Oracle Cloud Infrastructure-Dokumentation

Netzwerkzugriff mit privaten Endpunkten einrichten

Sie können angeben, dass Autonomous Database einen privaten Endpunkt innerhalb Ihres virtuellen Cloud-Netzwerks (VCN) in Ihrem Mandanten verwendet. Sie können einen privaten Endpunkt beim Provisioning oder Klonen der autonomen Datenbank konfigurieren oder zu einem privaten Endpunkt in einer vorhandenen Datenbank wechseln, die einen öffentlichen Endpunkt verwendet. So können Sie den gesamten Traffic zu und von der Datenbank aus dem öffentlichen Internet abhalten.

Wenn Sie die Konfiguration des virtuellen Cloud-Netzwerks angeben, ist nur Traffic aus dem angegebenen virtuellen Cloud-Netzwerk zulässig, und der Zugriff auf die Datenbank von allen öffentlichen IP-Adressen oder VCNs wird blockiert. Auf diese Weise können Sie Sicherheitsregeln auf Ebene der Sicherheitslisten oder der Netzwerksicherheitsgruppe (NSG) definieren und Ingress/Egress für Ihre Autonomous Database-Instanz angeben. Mit einem privaten Endpunkt und der Definition von Sicherheitslisten oder NSGs können Sie den Traffic zu und von Ihrer Autonomous Database-Instanz steuern.

Hinweis

Wenn Sie die Autonomous Database-Instanz so konfigurieren, dass ein privater Endpunkt verwendet wird, und Sie Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen möchten, wenn diese VCNs für eine private Verbindung zu Autonomous Database mit einem Servicegateway konfiguriert sind, wählen Sie die Option Öffentlichen Zugriff zulassen aus. Dadurch wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die mit einem privaten Endpunkt konfiguriert ist. Weitere Informationen finden Sie unter Privaten Endpunkt mit zulässigem öffentlichem Zugriff verwenden.

Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

Themen

Übergeordnetes Thema: Netzwerkzugriff mit Zugriffskontrollregeln (ACLs) und privaten Endpunkten verwalten

Private Endpunkte konfigurieren

Sie können angeben, dass Autonomous Database einen privaten Endpunkt verwendet, und ein virtuelles Cloud-Netzwerk (VCN) in Ihrem Mandanten für die Verwendung mit dem privaten Endpunkt konfigurieren.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Erforderliche Schritte zum Konfigurieren privater Endpunkte

Beschreibt die erforderlichen Schritte, die Sie ausführen müssen, bevor Sie einen privaten Endpunkt für eine Autonomous Database-Instanz konfigurieren.

Führen Sie die folgenden erforderlichen Schritte aus, bevor Sie einen privaten Endpunkt konfigurieren:

  • Legen Sie die erforderlichen Policys für die Ressourcen fest, mit denen Sie arbeiten. Weitere Informationen finden Sie unter Zum Verwalten privater Endpunkte erforderliche IAM-Policys.

  • Erstellen Sie ein VCN in der Region, die Ihre autonome Datenbank enthält. Weitere Informationen finden Sie unter VCNs und Subnetze.

  • Konfigurieren Sie ein Subnetz in dem mit DHCP-Standardoptionen konfigurierten VCN. Weitere Informationen finden Sie unter DNS im virtuellen Cloud-Netzwerk.

  • (Optional) Führen Sie den folgenden optionalen Schritt aus, bevor Sie einen privaten Endpunkt konfigurieren:

    Geben Sie eine Netzwerksicherheitsgruppe (NSG) im VCN an. Die NSG gibt Regeln für Verbindungen zur autonomen Datenbank an. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Zum Verwalten privater Endpunkte erforderliche IAM-Policys

Neben den zum Provisioning und Verwalten autonomer Datenbanken erforderlichen Policys sind einige Netzwerk-Policys zur Verwendung privater Endpunkte erforderlich.

In der folgenden Tabelle sind die IAM-Policys aufgeführt, die ein Cloud-Benutzer zum Hinzufügen eines privaten Endpunkts benötigt. Die aufgeführten Policys sind die Mindestanforderungen zum Hinzufügen eines privaten Endpunkts. Sie können auch eine allgemeinere Policy-Regel verwenden. Beispiel für eine Policy-Regel:

Allow group MyGroupName to manage virtual-network-family in tenancy

Diese Regel funktioniert auch, weil sie eine Obermenge ist, die alle erforderlichen Policys enthält.

Arbeitsvorgang Erforderliche IAM-Policys

Privaten Endpunkt konfigurieren

use vcns für das Compartment, in dem sich das VCN befindet

use subnets für das Compartment, in dem sich das VCN befindet

use network-security-groups für das Compartment, in dem sich die Netzwerksicherheitsgruppe befindet

manage private-ips für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem sich das VCN befindet

manage vnics für das Compartment, in dem die Datenbank bereitgestellt wird oder bereitgestellt werden soll

Autonomous Database nutzt den IAM-(Identity and Access Management)-Service, um Cloud-Benutzer zu authentifizieren und für Vorgänge zu autorisieren, die eine der Oracle Cloud Infrastructure-Schnittstellen verwenden (Konsole, REST-API, CLI, SDK oder andere).

