■ 陜西 王金國(guó) 孫健

在日常生產(chǎn)以及網(wǎng)絡(luò)安全管理過(guò)程中，我們有時(shí)會(huì)遇到數(shù)據(jù)庫(kù)集群系統(tǒng)搬遷、主備切換等情況以及修改數(shù)據(jù)庫(kù)服務(wù)端口的情況，要求修改集群IP地址以及數(shù)據(jù)庫(kù)服務(wù)端口號(hào)，當(dāng)Oracle數(shù)據(jù)庫(kù)運(yùn)行在單機(jī)模式下時(shí)，這些操作并不需要特別的技術(shù)準(zhǔn)備即可完成。但當(dāng)數(shù)據(jù)庫(kù)運(yùn)行在多機(jī)并行集群（RAC）模式下時(shí)，修改數(shù)據(jù)庫(kù)的基礎(chǔ)配置過(guò)程就具有很強(qiáng)的技術(shù)性。

Oracle12c集群IP地址的修改

1.更改公共地址（public IP）為當(dāng)前同網(wǎng)段其它IP方法

如果在Oracle 12c集群環(huán)境中，網(wǎng)絡(luò)端口號(hào)、子網(wǎng)和掩碼不變，只更改公共地址（Public IP），那就很容易了，Oracle集群不需要做任何修改，只需要在操作系統(tǒng)級(jí)別上做修改即可。用戶可以直接使用grid用戶執(zhí)行命令“crsctl stop cluster –all”關(guān)閉Oracle集群。使用操作系統(tǒng)命令修改所有主機(jī)節(jié)點(diǎn)上的重新定義的公共主機(jī)IP地址并修改/etc/hosts文件中主機(jī)名對(duì)應(yīng)的IP行，直到該集群的所有公共主機(jī)IP地址修改完為止。之后使用grid用戶執(zhí)行命令“crsctl start cluster –all”重啟Oracle集群。

2.更改公共地址（Public IP）為其它網(wǎng)段IP方法

當(dāng)Oracle 12c集群環(huán)境更改子網(wǎng)、掩碼、操作系統(tǒng)網(wǎng)絡(luò)接口時(shí)，需要從集群配置信息（OCR）中刪除原端口等網(wǎng)絡(luò)定義信息，并將新的配置寫入。為了更好的說(shuō)明這一過(guò)程，筆者以實(shí)際實(shí)例將子網(wǎng)從10.2.156.0更改為10.2.166.0，用戶需要首先按照規(guī)劃的相應(yīng)地址以及網(wǎng)段在操作系統(tǒng)層進(jìn)行地址修改，之后以grid用戶執(zhí)行命令“$CRS_HOME/bin/oifcfg delif-global en4/10.2.156.0”“$CRS_HOME/bin/oifcfg setif -global en4/10.2.166.0:public”,確認(rèn)更改已生效后，重啟ORACLE集群即可。

3.VIP地址以及SCAN地址修改方法

Oracle并行集群環(huán)境中，當(dāng)集群服務(wù)激活后，VIP地址以及SCAN地址才會(huì)激活并提供給外部用戶訪問(wèn)。對(duì)這些內(nèi)容的修改，屬于集群系統(tǒng)管理的高級(jí)內(nèi)容之一。

（1）更改集群節(jié)點(diǎn)VIP地址方法：

當(dāng)對(duì)集群VIP地址進(jìn)行修改時(shí)，需要用grid用戶身份執(zhí)行命令“srvctl config nodeapps–a”查看VIP地址信息，執(zhí)行命令“crsctl status res–t”校驗(yàn)VIP狀態(tài)，之后使用命令停止資源，例如：用戶使用命令“srvctl stop instance -d RACDB -n racnode1”停止racnode1節(jié)點(diǎn)上的RACDB數(shù)據(jù)庫(kù)實(shí)例,使用命令“srvctl stop vip -n racnode1–f”停止racnode1節(jié)點(diǎn)上的vip服務(wù)，注意：要加上-f參數(shù)，否則將出現(xiàn)如下錯(cuò)誤：

