Oracle Cloud Infrastructure-Dokumentation

Netzwerkzugriff mit privaten Endpunkten einrichten

Sie können angeben, dass die autonome KI-Datenbank einen privaten Endpunkt innerhalb Ihres virtuellen Cloud-Netzwerks (VCN) in Ihrem Mandanten verwendet. Sie können einen privaten Endpunkt beim Provisioning oder Klonen der autonomen KI-Datenbank konfigurieren. Alternativ können Sie zu einem privaten Endpunkt in einer vorhandenen Datenbank wechseln, die einen öffentlichen Endpunkt verwendet. So können Sie den gesamten Traffic zu und von der Datenbank aus dem öffentlichen Internet abhalten.

Wenn Sie die Konfiguration des virtuellen Cloud-Netzwerks angeben, ist nur Traffic aus dem angegebenen virtuellen Cloud-Netzwerk zulässig, und der Zugriff auf die Datenbank von allen öffentlichen IP-Adressen oder VCNs wird blockiert. Auf diese Weise können Sie Sicherheitsregeln mit Sicherheitslisten oder auf der Ebene der Netzwerksicherheitsgruppe (NSG) definieren, um Ingress/Egress für Ihre autonome AI-Datenbankinstanz anzugeben. Mit einem privaten Endpunkt und der Definition von Sicherheitslisten oder NSGs können Sie den Traffic zu und von Ihrer autonomen KI-Datenbankinstanz steuern.

Hinweis

Wenn Sie die Instanz der autonomen KI-Datenbank so konfigurieren, dass sie einen privaten Endpunkt verwendet, und Sie Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen möchten, wenn diese VCNs für eine private Verbindung zur autonomen KI-Datenbank mit einem Servicegateway konfiguriert sind, wählen Sie die Option Öffentlichen Zugriff zulassen aus. Dadurch wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die mit einem privaten Endpunkt konfiguriert ist. Weitere Informationen finden Sie unter Privaten Endpunkt mit zulässigem öffentlichem Zugriff verwenden.

Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

Themen

Übergeordnetes Thema: Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten verwalten

Private Endpunkte konfigurieren

Sie können angeben, dass die autonome KI-Datenbank einen privaten Endpunkt verwendet, und ein virtuelles Cloud-Netzwerk (VCN) in Ihrem Mandanten für die Verwendung mit dem privaten Endpunkt konfigurieren.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Erforderliche Schritte zum Konfigurieren privater Endpunkte

Beschreibt die erforderlichen Schritte, die Sie ausführen müssen, bevor Sie einen privaten Endpunkt für eine autonome AI-Datenbankinstanz konfigurieren.

Führen Sie die folgenden erforderlichen Schritte aus, bevor Sie einen privaten Endpunkt konfigurieren:

  • Legen Sie die erforderlichen Policys für die Ressourcen fest, mit denen Sie arbeiten. Weitere Informationen finden Sie unter Zum Verwalten privater Endpunkte erforderliche IAM-Policys.

  • Erstellen Sie ein VCN in der Region, die Ihre autonome KI-Datenbank enthält. Weitere Informationen finden Sie unter VCNs und Subnetze.

  • Konfigurieren Sie ein Subnetz in dem mit DHCP-Standardoptionen konfigurierten VCN. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.

  • (Optional) Führen Sie den folgenden optionalen Schritt aus, bevor Sie einen privaten Endpunkt konfigurieren:

    Geben Sie eine Netzwerksicherheitsgruppe (NSG) im VCN an. Die NSG gibt Regeln für Verbindungen zu Ihrer autonomen KI-Datenbank an. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Zum Verwalten privater Endpunkte erforderliche IAM-Policys

Zusätzlich zu den Policys, die zum Provisioning und Verwalten einer autonomen KI-Datenbank erforderlich sind, sind einige Netzwerk-Policys erforderlich, um private Endpunkte zu verwenden.

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zum Hinzufügen eines privaten Endpunkts benötigt. Die aufgeführten Policys sind die Mindestanforderungen zum Hinzufügen eines privaten Endpunkts. Sie können auch eine allgemeinere Policy-Regel verwenden. Beispiel für eine Policy-Regel:

Allow group MyGroupName to manage virtual-network-family in tenancy

Diese Regel funktioniert auch, weil sie eine Obermenge ist, die alle erforderlichen Policys enthält.

