设置安全或非安全部署
您可以选择设置安全或非安全部署。安全部署涉及通过SSL / TLS进行RESTful API调用并在分发服务器和Receiver Server之间传递路径数据。您可以使用现有的钱包和证书,也可以创建新的钱包和证书。
首次创建SSL / TLS安全证书时,必须确保按照设置环境变量中的说明设置SSL / TLS安全环境变量。
对于非安全部署,RESTful API调用通过纯文本HTTP进行,并且使用UDT,ogg://和ws://协议执行分发服务器和Receiver Server之间的传输。
本节介绍配置非安全部署的步骤以及配置安全部署的先决条件和任务。
主题:
- 如何创建安全或不安全的部署
- 如何添加用户
- 创建自签名根证书
- 创建服务器证书
- 创建分发服务器用户证书
2.1如何创建安全或非安全部署
创建部署是设置数据提取和复制平台过程中的第一项任务。部署创建为源部署和目标部署。部署由服务管理器管理。
完成Oracle GoldenGate MA安装后,您可以使用Configuration Assistant向导创建初始和后续部署。
Oracle建议您为每个主机安装一个Service Manager,以避免Oracle GoldenGate版本的冗余升级和维护任务。
您可以使用Configuration Assistant向导将多个部署添加到Service Manager,这使您可以使用新版本或修补程序升级同一Service Manager。源和目标部署充当端点,用于设置数据复制的分发路径。目标部署的创建方式与源部署的方式相同,但是对于不同的数据库用户或不同的数据库。
- 从OGG_HOME目录,在UNIX或Linux上运行$ OGG_HOME / bin / oggca.sh程序。
Oracle GoldenGate配置助手(oggca)已启动。每次要创建部署时,请运行此程序。 - 在“选择服务管理器选项”步骤中:
a、选择是要使用现有Service Manager还是创建新Service Manager。如果两个服务管理器正在运行,则会随机发现其中一个服务管理器将其与部署相关联。因此,建议每个主机只有一个服务管理器。
b、输入或浏览到要用于部署的目录。 Oracle建议您不要使用Oracle GoldenGate安装目录。
c、输入服务器的主机名或IP地址。
d、输入您要与Service Manager联系的唯一端口号,或使用默认值,该默认值用于连接到该URL。确保端口未保留且不受限制。每项服务必须使用不同的端口号。
e、(可选)您可以注册Service Manager以作为服务运行,以避免手动启动和停止它。
您可以选择将一个Service Manager作为服务(守护程序)运行。如果现有Service Manager注册为服务,并且您选择新的Service Manager注册为服务,则会显示一条警告,指示您无法将新服务注册为服务。使用安装在部署的bin目录中的脚本启动和停止所有其他服务管理器。您不能将现有Service Manager注册为服务。
f、(可选)通过选择“与XAG集成”选项,可以选择将部署与Oracle Grid Infrastructure for Oracle数据库集成。将Service Manager作为服务运行时,无法使用此选项。 - 在“配置选项”步骤中,您可以添加或删除部署。
选择适当的选项。 - 在部署详细信息步骤中:
a、使用以下约定输入部署名称:
。必须以一个字母开头
。可以是不超过32个字符的标准ASCII字母数字字符串。
。不能包含扩展的ASCII字符
。允许使用的特殊字符包括下划线('_'),连字符('/'),短划线(' - '),句点('。')。
。不能是“ServiceManager”。
b、选择“启用Sharding”以在部署中使用数据库分片功能。schema必须是ggadmin
c、输入或选择Oracle GoldenGate安装(主页)目录。如果已设置$ OGG_HOME环境变量,则会自动填充该目录。否则,将使用oggca.sh脚本的父目录。
d、点击下一步 - 在“选择部署目录”页面上:
a、输入或选择要存储部署注册表和配置文件的部署目录。输入部署目录名称时,如果它不存在,则会创建该名称。 Oracle建议您不要在$ OGG_HOME中找到部署目录,并且要创建单独的目录以便于升级。将根据指定的部署目录自动填充其他字段。
b、您可以自定义部署目录,使其命名和定位与默认目录不同。
c、为各种部署元素输入或选择不同的目录。
d、点击下一步 - 在环境变量页面上:
输入环境变量的请求值。双击该字段进行编辑。您可以在环境变量字段中复制和粘贴值。输入每个值后,请确保选中或单击字段外部,否则不会保存。如果已设置任何这些环境变量,则会自动填充该目录。
ORACLE_HOME
安装数据库的目录。
LD_LIBRARY_PATH
