucketname 是存储桶名称。有关更多信息，请参见 Understanding Object Storage Namespaces 。

   注意：

   在此步骤中使用的 credential_name 是对象存储的身份证明。在下一步中，您将创建用于访问目标数据库的身份证明。
5. 在 Autonomous Database 实例上，创建身份证明以访问目标数据库。使用 DBMS_CLOUD.CREATE_CREDENTIAL 指定的 username 和 password 是用于创建数据库链接的目标数据库的凭证。

   注意：

   需要提供 credential_name 参数。

   例如：

   BEGIN
       DBMS_CLOUD.CREATE_CREDENTIAL(
           credential_name => 'DB_LINK_CRED',
           username => 'NICK',
           password => 'password');
   END;
   /

   username 参数中的字符必须全部为大写字母。

   此操作以加密格式将身份证明存储在数据库中。您可以使用身份证明名称的任何名称。

6. 使用 DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 创建指向目标数据库的数据库链接。

   例如：

   BEGIN
       DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK(
           db_link_name => 'SALESLINK',
           hostname => 'adb.eu-frankfurt-1.oraclecloud.com', 
           port => '1522',
           service_name => 'example_medium.atpc.example.oraclecloud.com',
           ssl_server_cert_dn => 'CN=atpc.example.oraclecloud.com,OU=Oracle BMCS FRANKFURT,O=Oracle Corporation,L=Redwood City,ST=California,C=US',
           credential_name => 'DB_LINK_CRED',
           directory_name => 'DBLINK_WALLET_DIR');
   END;
   /

   ADMIN 以外的用户需要特权才能运行 DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 。

   如果使用 directory_name 指定的目录中的 wallet 文件不是 cwallet.sso，则该过程将报告错误，例如：ORA-28759: failure to open file。

7. 使用您创建的数据库链接访问目标数据库中的数据。

   例如：

   SELECT * FROM employees@SALESLINK;
               

对于在步骤 5 中创建的身份证明，目标数据库身份证明，如果目标用户的密码发生更改，您可以更新包含目标用户身份证明的身份证明，如下所示：

BEGIN
    DBMS_CLOUD.UPDATE_CREDENTIAL (
        credential_name => 'DB_LINK_CRED',
        attribute => 'PASSWORD',
        value => 'password' );
END;
/

其中，password 是新密码。

执行此操作后，使用此身份证明的现有数据库链接将继续工作，而不必删除并重新创建数据库链接。

有关其它信息，请参阅：

• CREATE_DATABASE_LINK 过程

• GET_OBJECT 过程和函数

• UPDATE_CREDENTIAL 过程

数据库链接注释与目标 Oracle Database

提供有关创建指向目标 Oracle 数据库的数据库链接的备注（当目标不是 Autonomous Database 时）

有关指向其他 Oracle 数据库的数据库链接的说明：

• 每个目录只有一个 Wallet 文件可用于数据库链接。一次只能将一个 cwallet.sso 上载到为 wallet 文件选择的目录（例如 DBLINK_WALLET_DIR ）。这意味着使用 DBLINK_WALLET_DIR 中的 cwallet.sso，您只能创建指向该目录中 Wallet 对其有效的数据库的数据库链接。要将多个 cwallet.sso 文件与数据库链接一起使用，需要创建其他目录并将每个 cwallet.sso 放在不同的目录中。使用 DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 创建数据库链接时，使用 directory_name 参数指定包含 wallet 的目录。

  有关创建目录的信息，请参见 Create Directory in Autonomous Database 。

• 对于指向其他 Oracle Database 的数据库链接，支持的目标 Oracle 数据库版本为：19c、12.2.0 和 12.1.0。

  注意：

  有关支持的版本的完整信息，请参见 Client Server Interoperability Support Matrix for Different Oracle Versions (Doc ID 207303.1)

• Autonomous Database 将 SEC_CASE_SENSITIVE_LOGON 参数设置为 true，无法更改此值。如果目标数据库不是 Autonomous Database ，则必须将目标数据库上的 SEC_CASE_SENSITIVE_LOGON 参数设置为 true。如果在目标数据库上将 SEC_CASE_SENSITIVE_LOGON 设置为 false，则会引发错误 ORA-28040: No matching authentication protocol。

• 要列出数据库链接，请使用 ALL_DB_LINKS 视图。有关详细信息，请参阅 Oracle Database 19c Database Reference 中的 ALL_DB_LINKS 或 Oracle Database 23ai Database Reference 。

• 通过 Wallet 文件以及数据库用户 ID 和密码，可以访问目标 Oracle 数据库中的数据。将 wallet 文件存储在安全位置。仅与授权用户共享 wallet 文件。

• 当 Autonomous Database 实例位于专用端点上时，有两个选项可用于指定目标数据库：使用 hostname 参数或 rac_hostnames 参数：

  • 对于专用端点上的目标，DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 支持使用 hostname 参数指定单个主机名。在专用端点上，不支持使用 IP 地址、SCAN IP 或 SCAN 主机名（当目标位于公共端点上时，CREATE_DATABASE_LINK 支持使用 IP 地址、SCAN IP 或 SCAN 主机名）。

  • 当目标为 Oracle RAC 数据库时，请使用 rac_hostnames 参数通过 DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 指定一个或多个主机名。这样，您就可以利用 Oracle RAC 的高可用性功能。不支持使用 rac_hostnames 值中的 IP 地址、SCAN IP 或 SCAN 主机名。

    在 rac_hostnames 参数中指定主机名列表时，CREATE_DATABASE_LINK 将所有指定的主机名用作连接字符串中的地址。如果某个指定的主机在目标 Oracle RAC 数据库上不可用，Autonomous Database 将自动尝试使用列表中的其他主机名进行连接。

  • DBMS_CLOUD_ADMIN.CREATE_DATABASE_LINK 不支持 hostname 或 rac_hostnames 参数中的值 localhost。

---

标题和版权信息

Copyright ©2024,2024,

Oracle 和/或其关联公司。