Arbeitsvorgang Erforderliche IAM-Policys

Privaten Endpunkt konfigurieren

use vcns für das Compartment, in dem sich das VCN befindet

use subnets für das Compartment, in dem sich das VCN befindet

use network-security-groups für das Compartment, in dem sich die Netzwerksicherheitsgruppe befindet

manage private-ips für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem die Datenbank bereitgestellt wird oder bereitgestellt werden soll

Autonomous AI Database nutzt den IAM-(Identity and Access Management-)Service, um Cloud-Benutzer zu authentifizieren und zu autorisieren, Vorgänge auszuführen, die einer der Oracle Cloud Infrastructure-Schnittstellen (Konsole, REST-API, CLI, SDK oder andere) verwenden.

Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können. Insbesondere definiert eine Policy, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Art von Ressource in einem Compartment erhält. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Private Endpunkte beim Provisioning oder Klonen einer Instanz konfigurieren

Sie können beim Provisioning oder Klonen einer autonomen AI-Datenbankinstanz einen privaten Endpunkt konfigurieren.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine Instanz durch Provisioning bereitstellen oder klonen, die erforderlichen Schritte abgeschlossen haben und sich im Schritt Netzwerkzugriff auswählen des Provisioning- oder Klonvorgangs befinden:

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.


    Beschreibung von adb_private_vcn.png folgt
    Beschreibung der Abbildung adb_private_vcn.png

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen aus dem angegebenen privaten Netzwerk (VCN), aus Peer-VCNs und aus On-Premise-Netzwerken zulässig, die mit Ihrem VCN verbunden sind. Sie können eine autonome KI-Datenbankinstanz auf einem privaten Endpunkt konfigurieren, um Verbindungen von On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zur autonomen KI-Datenbank herstellen.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  2. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  3. Wählen Sie das Subnetz in Ihrem Compartment aus, an das die autonome KI-Datenbank angehängt werden soll, oder wenn sich das Subnetz in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem Subnetz aus, und wählen Sie ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen für private Endpunkte anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  5. Gegenseitige TLS-Authentifizierung (mTLS) erforderlich.

    Die Optionen für Gegenseitige TLS-Authentifizierung (mTLS) erforderlich lauten:

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich deaktiviert ist, sind TLS- und mTLS-Verbindungen zulässig. Dies ist die Standardkonfiguration.

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich ausgewählt ist, sind nur mTLS-Verbindungen zulässig (TLS-Authentifizierung ist nicht zulässig).

    Weitere Informationen finden Sie unter Netzwerkoptionen so aktualisieren, daß TLS- oder nur gegenseitige TLS-(mTLS-)Authentifizierung in autonomer KI-Datenbank zulässig ist.

  6. Führen Sie die verbleibenden Provisioning- oder Klonschritte aus, wie unter Autonome KI-Datenbankinstanz bereitstellen, Autonome KI-Datenbankinstanz klonen oder Autonome KI-Datenbank aus einem Backup klonen angegeben.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Mit autonomer KI-Datenbank von öffentlichen zu privaten Endpunkten wechseln

Wenn Ihre autonome AI-Datenbankinstanz für die Verwendung eines öffentlichen Endpunkts konfiguriert ist, können Sie die Konfiguration in einen privaten Endpunkt ändern.

  1. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Netzwerkzugriff aktualisieren aus.

    Um eine Instanz von einem öffentlichen in einen privaten Endpunkt zu ändern, muss die Instanz der autonomen KI-Datenbank den Status Verfügbar aufweisen (Lebenszyklusstatus: Verfügbar)

  2. Wählen Netzwerkzugriff aktualisieren im Dialogfeld "Nur Zugriff über privaten Endpunkt" aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.

    Beschreibung von adb_network_private_update.png folgt
    Beschreibung der Abbildung adb_network_private_update.png

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen aus dem angegebenen privaten Netzwerk (VCN), aus Peer-VCNs und aus On-Premise-Netzwerken zulässig, die mit Ihrem VCN verbunden sind. Sie können eine autonome KI-Datenbankinstanz auf einem privaten Endpunkt konfigurieren, um Verbindungen von On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zur autonomen KI-Datenbank herstellen.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  3. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. Wählen Sie das Subnetz in Ihrem Compartment aus, an das die autonome KI-Datenbank angehängt werden soll, oder wenn sich das Subnetz in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem Subnetz aus, und wählen Sie ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  5. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  6. Klicken Sie auf Aktualisieren.
  7. Geben Sie im Dialogfeld Bestätigen den Namen der autonomen KI-Datenbank ein, um die Änderung zu bestätigen.
  8. Klicken Sie im Dialogfeld Bestätigen auf Aktualisieren.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert, bis der Vorgang abgeschlossen ist.