$ OGG_HOME,OUI,数据库安装和数据库网络(TNS_ADMIN)的库目录。
TNS_ADMIN
安装数据库的目录附加了/ network / admin。
ORACLE_SID
数据库的名称(SID)
STREAMS_POOL_SIZE
仅在启用分片时才会出现此选项。使用默认值或设置至少为1200MB的池大小值
您可以添加其他环境变量来自定义部署或删除变量。例如,您可以输入以下变量以默认为国际字符集:ENV_LC_ALL = zh_CN.UTF-8
点击下一步。 - 在“管理员帐户”页面上:
a、输入要用于登录Oracle GoldenGate MAuser界面(Service Manager,Administration Server,分发服务器,Receiver Server和Performance Metrics Server)的用户名和密码。确保指定为Service Manager和所有附属部署指定的相同用户名和密码。如果您使用的是现有Service Manager,则必须输入这些登录凭据。
b、点击下一步 - 在“安全选项”页面上:
a、可以选择是否要保护部署。 Oracle建议您启用SSL / TLS安全性。如果您不想为部署使用安全性,请取消选中该复选框。但是,如果配置Oracle GoldenGate sharding支持,则必须启用安全性。
b、(可选)您可以指定客户端钱包位置,以便将跟踪数据发送到安全部署。当源部署中的分发服务器不安全而目标部署上的Receiver Server受到保护时,此选项很有用。在这种情况下,发件人可以配置为公共访问,而Receiver Server需要身份验证和授权,这是在应用传入数据之前使用PKI建立的。有关更多信息,请参阅创建自签名根证书,和创建分发服务器用户证书。
c、对于您的服务器,请选择其中一个选项,然后提供所需的文件位置。使用现有钱包时,必须已将相应的证书导入其中。如果选择使用证书,请输入相应的密码短语。使用自签名证书时,会在新部署中创建新的Oracle Wallet,并将这些证书导入其中。对于证书,请输入私钥文件的位置和密码短语。
d、对于您的客户端,请选择其中一个选项,然后像提供服务器一样提供所需的信息。
e、点击下一步。 - (如果启用了安全性)在“高级安全性设置”页面上:
用于与Oracle GoldenGate服务显示进行安全通信的一组加密算法。默认密码套件是:
。TLS_RSA_WITH_AES_256_CBC_SHA
。TLS_RSA_WITH_AES_128_CBC_SHA
。SSL_RSA_WITH_RC4_128_SHA
。SSL_RSA_WITH_RC4_128_MD5
。SSL_RSA_WITH_3DES_EDE_CBC_SHA当前的JRE环境不支持灰色和斜体的密码套件。
a、使用箭头添加或删除密码套件。
b、使用“向上”和“向下”重新排序密码套件的应用方式
c、点击下一步。
有关使用RMTHOST的TCP / IP加密选项的更多信息,请参阅Oracle GoldenGate参考中的RMTHOST - (如果启用了“分片”)在“分片选项”页面上:
a、找到并导入您的Oracle GoldenGate Sharding证书。输入数据库分片代码将使用的证书中的可分辨名称,以便在对Oracle GoldenGate MA服务进行REST API调用时标识自身。
b、输入证书的唯一名称。
c、点击下一步 - 在“端口设置”页面上:
a、输入管理服务器端口号,然后当您离开该字段时,其他端口号将以升序编号填充。 (可选)您可以为每个服务器输入唯一端口。
b、选择“启用监控”以使用“性能指标服务器”。
c、在Performance Metrics Server端口字段内单击以填充或输入要使用的端口。
确保为TCP和UDP选择可用端口以进行性能监视。创建部署后,您可以从Service Manager控制台更改TCP端口。有关PMSRVR的更多信息,请参阅ENABLEMONITORING
d、选择希望度量服务器使用的数据存储类型,默认的Berkeley Database(BDB)数据存储或Open LDAP Lighting Memory-Mapped Database(LMDB)。
BDB和LMDB是内存和磁盘驻留数据库。 Performance Metrics服务器使用数据存储区存储所有度量标准信息。有关BDB信息,请参阅Oracle Berkeley DB 12c第1版有关LMDB的信息,请参阅http://www.lmdb.tech/doc/
e、点击下一步。oggca实用程序不会验证您输入的端口当前是否正在使用,因此您必须手动确保端口是空闲的,并且不会重新分配给其他进程。
- 在“复制设置”步骤中:
a、输入要用于执行复制设置的Oracle GoldenGate默认架构。例如,ggadmin。
b、点击下一步。 - 在摘要页面上:
a、在继续之前,请查看部署的详细配置设置。
