阅读导航

　　从上周开始，我花了大量的业余时间阅读GoldenGate官方文档，并根据文档实践和进一步学习了解GoldenGate，以下便是根据官方文档理解总结的GoldenGate学习内容:

在[美] 莫提默·J.艾德勒，[美] 查尔斯·范多伦著的【How to Read a Book】一书中，作者强调如果你每天所学的知识你不能用你自己的语言去描述或记忆它，那说明你未真正学习和了解所学的知识，So 那以后我改变了我的学习方式，把生搬硬套的学习方式改变为用自己的语言用、自己的了解去描述和记忆知识，描述难免有错，请谅解，也请指导，谢谢！

必须先产生密钥并且保存在ENCKEYS LookUp文件中然后才能使用以下功能

产生密钥
切换到GoldenGate home 目录，使用KEYGEN工具产生密钥；语法:

key length 表示加密密钥的长度；
n 表示产生多少个key；

每一次产生的key都是不一样的，产生key后为每一个key定义一个名称(keyName)复制保存到GoldenGate home根目录的ENCKEYS文件内。ENCKEYS文件是一个lookup file。
保存key到ENCKEYS文件

在GGSCI命令行通过key对密码加密

密码加密后可以尝试使用dblogin登录数据库，验证密码

注意:因为在创建key时指定了key的长度，所以使用时指定的加密类型密钥长度也必须一致。

源端配置主抽取进程加密和Data Pump进程加密。

userid 中将password由原来的明码用加密后的密码代替，后面指定加密类型和密钥名称(ENCRYPTKEY);
ENCRYPTTRAIL 指定trail文件的加密类型和密钥名称(KEYNAME)；

因为Data Pump要读取主抽取进程保存的trail文件数据并且提供了对数据的操作功能如实现过滤、运算等复杂的工作，所以在读取后必须先对原数据进行解密再处理，最后再次加密发送到目标端；
DECRYPTTRAIL 定义将要解密的文件的加密类型和加密key(KEYNAME)；
ENCRYPTTRAIL 定义最终处理后的数据加密类型和加密key(KEYNAME)；
注意:解密类型和keyname必须和主进程配置的相同。
启动进程

目标端后台Collector进程在接受到源端的发送请求后将数据写入到目标端trail文件中，再由replicat进程读取、解密、重构dml或ddl语句应用到数据库，so 如果源端配置了加密则目标端必须进行解密配置，并且解密的类型和key必须和源端相同，操作步骤:

发送源端ENCKEYS文件到目标端可以scp或复制粘贴到目标端，此处省略其操作。

DECRYPTTRAIL 定义将要解密的文件的加密类型和加密密钥(KEYNAME)，这里和源端必须相同；
这些都配置好了，重启replicat 进程。

以上的trail文件来自上次未加密的测试环境中，具体的dml

So 在未加密情况下可以清楚的看到新增的id(1003,1004)和rowid(AAADX2AAGAAAAA2AAA，AAADX2AAGAAAAA2AAB)；

在源端插入如下数据:

分析GoldenGate Data Pump进程

源端Data Pump进程从主抽取进程保存的trail文件中读取到两条插入信息，它读取的trail文件是:/u01/app/product/ogg_src/dirdat/es000007；注意它们的工作原理，主抽取进程抽取数据加密并保存到trail文件，Data Pump进程读取trail文件解密再进行数据操作，最后发送；

数据加密了，看不到了。
源端replicat进程信息

目标端同样插入两条数据，replicate进程从/u01/app/product/ogg_trg/dirdat/ps000010文件中读取了后台collector进程接受到的trail数据。

文件的信息同样是加密的，replicate读取后进行解密、重构、应用到目标库。

　　GodlenGate的每个Extract、Replicat进程都需要配置数据库连接，随着进程的增加和各自分工不同或数据交换的目标地不同，如果每个都这样配置，那当数据库用户密码改变了，那岂不是要大动干戈的修改，有没有什么方式可以像面向对象设计一样把公共的部分提取出来呢？肯定有了，GoldenGate提供了一个叫OBEY的参数，允许将公共常用的部分提取保存到独立的文件中实现共享和重用，例如下面的进程配置:

数据库连接、DECRYPTTRAIL、RMTHOST这些参数基本都是共用和不常变的，so 可以将其保存到独立的文件中；

然后在进程参数配置文件中通过OBEY引用该文件；

这样以后涉及数据库连接的信息就只用更改该文件了，GoldenGate支持16级子文件递归调用，这也就意外着可以将更多的配置细化管理。

　　GoldenGate提供了AES128、AES192、AES256和BLOWFISH类型加密，BLOWFISH在keyname为default时可用，一般用于较早版本中，AES类型的加密更为安全。主抽取进程的加密是可选的，可以只在Data Pump进程中进行数据加密。进程的加密要考虑到加密的长度和密钥名称，必须先用GoldenGate提供的工具keygen或其它的工具生成密钥保存在ENCKEYS lookUp文件中，然后在GGSCI命令行中根据密码类型和ENCKEYS中的密钥名称生成加密密码，最后在配置文件或GGSCI命令中使用加密密码。目标端必须具有和源端相同的ENCKEYS lookUp文件并且在配置解密时，加密解密的类型和密钥名称要一致。

--The end(2015-08-31)