Der IAM-Service verwendet Gruppen, Compartments und Policys, um zu steuern, welche Cloud-Benutzer auf welche Ressourcen zugreifen können. Insbesondere definiert eine Policy, welche Art von Zugriff eine Benutzergruppe auf eine bestimmte Art von Ressource in einem Compartment erhält. Weitere Informationen finden Sie unter Erste Schritte mit Policys.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Private Endpunkte beim Provisioning oder Klonen einer Instanz konfigurieren

Sie können beim Provisioning oder Klonen einer Autonomous Database-Instanz einen privaten Endpunkt konfigurieren.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine Instanz durch Provisioning bereitstellen oder klonen, die erforderlichen Schritte abgeschlossen haben und sich im Schritt Netzwerkzugriff auswählen des Provisioning- oder Klonvorgangs befinden:

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.


    Beschreibung von adb_private_vcn.png folgt
    Beschreibung der Abbildung adb_private_vcn.png

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen aus dem angegebenen privaten Netzwerk (VCN), aus Peer-VCNs und aus On-Premise-Netzwerken zulässig, die mit Ihrem VCN verbunden sind. Sie können eine Autonomous Database-Instanz auf einem privaten Endpunkt konfigurieren, um Verbindungen aus On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  2. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  3. Wählen Sie das Subnetz in Ihrem Compartment aus, um die Autonomous Database anzuschließen, oder klicken Sie auf Compartment ändern, wenn sich das Subnetz in einem anderen Compartment befindet, und wählen Sie das Compartment aus, das das das Subnetz enthält. Wählen Sie dann ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen für private Endpunkte anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  5. Gegenseitige TLS-Authentifizierung (mTLS) erforderlich.

    Die Optionen für Gegenseitige TLS-Authentifizierung (mTLS) erforderlich lauten:

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich deaktiviert ist, sind TLS- und mTLS-Verbindungen zulässig. Dies ist die Standardkonfiguration.

    • Wenn die Option Gegenseitige TLS-Authentifizierung (mTLS) erforderlich ausgewählt ist, sind nur mTLS-Verbindungen zulässig (TLS-Authentifizierung ist nicht zulässig).

    Weitere Informationen finden Sie unter Netzwerkoptionen so aktualisieren, dass TLS- oder nur gegenseitige TLS-(mTLS-)Authentifizierung in Autonomous Database zulässig ist.

  6. Führen Sie die verbleibenden Provisioning- oder Cloning-Schritte aus, wie unter Autonomous Database-Instanz bereitstellen, Autonomous Database-Instanz klone oder Autonomous Database aus einem Backup klonen angegeben.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Mit Autonomous Database von öffentlichen zu privaten Endpunkten wechseln

Wenn Ihre Autonomous Database-Instanz für die Verwendung eines öffentlichen Endpunkts konfiguriert ist, können Sie die Konfiguration in einen privaten Endpunkt ändern.

  1. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Netzwerkzugriff aktualisieren aus.

    Um eine Instanz von einem öffentlichen in einen privaten Endpunkt zu ändern, muss die Autonomous Database-Instanz den Status Verfügbar aufweisen (Lebenszyklusstatus: Verfügbar)

  2. Wählen Netzwerkzugriff aktualisieren im Dialogfeld "Nur Zugriff über privaten Endpunkt" aus.

    Dadurch wird der Bereich für die Konfiguration des privaten Zugriffs auf das virtuelle Cloud-Netzwerk eingeblendet.

    Beschreibung von adb_network_private_update.png folgt
    Beschreibung der Abbildung adb_network_private_update.png

    Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, sind nur Verbindungen aus dem angegebenen privaten Netzwerk (VCN), aus Peer-VCNs und aus On-Premise-Netzwerken zulässig, die mit Ihrem VCN verbunden sind. Sie können eine Autonomous Database-Instanz auf einem privaten Endpunkt konfigurieren, um Verbindungen aus On-Premise-Netzwerken zuzulassen. Ein Beispiel finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, blenden Sie Erweiterte Optionen anzeigen ein, und wählen Sie Öffentlichen Zugriff zulassen aus. Weitere Informationen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  3. Wählen Sie ein virtuelles Cloud-Netzwerk in Ihrem Compartment aus. Wenn sich das VCN in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie das Compartment mit dem VCN aus, und wählen Sie dann ein virtuelles Cloud-Netzwerk aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  4. Wählen Sie das Subnetz in Ihrem Compartment aus, um die Autonomous Database anzuschließen, oder klicken Sie auf Compartment ändern, wenn sich das Subnetz in einem anderen Compartment befindet, und wählen Sie das Compartment aus, das das das Subnetz enthält. Wählen Sie dann ein Subnetz aus.

    Weitere Informationen finden Sie unter VCNs und Subnetze.

  5. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen anzuzeigen.

    Weitere Informationen zu den erweiterten Optionen finden Sie unter Erweiterte Optionen für privaten Endpunkt konfigurieren.

  6. Klicken Sie auf Aktualisieren.
  7. Geben Sie im Dialogfeld Bestätigen den Autonomous Database-Namen ein, um die Änderung zu bestätigen.
  8. Klicken Sie im Dialogfeld Bestätigen auf Aktualisieren.

Der Lebenszyklusstatus ändert sich in Wird aktualisiert, bis der Vorgang abgeschlossen ist.

Hinweise zum Wechsel vom öffentlichen zum privaten Netzwerkzugriff:

  • Nach der Aktualisierung des Netzwerkzugriffstyps müssen alle Datenbankbenutzer ein neues Wallet abrufen und mit dem neuen Wallet auf die Datenbank zugreifen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Wenn ACLs für den öffentlichen Endpunkt definiert wurden, gelten diese nicht für den privaten Endpunkt.

