Oracle Cloud Infrastructure-Dokumentation

Mit einer Vanity-URL auf Oracle APEX, Oracle REST Data Services und integrierte Datenbanktools zugreifen

Standardmäßig erfolgt der Zugriff auf Oracle APEX-Anwendungen, REST-Endpunkte und integrierte Datenbanktools in der autonomen KI-Datenbank über den Domainnamen oraclecloudapps.com. Optional können Sie eine Vanity-URL (d.h. eine benutzerdefinierte Domain) konfigurieren, die für Ihre Organisation oder Ihr Projekt relevanter ist.

Dazu müssen Sie zunächst Ihren gewünschten Domainnamen anfordern und das entsprechende SSL-Zertifikat von einem Anbieter Ihrer Wahl anfordern.

Übergeordnetes Thema: Anwendungen mit Oracle APEX in einer autonomen KI-Datenbank erstellen

Vanity-URL in der Elastic Pool-Mitgliedsdatenbank aktivieren

Wenn ein registrierter Domainname und ein registriertes Zertifikat für eine Datenbank in einem elastischen Pool verfügbar sind, können Sie ganz einfach eine Vanity-URL in Ihrer autonomen KI-Datenbank aktivieren und eine benutzerdefinierte Vanity-URL-Domain für Ihre autonome KI-Datenbankinstanz mit einem API-Gateway konfigurieren.

Hinweis

  • Vanity-URLs werden von OCI-API-Gateways unterstützt, die HTTP-Endpunkte verwenden, jedoch nicht von TCP-basierten Endpunkten wie MongoDB und SQLNET.
  • Das Oracle Machine Language-(OML-)Tool unterstützt keine Vanity-URL.

Übergeordnetes Thema: Über eine Vanity-URL auf Oracle APEX, Oracle REST Data Services und integrierte Datenbanktools zugreifen

API-Gateway bei DNS registrieren

In diesem Kapitel wird hervorgehoben, wie wichtig es ist, Oracle Cloud Infrastructure (OCI) Domain Name System (DNS) bei der Konfiguration einer Vanity-URL einzurichten.

Um eine Vanity-URL zu aktivieren, muss das DNS so konfiguriert werden, dass es auf ein Oracle Cloud Infrastructure-(OCI-)API-Gateway verweist. DNS ist das System, das den benutzerfreundlichen benutzerdefinierten Domainnamen (z.B. api.mycompany.com) in die IP-Adresse des tatsächlichen OCI-API-Gatewayendpunkts übersetzt. Ohne DNS zu konfigurieren, wird die benutzerdefinierte Domain nicht in die öffentliche IP des OCI-API-Gateways aufgelöst, und Benutzer können Ihre OCI-APIs nicht mit der Vanity-URL erreichen.

Das DNS-Setup umfasst drei Hauptkomponenten:
  • Domaineigentum und -prüfung:

    Eine Vanity-Domain erfordert einen Eigentumsnachweis. Die Domain muss bei einem autorisierten Domainregistrar registriert sein, und Sie müssen administrative Kontrolle haben, um ihre DNS-Datensätze zu verwalten. Dadurch wird sichergestellt, dass nur berechtigte Eigentümer ihre benutzerdefinierte Domain (z.B. examplehost.com) dem OCI-API-Gatewayendpunkt zuordnen können.

  • TLS-Zertifikate für HTTPS:

    Da OCI-API-Gateways mit Transport Layer Security (TLS) gesichert sind, ist ein TLS-Zertifikat obligatorisch. Wenn Sie die Standarddomain (automatisch generierte Domain) von Oracle verwenden, stellt Oracle automatisch ein Zertifikat bereit und verwaltet es. Wenn Sie jedoch eine benutzerdefinierte Domain verwenden, müssen Sie Ihr eigenes TLS-Zertifikat angeben, das von einer vertrauenswürdigen Certificate Authority (CA) bezogen wurde. Dieses Zertifikat bindet Ihre Vanity-Domain an das Gateway, ermöglicht eine verschlüsselte Kommunikation und stellt das Vertrauen des Clients sicher.