b、(可选)您可以将配置信息保存到响应文件中。您可以使用此文件作为输入从命令行运行安装程序,以复制其他系统上成功配置的结果。您可以编辑此文件或从提供的模板创建新文件。保存到响应文件时,出于安全原因,不会保存管理员密码。如果要重用响应文件以在其他系统上使用,则必须编辑响应文件并输入密码。
c、单击“完成”以创建部署。
d、点击下一步。 - 在“配置部署”页面上:
显示部署创建和配置的进度。
a、如果将Service Manager注册为服务,则会出现一个弹出窗口,指示您如何运行脚本以注册该服务。 Configuration Assistant验证是否已运行这些脚本。如果您没有运行它们,则会询问您是否要继续。单击“是”时,配置成功完成。单击“否”时,将设置临时失败状态,并单击“重试”以运行脚本。
运行脚本后单击“确定”继续。
b、点击下一步。 - 在完成页面上:
单击“关闭”以关闭“配置助手”。
2.2如何添加用户
您可以从Administration Server添加与部署关联的用户。
每个部署都有自己的用户列表,当您从Administration Server添加用户时,您将其添加到该部署。可以在Service Manager中管理服务的唯一用户是最初在安装期间添加为管理用户的用户。您可以通过执行以下步骤来添加用户:
- 单击+号。
- 输入唯一的用户名
- 选择以下角色之一:
User
可以查看服务器托管的资源。这包括监控性能,请求报告和查看资源配置
Operator
除用户角色权限外,还可以创建,更新,销毁,启动,暂停和停止服务器托管资源
Administrator
除了用户和操作员角色权限之外,还可以管理和管理所有服务,但安全相关的配置和配置文件除外。
Security
可以管理与安全相关的对象并调用与安全相关的服务请求。此角色拥有完全权利。 - 输入描述用户的信息。
- 输入密码两次以验证密码。密码可以包含用户名。
- 单击“提交”
用户已注册
用户无法更改。您必须删除用户,然后再次添加。
2.3创建自签名根证书
在安全模式下,使用SSL / TLS证书保护与Oracle GoldeGate SA的通信,包括管理呼叫和数据传输,您购买或创建自己的证书以进行测试。
您可以应用现有的根证书或使用OGG_HOME / bin目录中的orapki,请参阅“Oracle数据库安全指南”中的关于orapki实用程序。
以下是使用orapki创建根证书的示例:
- 创建一个目录来存储您的钱包和证书。例如,〜/ wallet_directory。
- 创建一个自动登录钱包。此示例使用root_ca作为钱包名称。
orapki wallet create -wallet ~/wallet_directory/root_ca -auto_login -pwd welcome123
- 创建一个新的自签名(root用户)证书并将其添加到钱包。
orapki wallet add -wallet ~/wallet_directory/root_ca -dn "CN=RootCA" -keysize 2048 -self_signed -validity 7300 -pwd welcome123
-
将证书导出到.pem文件。
orapki wallet export -wallet ~/wallet_directory/root_ca -dn "CN=RootCA" -cert ~/wallet_directory/rootCA_Cert.pem -pwd welcome123
钱包创建完成。
2.4创建服务器证书
在投入生产之前,您必须确保您的Oracle GoldenGate SA实施具有明确的安全证书指南。但是,出于测试目的,您可以生成服务器证书。
必须为安装了Oracle GoldenGate SA的每台服务器创建一个带有服务器证书的钱包。每个服务器证书都使用根证书进行签名。这提供了一个公共信任点,因为服务器会考虑由与服务器的证书身份验证相同的根证书签名的任何证书。
要创建证书,请使用OGG_HOME / bin目录中的orapki。有关orapki的更多信息,请参阅“Oracle数据库安全指南”中的关于orapki实用程序。
以下步骤是如何使用名为root_ca的根证书创建服务器证书的示例。此外,必须使用安装Oracle GoldenGate的服务器的实际名称替换servername:
- 创建一个目录来存储您的钱包和证书。例如,〜/ wallet_directory。
- 创建自动登录服务器钱包
orapki wallet create -wallet /wallet_directory/servername
出现提示时输入服务器的密码
- 将证书签名请求(CSR)添加到服务器的钱包中
orapki wallet add -wallet /wallet_directory/servername -dn "CN=servername" -keysize 2048