  • Nachdem Sie den Netzwerkzugriff zur Verwendung eines privaten Endpunkts aktualisiert haben, unterscheidet sich die URL für die Datenbanktools im Vergleich zur Verwendung eines öffentlichen Endpunkts. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Konfiguration für einen privaten Endpunkt aktualisieren

Sie können einige Optionen in der Konfiguration eines privaten Endpunkts in einer vorhandenen Autonomous Database-Instanz ändern.

  1. Wählen Sie auf der Seite Details in der Dropdown-Liste Weitere Aktionen die Option Netzwerkzugriff aktualisieren aus.

    Daraufhin wird der Bereich "Netzwerkzugriff aktualisieren" angezeigt.

    Beschreibung von adb_network_access_private_update.png folgt
    Beschreibung der Abbildung adb_network_access_private_update.png
  2. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Wenn Sie Verbindungen von öffentlichen IP-Adressen oder von zulässigen IPs und VCNs zulassen möchten, haben Sie die folgenden Optionen:

    • Wählen Sie Sicherer Zugriff von überall aus.

    • Wählen Sie Sicherer Zugriff nur von zulässigen IPs und VCNs aus.

    • Wenn Sie Nur Zugriff auf privaten Endpunkt auswählen, werden erweiterte Optionen angezeigt, und Sie wählen Öffentlichen Zugriff zulassen aus. Definiert eine private Endpunktdatenbank, die sowohl einen privaten Endpunkt als auch einen öffentlichen Endpunkt enthält.

    1. Fügen Sie optional Netzwerksicherheitsgruppen (NSGs) hinzu.

      Um optional Verbindungen zur Autonomous Database-Instanz zuzulassen, definieren Sie Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Ihre Autonomous Database erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel mit zustandsbehaftetem Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, auf den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und den Zielportbereich auf 1521 oder 1522.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Ein- und ausgehende Verbindungen sind durch die Kombination von Ingress- und Egress-Regeln, die in NSGs definiert sind, und den mit dem VCN definierten Sicherheitslisten begrenzt. Wenn keine NSGs, Ingress- und Egress-Regeln in den Sicherheitslisten für das VCN definiert sind, gelten weiterhin. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zu Autonomous Database mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für die Konfiguration privater Endpunkte in Autonomous Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    2. Wählen Sie optional Öffentlichen Zugriff zulassen aus. Wenn diese Option bereits ausgewählt ist, können Sie Zugriffskontrollregeln für den öffentlichen Endpunkt konfigurieren, der mit der privaten Endpunktdatenbank konfiguriert ist.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen "Zugriffskontrolle konfigurieren" angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie eine der folgenden Optionen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block

        Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

        • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Klicken Sie auf Aktualisieren.

Wenn der Lebenszyklusstatus Verfügbar lautet, wenn Sie auf Aktualisieren klicken, wird der Lebenszyklusstatus in Wird upgegradet geändert, bis die Änderungen angewendet werden. Die Datenbank bleibt hochgefahren und zugänglich. Es kommt zu keinen Ausfallzeiten. Wenn die Aktualisierung abgeschlossen ist, wird der Lebenszyklusstatus wieder auf Verfügbar gesetzt.

Weitere Informationen finden Sie unter Hinweise zu privaten Endpunkten.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Optionen für privaten Endpunkt konfigurieren

Mit den erweiterten Zugriffsoptionen für privaten Endpunkt können Sie eine vom Benutzer angegebene private IP-Adresse und einen Hostnamen eingeben, eine oder mehrere Netzwerksicherheitsgruppen auswählen oder Details angeben, um den öffentlichen Zugriff auf eine private Endpunktdatenbank zuzulassen.

Bei diesen Schritten wird davon ausgegangen, dass Sie eine Autonomous Database-Instanz bereitstellen oder klonen oder von öffentlichem Zugriff auf privaten Zugriff für eine vorhandene Autonomous Database-Instanz wechseln, und Sie befinden sich im Schritt Netzwerkzugriff auswählen.

  1. Wählen Sie Nur Zugriff über privaten Endpunkt aus.

    Dadurch wird die Konfiguration für den privaten Zugriff auf das virtuelle Cloud-Netzwerk angezeigt.

  2. (Optional) Klicken Sie auf Erweiterte Optionen anzeigen, um zusätzliche Optionen für private Endpunkte anzuzeigen.

    Dadurch werden die erweiterten Optionen angezeigt.

    Beschreibung von adb_network_access_private_advanced.png folgt
    Beschreibung der Abbildung adb_network_access_private_advanced.png
    1. Geben Sie optional eine private IP-Adresse ein.

      Verwenden Sie dieses Feld, um eine benutzerdefinierte private IP-Adresse einzugeben. Die eingegebene private IP-Adresse muss im CIDR-Bereich des ausgewählten Subnetzes liegen.

      Wenn Sie keine benutzerdefinierte private IP-Adresse angeben, wird die IP-Adresse automatisch zugewiesen.

    2. Geben Sie optional ein Hostnamenspräfix ein.

      Dadurch wird ein Hostnamenspräfix für die autonome Datenbank angegeben und ein DNS-Name im folgenden Format mit der Datenbankinstanz verknüpft: 

      hostname_prefix.adb.region.oraclecloud.com

      Wenn Sie kein Hostnamenspräfix angeben, wird ein vom System generiertes Hostnamenspräfix angegeben.

