Oracle Cloud Infrastructure-Dokumentation

Netzwerkzugriff mit privaten Endpunkten konfigurieren

Sie können angeben, dass Autonomous Database einen privaten Endpunkt innerhalb Ihres virtuellen Cloud-Netzwerks (VCN) in Ihrem Mandanten verwendet. Sie können einen privaten Endpunkt beim Provisioning oder Klonen der autonomen Datenbank konfigurieren oder zu einem privaten Endpunkt in einer vorhandenen Datenbank wechseln, die einen öffentlichen Endpunkt verwendet. So können Sie den gesamten Traffic zu und von der Datenbank aus dem öffentlichen Internet abhalten.

Wenn Sie die Konfiguration des virtuellen Cloud-Netzwerks angeben, ist nur Traffic aus dem angegebenen virtuellen Cloud-Netzwerk zulässig, und der Zugriff auf die Datenbank von allen öffentlichen IP-Adressen oder VCNs wird blockiert. Auf dieser Seite können Sie Sicherheitsregeln mit Sicherheitslisten oder auf Ebene der Network Security Group (NSG) definieren, um Ingress/Egress für die Autonomous Database-Instanz anzugeben. Mit einem privaten Endpunkt und der Definition von Sicherheitslisten oder NSGs können Sie den Traffic zu und von Ihrer Autonomous Database-Instanz kontrollieren.

Hinweis

Wenn Sie die Autonomous Database-Instanz so konfigurieren, dass sie einen privaten Endpunkt verwendet, und Sie auch Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen möchten, wenn diese VCNs für die private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind, wählen Sie die Option Öffentlichen Zugriff zulassen aus. Dadurch wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die mit einem privaten Endpunkt konfiguriert ist. Weitere Informationen finden Sie unter Privaten Endpunkt mit öffentlichem Zugriff verwenden.

Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

Themen

Übergeordnetes Thema: Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten konfigurieren

Private Endgeräte konfigurieren

Sie können angeben, dass Autonomous Database einen privaten Endpunkt verwendet, und ein virtuelles Cloud-Netzwerk (VCN) in Ihrem Mandanten für die Verwendung mit dem privaten Endpunkt konfigurieren.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Erforderliche Schritte zum Konfigurieren privater Endpunkte

Beschreibt die erforderlichen Schritte, die Sie ausführen müssen, bevor Sie einen privaten Endpunkt für eine Autonomous Database-Instanz konfigurieren.

Führen Sie die folgenden erforderlichen Schritte aus, bevor Sie einen privaten Endpunkt konfigurieren:

  • Legen Sie die erforderlichen Policys für die Ressourcen fest, mit denen Sie arbeiten. Weitere Informationen finden Sie unter Zum Verwalten privater Endpunkte erforderliche IAM-Policys.

  • Erstellen Sie ein VCN in der Region, die Ihre autonome Datenbank enthält. Weitere Informationen finden Sie unter VCNs und Subnetze.

  • Konfigurieren Sie ein Subnetz in dem mit DHCP-Standardoptionen konfigurierten VCN. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.

  • (Optional) Führen Sie die folgenden optionalen Schritte aus, bevor Sie einen privaten Endpunkt konfigurieren:

    Geben Sie eine Netzwerksicherheitsgruppe (NSG) im VCN an. Die NSG gibt Regeln für Verbindungen zur autonomen Datenbank an. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Zum Verwalten privater Endpunkte erforderliche IAM-Policys

Neben den zum Provisioning und Verwalten autonomer Datenbanken erforderlichen Policys sind einige Netzwerk-Policys zur Verwendung privater Endpunkte erforderlich.

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zum Hinzufügen eines privaten Endpunkts benötigt. Die aufgeführten Policys sind die Mindestanforderungen zum Hinzufügen eines privaten Endpunkts. Sie können auch eine allgemeinere Policy-Regel verwenden. Beispiel für eine Policy-Regel:

Allow group MyGroupName to manage virtual-network-family in tenancy

Diese Regel funktioniert auch, weil sie eine Obermenge ist, die alle erforderlichen Policys enthält.