Hinweise zum Wechsel vom öffentlichen zum privaten Netzwerkzugriff:

  • Nach der Aktualisierung des Netzwerkzugriffstyps müssen alle Datenbankbenutzer ein neues Wallet abrufen und mit dem neuen Wallet auf die Datenbank zugreifen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Wenn ACLs für den öffentlichen Endpunkt definiert wurden, gelten diese nicht für den privaten Endpunkt.

  • Nachdem Sie den Netzwerkzugriff zur Verwendung eines privaten Endpunkts aktualisiert haben, unterscheidet sich die URL für die Datenbanktools im Vergleich zur Verwendung eines öffentlichen Endpunkts. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Konfiguration für einen privaten Endpunkt aktualisieren

Sie können einige Optionen in der Konfiguration eines privaten Endpunkts in einer vorhandenen autonomen KI-Datenbankinstanz ändern.

  1. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Netzwerkzugriff aktualisieren aus.

    Daraufhin wird der Bereich "Netzwerkzugriff aktualisieren" angezeigt.

    Beschreibung von adb_network_access_private_update.png folgt
    Beschreibung der Abbildung adb_network_access_private_update.png
  2. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, werden erweiterte Optionen angezeigt, und Sie wählen Öffentlichen Zugriff zulassen aus. Definiert eine private Endpunktdatenbank, die sowohl einen privaten Endpunkt als auch einen öffentlichen Endpunkt enthält.

    1. Fügen Sie optional Netzwerksicherheitsgruppen (NSGs) hinzu.

      Um optional Verbindungen zur Instanz der autonomen KI-Datenbank zuzulassen, definieren Sie Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Ihre autonome KI-Datenbank erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel mit zustandsbehaftetem Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, auf den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und den Zielportbereich auf 1521 oder 1522.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Ein- und ausgehende Verbindungen sind durch die Kombination von Ingress- und Egress-Regeln, die in NSGs definiert sind, und den mit dem VCN definierten Sicherheitslisten begrenzt. Wenn keine NSGs, Ingress- und Egress-Regeln in den Sicherheitslisten für das VCN definiert sind, gelten weiterhin. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zur autonomen KI-Datenbank mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für Konfiguration privater Endpunkte in Autonomous AI Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    2. Wählen Sie optional Öffentlichen Zugriff zulassen aus. Wenn diese Option bereits ausgewählt ist, können Sie Zugriffskontrollregeln für den öffentlichen Endpunkt konfigurieren, der mit der privaten Endpunktdatenbank konfiguriert ist.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen "Zugriffskontrolle konfigurieren" angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie eine der folgenden Optionen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block:

        Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

        • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Aktualisieren.

Wenn der Lebenszyklusstatus Verfügbar lautet, wenn Sie auf Aktualisieren klicken, wird der Lebenszyklusstatus in Wird upgegradet geändert, bis die Änderungen angewendet werden. Die Datenbank bleibt hochgefahren und zugänglich. Es kommt zu keinen Ausfallzeiten. Wenn die Aktualisierung abgeschlossen ist, wird der Lebenszyklusstatus wieder auf Verfügbar gesetzt.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Optionen für privaten Endpunkt konfigurieren

Mit den erweiterten Zugriffsoptionen für privaten Endpunkt können Sie eine vom Benutzer angegebene private IP-Adresse und einen Hostnamen eingeben, eine oder mehrere Netzwerksicherheitsgruppen auswählen oder Details angeben, um den öffentlichen Zugriff auf eine private Endpunktdatenbank zuzulassen.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine autonome KI-Datenbankinstanz bereitstellen oder klonen oder von öffentlichem Zugriff auf privaten Zugriff für eine vorhandene autonome KI-Datenbankinstanz wechseln, und Sie befinden sich im Schritt Netzwerkzugriff auswählen.

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird die Konfiguration für den privaten Zugriff auf das virtuelle Cloud-Netzwerk angezeigt.

  2. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen für private Endpunkte anzuzeigen.

    Dadurch werden die erweiterten Optionen angezeigt.

    Beschreibung von adb_network_access_private_advanced.png folgt
    Beschreibung der Abbildung adb_network_access_private_advanced.png
    1. Geben Sie optional eine private IP-Adresse ein.

      Verwenden Sie dieses Feld, um eine benutzerdefinierte private IP-Adresse einzugeben. Die eingegebene private IP-Adresse muss im CIDR-Bereich des ausgewählten Subnetzes liegen.