    Es gibt zwei Ansätze:

    • Verwenden Sie ein von Oracle verwaltetes Zertifikat über den OCI Certificates-Service (selbst ausgestellt oder aus einer CA importiert).

    • Laden Sie Ihr eigenes benutzerdefiniertes Zertifikat sowie den Private Key und alle Zwischenzertifikate hoch.

  • DNS-Datensatzkonfiguration:

    Nachdem das OCI-API-Gateway und das TLS-Zertifikat eingerichtet wurden, müssen Sie DNS so konfigurieren, dass die benutzerdefinierte Domain in den öffentlichen Endpunkt des Gateways aufgelöst wird.

    Ohne diesen Prozess würden eingehende Anforderungen an Ihre benutzerdefinierte Domain das Gateway nicht erreichen.

Das DNS ist wie eine Brücke zwischen Ihrer Vanity-Domain und der zugrunde liegenden OCI API Gateway-Infrastruktur. Damit Ihre Vanity-URL erreichbar und funktionsfähig ist, müssen Sie Ihre DNS-Datensätze auf das API-Gateway verweisen.

Schritte zum Konfigurieren von DNS für OCI API Gateway

Um DNS so zu konfigurieren, dass es auf ein OCI-API-Gateway verweist, müssen Sie die folgenden Schritte ausführen, die Domainverantwortung, TLS-Zertifikate und DNS-Datensatzkonfiguration umfassen.

Voraussetzungen:
  • Sie müssen Eigentümer eines registrierten Domainnamens sein (unabhängig davon, ob er in OCI DNS oder einem externen DNS-Provider verwaltet wird), bevor die Konfiguration beginnt.
  • Sie müssen ein TLS-Zertifikat für Ihre benutzerdefinierte Domain entweder von einer Certificate Authority (CA) eines Drittanbieters oder über OCI Certificates Service beschaffen.
  1. Benutzerdefiniertes TLS-Zertifikat erstellen und hochladen:

    • Generieren Sie einen Certificate Signing Request (CSR) für Ihre Domain, einschließlich Ihres vollqualifizierten Domainnamens (FQDN).

    • Verwenden Sie entweder den OCI Certificates-Service oder eine Drittanbieter-CA, um das Zertifikat auszustellen.
    • Importieren Sie dieses Zertifikat und diesen Private Key als Zertifikatsressource in OCI.

    Weitere Informationen finden Sie unter Benutzerdefinierte Domains und TLS-Zertifikate einrichten.

  2. API-Gateway in OCI erstellen:

    • Navigieren Sie in der OCI-Konsole zu Entwicklerservices > API-Gateway.

    • Erstellen Sie ein Gateway mit Ihren TLS-Zertifikaten im entsprechenden öffentlichen Subnetz des VCN.

    Notieren Sie sich nach der Erstellung die API Gateway OCID ID, die OCI automatisch generiert.

    Weitere Informationen finden Sie unter API-Gateway erstellen.

  3. DNS-Datensätze für Ihre Domain konfigurieren:
    • Gehen Sie zu Ihrem DNS-Managementsystem (entweder OCI-DNS-Service oder ein externer DNS-Provider wie Route 53), um Ihre benutzerdefinierte DNS-Zuordnung zur öffentlichen IP-Adresse des OCI-API-Gateways zu konfigurieren.

    Dadurch wird sichergestellt, dass eingehender Traffic für Ihre benutzerdefinierte Domain in Ihre öffentliche OCI-API-Gateway-IP-Adresse aufgelöst wird.

    Nach der DNS-Propagierung können Sie dann auf die Vanity-URL (https://examplehost.com) zugreifen und sie an die öffentliche OCI-API-Gateway-IP-Adresse weiterleiten.

Sie können auch eine Vanity-URL für autonome KI-Datenbank über die Oracle Cloud Infrastructure-Servicekonsole für Elastic Pool-Benutzer konfigurieren.

Resource Principal für den Zugriff auf Oracle Cloud Infrastructure-Ressourcen aktivieren

Führen Sie die folgenden Schritte aus, um den Resource Principal in einer autonomen KI-Datenbank zu aktivieren. Dadurch kann die Datenbank OCI-Ressourcen sicher authentifizieren und darauf zugreifen.

