Verbindung zu einer autonomen KI-Datenbankinstanz herstellen

Verbindungen zur autonomen KI-Datenbank werden entweder über das öffentliche Internet hergestellt, optional mit definierten Zugriffskontrollregeln (Access Control Rules, ACLs) oder mit einem privaten Endpunkt in einem virtuellen Cloud-Netzwerk (VCN) in Ihrem Mandanten.

Wenn Sie eine Konfiguration für einen privaten Endpunkt angeben, ist nur Traffic aus dem angegebenen virtuellen Cloud-Netzwerk zulässig, und der Zugriff auf die Datenbank wird von allen öffentlichen IPs oder VCNs blockiert. Mit der Konfiguration eines privaten Endpunkts können Sie den gesamten Traffic zu und von der Datenbank aus dem öffentlichen Internet abhalten. Wenn bei einem privaten Endpunkt der öffentliche Zugriff mit Öffentlichen Zugriff zulassen aktiviert ist, weist die Instanz sowohl einen privaten Endpunkt als auch einen öffentlichen Endpunkt auf:

• Mit dem privaten Hostnamen, der Endpunkt-URL und der privaten IP-Adresse können Sie eine Verbindung zur Datenbank über das VCN herstellen, in dem sich die Datenbank befindet.

• Mit dem öffentlichen Hostnamen können Sie eine Verbindung zur Datenbank von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zur autonomen KI-Datenbank herstellen.

Viele Anwendungen bieten Unterstützung für mehr als einen Verbindungstyp, aber jeder Verbindungstyp mit Autonomous AI Database verwendet Zertifikatsauthentifizierung und TCPS-(Secure TCP-)Datenbankverbindung mit Standard-TLS 1.2. Dadurch wird sichergestellt, dass kein unautorisierter Zugriff auf die autonome KI-Datenbank möglich ist und dass die Kommunikation zwischen Client und Server vollständig verschlüsselt und nicht abgefangen oder geändert werden kann.

Autonome KI-Datenbank unterstützt standardmäßig gegenseitige TLS-(mTLS-)Verbindungen (verwenden Sie Port 1522, um eine Verbindung mit mTLS herzustellen). Sie können eine autonome AI-Datenbankinstanz so konfigurieren, dass sie sowohl mTLS- als auch TLS-Verbindungen unterstützt (verwenden Sie Port 1521 oder 1522, um eine Verbindung mit TLS herzustellen).

Für Clients, die TLS-Authentifizierung mit Autonomous AI Database verwenden, gibt es folgende Vorteile:

• Bei TLS-Verbindungen müssen Sie kein Wallet herunterladen. Bei TLS-Verbindungen, die JDBC-Thin-Treiber mit JDK8 oder höher verwenden, ist kein Wallet erforderlich. Dazu gehören Verbindungen von Clients wie SQL Developer und der SQL-Befehlszeile (SQLcl).

• Clients, die sich mit TLS verbinden, müssen sich keine Gedanken über die Wallet-Rotation machen. Die Wallet-Rotation ist eine reguläre Prozedur für mTLS-Verbindungen.

• TLS-Verbindungen können schneller sein (weniger Verbindungslatenz). Die TLS-Authentifizierung kann im Vergleich zu mTLS eine geringere Verbindungslatenz bieten.

• TLS- und mTLS-Verbindungen schließen sich nicht gegenseitig aus. Gegenseitige TLS-(mTLS-)Authentifizierung ist standardmäßig aktiviert und immer verfügbar. Wenn Sie die TLS-Authentifizierung aktivieren, können Sie entweder die mTLS- oder die TLS-Authentifizierung verwenden.

• Die Verwendung der TLS-Authentifizierung beeinträchtigt nicht die vollständig verschlüsselte End-to-End-Kommunikation zwischen einem Client und einer autonomen KI-Datenbank.

Weitere Informationen zum Abrufen der mTLS-Verbindungszeichenfolgen für Ihre autonome AI-Datenbankinstanz finden Sie unter TNS-Namen und Verbindungszeichenfolgen für eine autonome AI-Datenbankinstanz anzeigen.

Gegenseitige TLS-(mTLS-)Authentifizierung

Mit Mutual Transport Layer Security (mTLS) stellen Clients Verbindungen über eine TCPS-(Secure TCP-)Datenbankverbindung mit dem Standard TLS 1.2 und einem vertrauenswürdigen Client-Certificate-Authority-(CA-)Zertifikat her.

Bei der gegenseitigen Authentifizierung authentifizieren sich die Clientanwendung und die autonome KI-Datenbank gegenseitig. Autonome KI-Datenbank verwendet standardmäßig die mTLS-Authentifizierung. Verwenden Sie Port 1522, um eine Verbindung zu einer autonomen AI-Datenbankinstanz mit mTLS herzustellen (die Zuweisung des Ports 1522 kann nicht geändert werden).