- 将CSR导出到.pem文件。
orapki wallet export -wallet /wallet_directory/servername -dn "CN=servername" -request /wallet_directory/servername_req.pem
- 使用CSR,创建已签名的服务器或客户端证书,并使用根证书对其进行签名。为每个证书分配唯一的序列号。
orapki cert create -wallet ~/wallet_directory/root_ca -request ~/wallet_directory/servername_req.pem -cert ~/wallet_directory/servername_Cert.pem -serial_num 20 -validity 375
- 将根证书作为可信证书添加到客户端或服务器的钱包中。
orapki wallet add -wallet ~/wallet_directory/servername -trusted_cert -cert ~/wallet_directory/rootCA_Cert.pem
- 将服务器或客户端证书作为用户证书添加到客户端或服务器的钱包中。
orapki wallet add -wallet ~/wallet_directory/servername -user_cert -cert ~/wallet_directory/servername_Cert.pem
钱包创建完成。
2.5创建分发服务器用户证书
要将数据复制到SSL / TLS安全目标Oracle GoldenGate MAdeployment,您必须为分发服务器创建带有客户端证书的钱包。此证书也由根证书签名。它提供了一个公共信任点,因为服务器会将与根证书签名的任何证书视为服务器的证书身份验证。
要创建证书,请使用OGG_HOME / bin目录中的orapki。有关orapki的更多信息,请参阅“Oracle数据库安全指南”中的关于orapki实用程序。
以下步骤是如何创建分发服务器用户证书的示例:
- 创建一个目录来存储您的钱包和证书。例如,〜/ wallet_directory。
- 创建自动登录客户端钱包。此示例使用dist_client作为钱包名称。
orapki wallet create -wallet ~/wallet_directory/dist_client -auto_login -pwd welcome123
- 将CSR添加到钱包。
orapki wallet add -wallet ~/wallet_directory/dist_client -dn "CN=dist_client" -keysize 2048 -pwd welcome123
- 将CSR导出到.pem文件。
orapki wallet export -wallet ~/wallet_directory/dist_client -dn "CN=dist_client" -request ~/wallet_directory/dist_client_req.pem -pwd welcome123
- 使用CSR,创建已签名的服务器或客户端证书,并使用根证书对其进行签名。为每个证书分配唯一的序列号。
orapki cert create -wallet ~/wallet_directory/root_ca -request ~/wallet_directory/dist_client_req.pem -cert ~/wallet_directory/dist_client_Cert.pem -serial_num 30 -validity 375 -pwd welcome123
- 将根证书作为可信证书添加到客户端或服务器的钱包中。
orapki wallet add -wallet ~/wallet_directory/dist_client -trusted_cert -cert ~/wallet_directory/rootCA_Cert.pem -pwd welcome123
- 将服务器或客户端证书作为用户证书添加到客户端或服务器的钱包中。
orapki wallet add -wallet ~/wallet_directory/dist_client -user_cert -cert ~/wallet_directory/dist_client_Cert.pem -pwd welcome123
钱包创建完成。
参考资料
https://docs.oracle.com/goldengate/c1230/gg-winux/GGSAU/setting-secure-and-non-secure-deployments.htm#GGSAU-GUID-89EE41E7-F382-4E43-B555-B183837569BA