      Wenn Sie keine benutzerdefinierte private IP-Adresse angeben, wird die IP-Adresse automatisch zugewiesen.

    2. Geben Sie optional ein Hostnamenspräfix ein.

      Gibt ein Hostnamenspräfix für die autonome KI-Datenbank an und verknüpft einen DNS-Namen mit der Datenbankinstanz in der folgenden Form: 

      hostname_prefix.adb.region.oraclecloud.com

      Wenn Sie kein Hostnamenspräfix angeben, wird ein vom System generiertes Hostnamenspräfix angegeben.

    3. Fügen Sie optional Netzwerksicherheitsgruppen (NSGs) hinzu.

      Um optional Verbindungen zur Instanz der autonomen KI-Datenbank zuzulassen, definieren Sie Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Ihre autonome KI-Datenbank erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel mit zustandsbehaftetem Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, auf den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und den Zielportbereich auf 1521 oder 1522.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Ein- und ausgehende Verbindungen sind durch die Kombination von Ingress- und Egress-Regeln, die in NSGs definiert sind, und den mit dem VCN definierten Sicherheitslisten begrenzt. Wenn keine NSGs, Ingress- und Egress-Regeln in den Sicherheitslisten für das VCN definiert sind, gelten weiterhin. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zur autonomen KI-Datenbank mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für Konfiguration privater Endpunkte in Autonomous AI Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    4. Wählen Sie optional Öffentlichen Zugriff zulassen aus, und konfigurieren Sie Zugriffskontrollregeln, um einen öffentlichen Endpunkt für die private Endpunktdatenbank hinzuzufügen.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen "Zugriffskontrolle konfigurieren" angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie eine der folgenden Optionen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block

        Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

        • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Führen Sie die restlichen Schritte zur Konfiguration des privaten Endpunkts aus.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Privaten Endpunkt mit zulässigem öffentlichen Zugriff verwenden

Wählen Sie die Option Öffentlichen Zugriff zulassen aus, wenn Sie eine autonome KI-Datenbank so konfigurieren möchten, dass sie einen privaten Endpunkt verwendet, und wenn Sie Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen möchten (wenn die VCNs so konfiguriert sind, dass sie über ein Servicegateway privat eine Verbindung zur autonomen KI-Datenbank herstellen).

Mit dieser Option wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die auf einem privaten Endpunkt konfiguriert ist. Sie konfigurieren einen privaten Endpunkt für die Instanz der autonomen KI-Datenbank, wenn Sie die Instanz bereitstellen oder klonen oder wenn Sie die Netzwerkkonfiguration für eine vorhandene autonome KI-Datenbank aktualisieren. Im Folgenden finden Sie Details zu den Schritten zum Konfigurieren einer autonomen KI-Datenbankinstanz mit einem privaten Endpunkt:

Wenn der öffentliche Zugriff mit Öffentlichen Zugriff zulassen in einer privaten Endpunktdatenbank aktiviert ist, weist die Instanz sowohl einen privaten Endpunkt als auch einen öffentlichen Endpunkt auf:

  • Mit dem privaten Hostnamen, der Endpunkt-URL und der privaten IP-Adresse können Sie eine Verbindung zur Datenbank über das VCN herstellen, in dem sich die Datenbank befindet.

  • Mit dem öffentlichen Hostnamen können Sie eine Verbindung zur Datenbank von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zur autonomen KI-Datenbank herstellen.

Hinzufügen von Autonomous Database-Verbindungszeichenfolgen für eine private Endpunktdatenbank mit aktiviertem Public Access

Wenn Public Access zulassen für eine private Endpunktdatenbank aktiviert ist, gibt es zusätzliche Verbindungszeichenfolgen, mit denen Sie vom öffentlichen Endpunkt aus eine Verbindung zur Datenbank herstellen können:

  • Die Verbindungszeichenfolgen in tnsnames.ora im Wallet der autonomen KI-Datenbank enthalten die öffentlichen Verbindungszeichenfolgen, die für Verbindungen aus dem öffentlichen Internet verwendet werden sollen. Die Verbindungszeichenfolgen für den öffentlichen Endpunkt verwenden die folgende Benennungskonvention: 

    dbname_public_consumerGroup

    Beispiel:

    adbfinance_public_low

    Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Sie können die Verbindungszeichenfolgen für den öffentlichen Endpunkt und den privaten Endpunkt in der Oracle Cloud Infrastructure-Konsole (oder mit der API) anzeigen.