PRCR-1014 :Failed to stop resource ora.racnode1.vip

PRCR-1065 :Failed to stop resource ora.racnode1.vip

CRS-2529:Unable to act on 'ora.racnode1.vip' because that would require stopping or relocating 'ora.LISTENER.lsnr',but the force option was not specified

之后用戶更改定義的新的VIP地址、子網(wǎng)、掩碼和VIP主機(jī)名，確認(rèn)/etc/hosts文件已經(jīng)修改為新的地址，以root用戶執(zhí)行“srvctl modify nodeapps-n racnode1 -A racnode1-nvip/255.255.255.0/en4”“crsctl stat res ora.racnode1.vip -p”修改VIP地址，使用命令“srvctl config nodeapps–a”校驗(yàn)改變，以grid用戶身份執(zhí)行$“srvctl start vip -n racnode1 ”“srvctl start instance -d RACDB -n racnode1”啟動(dòng)資源，使用命令“crsctl stat res -t”校驗(yàn)新的VIP地址已啟用（online）；在集群的其它節(jié)點(diǎn)上執(zhí)行以上修改過(guò)程。如果需要的話，修改listener.ora,tnsnames.ora和LOCAL_LISTENER/REMOTE_LISTENER參數(shù)。

（2）更改集群SCAN 地址

當(dāng)用戶由于業(yè)務(wù)需要進(jìn)行集群SCAN地址的修改或者添加時(shí)，需要滿足如下要求：

①當(dāng)使用GNS時(shí)，本方法不適用。

②scan地址要求和公網(wǎng)、VIP處在同一子網(wǎng)內(nèi)。

③本方法是基于使用/etc/hosts解析scan。

以下具體實(shí)例是將原scan地址192.168.2.50改為192.168.2.44的具體操作過(guò)程：

①修改集群系統(tǒng)各主機(jī)節(jié)點(diǎn)/etc/hosts文件，將原scan地址10.106.2.50改為10.106.2.44。

②執(zhí)行命令“srvctl config scan”查看當(dāng)前vip設(shè)置，系統(tǒng)回顯如下：

SCAN name:p570ddbfscan,Network:1/192.168.2.0/255.255.255.0/en5

SCAN VIP name:scan1,IP:/p570-scan/192.168.2.50

③用root用戶停止scan_listener和sacn vip，依次執(zhí)行如下命令：

$GRID_HOME/bin/srvctl stop scan_listener

$GRID_HOME/bin/srvctl stop scan

$GRID_HOME/bin/srvctl status scan

$GRID_HOME/bin/srvctl status scan_listener

④用root用戶修改scan vip，執(zhí)行命令如下：

$GRID_HOME/bin/srvctl modify scan -n p750-scan

⑤執(zhí)行命令“srvctl config scan”檢查是否修改成功，系統(tǒng)回顯如下：

SCAN name:p570-scan,Network:1/192.168.2.0/2 55.255.255.0/en5

SCAN VIP name:scan1,IP:/p570-scan/192.168.2.44

⑥啟動(dòng)scan和scan_listener：

$GRID_HOME/bin/srvctl start scan

$GRID_HOME/bin/srvctl start scan_listener

至此集群系統(tǒng)的相關(guān)IP地址修改完成。

Oracle 12c集群本地監(jiān)聽(tīng)（listener）端口修改

隨著近年來(lái)網(wǎng)絡(luò)犯罪形式的不斷升級(jí)，Oracle數(shù)據(jù)庫(kù)定義的默認(rèn)服務(wù)端口“1521”已經(jīng)成為了網(wǎng)絡(luò)犯罪者日常進(jìn)行試探和攻擊的端口之一，這給網(wǎng)絡(luò)安全帶來(lái)不少壓力。用戶修改Oracle數(shù)據(jù)庫(kù)服務(wù)端口是網(wǎng)絡(luò)安全防范的基本技術(shù)措施之一。集群環(huán)境下修改服務(wù)端口同樣要比單機(jī)環(huán)境技術(shù)能力要求稍高一些，筆者同樣以將RAC 默認(rèn)本地監(jiān)聽(tīng)端口號(hào)“1521”修改為“9999”為例，詳細(xì)進(jìn)行講解。