Vorgang Erforderliche IAM Policys

Privaten Endpunkt konfigurieren

use vcns für das Compartment, in dem sich das VCN befindet

use subnets für das Compartment, in dem sich das VCN befindet

use network-security-groups für das Compartment, in dem sich die Netzwerksicherheitsgruppe befindet

manage private-ips für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem die Datenbank bereitgestellt wird oder bereitgestellt werden soll

Autonomous Database nutzt den IAM-(Identity and Access Management)-Service, um Cloud-Benutzer zu authentifizieren und für Vorgänge zu autorisieren, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI, SDK oder andere).

Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können. Insbesondere definiert eine Policy, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Art von Ressource in einem Compartment erhält. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Private Endpunkte beim Provisioning oder Klonen einer Instanz konfigurieren

Sie können beim Provisioning oder Klonen einer Autonomous Database-Instanz einen privaten Endpunkt konfigurieren.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine Instanz durch Provisioning bereitstellen oder klonen, die erforderlichen Schritte abgeschlossen haben und sich im Schritt Netzwerkzugriff auswählen des Provisioning- oder Klonvorgangs befinden:

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen vom angegebenen privaten Netzwerk (VCN), von Peer-VCNs und von On-Premise-Netzwerken, die mit Ihrem VCN verbunden sind, zulässig. Sie können eine Autonomous Database-Instanz auf einem privaten Endpunkt konfigurieren, um Verbindungen von On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff über privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  2. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  3. Wählen Sie das Subnetz in Ihrem Compartment aus, an das Autonomous Database angehängt werden soll. Wenn sich das Subnetz in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment aus, das das das Subnetz enthält, und wählen Sie dann ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche private Endpunktoptionen anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  5. Gegenseitige TLS-Authentifizierung (mTLS) erforderlich.

    Die Optionen für Gegenseitige TLS-Authentifizierung (mTLS) erforderlich lauten:

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich deaktiviert ist, sind TLS- und mTLS-Verbindungen zulässig. Dies ist die Standardkonfiguration.

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich ausgewählt ist, sind nur mTLS-Verbindungen zulässig (TLS-Authentifizierung ist nicht zulässig).

    Weitere Informationen finden Sie unter Netzwerkoptionen so aktualisieren, dass TLS- oder nur gegenseitige TLS-(mTLS-)Authentifizierung in Autonomous Database zulässig ist.

  6. Führen Sie die restlichen Provisioning- oder Klonschritte aus, wie unter Autonomous Database-Instanz bereitstellen, Autonomous Database-Instanz klonen oder Autonomous Database aus einem Backup klonen angegeben.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Mit Autonomous Database von öffentlichen zu privaten Endpunkten wechseln

Wenn Ihre Autonomous Database-Instanz für die Verwendung eines öffentlichen Endpunkts konfiguriert ist, können Sie die Konfiguration in einen privaten Endpunkt ändern.

  1. Klicken Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen auf Netzwerkzugriff aktualisieren.

    Um eine Instanz von einem öffentlichen in einen privaten Endpunkt zu ändern, muss der Status der Autonomous Database-Instanz Verfügbar lauten (Lebenszyklusstatus: Verfügbar).

  2. Wählen Sie im Dialogfeld Netzwerkzugriff aktualisieren die Option Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.

    Beschreibung von adb_network_private_update.png folgt
    Beschreibung der Abbildung adb_network_private_update.png

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen vom angegebenen privaten Netzwerk (VCN), von Peer-VCNs und von On-Premise-Netzwerken, die mit Ihrem VCN verbunden sind, zulässig. Sie können eine Autonomous Database-Instanz auf einem privaten Endpunkt konfigurieren, um Verbindungen von On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff über privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  3. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. Wählen Sie das Subnetz in Ihrem Compartment aus, an das Autonomous Database angehängt werden soll. Wenn sich das Subnetz in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment aus, das das das Subnetz enthält, und wählen Sie dann ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  5. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um weitere Optionen anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  6. Klicken Sie auf Aktualisieren.
  7. Geben Sie im Dialogfeld Bestätigen den Autonomous Database-Namen ein, um die Änderung zu bestätigen.
  8. Klicken Sie im Dialogfeld Bestätigen auf Aktualisieren.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert, bis der Vorgang abgeschlossen ist.

Hinweise zum Wechsel vom öffentlichen zum privaten Netzwerkzugriff:

  • Nach der Aktualisierung des Netzwerkzugriffstyps müssen alle Datenbankbenutzer ein neues Wallet abrufen und mit dem neuen Wallet auf die Datenbank zugreifen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Wenn ACLs für den öffentlichen Endpunkt definiert wurden, gelten diese nicht für den privaten Endpunkt.

  • Nachdem Sie den Netzwerkzugriff für die Verwendung eines privaten Endpunktes aktualisiert haben, unterscheidet sich die URL für die Datenbanktools gegenüber der Verwendung eines öffentlichen Endpunktes. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Konfiguration für einen privaten Endpunkt aktualisieren

Sie können einige Optionen in der Konfiguration eines privaten Endpunkts in einer vorhandenen Autonomous Database-Instanz ändern.

  1. Klicken Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen auf Netzwerkzugriff aktualisieren.

    Zeigt den Bereich "Netzwerkzugriff aktualisieren" an.

  2. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, zeigen Sie erweiterte Optionen an, und wählen Sie Öffentlichen Zugriff zulassen aus. Damit wird eine private Endpunktdatenbank definiert, die sowohl einen privaten als auch einen öffentlichen Endpunkt enthält.

    1. Fügen Sie optional Network Security Groups (NSGs) hinzu.

      Um Verbindungen zur Autonomous Database-Instanz zu ermöglichen, definieren Sie optional Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Autonomous Database erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Fügen Sie für TLS-Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1521.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Eingehende und ausgehende Verbindungen werden durch die Kombination aus Ingress- und Egress-Regeln begrenzt, die in NSGs und den mit dem VCN definierten Sicherheitslisten definiert sind. Wenn keine NSGs vorhanden sind, gelten weiterhin die in den Sicherheitslisten für das VCN definierten Ingress- und Egress-Regeln. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zu Autonomous Database mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für die Konfiguration privater Endpunkte in Autonomous Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    2. Wählen Sie optional Öffentlichen Zugriff zulassen aus. Wenn diese Option bereits ausgewählt ist, können Sie Zugriffskontrollregeln für den öffentlichen Endpunkt konfigurieren, der mit der privaten Endpunktdatenbank konfiguriert ist.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen zur Konfiguration der Zugriffskontrolle angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie einen der folgenden Typen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein. Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist das die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für diese VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block:

        Geben Sie im Feld Werte Werte für den CIDR-Block ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN angeben, das mit einem Oracle Cloud Infrastructure Service Gateway verwendet werden soll:

        • Wählen Sie im Feld Virtuelles Cloud-Netzwerk das VCN aus, über das Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netzwerk (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Aktualisieren.

Wenn der Lebenszyklusstatus Verfügbar ist, wenn Sie auf Aktualisieren klicken, ändert sich der Lebenszyklusstatus in Wird aktualisiert, bis die Änderungen angewendet werden. Die Datenbank bleibt hochgefahren und zugänglich. Es kommt zu keinen Ausfallzeiten. Wenn die Aktualisierung abgeschlossen ist, wird der Lebenszyklusstatus auf Verfügbar zurückgesetzt.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Optionen für privaten Endpunkt konfigurieren

Mit den erweiterten Optionen für den Zugriff auf den privaten Endpunkt können Sie eine vom Benutzer angegebene private IP-Adresse und einen Hostnamen eingeben, eine oder mehrere Netzwerksicherheitsgruppen auswählen oder Details angeben, um öffentlichen Zugriff auf eine private Endpunktdatenbank zuzulassen.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine Autonomous Database-Instanz bereitstellen oder klonen oder den öffentlichen Zugriff auf den privaten Zugriff für eine vorhandene Autonomous Database-Instanz ändern. Sie befinden sich im Schritt Netzwerkzugriff auswählen.

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird der Bereich für die private Zugriffskonfiguration des virtuellen Cloud-Netzwerks angezeigt.

  2. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche private Endpunktoptionen anzuzeigen.

    Dadurch werden die erweiterten Optionen angezeigt.

    1. Geben Sie optional eine private IP-Adresse ein.

      Verwenden Sie dieses Feld, um eine benutzerdefinierte private IP-Adresse einzugeben. Die eingegebene private IP-Adresse muss im CIDR-Bereich des ausgewählten Subnetzes liegen.

      Wenn Sie keine benutzerdefinierte private IP-Adresse angeben, wird die IP-Adresse automatisch zugewiesen.

    2. Geben Sie optional ein Hostname-Präfix ein.

      Dadurch wird ein Hostnamenspräfix für die autonome Datenbank angegeben und ein DNS-Name im folgenden Format mit der Datenbankinstanz verknüpft: 

      hostname_prefix.adb.region.oraclecloud.com

      Wenn Sie kein Hostnamenspräfix angeben, wird ein vom System generiertes Hostnamenspräfix angegeben.

    3. Fügen Sie optional Network Security Groups (NSGs) hinzu.

      Um Verbindungen zur Autonomous Database-Instanz zu ermöglichen, definieren Sie optional Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Autonomous Database erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Fügen Sie für TLS-Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1521.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Eingehende und ausgehende Verbindungen werden durch die Kombination aus Ingress- und Egress-Regeln begrenzt, die in NSGs und den mit dem VCN definierten Sicherheitslisten definiert sind. Wenn keine NSGs vorhanden sind, gelten weiterhin die in den Sicherheitslisten für das VCN definierten Ingress- und Egress-Regeln. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zu Autonomous Database mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für die Konfiguration privater Endpunkte in Autonomous Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    4. Wählen Sie optional Öffentlichen Zugriff zulassen aus, und konfigurieren Sie Zugriffskontrollregeln, um einen öffentlichen Endpunkt für die private Endpunktdatenbank hinzuzufügen.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen zur Konfiguration der Zugriffskontrolle angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie einen der folgenden Typen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein. Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist das die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für diese VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um die aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block:

        Geben Sie im Feld Werte Werte für den CIDR-Block ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN angeben, das mit einem Oracle Cloud Infrastructure Service Gateway verwendet werden soll:

        • Wählen Sie im Feld Virtuelles Cloud-Netzwerk das VCN aus, über das Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netzwerk (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld IP-Adressen oder CIDRs private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zu ermöglichen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Führen Sie die restlichen Schritte zur Konfiguration des privaten Endpunkts aus.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Privaten Endpunkt mit öffentlichem Zugriff verwenden

Wählen Sie die Option Öffentlichen Zugriff zulassen aus, wenn Sie eine Autonomous Database so konfigurieren möchten, dass sie einen privaten Endpunkt verwendet. Außerdem möchten Sie Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen (wenn die VCNs für eine private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind).

Mit dieser Option wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die auf einem privaten Endpunkt konfiguriert ist. Sie konfigurieren einen privaten Endpunkt für Ihre Autonomous Database-Instanz, wenn Sie die Instanz bereitstellen oder klonen oder wenn Sie die Netzwerkkonfiguration für eine vorhandene Autonomous Database aktualisieren. Im Folgenden finden Sie Details zu den Schritten zum Konfigurieren einer Autonomous Database-Instanz mit einem privaten Endpunkt:

Wenn der öffentliche Zugriff mit Öffentlichen Zugriff zulassen auf einer privaten Endpunktdatenbank aktiviert ist, hat die Instanz sowohl einen privaten als auch einen öffentlichen Endpunkt:

  • Mit dem privaten Hostnamen, der Endpunkt-URL und der privaten IP-Adresse können Sie eine Verbindung zur Datenbank vom VCN herstellen, in dem sich die Datenbank befindet.

  • Mit dem öffentlichen Hostnamen können Sie eine Verbindung zur Datenbank von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs für eine private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind.

Hinzufügen von Autonomous Database-Verbindungszeichenfolgen für eine private Endpunktdatenbank mit aktiviertem "Öffentlichen Zugriff zulassen"

Wenn Öffentlichen Zugriff zulassen für eine Datenbank mit privatem Endpunkt aktiviert ist, gibt es zusätzliche Verbindungszeichenfolgen, mit denen Sie über den öffentlichen Endpunkt eine Verbindung zur Datenbank herstellen können:

  • Die Verbindungszeichenfolgen in tnsnames.ora in der Autonomous Database-Wallet-ZIP enthalten die öffentlichen Verbindungszeichenfolgen, die mit Verbindungen aus dem öffentlichen Internet verwendet werden sollen. Die Verbindungszeichenfolgen für den öffentlichen Endpunkt verwenden die folgende Benennungskonvention: 

    dbname_public_consumerGroup

    Beispiele:

    adbfinance_public_low

    Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Sie können die Verbindungszeichenfolgen für den öffentlichen Endpunkt und den privaten Endpunkt in der Oracle Cloud Infrastructure-Konsole (oder mit der API) anzeigen.

    Weitere Informationen finden Sie unter TNS-Namen und Verbindungszeichenfolgen für eine Autonomous Database-Instanz anzeigen.

Hinzufügen von Autonomous Database-Tools für eine private Endpunktdatenbank mit aktiviertem öffentlichen Zugriff

Wenn Öffentlichen Zugriff zulassen für eine private Endpunktdatenbank aktiviert ist, können Sie mit den Datenbanktools eine Verbindung von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs für eine private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind:

  • Jedes Tool verfügt über eine private Zugriffs-URL und eine öffentliche Zugriffs-URL, die in der Toolkonfigurationstabelle angezeigt werden. Mit der öffentlichen Zugriffs-URL können Sie von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs auf das Tool zugreifen, wenn diese VCNs für die private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind.

    Beispiele:

    Beschreibung von adb_tools_status_private_public.png folgt
    Beschreibung der Abbildung adb_tools_status_private_public.png

    Weitere Informationen finden Sie unter Status integrierter Autonomous Database-Tools anzeigen.

  • Die Datei README in der Wallet-ZIP-Datei stellt sowohl einen Zugriffslink für den privaten Endpunkt für jedes Datenbanktool als auch einen öffentlichen Zugriffslink bereit.

    Weitere Informationen finden Sie unter Wallet-README-Datei.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Sicherheit für ausgehende Verbindungen mit privaten Endpunkten

Wenn Sie einen privaten Endpunkt mit der Autonomous Database-Instanz verwenden, können Sie erweiterte Sicherheit bereitstellen, indem Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen.

Wenn Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen, wird erzwungen, dass alle ausgehenden Verbindungen zu einem Zielhost den Egress-Regeln des privaten Endpunkts unterliegen und durch diese begrenzt werden. Sie definieren Egress-Regeln in der Sicherheitsliste des virtuellen Cloud-Netzwerks (VCN) oder in der Netzwerksicherheitsgruppe (NSG), die mit dem privaten Endpunkt der Autonomous Database-Instanz verknüpft ist.

Bevor Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS festlegen, konfigurieren Sie die Autonomous Database-Instanz so, dass sie einen privaten Endpunkt verwendet. Weitere Informationen finden Sie unter Private Endpunkte konfigurieren.

Setzen Sie die Datenbankeigenschaften ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT, um anzugeben, dass alle ausgehenden Verbindungen den Egress-Regeln des VCN für den privaten Endpunkt der Autonomous Database-Instanz unterliegen. Mit dem Wert PRIVATE_ENDPOINT beschränkt die Datenbank ausgehende Verbindungen auf Speicherorte, die durch die Egress-Regeln des privaten Endpunkts angegeben sind, und ändert auch die DNS-Auflösung, sodass Hostnamen mit dem DNS-Resolver des VCN aufgelöst werden (nicht mit einem öffentlichen DNS-Resolver).

Hinweis

Wenn ROUTE_OUTBOUND_CONNECTIONS nicht auf PRIVATE_ENDPOINT gesetzt ist, werden alle ausgehenden Verbindungen zum öffentlichen Internet über das Netzwerkadressübersetzungs-(NAT-)Gateway des Service-VCN geleitet. Wenn sich der Zielhost in diesem Fall auf einem öffentlichen Endpunkt befindet, unterliegen die ausgehenden Verbindungen nicht den Regeln für das private Endpunkt-VCN oder den NSG-Egress-Regeln der Autonomous Database-Instanz.

Wenn Sie einen privaten Endpunkt für die Autonomous Database-Instanz konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung das Handling ausgehender Verbindungen und die DNS-Auflösung für Folgendes:

Wenn Sie einen privaten Endpunkt für die Autonomous Database-Instanz konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung die Verarbeitung ausgehender Verbindungen und die DNS-Auflösung für Folgendes nicht:

  • Oracle REST Data Services (ORDS)

  • Database Actions

ROUTE_OUTBOUND_CONNECTIONS festlegen:

  1. Stellen Sie eine Verbindung zu Ihrer Datenbank her.
  2. Setzen Sie die Datenbankeigenschaft auf ROUTE_OUTBOUND_CONNECTIONS.

    Beispiele:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Hinweise zum Festlegen von ROUTE_OUTBOUND_CONNECTIONS:

  • Verwenden Sie den folgenden Befehl, um den Standardparameterwert wiederherzustellen:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • Verwenden Sie den folgenden Befehl, um den aktuellen Parameterwert abzurufen:

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Wenn die Eigenschaft nicht festgelegt ist, gibt die Abfrage keine Ergebnisse zurück.

  • Diese Eigenschaft gilt nur für Datenbanklinks, die Sie erstellen, nachdem Sie die Eigenschaft auf den Wert PRIVATE_ENDPOINT gesetzt haben. Daher verwenden Datenbanklinks, die Sie vor dem Festlegen der Eigenschaft erstellt haben, weiterhin das NAT-Gateway des Service-VCN und unterliegen nicht den Egress-Regeln des privaten Endpunktes der Autonomous Database-Instanz.

  • Setzen Sie ROUTE_OUTBOUND_CONNECTIONS nur dann auf den Wert PRIVATE_ENDPOINT, wenn Sie Autonomous Database mit einem privaten Endpunkt verwenden.

  • Wenn sich die Datenbank auf einem privaten Endpunkt befindet und die ausgehenden Verbindungen vom VCN aufgelöst werden sollen, müssen Sie den Parameter ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen.

Weitere Informationen zum Network Address Translation (NAT)-Gateway finden Sie unter NAT-Gateway.

Hinweise zu privaten Endpunkten

Beschreibt Einschränkungen und Hinweise für private Endpunkte in Autonomous Database.

  • Nachdem Sie den Netzwerkzugriff für die Verwendung eines privaten Endpunkts aktualisiert haben oder bei konfiguriertem privatem Endpunkt das Provisioning oder Klonen abgeschlossen ist, können Sie die Netzwerkkonfiguration auf der Seite "Details zur autonomen Datenbank" im Abschnitt Netzwerk anzeigen.

    Im Abschnitt Netzwerk werden die folgenden Informationen für einen privaten Endpunkt angezeigt:

    • Zugriffstyp: Gibt den Zugriffstyp für die Autonomous Database-Konfiguration an. Für private Endpunktkonfigurationen wird der Zugriffstyp Virtuelles Cloud-Netzwerk angezeigt.
    • Availability-Domain: Gibt die Availability-Domain der Autonomous Database-Instanz an.
    • Virtuelles Cloud-Netzwerk: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte VCN.
    • Subnetz: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte Subnetz.
    • IP des privaten Endpunkts: Zeigt die IP des privaten Endpunkts für die Konfiguration an.
    • Private Endpunkt-URL: Zeigt die private Endpunkt-URL für die Konfiguration des privaten Endpunkts an.
    • Netzwerksicherheitsgruppen: Dieses Feld enthält Links zu den mit dem privaten Endpunkt konfigurierten NSGs.
    • Öffentlicher Zugriff: Dieses Feld gibt an, ob der öffentliche Zugriff für den privaten Endpunkt aktiviert ist. Klicken Sie auf den Link Edit, um die zulässigen ACLs oder VCNs anzuzeigen oder zu ändern.
    • URL des öffentlichen Endpunkts: Wird angezeigt, wenn Öffentlichen Zugriff zulassen auf dem privaten Endpunkt aktiviert ist. Dies ist die öffentliche Endpunkt-URL, mit der Sie eine Verbindung von zulässigen IPs oder VCNs im öffentlichen Internet herstellen können.

    Weitere Informationen zu den Netzwerkinformationen in der Oracle Cloud Infrastructure-Konsole finden Sie unter Netzwerkinformationen in der OCI-Konsole anzeigen.

  • Nachdem das Provisioning oder Klonen abgeschlossen ist, können Sie die Konfiguration der autonomen Datenbank so ändern, dass ein öffentlicher Endpunkt verwendet wird.

    Informationen zum Wechseln zu einem öffentlichen Endpunkt finden Sie unter Mit Autonomous Database von privaten zu öffentlichen Endpunkten wechseln.

  • Sie können bis zu fünf NSGs angeben, um den Zugriff auf die autonome Datenbank zu kontrollieren.

  • Sie können die Netzwerksicherheitsgruppe (NSG) des privaten Endpunkts für die autonome Datenbank ändern.

    So ändern Sie die NSG für einen privaten Endpunkt:

    1. Wählen Sie auf der Seite "Autonome Datenbanken" unter den Links in der Spalte Anzeigename eine Autonomous Database aus.