    Weitere Informationen finden Sie unter TNS-Namen und Verbindungszeichenfolgen für eine autonome KI-Datenbankinstanz anzeigen.

Autonomous Database-Tools-Ergänzungen für eine private Endpunktdatenbank mit aktiviertem Public Access

Wenn Öffentlichen Zugriff zulassen für eine private Endpunktdatenbank aktiviert ist, können Sie mit den Datenbanktools eine Verbindung von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zur autonomen KI-Datenbank herstellen:

  • Jedes Tool verfügt über eine private Zugriffs-URL und eine öffentliche Zugriffs-URL, die in der Toolkonfigurationstabelle angezeigt wird. Verwenden Sie die öffentliche Zugriffs-URL, um von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs auf das Tool zuzugreifen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zur autonomen KI-Datenbank herstellen.

    Beispiel:

    Beschreibung von adb_tools_status_private_public.png folgt
    Beschreibung der Abbildung adb_tools_status_private_public.png

    Weitere Informationen finden Sie unter Status der integrierten Tools für autonome KI-Datenbanken anzeigen.

  • Die Datei README in der Wallet-ZIP-Datei stellt sowohl einen Zugriffslink für den privaten Endpunkt für jedes Datenbanktool als auch einen Public Access-Link bereit.

    Weitere Informationen finden Sie unter Wallet README-Datei.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Sicherheit für ausgehende Verbindungen mit privaten Endpunkten

Wenn Sie einen privaten Endpunkt mit Ihrer autonomen KI-Datenbankinstanz verwenden, können Sie verbesserte Sicherheit bereitstellen, indem Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen.

Wenn Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen, wird durchgesetzt, dass alle ausgehenden Verbindungen zu einem Zielhost den Egress-Regeln des privaten Endpunkts unterliegen und von diesen begrenzt werden. Sie definieren Egress-Regeln in der Sicherheitsliste für das virtuelle Cloud-Netzwerk (VCN) oder in der Netzwerksicherheitsgruppe (NSG), die mit dem privaten Endpunkt der autonomen KI-Datenbankinstanz verknüpft ist.

Bevor Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS festlegen, konfigurieren Sie die Instanz der autonomen KI-Datenbank so, dass sie einen privaten Endpunkt verwendet. Weitere Informationen finden Sie unter Private Endpunkte konfigurieren.

Setzen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT, um anzugeben, dass alle ausgehenden Verbindungen den Egress-Regeln des privaten Endpunkt-VCN der Instanz der autonomen KI-Datenbank unterliegen. Mit dem Wert PRIVATE_ENDPOINT schränkt die Datenbank ausgehende Verbindungen zu Speicherorten ein, die durch die Egress-Regeln des privaten Endpunkts angegeben sind. Außerdem ändert sie die DNS-Auflösung, sodass Hostnamen mit dem DNS-Resolver des VCN aufgelöst werden (kein öffentlicher DNS-Resolver).

Hinweis

Wenn ROUTE_OUTBOUND_CONNECTIONS nicht auf PRIVATE_ENDPOINT gesetzt ist, werden alle ausgehenden Verbindungen zum öffentlichen Internet über das Network Address Translation-(NAT-)Gateway des Service-VCN geleitet. Wenn sich der Zielhost in diesem Fall auf einem öffentlichen Endpunkt befindet, unterliegen die ausgehenden Verbindungen nicht den privaten Endpunkt-VCN- oder NSG-Egress-Regeln der Instanz der autonomen KI-Datenbank.

Wenn Sie einen privaten Endpunkt für die Instanz der autonomen KI-Datenbank konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung die Verarbeitung ausgehender Verbindungen und die DNS-Auflösung für Folgendes:

Wenn Sie einen privaten Endpunkt für die Instanz der autonomen KI-Datenbank konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung die Verarbeitung ausgehender Verbindungen und DNS-Auflösung für Folgendes nicht:

  • Oracle REST Data Services (ORDS)

  • Datenbankaktionen

So legen Sie ROUTE_OUTBOUND_CONNECTIONS fest:

  1. Stellen Sie eine Verbindung zu Ihrer Datenbank her.
  2. Legen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS fest.

    Beispiel:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Hinweise zum Festlegen von ROUTE_OUTBOUND_CONNECTIONS:

  • Verwenden Sie den folgenden Befehl, um den Standardparameterwert wiederherzustellen:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • Verwenden Sie den folgenden Befehl, um den aktuellen Parameterwert abzufragen:

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Wenn die Eigenschaft nicht festgelegt ist, gibt die Abfrage keine Ergebnisse zurück.

