Oracle Cloud Infrastructure-Dokumentation

Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) konfigurieren

Durch Angabe einer Access-Control-Liste wird der Zugriff auf die Datenbank von allen IP-Adressen, die nicht in der ACL-Liste enthalten sind, blockiert. Nachdem Sie eine Access-Control-Liste angegeben haben, akzeptiert Autonomous Database nur Verbindungen von Adressen in der Access-Control-Liste, und die Datenbank lehnt alle anderen Clientverbindungen ab.

Übergeordnetes Thema: Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten konfigurieren

Access-Control-Listen beim Provisioning oder Klonen einer Instanz konfigurieren

Wenn Sie Autonomous Database mit der Option Sicherer Zugriff nur von zulässigen IPs und VCNs bereitstellen oder kopieren, können Sie den Netzwerkzugriff durch Definieren von Access-Control-Listen (ACLs) einschränken.

Informationen zum Provisioning von Autonomous Database finden Sie unter Autonomous Database-Instanz bereitstellen.

Konfigurieren Sie ACLs wie folgt:

  1. Wählen Sie im Bereich "Netzwerkzugriff auswählen" die Option Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    Wenn Sicherer Zugriff nur von zulässigen IPs und VCNs ausgewählt ist, zeigt die Konsole die Felder und Optionen zur Angabe von ACLs an:

  2. Geben Sie im Bereich "Netzwerkzugriff auswählen" Zugriffssteuerungsregeln an, indem Sie einen IP-Notationstyp auswählen und Werte für den ausgewählten Typ eingeben:
    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein. Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist das die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für diese VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block:

      Geben Sie im Feld Werte Werte für den CIDR-Block ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      Mit dieser Option können Sie das VCN angeben, das mit einem Oracle Cloud Infrastructure Service Gateway verwendet werden soll:

      • Wählen Sie im Feld Virtuelles Cloud-Netzwerk das VCN aus, über das Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netzwerk (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Access-Control-Regel hinzufügen, um der Access-Control-Liste einen neuen Wert hinzuzufügen.
  4. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adressen oder CIDR-Blöcke löschen, um einen Eintrag zu entfernen.
  5. Gegenseitige TLS-Authentifizierung (mTLS) erforderlich.

    Nachdem Sie einen IP-Notationstyp und einen Wert eingegeben haben, können Sie diese Option aktivieren. Verfügbare Optionen:

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich ausgewählt ist, sind nur mTLS-Verbindungen zulässig (TLS-Authentifizierung ist nicht zulässig).

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich deaktiviert ist, sind TLS- und mTLS-Verbindungen zulässig. Dies ist die Standardkonfiguration.

    Weitere Informationen finden Sie unter Netzwerkoptionen so aktualisieren, dass TLS- oder nur gegenseitige TLS-(mTLS-)Authentifizierung in Autonomous Database zulässig ist.

  6. Führen Sie die restlichen Provisioning- oder Klonschritte aus, wie unter Autonomous Database-Instanz bereitstellen, Autonomous Database-Instanz klonen oder Autonomous Database aus einem Backup klonen angegeben.

Nachdem das Provisioning abgeschlossen ist, können Sie öffentliche Endpunkt-ACLs aktualisieren oder die Konfiguration der autonomen Datenbank so ändern, dass ein privater Endpunkt verwendet wird.

Informationen zum Aktualisieren von ACLs finden Sie unter Access-Control-Listen für eine vorhandene Autonomous Database-Instanz konfigurieren.

Informationen zum Wechseln zu einem privaten Endpunkt finden Sie unter Mit Autonomous Database von öffentlichen zu privaten Endpunkten wechseln.

Access-Control-Listen für eine vorhandene Autonomous Database-Instanz konfigurieren

Sie können den Zugriff auf Autonomous Database kontrollieren und einschränken, indem Sie Access-Control-Listen (ACLs) für Netzwerke angeben. Auf einer vorhandenen Autonomous Database-Instanz mit einem öffentlichen Endpunkt können Sie ACLs hinzufügen, ändern oder entfernen.

So können Sie vorhandene ACLs für eine Autonomous Database-Instanz konfigurieren, hinzufügen, entfernen oder aktualisieren:

  1. Klicken Sie auf der Seite Details im Bereich "Netzwerk" neben dem Feld der Access-Control-Liste auf Bearbeiten.

    Zeigt den Netzwerkzugriffsbereich "Aktualisieren" an.

    Alternativ können Sie auf Weitere Aktionen klicken und Netzwerkzugriff aktualisieren auswählen. Wählen Sie im Bereich unter Zugriffstyp die Option Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

  2. Geben Sie die Zugriffskontrollregeln an, indem Sie einen IP-Notationstyp und Werte auswählen:

    Wählen Sie einen der folgenden Typen:

    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein. Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist das die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für diese VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block:

      Geben Sie im Feld Werte Werte für den CIDR-Block ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      Mit dieser Option können Sie das VCN angeben, das mit einem Oracle Cloud Infrastructure Service Gateway verwendet werden soll:

      • Wählen Sie im Feld Virtuelles Cloud-Netzwerk das VCN aus, über das Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netzwerk (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Zugriffskontrolle hinzufügen, um der Access-Control-Liste einen neuen Wert hinzuzufügen.
  4. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adressen oder CIDR-Blöcke löschen, um einen Eintrag zu entfernen.
  5. Klicken Sie auf Aktualisieren.

Wenn der Lebenszyklusstatus Verfügbar ist, ändert sich der Lebenszyklusstatus auf Aktualisieren in Wird aktualisiert, bis die ACL festgelegt ist. Die Datenbank bleibt hochgefahren und zugänglich. Es kommt zu keinen Ausfallzeiten. Wenn die Aktualisierung abgeschlossen ist, wird der Lebenszyklusstatus auf Verfügbar zurückgesetzt, und die Netzwerk-ACLs aus der Access-Control-Liste sind wirksam.

Mit Autonomous Database von privaten zu öffentlichen Endpunkten wechseln

Wenn Ihre Autonomous Database-Instanz zur Verwendung eines privaten Endpunkts konfiguriert ist, können Sie die Konfiguration so ändern, dass ein öffentlicher Endpunkt verwendet wird.

Es gibt mehrere Voraussetzungen zum Ändern einer Instanz von einem privaten in einen öffentlichen Endpunkt, und zwar:

So geben Sie einen öffentlichen Endpunkt für Autonomous Database an:

  1. Klicken Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen auf Netzwerkzugriff aktualisieren.
  2. Wählen Sie im Dialogfeld Netzwerkzugriff aktualisieren entweder Sicherer Zugriff von überall oder Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    Beispiel: Wenn Sie Sicherer Zugriff nur von zulässigen IPs und VCNs auswählen, werden im Dialogfeld Felder zum Konfigurieren von Zugriffskontrollregeln angezeigt:

  3. Geben Sie im Dialogfeld unter "Zugriffskontrollregeln konfigurieren" Regeln an, indem Sie einen IP-Notationstyp und Werte auswählen:
    • IP-Adresse:

      Geben Sie im Feld Werte Werte für die IP-Adresse ein. Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist das die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für diese VM angezeigt wird.

      Hinweis

      Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.
    • CIDR-Block:

      Geben Sie im Feld Werte Werte für den CIDR-Block ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

    • Virtuelles Cloud-Netzwerk:

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Wählen Sie im Feld Virtuelles Cloud-Netzwerk das VCN aus, über das Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netzwerk (OCID), um die OCID des VCN anzugeben.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.
    • Virtuelles Cloud-Netzwerk (OCID):

      Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

      • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
      • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.

    Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  4. Klicken Sie auf Access-Control-Regel hinzufügen, um der Access-Control-Liste einen neuen Wert hinzuzufügen.
  5. Klicken Sie aufx, um einen Eintrag zu entfernen.
    Sie können auch den Wert im Feld IP-Adressen oder CIDR-Blöcke löschen, um einen Eintrag zu entfernen.
  6. Klicken Sie auf Aktualisieren.
  7. Geben Sie im Dialogfeld Bestätigen den Autonomous Database-Namen ein, um die Änderung zu bestätigen.
  8. Klicken Sie im Dialogfeld Bestätigen auf Aktualisieren.

Der Lebenszyklusstatus ändert sich in Aktualisieren, bis der Vorgang abgeschlossen ist.