    2. Klicken Sie auf der Seite Details zur autonomen Datenbank unter Netzwerk im Feld Netzwerksicherheitsgruppen auf Bearbeiten.

  • Sie können Ihre Oracle Analytics Cloud-Instanz wie bei einer On-Premise-Datenbank über Data Gateway mit der autonomen Datenbank mit einem privaten Endpunkt verbinden. Weitere Informationen finden Sie unter Data Gateway für Datenvisualisierungen konfigurieren und registrieren.

  • Die folgenden Autonomous Database-Tools werden in Datenbanken unterstützt, die mit einem privaten Endpunkt konfiguriert sind:

    • Datenbankaktionen
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning-Notizbücher
    • Oracle REST Data Services
    • Oracle Database API für MongoDB

    Für den Zugriff auf diese Autonomous Database-Tools aus On-Premise-Umgebungen ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen.

    Wenn Sie mit einem privaten Endpunkt aus On-Premise-Umgebungen auf Oracle APEX, Database Actions, Oracle Graph Studio oder Oracle REST Data Services zugreifen, ohne die zusätzliche private Endpunktkonfiguration abzuschließen, wird folgender Fehler angezeigt: 

    404 Not Found

  • Nachdem Sie den Netzwerkzugriff für die Verwendung eines privaten Endpunktes aktualisiert haben, unterscheidet sich die URL für die Datenbanktools gegenüber der Verwendung eines öffentlichen Endpunktes. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

  • Neben den standardmäßig mit Autonomous Database vorkonfigurierten Oracle REST Data Services (ORDS) können Sie ein alternatives ORDS-Deployment konfigurieren, das weitere Konfigurationsoptionen bereitstellt und mit privaten Endpunkten verwendet werden kann. Weitere Informationen zu einem alternativen ORDS-Deployment, das mit privaten Endpunkten verwendet werden kann, finden Sie unter Vom Kunden verwaltete Oracle REST Data Services in Autonomous Database.

  • Das Ändern einer privaten IP-Adresse ist nach dem Provisioning oder Klonen einer Instanz nicht zulässig. Dabei spielt es keine Rolle, ob die IP-Adresse automatisch zugewiesen wird, wenn Sie einen Wert in das Feld Private IP-Adresse eingeben.

Beispiele für die Konfiguration privater Endpunkte in Autonomous Database

Zeigt mehrere Beispiele für die Konfiguration privater Endpunkte (VCN) für Autonomous Database an.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Beispiel: Verbindung von Oracle Cloud Infrastructure-VCN herstellen

Demonstriert eine Anwendung, die in Oracle Cloud Infrastructure auf einer virtuellen Maschine (VM) in dem mit der autonomen Datenbank konfigurierten VCN ausgeführt wird.

Beschreibung von adb_private_endpoint1.png folgt
Beschreibung der Abbildung adb_private_endpoint1.png

Eine Autonomous Database-Instanz wurde mit einem privaten Endpunkt im VCN mit dem Namen "Ihr VCN" konfiguriert. Das VCN umfasst zwei Subnetze: "SUBNET B" (CIDR 10.0.1.0/24) und "SUBNET A" (CIDR 10.0.2.0/24).

Die mit der Autonomous Database-Instanz verknüpfte Netzwerksicherheitsgruppe (NSG) wird als "NSG 1 - Sicherheitsregeln" angezeigt. Diese Netzwerksicherheitsgruppe definiert Sicherheitsregeln, die eingehenden und ausgehenden Traffic an die und von der Autonomous Database-Instanz zulassen. Definieren Sie wie folgt eine Regel für die Autonomous Database-Instanz:

  • Fügen Sie für gegenseitige TLS-Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, um Verbindungen von der Quelle zur Autonomous Database-Instanz zuzulassen. Setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

  • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel hinzu, um Verbindungen von der Quelle zur Autonomous Database-Instanz zuzulassen. Die Quelle ist auf den Adressbereich gesetzt, für die Sie eine Verbindung zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und der Zielportbereich ist auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt ein Beispiel für eine zustandsbehaftete Sicherheitsregel zur Kontrolle des Traffics für die Autonomous Database-Instanz:

Beschreibung von adb_private_vcn_nsg_stateful1.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful1.png

Die Anwendung, die eine Verbindung zur autonomen Datenbank herstellt, wird auf einer VM in SUBNET B ausgeführt. Fügen Sie auch eine Sicherheitsregel hinzu, um Traffic zur und von der VM zuzulassen (wie gezeigt mit dem Label "NSG 2 - Sicherheitsregeln"). Sie können eine zustandsbehaftete Sicherheitsregel für die VM verwenden. Fügen Sie dazu eine Regel für Egress zu "NSG 2 - Sicherheitsregeln" hinzu (dies ermöglicht den Zugriff auf das Zielsubnetz A).

Die folgende Abbildung zeigt Beispiele für Sicherheitsregeln, die den Traffic für die VM kontrollieren:

Beschreibung von adb_private_vcn_rules2.png folgt
Beschreibung der Abbildung adb_private_vcn_rules2.png

Nachdem Sie die Sicherheitsregeln konfiguriert haben, kann Ihre Anwendung mit dem Clientzugangsdaten-Wallet eine Verbindung zur Autonomous Database-Instanz herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

Informationen zum Konfigurieren von Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen.

Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen

Demonstriert, wie Sie von Ihrem On-Premise-Data Center eine private Verbindung zu einer autonomen Datenbank herstellen. In diesem Szenario wird Traffic nicht über das öffentliche Internet übertragen.

Beschreibung von adb_private_endpoint2.png folgt
Beschreibung der Abbildung adb_private_endpoint2.png

Um eine Verbindung von Ihrem Data Center herzustellen, verbinden Sie das On-Premise-Netzwerk mit FastConnect mit dem VCN, und richten Sie dann ein dynamisches Routinggateway (DRG) ein. Um den privaten Autonomous Database-Endpunkt in einen vollqualifizierter Domainname (FQDN) aufzulösen, müssen Sie einen Eintrag in der Hostdatei des On-Premise-Clients hinzufügen. Beispiel: Datei /etc/hosts für Linux-Rechner. Beispiele: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie einen anderen Eintrag mit derselben IP-Adresse hinzu. Beispiele: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Sie finden die IP-Adresse und den FQDN des privaten Endpunkts wie folgt:

  • Die private IP-Adresse wird in der Oracle Cloud Infrastructure-Konsole auf der Seite "Details der autonomen Datenbank" für die Instanz angezeigt.

  • Der FQDN wird in der Datei tnsnames.ora im Clientzugangsdaten-Wallet der autonomen Datenbank angezeigt.

Alternativ können Sie mit dem privaten DNS von Oracle Cloud Infrastructure die DNS-Namensauflösung bereitstellen. Weitere Informationen finden Sie unter Privates DNS.

In diesem Beispiel befindet sich ein dynamisches Routinggateway (DRG) zwischen dem On-Premise-Data Center und "Ihr VCN". Das VCN enthält die autonome Datenbank. Außerdem wird eine Routentabelle für das mit der autonomen Datenbank verknüpfte VCN für ausgehenden Traffic zu CIDR 172.16.0.0/16 über das DRG angezeigt.

Definieren Sie neben dem DRG auch eine Netzwerksicherheitsgruppen-(NSG-)Regel, um Traffic zur und von der autonomen Datenbank zuzulassen. Fügen Sie dazu eine Regel für den Data Center-CIDR-Bereich (172.16.0.0/16) hinzu. Definieren Sie in diesem Beispiel wie folgt eine Sicherheitsregel in "NSG 1":

  • Erstellen Sie für gegenseitige TLS-Authentifizierung eine zustandsbehaftete Regel, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel für zustandsbehafteten Ingress, bei der die Quelle dem Adressbereich entspricht, für den Sie die Verbindung zur Datenbank herstellen möchten, mit dem Protokoll auf TCP, dem Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und dem Zielport auf 1522.

  • Erstellen Sie für die TLS-Authentifizierung eine Regel für zustandsbehafteten Traffic, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel Für zustandsbehafteten Ingress, bei der der Quelle dem Adressbereich entspricht, für die Sie Verbindungen zur Datenbank zulassen möchten, und das Protokoll auf TCP, der Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und des Zielportbereichs auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt die Sicherheitsregel, die den Traffic für die Autonomous Database-Instanz kontrolliert:

Beschreibung von adb_private_vcn_nsg_stateful2.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful2.png

Nachdem Sie die Sicherheitsregel konfiguriert haben, kann die On-Premise-Datenbankanwendung mit dem Clientzugangsdaten-Wallet eine Verbindung zur Autonomous Database-Instanz herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.