  • Diese Eigenschaft gilt nur für Datenbanklinks, die Sie erstellen, nachdem Sie die Eigenschaft auf den Wert PRIVATE_ENDPOINT gesetzt haben. Daher verwenden Datenbanklinks, die Sie vor dem Festlegen der Eigenschaft erstellt haben, weiterhin das NAT-Gateway des Service-VCN und unterliegen nicht den Egress-Regeln des privaten Endpunkts der autonomen KI-Datenbankinstanz.

  • Setzen Sie ROUTE_OUTBOUND_CONNECTIONS nur auf den Wert PRIVATE_ENDPOINT, wenn Sie eine autonome KI-Datenbank mit einem privaten Endpunkt verwenden.

  • Wenn sich die Datenbank auf einem privaten Endpunkt befindet und die ausgehenden Verbindungen vom VCN aufgelöst werden sollen, müssen Sie den Parameter ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen.

Weitere Informationen zum Network Address Translation-(NAT-)Gateway finden Sie unter NAT-Gateway.

Hinweise zu privaten Endpunkten

Beschreibt Einschränkungen und Hinweise für private Endpunkte in einer autonomen KI-Datenbank.

  • Nachdem Sie den Netzwerkzugriff für die Verwendung eines privaten Endpunkts aktualisiert haben oder bei konfiguriertem privatem Endpunkt das Provisioning oder Klonen abgeschlossen ist, können Sie die Netzwerkkonfiguration auf der Seite "Details zur autonomen Datenbank" im Abschnitt Netzwerk anzeigen.

    Im Abschnitt Netzwerk werden die folgenden Informationen für einen privaten Endpunkt angezeigt:

    • Zugriffstyp: Gibt den Zugriffstyp für die Konfiguration der autonomen KI-Datenbank an. Für Konfigurationen privater Endpunkte wird der Zugriffstyp Virtual Cloud Network angezeigt.
    • Availability-Domain: Gibt die Availability-Domain Ihrer Autonomous Database-Instanz an.
    • Virtuelles Cloud-Netz: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte VCN.
    • Subnetz: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte Subnetz.
    • IP des privaten Endpunkts: Zeigt die IP des privaten Endpunkts für die Konfiguration des privaten Endpunkts an.
    • URL des privaten Endpunkts: Zeigt die URL des privaten Endpunkts für die Konfiguration des privaten Endpunkts an.
    • Netzwerksicherheitsgruppen: Dieses Feld enthält Links zu den mit dem privaten Endpunkt konfigurierten NSGs.
    • Öffentlicher Zugriff: Dieses Feld gibt an, ob der öffentliche Zugriff für den privaten Endpunkt aktiviert ist. Klicken Sie auf den Link Edit, um die zulässigen ACLs oder VCNs anzuzeigen oder zu ändern.
    • URL des öffentlichen Endpunkts: Wird angezeigt, wenn Öffentlichen Zugriff zulassen auf dem privaten Endpunkt aktiviert ist. Dies ist die öffentliche Endpunkt-URL, mit der Sie eine Verbindung von zulässigen IPs oder VCNs im öffentlichen Internet herstellen können.

    Weitere Details zu den Netzwerkinformationen in der Oracle Cloud Infrastructure-Konsole finden Sie unter Netzwerkinformationen in der OCI-Konsole anzeigen.

  • Nachdem das Provisioning oder Klonen abgeschlossen ist, können Sie die Konfiguration der autonomen KI-Datenbank so ändern, dass ein öffentlicher Endpunkt verwendet wird.

    Informationen zum Wechsel zu einem öffentlichen Endpunkt finden Sie unter Mit Autonomous AI Database von privaten zu öffentlichen Endpunkten wechseln.

  • Sie können bis zu fünf NSGs angeben, um den Zugriff auf Ihre autonome KI-Datenbank zu kontrollieren.

  • Sie können die Netzwerksicherheitsgruppe (NSG) des privaten Endpunkts für die autonome KI-Datenbank ändern.

    So ändern Sie die NSG für einen privaten Endpunkt:

    1. Wählen Sie auf der Seite "Autonome KI-Datenbanken" eine autonome KI-Datenbank aus den Links unter der Spalte Anzeigename aus.

    2. Klicken Sie auf der Seite Details zur autonomen Datenbank unter Netzwerk im Feld Netzwerksicherheitsgruppen auf Bearbeiten.

  • Sie können Ihre Oracle Analytics Cloud-Instanz mit Ihrer autonomen KI-Datenbank verbinden, die über einen privaten Endpunkt verfügt, und zwar wie bei einer On-Premise-Datenbank mit dem Data Gateway. Weitere Informationen finden Sie unter Data Gateway für Datenvisualisierungen konfigurieren und registrieren.

  • Die folgenden autonomen KI-Datenbanktools werden in Datenbanken unterstützt, die mit einem privaten Endpunkt konfiguriert sind:

    • Datenbankaktionen
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning-Notizbücher
    • Oracle REST Data Services
    • Oracle Database API für MongoDB

    Für den Zugriff auf diese Autonomous AI Database-Tools aus On-Premise-Umgebungen ist keine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous AI Database herstellen.

    Wenn Sie mit einem privaten Endpunkt in On-Premise-Umgebungen auf Oracle APEX, Database Actions, Oracle Graph Studio oder Oracle REST Data Services zugreifen, ohne die zusätzliche Konfiguration eines privaten Endpunkts abzuschließen, wird der folgende Fehler angezeigt: 

    404 Not Found

  • Nachdem Sie den Netzwerkzugriff zur Verwendung eines privaten Endpunkts aktualisiert haben, unterscheidet sich die URL für die Datenbanktools im Vergleich zur Verwendung eines öffentlichen Endpunkts. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

  • Neben den standardmäßig mit Autonomous AI Database vorkonfigurierten Oracle REST Data Services (ORDS) können Sie ein alternatives ORDS-Deployment konfigurieren, das weitere Konfigurationsoptionen bereitstellt und mit privaten Endpunkten verwendet werden kann. Weitere Informationen zu einem alternativen ORDS-Deployment, das mit privaten Endpunkten verwendet werden kann, finden Sie unterVom Kunden verwaltete Oracle REST Data Services in einer autonomen KI-Datenbank.

  • Das Ändern einer privaten IP-Adresse ist nach dem Provisioning oder Klonen einer Instanz nicht zulässig, unabhängig davon, ob die IP-Adresse automatisch zugewiesen wird, wenn Sie einen Wert in das Feld Private IP-Adresse eingeben.

Beispiele für die Konfiguration privater Endpunkte in einer autonomen KI-Datenbank

Zeigt verschiedene Beispiele für die Konfiguration privater Endpunkte (VCN) für Autonomous AI Database an.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Beispiel: Verbindung von Oracle Cloud Infrastructure-VCN herstellen

Demonstriert eine Anwendung, die in Oracle Cloud Infrastructure auf einer virtuellen Maschine (VM) in demselben VCN ausgeführt wird, das mit Ihrer autonomen KI-Datenbank konfiguriert ist.

Beschreibung von adb_private_endpoint1.png folgt
Beschreibung der Abbildung adb_private_endpoint1.png

Eine autonome AI-Datenbankinstanz wurde mit einem privaten Endpunkt im VCN mit dem Namen "Ihr VCN" konfiguriert. Das VCN umfasst zwei Subnetze: "SUBNET B" (CIDR 10.0.1.0/24) und "SUBNET A" (CIDR 10.0.2.0/24).

Die mit der autonomen AI-Datenbankinstanz verknüpfte Netzwerksicherheitsgruppe (NSG) wird als "NSG 1 - Sicherheitsregeln" angezeigt. Diese Netzwerksicherheitsgruppe definiert Sicherheitsregeln, die eingehenden und ausgehenden Traffic an und von der autonomen AI-Datenbankinstanz zulassen. Definieren Sie wie folgt eine Regel für die Autonomous AI Database-Instanz:

  • Für gegenseitige TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel hinzu, um Verbindungen von der Quelle zur Instanz der autonomen AI-Datenbank zuzulassen. Die Quelle wird auf den Adressbereich gesetzt, für die Sie eine Verbindung zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf1522.

  • Für die TLS-Authentifizierung fügen Sie für eine zustandsbehaftete Ingress-Regel hinzu, um Verbindungen von der Quelle zur Instanz der autonomen KI-Datenbank zuzulassen. Die Quelle ist auf den Adressbereich gesetzt, für die Sie eine Verbindung zur Datenbank zulassen möchten, für das IP-Protokoll ist auf TCP und den Zielportbereich auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt ein Beispiel einer zustandsbehafteten Sicherheitsregel zur Kontrolle des Traffics für die Instanz der autonomen KI-Datenbank:

Beschreibung von adb_private_vcn_nsg_stateful1.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful1.png

Die Anwendung, die eine Verbindung zur autonomen KI-Datenbank herstellt, wird auf einer VM in SUBNET B ausgeführt. Fügen Sie auch eine Sicherheitsregel hinzu, um Traffic zur und von der VM zuzulassen (wie gezeigt mit dem Label "NSG 2 - Sicherheitsregeln"). Sie können eine zustandsbehaftete Sicherheitsregel für die VM verwenden. Fügen Sie dazu eine Regel für Egress zu "NSG 2 - Sicherheitsregeln" hinzu (dies ermöglicht den Zugriff auf das Zielsubnetz A).

Die folgende Abbildung zeigt Beispiele für Sicherheitsregeln, die den Traffic für die VM kontrollieren:

Beschreibung von adb_private_vcn_rules2.png folgt
Beschreibung der Abbildung adb_private_vcn_rules2.png

Nachdem Sie die Sicherheitsregeln konfiguriert hat, kann Ihre Anwendung eine Verbindung zur Autonomous AI Database-Instanz mit dem Clientzugangsdaten-Wallet herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

Informationen zum Konfigurieren von Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen.

Beispiel: Verbindung von Ihrem Data Center zu einer autonomen KI-Datenbank herstellen

Zeigt, wie Sie von Ihrem On-Premise-Data Center aus eine private Verbindung zu einer autonomen KI-Datenbank herstellen. In diesem Szenario wird Traffic nicht über das öffentliche Internet übertragen.

Beschreibung von adb_private_endpoint2.png folgt
Beschreibung der Abbildung adb_private_endpoint2.png

Um eine Verbindung von Ihrem Data Center herzustellen, verbinden Sie das On-Premise-Netzwerk mit FastConnect mit dem VCN, und richten Sie dann ein dynamisches Routinggateway (DRG) ein. Um den privaten Endpunkt in einer autonomen KI-Datenbank aufzulösen, müssen Sie einen Eintrag in der Hostdatei des On-Premise-Clients hinzufügen. Beispiel: Datei /etc/hosts für Linux-Rechner. Beispiel: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie einen weiteren Eintrag mit derselben IP hinzu. Beispiel: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Sie finden die IP-Adresse und den FQDN des privaten Endpunkts wie folgt:

  • Die private IP wird auf der Detailseite der autonomen KI-Datenbank der Oracle Cloud Infrastructure-Konsole für die Instanz angezeigt.

  • Der FQDN wird in der Datei tnsnames.ora im Zugangsdaten-Wallet des Autonomous AI Database-Clients angezeigt.

Alternativ können Sie das private DNS von Oracle Cloud Infrastructure verwenden, um die DNS-Namensauflösung bereitzustellen. Weitere Informationen finden Sie unter Privates DNS.

In diesem Beispiel befindet sich ein dynamisches Routinggateway (DRG) zwischen dem On-Premise-Data Center und "Ihr VCN". Das VCN enthält die autonome KI-Datenbank. Außerdem wird eine Routentabelle für das mit der autonomen KI-Datenbank verknüpfte VCN für ausgehenden Traffic an CIDR 172.16.0.0/16 über das DRG angezeigt.

Definieren Sie nicht nur das DRG, sondern auch eine Network Security Group-(NSG-)Regel, um Traffic zur und von der autonomen KI-Datenbank zuzulassen. Fügen Sie dazu eine Regel für den Data-Center-CIDR-Bereich (172.16.0.0/16) hinzu. Definieren Sie in diesem Beispiel wie folgt eine Sicherheitsregel in "NSG 1":

  • Erstellen Sie für gegenseitige TLS-Authentifizierung eine zustandsbehaftete Regel, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel für zustandsbehafteten Ingress, bei der die Quelle dem Adressbereich entspricht, für den Sie die Verbindung zur Datenbank herstellen möchten, mit dem Protokoll auf TCP, dem Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und dem Zielport auf 1522.

  • Erstellen Sie für die TLS-Authentifizierung eine Regel für zustandsbehafteten Traffic, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel mit zustandsbehaftetem Ingress, bei der das Quellset auf den Adressbereich gesetzt ist, den Sie Verbindungen zur Datenbank zulassen möchten, und das Protokoll auf TCP, der Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und des Zielports auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt die Sicherheitsregel, die Traffic für die autonome AI-Datenbankinstanz kontrolliert:

Beschreibung von adb_private_vcn_nsg_stateful2.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful2.png

Nach der Konfiguration der Sicherheitsregel kann Ihre On-Premise-Datenbankanwendung über das Clientzugangsdaten-Wallet mit der Autonomous AI Database-Instanz eine Verbindung herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.