Für die gegenseitige TLS-Authentifizierung muss der Client ein vertrauenswürdiges Client-CA-Zertifikat herunterladen oder abrufen, um eine Verbindung zu einer autonomen AI-Datenbankinstanz herzustellen. Die autonome KI-Datenbank verwendet dann das Zertifikat zur Authentifizierung des Clients. Dies bietet erhöhte Sicherheit und gibt die Clients an, die mit einer autonomen KI-Datenbankinstanz kommunizieren können.

Die Zertifizierungsauthentifizierung mit gegenseitigem TLS verwendet einen verschlüsselten Schlüssel, die in einem Wallet auf dem Client ( auf dem die Anwendung ausgeführt wird) und dem Server (auf dem der Datenbankservice in der autonomen KI-Datenbank ausgeführt wird) gespeichert ist. Der Schlüssel auf dem Client muss mit dem Schlüssel auf dem Server übereinstimmen, damit eine Verbindung hergestellt werden kann. Ein Wallet enthält eine Sammlung von Dateien, einschließlich des Schlüssels und anderer Informationen, mit denen eine Verbindung zur Instanz der autonomen KI-Datenbank hergestellt werden kann. Die gesamte Kommunikation zwischen Client und Server wird verschlüsselt.

Um die Verbindung zur Instanz der autonomen KI-Datenbank zu sichern, lädt ein Serviceadministrator die Clientzugangsdaten (Wallet-Dateien) aus der autonomen KI-Datenbank herunter. Wenn Sie kein Autonomous AI Database-Serviceadministrator sind, stellt Ihnen der Administrator die Clientzugangsdaten bereit. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

Die folgende Abbildung zeigt sichere Clientverbindungen zu Oracle Autonomous AI Database über das öffentliche Internet mit gegenseitigen TLS-Verbindungen. Wenn Sie die Datenbank so konfigurieren, dass private Endpunkte verwendet werden, wird das öffentliche Internet nicht verwendet, und die Verbindung verwendet einen privaten Endpunkt in einem virtuellen Cloud-Netzwerk (VCN) in Ihrem Mandanten.

Beschreibung der Abbildung autonome-database.eps

Weitere Informationen zum Abrufen der mTLS-Verbindungszeichenfolgen für Ihre autonome AI-Datenbankinstanz finden Sie unter TNS-Namen und Verbindungszeichenfolgen für eine autonome AI-Datenbankinstanz anzeigen.

Die meisten Unternehmen schützen Netzwerke und Geräte in einem Netzwerk mit einer Firewall. Eine Firewall steuert den eingehenden und abgehenden Netzwerkverkehr anhand von Regeln, die die Verwendung bestimmter Ports und den Zugriff auf bestimmte Computer (oder, genauer gesagt IP-Adressen oder Hostnamen) ermöglichen. Eine wichtige Funktion einer Firewall ist die Trennung zwischen internen Netzwerken und dem öffentlichen Internet.

Wenn die autonome KI-Datenbank für den Zugriff über das öffentliche Internet konfiguriert ist, müssen Sie die Firewall so konfigurieren, dass der Zugriff auf autonome KI-Datenbankserver zulässig ist.

Um von hinter einer Firewall auf die autonome KI-Datenbank zuzugreifen, muss die Firewall die Verwendung des in der Datenbankverbindung angegebenen Ports zulassen, wenn eine Verbindung zu den Servern in der Verbindung hergestellt wird. Verwenden Sie Port 1522 für mTLS-Verbindungen der autonomen AI-Datenbank (die Portnummer wird in der Verbindungszeichenfolge aus der Datei tnsnames.ora in der Datei credentials ZIP angezeigt). Beispiel: Der Wert port wird in der folgenden Datei tnsnames.ora angezeigt:

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Ihre Firewall muss den Zugriff auf Server innerhalb der Domain .oraclecloud.com über Port 1522 zulassen. Um eine Verbindung zur autonomen KI-Datenbank herzustellen, müssen Sie je nach Netzwerkkonfiguration Ihrer Organisation möglicherweise einen Proxyserver für den Zugriff auf diesen Port verwenden, oder Sie müssen den Netzwerkadministrator bitten, diesen Port zu öffnen.

Informationen zu den öffentlichen IP-Adressbereichen in Oracle Cloud Infrastructure finden Sie unter IP-Adressbereiche. Sie müssen Traffic zu diesen CIDR-Blöcken zulassen, um den Zugriff auf eine autonome KI-Datenbankinstanz auf einem öffentlichen Endpunkt sicherzustellen.

Application Continuity maskiert Ausfälle von Endbenutzern und Anwendungen, indem die laufenden Arbeiten für betroffene Datenbanksessions nach Ausfällen wiederhergestellt werden. Application Continuity führt dieses Recovery unter der Anwendung aus, sodass der Ausfall der Anwendung als leicht verzögerte Ausführung angezeigt wird.

Weitere Informationen zur Anwendungskontinuität finden Sie unter Anwendungskontinuität in einer autonomen KI-Datenbank verwenden.