當(dāng)進(jìn)行端口修改時(shí)，用戶需要使用“grid”用戶執(zhí)行“crsctl status res-t”“l(fā)snrctl status”檢查集群服務(wù)以及監(jiān)聽(tīng)服務(wù)狀態(tài)，使用命令“srvctl stop listener”停止本地監(jiān)聽(tīng)，通過(guò)執(zhí)行命令“srvctl config listener”確認(rèn)當(dāng)前監(jiān)聽(tīng)配置，使用命令“srvctl modify listener -p 9999”將缺省1521端口修改為9999端口，完成后重起監(jiān)聽(tīng)服務(wù)。

此時(shí)監(jiān)聽(tīng)雖然已經(jīng)進(jìn)行了修改，如果在單實(shí)例數(shù)據(jù)庫(kù)系統(tǒng)中，到此應(yīng)該就已經(jīng)完成了更改。但對(duì)于集群系統(tǒng)這只是完成了端口修改的前半部分，外部用戶此時(shí)依然無(wú)法對(duì)集群數(shù)據(jù)庫(kù)進(jìn)行連接和訪問(wèn)。還需要對(duì)數(shù)據(jù)庫(kù)初始化參數(shù)文件（Spfile）的本地監(jiān)聽(tīng)端口號(hào)進(jìn)行修改，用戶需要使用“oracle”用戶使用“sqlplus/as sysdba”登錄數(shù)據(jù)庫(kù)的相應(yīng)節(jié)點(diǎn)并使用“alter system set local_lis tener='(ADDRESS=(PR OTOCOL=TCP)(HOST=IPVIP1)(PORT=9999))'sid=；”進(jìn)行修改，其中“sid”選項(xiàng)為實(shí)例名，“host”選項(xiàng)為集群環(huán)境定義的相應(yīng)VIP地址，用戶可根據(jù)實(shí)際進(jìn)行修改。

使用命令“srvctl stop scan_listener”“srvctl config scan_listener”“srvctl modify scan_listener -p 9999”“srvctl start scan_listener”完成對(duì)集群數(shù)據(jù)庫(kù)scan監(jiān)聽(tīng)（listener）端口的修改，以“oracle”用戶登錄通過(guò)“sqlplus/ as sysdba”執(zhí)行命令“alter system set remote_listener='SCAN_NAME:9999' ；”完成Oracle集群數(shù)據(jù)庫(kù)初始化參數(shù)文件（SPFILE）的scan端口修改。

后記

很多年前當(dāng)我們使用單機(jī)愉快玩耍的時(shí)候，很難理解為什么那么工程師維護(hù)著網(wǎng)絡(luò)、小型機(jī)、數(shù)據(jù)庫(kù)會(huì)變成一種職業(yè)。

隨著我們有幸進(jìn)入這個(gè)領(lǐng)域，原來(lái)小時(shí)候我們的想法是那么天真，系統(tǒng)的復(fù)雜度是隨著規(guī)模不斷擴(kuò)大的，企業(yè)線上業(yè)務(wù)，在應(yīng)用不能終止訪問(wèn)的要求下，保證數(shù)據(jù)流的持續(xù)越來(lái)越成為一個(gè)重要課題，然而為此提出的技術(shù)解決方案本身又增加了更高的復(fù)雜度，了解和掌握這些復(fù)雜度，并將這些復(fù)雜度通過(guò)技術(shù)能力變成一項(xiàng)簡(jiǎn)單的操作流程，這是工程師團(tuán)隊(duì)存在的意義。