    3. Fügen Sie optional Netzwerksicherheitsgruppen (NSGs) hinzu.

      Um optional Verbindungen zur Autonomous Database-Instanz zuzulassen, definieren Sie Sicherheitsregeln in einer NSG. Dadurch wird eine virtuelle Firewall für Ihre Autonomous Database erstellt.

      • Wählen Sie eine Netzwerksicherheitsgruppe in Ihrem Compartment aus, der die autonome Datenbank zugeordnet werden soll. Wenn sich die Netzwerksicherheitsgruppe in einem anderen Compartment befindet, klicken Sie auf Compartment ändern, wählen Sie ein anderes Compartment aus, und wählen Sie dann eine Netzwerksicherheitsgruppe in diesem Compartment aus.
      • Klicken Sie auf + Weitere Netzwerksicherheitsgruppe, um eine weitere Netzwerksicherheitsgruppe hinzuzufügen.
      • Klicken Sie auf x, um einen Netzwerksicherheitsgruppen-Eintrag zu entfernen.

      Definieren Sie wie folgt eine Sicherheitsregel für die für den privaten Endpunkt ausgewählte NSG:

      • Fügen Sie für gegenseitige TLS-(mTLS-)Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

      • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel mit zustandsbehaftetem Ingress hinzu, und setzen Sie die Quelle auf den Adressbereich, auf den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und den Zielportbereich auf 1521 oder 1522.

      • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

      Hinweis

      Ein- und ausgehende Verbindungen sind durch die Kombination von Ingress- und Egress-Regeln, die in NSGs definiert sind, und den mit dem VCN definierten Sicherheitslisten begrenzt. Wenn keine NSGs, Ingress- und Egress-Regeln in den Sicherheitslisten für das VCN definiert sind, gelten weiterhin. Weitere Informationen zum Arbeiten mit Sicherheitslisten finden Sie unter Sicherheitslisten.

      Weitere Informationen finden Sie unter Sichere Verbindungen zu Autonomous Database mit mTLS oder mit TLS.

      Beispiele finden Sie unter Beispiele für die Konfiguration privater Endpunkte in Autonomous Database.

      Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.

    4. Wählen Sie optional Öffentlichen Zugriff zulassen aus, und konfigurieren Sie Zugriffskontrollregeln, um einen öffentlichen Endpunkt für die private Endpunktdatenbank hinzuzufügen.

      Die Option "Öffentlichen Zugriff zulassen" ist nur verfügbar, wenn die Datenbank das ECPU-Compute-Modell verwendet.

      Wenn Sie Öffentlichen Zugriff zulassen auswählen, werden die Optionen "Zugriffskontrolle konfigurieren" angezeigt, um die zulässigen IP-Adressen, CIDR-Blöcke oder virtuellen Cloud-Netzwerke einzugeben, die eine Verbindung zur Datenbank herstellen können.

      Wählen Sie eine der folgenden Optionen:

      • IP-Adresse:

        Geben Sie im Feld Werte Werte für die IP-Adresse ein, Eine in einem Netzwerk-ACL-Eintrag angegebene IP-Adresse ist die im öffentlichen Internet sichtbare öffentliche IP-Adresse des Clients, dem Sie den Zugriff erteilen möchten. Beispiel: Bei einer Oracle Cloud Infrastructure-VM ist dies die IP-Adresse, die im Feld Öffentliche IP in der Oracle Cloud Infrastructure-Konsole für die betreffende VM angezeigt wird.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

        Wählen Sie optional Meine IP-Adresse hinzufügen aus, um Ihre aktuelle IP-Adresse zum ACL-Eintrag hinzuzufügen.

      • CIDR-Block:

        Geben Sie Werte für den CIDR-Block im Feld Werte ein. Der angegebene CIDR-Block ist der öffentliche CIDR-Block der im öffentlichen Internet sichtbaren Clients, den Sie Zugriff erteilen möchten.

      • Virtuelles Cloud-Netzwerk:

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        Mit dieser Option können Sie das VCN für die Verwendung mit einem Oracle Cloud Infrastructure Service Gateway angeben:

        • Wählen Sie im Feld Virtuelles Cloud-Netz das VCN aus, von dem Sie Zugriff erteilen möchten. Wenn Sie nicht über die Berechtigungen zum Anzeigen der VCNs in Ihrem Mandanten verfügen, ist diese Liste leer. Verwenden Sie in diesem Fall die Auswahl Virtuelles Cloud-Netz (OCID), um die OCID des VCN anzugeben.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.
      • Virtuelles Cloud-Netzwerk (OCID):

        Verwenden Sie diese Option, wenn die Netzwerkroute vom Client zur Datenbank über ein Oracle Cloud Infrastructure Service Gateway erfolgt. Weitere Informationen finden Sie unter Zugriff auf Oracle-Services: Servicegateway.

        • Geben Sie im Feld Werte die OCID des VCN ein, über das Sie Zugriff erteilen möchten.
        • Geben Sie optional im Feld "IP-Adressen oder CIDRs" private IP-Adressen oder private CIDR-Blöcke als durch Komma getrennte Liste ein, um bestimmte Clients im VCN zuzulassen.

      Wenn Sie mehrere IP-Adressen oder CIDR-Bereiche innerhalb desselben VCN angeben möchten, erstellen Sie nicht mehrere ACL-Einträge. Verwenden Sie einen ACL-Eintrag, und trennen Sie Werte für mehrere IP-Adressen oder CIDR-Bereiche durch Kommas.

  3. Führen Sie die restlichen Schritte zur Konfiguration des privaten Endpunkts aus.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Privaten Endpunkt mit zulässigem öffentlichen Zugriff verwenden

Wählen Sie die Option Öffentlichen Zugriff zulassen aus, wenn Sie eine Autonomous Database so konfigurieren möchten, dass ein privater Endpunkt verwendet wird, und wenn Sie Verbindungen von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs zulassen möchten (wenn die VCNs so konfiguriert sind, dass sie über ein Servicegateway privat eine Verbindung zu Autonomous Database herstellen).

Mit dieser Option wird ein öffentlicher Endpunkt für eine Datenbank hinzugefügt, die auf einem privaten Endpunkt konfiguriert ist. Sie konfigurieren einen privaten Endpunkt für Ihre Autonomous Database-Instanz, wenn Sie die Instanz bereitstellen oder klonen oder wenn Sie die Netzwerkkonfiguration für eine vorhandene Autonomous Database aktualisieren. Im Folgenden finden Sie Details zu den Schritten zum Konfigurieren einer Autonomous Database-Instanz mit einem privaten Endpunkt:

Wenn der öffentliche Zugriff mit Öffentlichen Zugriff zulassen in einer privaten Endpunktdatenbank aktiviert ist, weist die Instanz sowohl einen privaten Endpunkt als auch einen öffentlichen Endpunkt auf:

  • Mit dem privaten Hostnamen, der Endpunkt-URL und der privaten IP-Adresse können Sie eine Verbindung zur Datenbank über das VCN herstellen, in dem sich die Datenbank befindet.

  • Mit dem öffentlichen Hostnamen können Sie eine Verbindung zur Datenbank von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zu Autonomous Database herstellen.

Hinzufügen von Autonomous Database-Verbindungszeichenfolgen für eine private Endpunktdatenbank mit aktiviertem Public Access

Wenn Public Access zulassen für eine private Endpunktdatenbank aktiviert ist, gibt es zusätzliche Verbindungszeichenfolgen, mit denen Sie vom öffentlichen Endpunkt aus eine Verbindung zur Datenbank herstellen können:

  • Die Verbindungszeichenfolgen in tnsnames.ora im Autonomous Database-Wallet-ZIP enthalten die öffentlichen Verbindungszeichenfolgen, die für Verbindungen aus dem öffentlichen Internet verwendet werden sollen. Die Verbindungszeichenfolgen für den öffentlichen Endpunkt verwenden die folgende Benennungskonvention: 

    dbname_public_consumerGroup

    Beispiel:

    adbfinance_public_low

    Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

  • Sie können die Verbindungszeichenfolgen für den öffentlichen Endpunkt und den privaten Endpunkt in der Oracle Cloud Infrastructure-Konsole (oder mit der API) anzeigen.

    Weitere Informationen finden Sie unter TNS-Namen und Verbindungszeichenfolgen für eine Autonomous Database-Instanz anzeigen.

Autonomous Database-Tools-Ergänzungen für eine private Endpunktdatenbank mit aktiviertem Public Access

Wenn Öffentlichen Zugriff zulassen für eine private Endpunktdatenbank aktiviert ist, können Sie mit den Datenbanktools eine Verbindung von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs herstellen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zu Autonomous Database herstellen:

  • Jedes Tool verfügt über eine private Zugriffs-URL und eine öffentliche Zugriffs-URL, die in der Toolkonfigurationstabelle angezeigt wird. Mit der öffentlichen Zugriffs-URL können Sie von bestimmten öffentlichen IP-Adressen oder von bestimmten VCNs auf das Tool zugreifen, wenn diese VCNs so konfiguriert sind, dass sie über ein Servicegateway eine private Verbindung zu Autonomous Database herstellen.

    Beispiel:

    Beschreibung von adb_tools_status_private_public.png folgt
    Beschreibung der Abbildung adb_tools_status_private_public.png

    Weitere Informationen finden Sie unter Status von integrierten Autonomous Database-Tools anzeigen.

  • Die Datei README in der Wallet-ZIP-Datei stellt sowohl einen Zugriffslink für den privaten Endpunkt für jedes Datenbanktool als auch einen Public Access-Link bereit.

    Weitere Informationen finden Sie unter Wallet README-Datei.

Übergeordnetes Thema: Private Endpunkte konfigurieren

Erweiterte Sicherheit für ausgehende Verbindungen mit privaten Endpunkten

Wenn Sie einen privaten Endpunkt mit Ihrer Autonomous Database-Instanz verwenden, können Sie erweiterte Sicherheit bereitstellen, indem Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen.

Wenn Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf den Wert PRIVATE_ENDPOINT setzen, wird durchgesetzt, dass alle ausgehenden Verbindungen zu einem Zielhost den Egress-Regeln des privaten Endpunkts unterliegen und von diesen begrenzt werden. Sie definieren Egress-Regeln in der Sicherheitsliste für das virtuelle Cloud-Netzwerk (VCN) oder in der Netzwerksicherheitsgruppe (NSG), die mit dem privaten Endpunkt der Autonomous Database-Instanz verknüpft ist.

Bevor Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS festlegen, konfigurieren Sie die Autonomous Database-Instanz so, dass ein privater Endpunkt verwendet wird. Weitere Informationen finden Sie unter Private Endpunkte konfigurieren.

Setzen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT, um anzugeben, dass alle ausgehenden Verbindungen den Egress-Regeln des privaten Endpunkt-VCN der Autonomous Database-Instanz unterliegen. Mit dem Wert PRIVATE_ENDPOINT schränkt die Datenbank ausgehende Verbindungen zu Speicherorten ein, die durch die Egress-Regeln des privaten Endpunkts angegeben sind. Außerdem ändert sie die DNS-Auflösung, sodass Hostnamen mit dem DNS-Resolver des VCN aufgelöst werden (kein öffentlicher DNS-Resolver).

Hinweis

Wenn ROUTE_OUTBOUND_CONNECTIONS nicht auf PRIVATE_ENDPOINT gesetzt ist, werden alle ausgehenden Verbindungen zum öffentlichen Internet über das Network Address Translation-(NAT-)Gateway des Service-VCN geleitet. Wenn sich der Zielhost in diesem Fall auf einem öffentlichen Endpunkt befindet, unterliegen die ausgehenden Verbindungen nicht den Egress-Regeln des privaten Endpunkt-VCN oder der NSG der Autonomous Database-Instanz.

Wenn Sie einen privaten Endpunkt für Ihre Autonomous Database-Instanz konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung die Verarbeitung ausgehender Verbindungen und die DNS-Auflösung für Folgendes:

Wenn Sie einen privaten Endpunkt für Ihre Autonomous Database-Instanz konfigurieren und ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen, ändert diese Einstellung die Verarbeitung ausgehender Verbindungen und die DNS-Auflösung für Folgendes nicht:

  • Oracle REST Data Services (ORDS)

  • Datenbankaktionen

So legen Sie ROUTE_OUTBOUND_CONNECTIONS fest:

  1. Stellen Sie eine Verbindung zu Ihrer Datenbank her.
  2. Legen Sie die Datenbankeigenschaft ROUTE_OUTBOUND_CONNECTIONS fest.

    Beispiel:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Hinweise zum Festlegen von ROUTE_OUTBOUND_CONNECTIONS:

  • Verwenden Sie den folgenden Befehl, um den Standardparameterwert wiederherzustellen:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • Verwenden Sie den folgenden Befehl, um den aktuellen Parameterwert abzufragen:

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Wenn die Eigenschaft nicht festgelegt ist, gibt die Abfrage keine Ergebnisse zurück.

  • Diese Eigenschaft gilt nur für Datenbanklinks, die Sie erstellen, nachdem Sie die Eigenschaft auf den Wert PRIVATE_ENDPOINT gesetzt haben. Daher verwenden Datenbanklinks, die Sie vor dem Festlegen der Eigenschaft erstellt haben, weiterhin das NAT-Gateway des Service-VCN und unterliegen nicht den Egress-Regeln des privaten Endpunkts der Autonomous Database-Instanz.

  • Setzen Sie ROUTE_OUTBOUND_CONNECTIONS nur auf den Wert PRIVATE_ENDPOINT, wenn Sie Autonomous Database mit einem privaten Endpunkt verwenden.

  • Wenn sich die Datenbank auf einem privaten Endpunkt befindet und die ausgehenden Verbindungen vom VCN aufgelöst werden sollen, müssen Sie den Parameter ROUTE_OUTBOUND_CONNECTIONS auf PRIVATE_ENDPOINT setzen.

Weitere Informationen zum Network Address Translation-(NAT-)Gateway finden Sie unter NAT-Gateway.

Hinweise zu privaten Endpunkten

Beschreibt Einschränkungen und Hinweise für private Endpunkte in Autonomous Database.

  • Nachdem Sie den Netzwerkzugriff für die Verwendung eines privaten Endpunkts aktualisiert haben oder bei konfiguriertem privatem Endpunkt das Provisioning oder Klonen abgeschlossen ist, können Sie die Netzwerkkonfiguration auf der Seite "Details zur autonomen Datenbank" im Abschnitt Netzwerk anzeigen.

    Im Abschnitt Netzwerk werden die folgenden Informationen für einen privaten Endpunkt angezeigt:

    • Zugriffstyp: Gibt den Zugriffstyp für die Autonomous Database-Konfiguration an. Für Konfigurationen privater Endpunkte wird der Zugriffstyp Virtual Cloud Network angezeigt.
    • Availability-Domain: Gibt die Availability-Domain Ihrer Autonomous Database-Instanz an.
    • Virtuelles Cloud-Netz: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte VCN.
    • Subnetz: Enthält einen Link für das mit dem privaten Endpunkt verknüpfte Subnetz.
    • IP des privaten Endpunkts: Zeigt die IP des privaten Endpunkts für die Konfiguration des privaten Endpunkts an.
    • URL des privaten Endpunkts: Zeigt die URL des privaten Endpunkts für die Konfiguration des privaten Endpunkts an.
    • Netzwerksicherheitsgruppen: Dieses Feld enthält Links zu den mit dem privaten Endpunkt konfigurierten NSGs.
    • Öffentlicher Zugriff: Dieses Feld gibt an, ob der öffentliche Zugriff für den privaten Endpunkt aktiviert ist. Klicken Sie auf den Link Edit, um die zulässigen ACLs oder VCNs anzuzeigen oder zu ändern.
    • URL des öffentlichen Endpunkts: Wird angezeigt, wenn Öffentlichen Zugriff zulassen auf dem privaten Endpunkt aktiviert ist. Dies ist die öffentliche Endpunkt-URL, mit der Sie eine Verbindung von zulässigen IPs oder VCNs im öffentlichen Internet herstellen können.

    Weitere Details zu den Netzwerkinformationen in der Oracle Cloud Infrastructure-Konsole finden Sie unter Netzwerkinformationen in der OCI-Konsole anzeigen.

  • Nachdem das Provisioning oder Klonen abgeschlossen ist, können Sie die Konfiguration der autonomen Datenbank so ändern, dass ein öffentlicher Endpunkt verwendet wird.

    Informationen zum Wechseln zu einem öffentlichen Endpunkt finden Sie unter Mit Autonomous Database von privaten zu öffentlichen Endpunkten wechseln.

  • Sie können bis zu fünf NSGs angeben, um den Zugriff auf die autonome Datenbank zu kontrollieren.

  • Sie können die Netzwerksicherheitsgruppe (NSG) des privaten Endpunkts für die autonome Datenbank ändern.

    So ändern Sie die NSG für einen privaten Endpunkt:

    1. Wählen Sie auf der Seite "Autonome Datenbanken" unter den Links unter der Spalte Anzeigename eine Autonomous Database aus.

    2. Klicken Sie auf der Seite Details zur autonomen Datenbank unter Netzwerk im Feld Netzwerksicherheitsgruppen auf Bearbeiten.

  • Sie können Ihre Oracle Analytics Cloud-Instanz wie bei einer On-Premise-Datenbank über Data Gateway mit der autonomen Datenbank mit einem privaten Endpunkt verbinden. Weitere Informationen finden Sie unter Data Gateway für Datenvisualisierungen konfigurieren und registrieren.

  • Die folgenden Autonomous Database-Tools werden in Datenbanken unterstützt, die mit einem privaten Endpunkt konfiguriert sind:

    • Datenbankaktionen
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning-Notizbücher
    • Oracle REST Data Services
    • Oracle Database API für MongoDB

    Für den Zugriff auf diese Autonomous Database-Tools aus On-Premise-Umgebungen ist eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie unter Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen.

    Wenn Sie mit einem privaten Endpunkt in On-Premise-Umgebungen auf Oracle APEX, Database Actions, Oracle Graph Studio oder Oracle REST Data Services zugreifen, ohne die zusätzliche Konfiguration eines privaten Endpunkts abzuschließen, wird der folgende Fehler angezeigt: 

    404 Not Found

  • Nachdem Sie den Netzwerkzugriff zur Verwendung eines privaten Endpunkts aktualisiert haben, unterscheidet sich die URL für die Datenbanktools im Vergleich zur Verwendung eines öffentlichen Endpunkts. Sie finden die aktualisierten URLs nach dem Wechsel von einem öffentlichen zu einem privaten Endpunkt in der Konsole.

  • Neben den standardmäßig mit Autonomous Database vorkonfigurierten Oracle REST Data Services (ORDS) können Sie ein alternatives ORDS-Deployment konfigurieren, das weitere Konfigurationsoptionen bereitstellt und mit privaten Endpunkten verwendet werden kann. Weitere Informationen zu einem alternativen ORDS-Deployment, das mit privaten Endpunkten verwendet werden kann, finden Sie unter Vom Kunden verwaltete Oracle REST Data Services in Autonomous Database.

  • Das Ändern einer privaten IP-Adresse ist nach dem Provisioning oder Klonen einer Instanz nicht zulässig, unabhängig davon, ob die IP-Adresse automatisch zugewiesen wird, wenn Sie einen Wert in das Feld Private IP-Adresse eingeben.

Beispiele für die Konfiguration privater Endpunkte in Autonomous Database

Zeigt mehrere Beispiele für die Konfiguration privater Endpunkte (VCN) für Autonomous Database an.

Übergeordnetes Thema: Netzwerkzugriff mit privaten Endpunkten konfigurieren

Beispiel: Verbindung von Oracle Cloud Infrastructure-VCN herstellen

Demonstriert eine Anwendung, die in Oracle Cloud Infrastructure auf einer virtuellen Maschine (VM) in dem mit der autonomen Datenbank konfigurierten VCN ausgeführt wird.

Beschreibung von adb_private_endpoint1.png folgt
Beschreibung der Abbildung adb_private_endpoint1.png

Eine Autonomous Database-Instanz wurde mit einem privaten Endpunkt im VCN mit dem Namen "Ihr VCN" konfiguriert. Das VCN umfasst zwei Subnetze: "SUBNET B" (CIDR 10.0.1.0/24) und "SUBNET A" (CIDR 10.0.2.0/24).

Die mit der Autonomous Database-Instanz verknüpfte Netzwerksicherheitsgruppe (NSG) wird als "NSG 1 - Sicherheitsregeln" angezeigt. Diese Netzwerksicherheitsgruppe definiert Sicherheitsregeln, die eingehenden und ausgehenden Traffic an die und von der Autonomous Database-Instanz zulassen. Definieren Sie wie folgt eine Regel für die Autonomous Database-Instanz:

  • Fügen Sie für gegenseitige TLS-Authentifizierung eine Regel für zustandsbehafteten Ingress hinzu, um Verbindungen von der Quelle zur Autonomous Database-Instanz zuzulassen. Setzen Sie die Quelle auf den Adressbereich, für den Sie Verbindungen zur Datenbank zulassen möchten, das IP-Protokoll auf TCP und den Zielportbereich auf 1522.

  • Für die TLS-Authentifizierung fügen Sie für zustandsbehafteten Ingress eine Regel hinzu, um Verbindungen von der Quelle zur Autonomous Database-Instanz zuzulassen. Die Quelle ist auf den Adressbereich gesetzt, für die Sie eine Verbindung zur Datenbank zulassen möchten, das IP-Protokoll ist auf TCP und der Zielportbereich ist auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt ein Beispiel für eine zustandsbehaftete Sicherheitsregel zur Kontrolle des Traffics für die Autonomous Database-Instanz:

Beschreibung von adb_private_vcn_nsg_stateful1.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful1.png

Die Anwendung, die eine Verbindung zur autonomen Datenbank herstellt, wird auf einer VM in SUBNET B ausgeführt. Fügen Sie auch eine Sicherheitsregel hinzu, um Traffic zur und von der VM zuzulassen (wie gezeigt mit dem Label "NSG 2 - Sicherheitsregeln"). Sie können eine zustandsbehaftete Sicherheitsregel für die VM verwenden. Fügen Sie dazu eine Regel für Egress zu "NSG 2 - Sicherheitsregeln" hinzu (dies ermöglicht den Zugriff auf das Zielsubnetz A).

Die folgende Abbildung zeigt Beispiele für Sicherheitsregeln, die den Traffic für die VM kontrollieren:

Beschreibung von adb_private_vcn_rules2.png folgt
Beschreibung der Abbildung adb_private_vcn_rules2.png

Nachdem Sie die Sicherheitsregeln konfiguriert haben, kann Ihre Anwendung mit dem Clientzugangsdaten-Wallet eine Verbindung zur Autonomous Database-Instanz herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.

Informationen zum Konfigurieren von Netzwerksicherheitsgruppen finden Sie unter Netzwerksicherheitsgruppen.

Beispiel: Verbindung von Ihrem Data Center zu Autonomous Database herstellen

Demonstriert, wie Sie von Ihrem On-Premise-Data Center eine private Verbindung zu einer autonomen Datenbank herstellen. In diesem Szenario wird Traffic nicht über das öffentliche Internet übertragen.

Beschreibung von adb_private_endpoint2.png folgt
Beschreibung der Abbildung adb_private_endpoint2.png

Um eine Verbindung von Ihrem Data Center herzustellen, verbinden Sie das On-Premise-Netzwerk mit FastConnect mit dem VCN, und richten Sie dann ein dynamisches Routinggateway (DRG) ein. Um den privaten Autonomous Database-Endpunkt in einen vollqualifizierter Domainname (FQDN) aufzulösen, müssen Sie einen Eintrag in der Hostdatei des On-Premise-Clients hinzufügen. Beispiel: Datei /etc/hosts für Linux-Rechner. Beispiel: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie einen weiteren Eintrag mit derselben IP hinzu. Beispiel: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Sie finden die IP-Adresse und den FQDN des privaten Endpunkts wie folgt:

  • Die private IP-Adresse wird in der Oracle Cloud Infrastructure-Konsole auf der Seite "Details der autonomen Datenbank" für die Instanz angezeigt.

  • Der FQDN wird in der Datei tnsnames.ora im Clientzugangsdaten-Wallet der autonomen Datenbank angezeigt.

Alternativ können Sie das private DNS von Oracle Cloud Infrastructure verwenden, um die DNS-Namensauflösung bereitzustellen. Weitere Informationen finden Sie unter Privates DNS.

In diesem Beispiel befindet sich ein dynamisches Routinggateway (DRG) zwischen dem On-Premise-Data Center und "Ihr VCN". Das VCN enthält die autonome Datenbank. Außerdem wird eine Routentabelle für das mit der autonomen Datenbank verknüpfte VCN für ausgehenden Traffic zu CIDR 172.16.0.0/16 über das DRG angezeigt.

Definieren Sie neben dem DRG auch eine Netzwerksicherheitsgruppen-(NSG-)Regel, um Traffic zur und von der autonomen Datenbank zuzulassen. Fügen Sie dazu eine Regel für den Data Center-CIDR-Bereich (172.16.0.0/16) hinzu. Definieren Sie in diesem Beispiel wie folgt eine Sicherheitsregel in "NSG 1":

  • Erstellen Sie für gegenseitige TLS-Authentifizierung eine zustandsbehaftete Regel, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel für zustandsbehafteten Ingress, bei der die Quelle dem Adressbereich entspricht, für den Sie die Verbindung zur Datenbank herstellen möchten, mit dem Protokoll auf TCP, dem Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und dem Zielport auf 1522.

  • Erstellen Sie für die TLS-Authentifizierung eine Regel für zustandsbehafteten Traffic, um Ingress-Traffic vom Data Center zuzulassen. Dies ist eine Regel mit zustandsbehaftetem Ingress, bei der das Quellset auf den Adressbereich gesetzt ist, den Sie Verbindungen zur Datenbank zulassen möchten, das Protokoll auf TCP, der Quellportbereich auf den CIDR-Bereich (172.16.0.0/16) und den Zielport auf 1521 oder 1522 gesetzt.

  • Um Oracle APEX, Database Actions und Oracle REST Data Services zu verwenden, fügen Sie der NSG-Regel den Port 443 hinzu.

Die folgende Abbildung zeigt die Sicherheitsregel, die den Traffic für die Autonomous Database-Instanz kontrolliert:

Beschreibung von adb_private_vcn_nsg_stateful2.png folgt
Beschreibung der Abbildung adb_private_vcn_nsg_stateful2.png

Nachdem Sie die Sicherheitsregel konfiguriert haben, kann die On-Premise-Datenbankanwendung mit dem Clientzugangsdaten-Wallet eine Verbindung zur Autonomous Database-Instanz herstellen. Weitere Informationen finden Sie unter Clientzugangsdaten (Wallets) herunterladen.