Oracle Cloud Infrastructure-Dokumentation

Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) konfigurieren

Durch Angabe einer Access-Control-Liste wird der Zugriff auf die Datenbank von allen IP-Adressen, die nicht in der ACL-Liste enthalten sind, blockiert. Nachdem Sie eine Access-Control-Liste angegeben haben, akzeptiert die autonome AI-Datenbank nur Verbindungen von Adressen in der Access-Control-Liste, und die Datenbank lehnt alle anderen Clientverbindungen ab.

Übergeordnetes Thema: Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten einrichten

Access-Control-Listen beim Provisioning oder Klonen einer Instanz konfigurieren

Wenn Sie die autonome KI-Datenbank mit der Option Sicherer Zugriff nur von zulässigen IPs und VCNs bereitstellen oder klonen, können Sie den Netzwerkzugriff durch Definieren von Access Control-Listen (ACLs) einschränken.

Informationen zum Provisioning Ihrer autonomen KI-Datenbank finden Sie unter Autonome KI-Datenbankinstanz bereitstellen.

Konfigurieren Sie ACLs wie folgt:

  1. Wählen Sie im Bereich "Netzwerkzugriff auswählen" die Option Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    Wenn Sicherer Zugriff nur von zulässigen IPs und VCNs ausgewählt ist, zeigt die Konsole die Felder und Optionen zur Angabe von ACLs an:

    Beschreibung von adb_network_access_acl_provision.png folgt
    Beschreibung der Abbildung adb_network_access_acl_provision.png
  2. Im Bereich "Netzwerkzugriff auswählen" geben Sie Zugriffskontrollregeln an, indem Sie einen IP-Notationstyp auswählen und Werte für den ausgewählten Typ eingeben:
    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block

      Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

      • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Zugriffskontrollregel hinzufügen, um der Zugriffskontrollliste einen neuen Wert hinzuzufügen.
  4. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adresse oder CIDR-Blöcken löschen, um einen Eintrag zu entfernen.
  5. Gegenseitige TLS-Authentifizierung (mTLS) erforderlich.

    Nachdem Sie einen IP-Notationstyp und einen Wert angegeben haben, können Sie diese Option aktivieren. Folgende Optionen stehen zur Verfügung:

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich ausgewählt ist, sind nur mTLS-Verbindungen zulässig (TLS-Authentifizierung ist nicht zulässig).

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich deaktiviert ist, sind TLS- und mTLS-Verbindungen zulässig. Dies ist die Standardkonfiguration.

    Weitere Informationen finden Sie unter Netzwerkoptionen so aktualisieren, daß TLS- oder nur gegenseitige TLS-(mTLS-)Authentifizierung in autonomer KI-Datenbank zulässig ist.

  6. Führen Sie die verbleibenden Provisioning- oder Klonschritte aus, wie unter Autonome KI-Datenbankinstanz bereitstellen, Autonome KI-Datenbankinstanz klonen oder Autonome KI-Datenbank aus einem Backup klonen angegeben.

Nachdem das Provisioning abgeschlossen ist, können Sie öffentliche Endpunkt-ACLs aktualisieren oder die Konfiguration der autonomen KI-Datenbank ändern, um einen privaten Endpunkt zu verwenden.

Informationen zur Aktualisierung von ACLs finden Sie unter Access-Control-Listen für eine vorhandene autonome KI-Datenbankinstanz konfigurieren.

Informationen zum Wechsel zu einem privaten Endpunkt finden Sie unter Mit autonomer KI-Datenbank von öffentlichen zu privaten Endpunkten wechseln.

Access-Control-Listen für eine vorhandene autonome AI-Datenbankinstanz konfigurieren

Sie können den Zugriff auf Ihre autonome KI-Datenbank kontrollieren und einschränken, indem Sie Access-Control-Listen (ACLs) für Netzwerkzugriff angeben. Auf einer vorhandenen autonomen AI-Datenbankinstanz mit einem öffentlichen Endpunkt können Sie ACLs hinzufügen, ändern oder entfernen.

Konfigurieren Sie ACLs, oder fügen Sie vorhandene ACLs für eine autonome AI-Datenbankinstanz hinzu, entfernen oder aktualisieren Sie wie folgt:

  1. Klicken Sie auf der Seite Details im Bereich "Netzwerk" neben dem Feld "Access-Control-Liste" auf Bearbeiten.

    Hier wird der Bereich "Netzwerkzugriff aktualisieren" angezeigt.

    Beschreibung von adb_network_access_update.png folgt
    Beschreibung der Abbildung adb_network_access_update.png

    Alternativ können Sie auf Weitere Aktionen klicken und Netzwerkzugriff aktualisieren auswählen. Wählen Sie im Fensterbereich unter Zugriffstyp die Option Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

  2. Geben Sie die Zugriffskontrollregeln an, indem Sie einen IP-Notationstyp und Werte auswählen:

    Wählen Sie eine der folgenden Optionen:

    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block:

      Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

      • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Zugriffskontrolle hinzufügen, um der Zugriffskontrollliste einen neuen Wert hinzuzufügen.
  4. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adresse oder CIDR-Blöcken löschen, um einen Eintrag zu entfernen.
  5. Klicken Sie auf Aktualisieren.

Wenn der Lebenszyklusstatus Verfügbar ist, wenn Sie auf Aktualisieren klicken, ändert sich der Lebenszyklusstatus in Wird aktualisiert, bis die ACL festgelegt ist. Die Datenbank bleibt hochgefahren und zugänglich. Es kommt zu keinen Ausfallzeiten. Nach Abschluss der Aktualisierung wird der Lebenszyklusstatus wieder auf Verfügbar zurückgesetzt, und die Netzwerk-ACLs aus der Access-Control-Liste sind wirksam.

Mit autonomer KI-Datenbank von privaten zu öffentlichen Endpunkten wechseln

Wenn Ihre autonome AI-Datenbankinstanz für die Verwendung eines privaten Endpunkts konfiguriert ist, können Sie die Konfiguration so ändern, dass sie einen öffentlichen Endpunkt verwendet.

Es gibt mehrere Voraussetzungen zum Ändern einer Instanz von einem privaten in einen öffentlichen Endpunkt, und zwar:

So geben Sie einen öffentlichen Endpunkt für die autonome KI-Datenbank an:

  1. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Netzwerkzugriff aktualisieren aus.
  2. Wählen Sie im Dialogfeld Netzwerkzugriff aktualisieren eine der Optionen Sicherer Zugriff von überall oder Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    Beispiel: Wenn Sie Sicherer Zugriff nur von zulässigen IPs und VCNs auswählen, werden im Dialogfeld Felder zum Konfigurieren von Zugriffskontrollregeln angezeigt:

    Beschreibung von adb_network_access_update.png folgt
    Beschreibung der Abbildung adb_network_access_update.png
  3. Geben Sie im Dialogfeld unter "Zugriffskontrollregeln konfigurieren" Regeln an, indem Sie einen IP-Notationstyp und Werte auswählen:
    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block

      Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  4. Klicken Sie auf Zugriffskontrollregel hinzufügen, um der Zugriffskontrollliste einen neuen Wert hinzuzufügen.
  5. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adresse oder CIDR-Blöcken löschen, um einen Eintrag zu entfernen.
  6. Klicken Sie auf Aktualisieren.
  7. Geben Sie im Dialogfeld Bestätigen den Namen der autonomen KI-Datenbank ein, um die Änderung zu bestätigen.
  8. Klicken Sie im Dialogfeld Bestätigen auf Aktualisieren.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert, bis der Vorgang abgeschlossen ist.

Hinweise zum Wechsel von privaten zu öffentlichen Endpunkten für den Netzwerkzugriff:

  • Nach der Aktualisierung des Netzwerkzugriffstyps müssen alle Datenbankbenutzer ein neues Wallet abrufen und mit dem neuen Wallet auf die Datenbank zugreifen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Wenn die Aktualisierung abgeschlossen ist, können Sie neue Zugriffskontrollregeln (ACLs) für den öffentlichen Endpunkt ändern oder definieren. Weitere Informationen finden Sie unter Access-Control-Listen für eine vorhandene autonome KI-Datenbankinstanz konfigurieren.

  • Die URL für Datenbankaktionen und Datenbanktools unterscheidet sich, wenn eine Datenbank einen privaten Endpunkt verwendet, im Vergleich zu einem öffentlichen Endpunkt. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf Database Actions, um die aktualisierte Database Actions-URL zu finden, und klicken Sie in Database Actions auf die entsprechenden Karten, um die aktualisierten Database Tools-URLs zu finden, nachdem Sie von einem privaten Endpunkt zu einem öffentlichen Endpunkt gewechselt haben.

Einschränkungen und Hinweise zu Access-Control-Listen

Beschreibt Einschränkungen und Hinweise für Zugriffskontrollregeln in einer autonomen KI-Datenbank.

  • Informationen zu den öffentlichen IP-Adressbereichen in Oracle Cloud Infrastructure finden Sie unter IP-Adressbereiche. Sie müssen Traffic zu diesen CIDR-Blöcken zulassen, um den Zugriff auf eine autonome KI-Datenbankinstanz auf einem öffentlichen Endpunkt sicherzustellen.

  • Wenn Sie nur Verbindungen über ein Servicegateway zulassen möchten, müssen Sie die IP-Adresse des Servicegateways in Ihrer ACL-Definition verwenden. Dazu müssen Sie eine ACL-Definition mit dem CIDR-Quelltyp mit dem Wert 240.0.0.0/4 hinzufügen. Beachten Sie, dass dies nicht empfohlen wird. Stattdessen können Sie einzelne VCNs in der ACL-Definition für die VCNs angeben, über die Sie den Zugriff gewähren möchten.

    Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

  • Wenn Sie eine Datenbank wiederherstellen, werden die vorhandenen ACLs dabei nicht überschrieben.

  • Die Netzwerk-ACLs gelten für Datenbankverbindungen und Oracle Machine Learning-Notizbücher. Wenn Sie eine ACL definiert haben und versuchen, sich von einem Client, dessen IP-Adresse nicht in der ACL angegeben ist, bei Oracle Machine Learning-Notizbüchern anzumelden, wird folgender Fehler angezeigt: "Anmeldung basierend auf der vom Administrator festgelegten Access-Control-Liste abgelehnt".

  • Die folgenden Tools für autonome KI-Datenbanken unterliegen ACLs. Sie können den Zugriff auf diese Tools mit ACLs für virtuelle Cloud-Netzwerke, OCIDs virtueller Cloud-Netzwerke, IP-Adressen oder CIDR-Blöcke kontrollieren:

    • Datenbankaktionen
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning-Notizbücher
    • Oracle REST Data Services

  • Wenn in Ihrem VCN ein privates Subnetz für den Zugriff auf das öffentliche Internet über ein NAT-Gateway konfiguriert ist, müssen Sie die öffentliche IP-Adresse des NAT-Gateways in die ACL-Definition eingeben. Clients im privaten Subnetz haben keine öffentlichen IP-Adressen. Weitere Informationen finden Sie unter NAT-Gateway.

  • Wenn Sie ACLs verwenden und TLS-Verbindungen zulässig sind, müssen Sie die Netzwerkkonfiguration so ändern, dass TLS-Verbindungen nicht zulässig sind, bevor Sie alle ACLs entfernen. Weitere Informationen finden Sie unter Autonome AI-Datenbankinstanz so aktualisieren, dass mTLS erforderlich und TLS-Authentifizierung nicht zulässig sind.

  • Informationen zum Anzeigen der Netzwerkinformationen für Ihre Instanz finden Sie unter Netzwerkinformationen in der OCI-Konsole anzeigen.