Hinweise zum Wechsel von privaten zu öffentlichen Endpunkten für den Netzwerkzugriff:

  • Nach der Aktualisierung des Netzwerkzugriffstyps müssen alle Datenbankbenutzer ein neues Wallet abrufen und mit dem neuen Wallet auf die Datenbank zugreifen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Wenn die Aktualisierung abgeschlossen ist, können Sie neue Zugriffskontrollregeln (ACLs) für den öffentlichen Endpunkt ändern oder definieren. Weitere Informationen finden Sie unter Access-Control-Listen für eine vorhandene Autonomous Database-Instanz konfigurieren.

  • Die URL für Database Actions und die Database Tools unterscheidet sich je nachdem, ob eine Datenbank einen privaten oder öffentlichen Endpunkt verwendet. Klicken Sie in der Oracle Cloud Infrastructure-Konsole auf "Datenbankaktionen", um die aktualisierte Database Actions-URL zu finden. Klicken Sie in "Database Actions" auf die entsprechenden Karten, um die aktualisierten URLs für die Datenbanktools zu finden, nachdem Sie von einem privaten Endpunkt zu einem öffentlichen Endpunkt gewechselt haben.

Einschränkungen und Hinweise zu Access-Control-Listen

Beschreibt Einschränkungen und Hinweise für Zugriffskontrollregeln in Autonomous Database.

  • Informationen zu den öffentlichen IP-Adressbereichen in Oracle Cloud Infrastructure finden Sie unter IP-Adressbereiche. Sie müssen Traffic zu diesen CIDR-Blöcken zulassen, um den Zugriff auf eine Autonomous Database-Instanz auf einem öffentlichen Endpunkt sicherzustellen.

  • Wenn Sie nur Verbindungen über ein Servicegateway zulassen möchten, müssen Sie die IP-Adresse des Servicegateways in Ihrer ACL-Definition verwenden. Dazu müssen Sie eine ACL-Definition mit dem CIDR-Quelltyp mit dem Wert 240.0.0.0/4 hinzufügen. Beachten Sie, dass dies nicht empfohlen wird. Stattdessen können Sie einzelne VCNs in der ACL-Definition für die VCNs angeben, über die Sie den Zugriff gewähren möchten.

    Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

  • Wenn Sie eine Datenbank wiederherstellen, werden die vorhandenen ACLs dabei nicht überschrieben.

  • Die Netzwerk-ACLs gelten für Datenbankverbindungen und Oracle Machine Learning-Notizbücher. Wenn Sie eine ACL definiert haben und versuchen, sich von einem Client, dessen IP-Adresse nicht in der ACL angegeben ist, bei Oracle Machine Learning-Notizbüchern anzumelden, wird folgender Fehler angezeigt: "Anmeldung basierend auf der vom Administrator festgelegten Access-Control-Liste abgelehnt".

  • Die folgenden Autonomous Database-Tools unterliegen ACLs. Sie können den Zugriff auf diese Tools mit ACLs für virtuelle Cloud-Netzwerke, OCIDs virtueller Cloud-Netzwerke, IP-Adressen oder CIDR-Blöcke kontrollieren:

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning-Notizbücher
    • Oracle REST Data Services

  • Wenn in Ihrem VCN ein privates Subnetz für den Zugriff auf das öffentliche Internet über ein NAT-Gateway konfiguriert ist, müssen Sie die öffentliche IP-Adresse des NAT-Gateways in die ACL-Definition eingeben. Clients im privaten Subnetz haben keine öffentlichen IP-Adressen. Weitere Informationen finden Sie unter NAT-Gateway.

  • Wenn Sie ACLs verwenden und TLS-Verbindungen zulässig sind, müssen Sie die Netzwerkkonfiguration so ändern, dass TLS-Verbindungen nicht zulässig sind, bevor Sie alle ACLs entfernen. Weitere Informationen finden Sie unter Autonomous Database-Instanz so aktualisieren, dass mTLS erforderlich und TLS-Authentifizierung nicht zulässig ist.

  • Informationen zum Anzeigen der Netzwerkinformationen für Ihre Instanz finden Sie unter Netzwerkinformationen in der OCI-Konsole anzeigen.