Oracle Cloud Infrastructure - Dokumentation

Sicherheitsregeln hinzufügen

Wenn Sie vor der Registrierung Ihrer Datenbank eine manuelle Verbindung zur Datenbank über einen privaten Oracle Data Safe-Endpunkt herstellen möchten, müssen Sie Ihrem virtuellen Cloud-Netzwerk (VCN) Sicherheitsregeln hinzufügen, um die Kommunikation zwischen Ihrer Datenbank und Oracle Data Safe zu ermöglichen. Der private Endpunkt stellt im Wesentlichen den Oracle Data Safe-Service in Ihrem VCN mit einer privaten IP-Adresse in einem Subnetz Ihrer Wahl dar.

Überblick

Wenn sich Ihre Datenbank in Oracle Cloud Infrastructure (OCI) befindet, müssen Sie den Sicherheitslisten oder der Netzwerksicherheitsgruppe (NSG) Ihres virtuellen Cloud-Netzwerks (VCN) in OCI eine Ingress-Sicherheitsregel und eine Egress-Sicherheitsregel hinzufügen. Sowohl zustandsbehaftete wie auch zustandslose Sicherheitsregeln sind zulässig. Die Ingress- und Egress-Regeln müssen nicht in derselben Sicherheitsliste, Netzwerksicherheitsgruppe oder demselben Compartment gespeichert werden.

  • Mit der Ingress-Sicherheitsregel kann Ihre Datenbank eingehenden Traffic vom privaten Oracle Data Safe-Endpunkt empfangen.

  • Mit der Egress-Sicherheitsregel kann der private Oracle Data Safe-Endpunkt Anforderungen an die Datenbank senden.

Wenn sich Ihre Datenbank außerhalb von OCI befindet, müssen Sie nur eine Egress-Sicherheitsregel in OCI hinzufügen. Sie müssen keine Ingress-Sicherheitsregel hinzufügen. In Ihrer eigenen Netzwerkumgebung müssen Sie jedoch zulassen, dass die Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfängt.

Es gibt zwei Ansätze, die Sie beim Hinzufügen der Sicherheitsregeln in OCI anwenden können. Der erste Ansatz besteht darin, die Kommunikation zwischen dem privaten Oracle Data Safe-Endpunkt und alle Datenbank-IP-Adressen innerhalb desselben Subnetzes (0.0.0.0/0) in OCI zuzulassen. Mit dieser Konfiguration kann der private Oracle Data Safe-Endpunkt eine Verbindung zu allen Datenbanken im Subnetz herstellen.

Der andere Ansatz besteht darin, spezifischer zu sein, indem separate Ingress- und Egress-Sicherheitsregeln wie folgt konfiguriert werden:

  • Ingress-Sicherheitsregel: Fügen Sie in der NSG oder Sicherheitsliste für die Datenbank eine Ingress-Regel hinzu, mit der die IP-Adresse des privaten Endpunkts der Datenbank auf dem Port der Datenbank eingehenden Traffic von der IP-Adresse des privaten Endpunkts von Oracle Data Safe von allen Ports empfangen kann.

  • Egress-Sicherheitsregel: Fügen Sie in der NSG oder Sicherheitsliste für den privaten Oracle Data Safe-Endpunkt eine Egress-Regel hinzu, mit der die IP-Adresse des privaten Endpunkts von Oracle Data Safe auf allen Ports Anforderungen an die IP-Adresse des privaten Endpunkts der Datenbank im Port der Datenbank senden kann. Wenn die Datenbank über mehrere IP-Adressen verfügt, müssen Sie eine Egress-Regel für jede IP-Adresse konfigurieren.

Weitere Informationen zu Sicherheitslisten und Netzwerksicherheitsgruppen finden Sie unter Zugriff und Sicherheit in der Oracle Cloud Infrastructure-Dokumentation.

Sicherheitsregeln für autonome KI-Datenbanken

Bei einer autonomen KI-Datenbank, die einen privaten Oracle Data Safe-Endpunkt verwendet, müssen Sie eine Ingress-Sicherheitsregel und eine Egress-Sicherheitsregel in Oracle Cloud Infrastructure hinzufügen.

  1. Rufen Sie die private IP-Adresse und die NSG oder Sicherheitsliste für Ihre Datenbank ab.

    • Die Netzwerkinformationen finden Sie unter Netzwerk auf der Seite Ihrer Datenbank in der Oracle Cloud Infrastructure-Konsole.

    • (Autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur) Rufen Sie das Subnetz oder die Floating-IP-Adressen (sofern bekannt) und den Namen der NSG oder Sicherheitsliste für Ihre Datenbank ab. Es können bis zu 8 Floating-IP-Adressen für die Datenbankknoten vorhanden sein.

  2. Rufen Sie die private IP-Adresse und die NSG oder Sicherheitsliste für Ihren privaten Oracle Data Safe-Endpunkt ab.

    • Die Netzwerkinformationen für den privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Öffnen Sie das VCN für die Datenbank.

  4. Erstellen Sie eine Ingress-Sicherheitsregel in der NSG oder Sicherheitsliste Ihrer Datenbank.

    • Beispiel für Autonomous AI Database Serverless mit nur privatem Endpunktzugriff: Die IP-Adresse des privaten Datenbankendpunkts (10.0.0.112/32) auf Port 1522 empfängt eingehenden Traffic von der IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe von allen Ports.

    • Beispiel für autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur: Der private Datenbankendpunkt auf Port 2484 empfängt eingehenden Traffic von der IP-Adresse des privaten Endpunkts von Oracle Data Safe (von allen Ports).

  5. Erstellen Sie eine Egress-Sicherheitsregel in der NSG oder Sicherheitsliste des privaten Oracle Data Safe-Endpunkts.

    • Beispiel für Autonomous AI Database Serverless mit nur privatem Endpunktzugriff: Die IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe für alle Ports sendet Anforderungen an die IP-Adresse des privaten Endpunkts der Datenbank (z.B. 10.0.0.112/32) auf dem Port der Datenbank (1522).

    • Beispiel 1 für Autonomous AI Database on Dedicated Exadata Infrastructure: Der private Endpunkt von Oracle Data Safe (von allen Ports) sendet Anforderungen an alle IP-Adressen im Subnetz der Datenbank auf Port 2484.

    • Beispiel 2 für autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur: Mit der Egress-Regel für jede Floating-IP-Adresse kann der private Oracle Data Safe-Endpunkt (von allen Ports) Anforderungen an die Floating-IP-Adresse auf Port 2484 senden.

Sicherheitsregeln für Oracle Cloud-Datenbanken

Bei einer Oracle Cloud-Datenbank müssen Sie eine Ingress-Sicherheitsregel und eine Egress-Sicherheitsregel in Oracle Cloud Infrastructure hinzufügen.

  1. Rufen Sie die IP-Adresse(n) und den NSG-Namen für den privaten Endpunkt der Datenbank ab.

    • Ihre Datenbankinformationen finden Sie in der Konsole Ihrer Datenbank in Oracle Cloud Infrastructure.

    • Ein Bare-Metal- oder VM-DB-System verfügt über eine private IP-Adresse.

    • Oracle Exadata Database Service on Dedicated Infrastructure kann über mehrere Floating-IP-Adressen für die Datenbankknoten verfügen. Es kann auch Scan-IP-Adressen für das Datenbanksystem enthalten. Oracle empfiehlt, eine der Scan-IP-Adressen zu verwenden. Eine Scan-IP-Adresse finden Sie unter "Netzwerk" auf der Registerkarte "DB-Systeminformationen" in Oracle Cloud Infrastructure. Alternativ können Sie die private Floating-IP-Adresse eines der Datenbankknoten eingeben.

  2. Rufen Sie die private IP-Adresse und den NSG-Namen für den privaten Oracle Data Safe-Endpunkt ab.

    • Die Informationen zum privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Öffnen Sie das VCN für die Datenbank.

  4. Erstellen Sie eine Ingress-Regel in der NSG der Datenbank.

    • Beispiel: Die IP-Adresse des privaten Endpunkts der Datenbank (10.0.0.112/32) auf Port 1521 empfängt eingehenden Traffic von der IP-Adresse des privaten Endpunkts von Oracle Data Safe (10.0.0.79/32) von allen Ports.

  5. Erstellen Sie eine Egress-Regel in der NSG des privaten Oracle Data Safe-Endpunkts.

    • Beispiel: Die IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe an allen Ports sendet Anforderungen an die IP-Adresse des privaten Endpunkts der Datenbank (10.0.0.112/32) an Port 1521.

    • (Oracle Exadata Database Service on Dedicated Infrastructure) Verwenden Sie eine der Scan-IP-Adressen für die Datenbank, oder verwenden Sie die private Floating-IP-Adresse eines der Datenbankknoten. Die Datenbankportnummer lautet 1521.

Sicherheitsregeln für Oracle Cloud@Customer-Datenbanken

Für eine Oracle Cloud@Customer-Datenbank, die einen privaten Oracle Data Safe-Endpunkt verwendet, müssen Sie eine Egress-Sicherheitsregel in Oracle Cloud Infrastructure erstellen.

Hinweis

Hinweis: Sie müssen keine Ingress-Sicherheitsregel in Oracle Cloud Infrastructure erstellen. Konfigurieren Sie stattdessen Ihr eigenes Netzwerk, damit die Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfangen kann.

  1. Rufen Sie die IP-Adresse(n) und den NSG-Namen für den privaten Endpunkt der Datenbank ab.

  2. Rufen Sie die private IP-Adresse und den NSG-Namen für den privaten Oracle Data Safe-Endpunkt ab.

    • Die Informationen zum privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Öffnen Sie das VCN für die Datenbank.

  4. Erstellen Sie eine Egress-Regel in der NSG oder Sicherheitsliste für den privaten Oracle Data Safe-Endpunkt.

    • (Oracle Exadata Database Service on Cloud@Customer-Datenbank) Konfigurieren Sie die Regel so, dass die Kommunikation zwischen dem privaten Oracle Data Safe-Endpunkt (von jedem Port aus) und allen Datenbankserver-VIPs und SCAN-Adressen (alle drei) zulässig ist. Nehmen Sie immer die Datenbankserver-VIPs in die Egress-Sicherheitsregel auf. Standardmäßig ist jedes Deployment von Oracle Exadata Database Service on Cloud@Customer mit einem Single Client Access Name (SCAN) verknüpft. Der SCAN ist mit 3 IP-Adressen verknüpft. Jede Datenbanksystemkonfiguration enthält Compute Nodes (Datenbankserver). Pro Compute Node im VM-Cluster ist eine Datenbankserver-VIP-Adresse vorhanden.

    • Beispiel für Oracle Exadata Database Service on Cloud@Customer: Mit der Egress-Regel kann der private Oracle Data Safe-Endpunkt (von jedem Port aus) Anforderungen an zwei Datenbankserver-VIPs (1.1.1.3 und 1.1.1.5) und drei SCAN-Adressen (1.1.1.6, 1.1.1.7 und 1.1.1.8) an Port 1521 senden.

      Das folgende Diagramm veranschaulicht den privaten Oracle Data Safe-Endpunkt, die Datenbank und die Egress-Sicherheitsregel.

      Beispiel einer Egress-Regel für Oracle Exadata Database Service on Cloud@Customer

      Beschreibung der Abbildung exacc-egress-rule.png

      Der folgende Screenshot zeigt die Oracle Exadata Database Service on Cloud@Customer-Netzwerkkonfiguration für das VM-Cluster in Oracle Cloud Infrastructure, in der Sie die SCAN-Adressen und Datenbankserver-VIPs finden.

      Screenshot der Oracle Exadata Database Service on Cloud@Customer-Netzwerkkonfiguration für das VM-Cluster in OCI

      Beschreibung der Abbildung exacc-network-configuration.png

Sicherheitsregel für On-Premise-Oracle-Datenbanken

Wenn Sie einen privaten Oracle Data Safe-Endpunkt für die Verbindung zur On-Premise-Oracle-Datenbank verwenden, müssen Sie eine Egress-Sicherheitsregel im virtuellen Cloud-Netzwerk (VCN) des privaten Endpunkts erstellen.

Hinweis

Hinweis: Sie müssen keine Ingress-Sicherheitsregel in Oracle Cloud Infrastructure erstellen. Konfigurieren Sie stattdessen Ihr eigenes Netzwerk, damit die Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfangen kann.

  1. Rufen Sie die private IP-Adresse Ihrer On-Premise-Oracle-Datenbank ab.

    • In der IP-Adresse wird der Oracle-Datenbank-Listener ausgeführt (Beispiel: 10.0.0.2).

    • Bei einer Real Application Cluster-(RAC-)Datenbank müssen Sie die IP-Adressen für die RAC-Datenbankknoten anstelle der SCAN-IP-Adressen angeben. Ob Sie alle Knoten in der RAC-Datenbank angeben, hängt davon ab, wie Sie die integrierbaren Datenbanken (PDBs) konfiguriert haben.

  2. Rufen Sie die private IP-Adresse und den Namen der NSG oder Sicherheitsliste für Ihren privaten Oracle Data Safe-Endpunkt ab.

    • Die Informationen zum privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Erstellen Sie eine Egress-Sicherheitsregel in der NSG oder Sicherheitsliste für den privaten Oracle Data Safe-Endpunkt.

    • Beispiel: Mit der Egress-Regel kann die IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe auf allen Ports Anforderungen an die private IP-Adresse der Datenbank (10.0.0.2/32) auf dem Port 1521 der Datenbank senden.

      Egress-Regel für eine On-Premise-Oracle-Datenbank

      Beschreibung der Abbildung s_egress-rule-onprem.png

Sicherheitsregeln für Oracle-Datenbanken auf Compute-Instanzen

Wenn sich Ihre Datenbank in Oracle Cloud Infrastructure (OCI) befindet, müssen Sie eine Ingress-Sicherheitsregel und eine Egress-Sicherheitsregel hinzufügen. Wenn sich Ihre Datenbank außerhalb von OCI befindet, erstellen Sie eine Egress-Sicherheitsregel in Oracle Cloud Infrastructure, und konfigurieren Sie Ihr eigenes Netzwerk, damit Ihre Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfangen kann.

  1. Rufen Sie die IP-Adresse und den Namen der NSG oder Sicherheitsliste für den privaten Endpunkt Ihrer Datenbank ab.

    • Ihre Datenbankinformationen finden Sie in der Konsole Ihrer Datenbank in Oracle Cloud Infrastructure

  2. Rufen Sie die IP-Adresse und den Namen der NSG oder Sicherheitsliste für den privaten Oracle Data Safe-Endpunkt ab.

    • Die Informationen zum privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Erstellen Sie eine Ingress-Sicherheitsregel im VCN für Ihre Datenbank, entweder in Oracle Cloud Infrastructure oder in einer Nicht-Oracle-Cloud-Umgebung.

    • Beispiel: Mit der Ingress-Regel kann die IP-Adresse des privaten Endpunkts (10.0.0.112/32) der Datenbank auf Port 1521 eingehenden Traffic von der IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe von allen Ports empfangen.

    • Wenn sich Ihre Datenbank außerhalb von OCI befindet, konfigurieren Sie Ihr eigenes Netzwerk, damit Ihre Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfangen kann.

  4. Erstellen Sie eine Egress-Sicherheitsregel im VCN für den privaten Endpunkt von Oracle Data Safe in Oracle Cloud Infrastructure.

    • Beispiel: Mit der Egress-Regel kann die IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe auf allen Ports Anforderungen an die IP-Adresse des privaten Endpunkts der Datenbank (10.0.0.112/32) auf Port 1521 der Datenbank senden.

Sicherheitsregel für Amazon RDS for Oracle

Wenn Sie einen privaten Oracle Data Safe-Endpunkt für die Verbindung zur Amazon RDS for Oracle-Datenbank verwenden, müssen Sie eine Egress-Sicherheitsregel im virtuellen Cloud-Netzwerk (VCN) des privaten Endpunkts erstellen.

Hinweis

Hinweis: Sie müssen keine Ingress-Sicherheitsregel in Oracle Cloud Infrastructure erstellen. Konfigurieren Sie stattdessen Ihr eigenes Netzwerk, damit die Datenbank Traffic vom privaten Oracle Data Safe-Endpunkt empfangen kann.

  1. Rufen Sie die private IP-Adresse Ihrer Amazon RDS for Oracle-Datenbank ab.

  2. Rufen Sie die private IP-Adresse und den Namen der NSG oder Sicherheitsliste für Ihren privaten Oracle Data Safe-Endpunkt ab.

    • Die Informationen zum privaten Oracle Data Safe-Endpunkt finden Sie auf der Seite Informationen zum privaten Endpunkt im Oracle Data Safe-Service in Oracle Cloud Infrastructure.

  3. Erstellen Sie eine Egress-Sicherheitsregel in der NSG oder Sicherheitsliste für den privaten Oracle Data Safe-Endpunkt.

    • Beispiel: Mit der Egress-Regel kann die IP-Adresse des privaten Endpunkts (10.0.0.79/32) von Oracle Data Safe auf allen Ports Anforderungen an die private IP-Adresse der Datenbank (10.0.0.2/32) auf dem Port 1521 der Datenbank senden.