Konfigurieren Sie als Voraussetzung dynamische Gruppen und Policys. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von Resource Principal mit einer autonomen KI-Datenbank ausführen.

So aktivieren Sie einen Resource Principal in einer autonomen KI-Datenbank:

  1. Aktivieren Sie als ADMIN-Benutzer den Resource Principal für die Instanz der autonomen KI-Datenbank.

    Beispiel:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();

PL/SQL procedure successfully completed.
    Weitere Informationen finden Sie unter Prozedur ENABLE_RESOURCE_PRINCIPAL.

    Dadurch werden die Zugangsdaten OCI$RESOURCE_PRINCIPAL erstellt.

  2. (Optional) Dieser Schritt ist nur erforderlich, wenn Sie einem anderen Datenbankbenutzer als dem ADMIN-Benutzer Zugriff auf die Zugangsdaten des Resource Principals erteilen möchten. Aktivieren Sie als ADMIN-Benutzer den Resource Principal für einen angegebenen Datenbankbenutzer.

    Beispiel:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');

PL/SQL procedure successfully completed.

    Dadurch wird dem Benutzer adb_user Zugriff auf die Zugangsdaten OCI$RESOURCE_PRINCIPAL erteilt.

    Wenn der angegebene Benutzer über Berechtigungen zum Aktivieren des Resource Principals für andere Benutzer verfügen soll, setzen Sie den Parameter grant_option auf TRUE.

    Beispiel:

    BEGIN
DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(
     username => 'adb_user',
     grant_option => TRUE);
END;
/

    Nachdem Sie diesen Befehl ausgeführt haben, kann adb_user den Resource Principal für einen anderen Benutzer aktivieren. Beispiel: Wenn Sie eine Verbindung als adb_user herstellen, können Sie den folgenden Befehl ausführen: 

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');
    Weitere Informationen finden Sie unter Prozedur ENABLE_RESOURCE_PRINCIPAL.
  3. Prüfen Sie, ob die Zugangsdaten des Resource Principals aktiviert sind.

    Beispiel: Wenn der ADMIN-Benutzer die Ansicht DBA_CREDENTIALS abfragt: 

    SELECT owner, credential_name FROM dba_credentials 
        WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN'; 

OWNER  CREDENTIAL_NAME
-----  ----------------------
ADMIN  OCI$RESOURCE_PRINCIPAL

    Beispiel: Fragen Sie als Nicht-ADMIN-Benutzer die View ALL_TAB_PRIVS ab: 

    SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS
   WHERE grantee = 'ADB_USER' 
        AND table_name = 'OCI$RESOURCE_PRINCIPAL' 
        AND table_schema = 'ADMIN';

GRANTEE   TABLE_NAME                GRANTOR
--------- -----------------------   -------------
ADB_USER  OCI$RESOURCE_PRINCIPAL    ADMIN

Die Aktivierung des Resource Principals in einer autonomen AI-Datenbankinstanz ist ein einmaliger Vorgang. Sie müssen den Resource Principal nicht erneut aktivieren, es sei denn, Sie führen DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL aus, um den Resource Principal zu deaktivieren.

IAM-Policy zum Einrichten einer Vanity-URL

Bevor Sie eine Vanity-URL für Ihre autonome KI-Datenbankinstanz in Ihrer Elastic Pool Member-Datenbank konfigurieren, müssen Sie der Datenbank Berechtigungen zum Verwalten der OCI-API-Gateway-Deployments erteilen

So erstellen Sie Zugriffs-Policys in Oracle Cloud Infrastructure (OCI) als Mandantenadministrator:
  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Identität auf Policys.
  2. Klicken Sie auf Policy erstellen.
  3. Geben Sie im Fenster "Policy erstellen" einen Namen (z.B. IntegrationGroupPolicy) und eine Beschreibung ein.
  4. Wählen Sie im Policy Builder die Option Manuellen Editor anzeigen aus, und geben Sie die erforderlichen Policy-Anweisungen ein.
    Die typische Syntax, mit der eine Gruppe API-Gateway-Deployments verwalten kann, lautet:

    • Verwaltung von API-Deployments in Compartment <compartment name> durch dynamische Gruppen-ID <dynamic group ocid> zulassen

    • Verwendung von api-gateways in Compartment <compartment name> durch dynamische Gruppen-ID <dynamic group ocid> zulassen

    Beispiel::
    • Verwaltung von API-Deployments in Compartment adwtoolsqa durch dynamische Gruppen-ID ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq zulassen
    • Verwendung von api-gateways in Compartment adwtoolsqa durch dynamische Gruppen-ID ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq zulassen

    Mit dieser Policy-Anweisung kann die Gruppe ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq in der Admin-Domain OCI-API-Gateway-Deployments in Compartment adwtoolsqa verwalten und verwenden.

    Hinweis

    • Beim Definieren von Policy-Anweisungen können Sie Verben (wie in diesen Schritten) oder Berechtigungen (im Allgemeinen von Powerusern verwendet) angeben.

    • Weitere Informationen zu Policys finden Sie unter:

      Funktionsweise der Policys und Policy-Referenz in der Oracle Cloud Infrastructure-Dokumentation.

  5. Prüfen und erstellen Sie die Policy.

Die Policy-Anweisungen werden validiert, und Syntaxfehler werden angezeigt.

Vanity-URL in der Elastic Pool-Mitgliedsdatenbank aktivieren

Befolgen Sie diese Anweisungen, um eine Vanity-URL für Ihre autonome KI-Datenbankinstanz mit der Oracle Cloud Infrastructure-Servicekonsole zu konfigurieren.

  1. Wählen Sie auf der Seite "Autonome KI-Datenbankdetails" in der Dropdown-Liste Weitere Aktionen die Option Vanity-URL aktivieren aus.
  2. Wählen Sie im Dialogfeld Vanity-URL für Datenbanktools konfigurieren die Option Vanity-URL verwenden.
  3. Wählen Sie das Compartment Ihres OCI-API-Gateways aus.
  4. Wählen Sie das API-Gateway aus der Liste der OCI-API-Gatewaynamen aus, auf die Sie Zugriff haben.
  5. Geben Sie den vollqualifizierten benutzerdefinierten Domainnamen an, der in der URL angezeigt und bei DNS registriert werden soll.

    Beispiel: Geben Sie examplehost.com ein.


    Beschreibung von adb_configure_vanity_url.png folgt
    Beschreibung der Abbildung adb_configure_vanity_url.png

    Klicken Sie auf Konfigurieren.

    Nach erfolgreicher Konfiguration wird auf der Registerkarte Toolkonfiguration auf der Seite "Autonome KI-Datenbank - Details" ein neues Feld mit dem Namen Vanity-URL sowie zusätzliche Vanity-URL-Felder unter Oracle APEX und Datenbankaktionen angezeigt.


    Beschreibung von adb-vanity-url-tool-configuration.png folgt
    Beschreibung der Abbildung adb-vanity-url-tool-configuration.png

    Sie können auf Endbenutzeranwendungen und Entwicklertools wie Oracle APEX und Database Actions zugreifen, indem Sie Ihren benutzerdefinierten Domainnamen oder die öffentliche/private Zugriffs-URL basierend auf Ihrem Datenbanknetzwerkzugriff verwenden.

Vanity-URL in der Nicht-elastischen Pooldatenbank mit einem Reverse Proxy aktivieren

Bei einer Datenbank, die nicht Teil eines elastischen Pools ist, können Sie einen Oracle Cloud Infrastructure Load Balancer manuell in Ihrem virtuellen Cloud-Netzwerk (VCN) bereitstellen, indem Sie Ihre autonome KI-Datenbank als Backend verwenden.

Ihre autonome AI-Datenbankinstanz muss mit einem privaten Endpunkt in demselben VCN konfiguriert sein. Weitere Informationen finden Sie unter Netzwerkzugriff mit privaten Endpunkten einrichten.

In den folgenden Beiträgen wird beschrieben, wie Sie eine Vanity-URL für eine Datenbank außerhalb eines elastischen Pools aktivieren: