Documentación de Oracle Cloud Infrastructure

Acceda a Oracle APEX, Oracle REST Data Services y a las herramientas de base de datos incorporadas mediante una URL personalizada

Por defecto, el acceso a las aplicaciones de Oracle APEX, los puntos finales de REST y las herramientas de base de datos integradas en la base de datos de IA autónoma se realiza a través del nombre de dominio oraclecloudapps.com. Opcionalmente, puede configurar una URL personalizada (es decir, un dominio personalizado) que sea más relevante para su organización o proyecto.

Para ello, primero debe adquirir el nombre de dominio deseado y el certificado SSL coincidente de un proveedor de su elección.

Tema principal: Creación de aplicaciones con Oracle APEX en una base de datos de IA autónoma

Activar una URL personalizada en la base de datos de miembros de pool elástico

Con un nombre de dominio registrado y un certificado disponibles, para una base de datos en un pool flexible, puede activar fácilmente una URL personalizada en su base de datos de IA autónoma y configurar un dominio personalizado de URL personalizada para su instancia de base de datos de IA autónoma mediante un gateway de API.

Nota

  • Las URL personalizadas están soportadas por gateways de API de OCI que utilizan puntos finales HTTP, pero no por puntos finales basados en TCP como MongoDB y SQLNET.
  • La herramienta Oracle Machine Language (OML) no soporta la URL mnemónica.

Tema principal: Acceso a Oracle APEX, Oracle REST Data Services y a las herramientas de base de datos incorporadas mediante una URL personalizada

Registre su gateway de API con su DNS

En este capítulo se destaca la importancia de configurar el sistema de nombres de dominio (DNS) de Oracle Cloud Infrastructure (OCI) para configurar una URL personalizada.

Es necesario configurar el DNS para que apunte a un gateway de API de Oracle Cloud Infrastructure (OCI) para activar una URL personalizada, ya que el DNS es el sistema que traduce el nombre de dominio personalizado fácil de usar (por ejemplo, api.mycompany.com) en la dirección IP del punto final de gateway de API de OCI real. Sin configurar el DNS, el dominio personalizado no se resolverá en la IP pública del gateway de API de OCI y los usuarios no podrán acceder a sus API de OCI mediante la URL personalizada.

La configuración de DNS incluye tres componentes principales:
  • Propiedad y verificación del dominio:

    Un dominio personalizado requiere prueba de propiedad. El dominio debe estar registrado con un registrador de dominio autorizado, y usted debe tener control administrativo para administrar sus registros DNS. Esto garantiza que solo los propietarios legítimos puedan asignar su dominio personalizado (por ejemplo, examplehost.com) al punto final de OCI API Gateway.

  • certificados TLS para HTTPS:

    Como los gateways de API de OCI están protegidos con la seguridad de capa de transporte (TLS), un certificado TLS es obligatorio. Si utiliza el dominio por defecto (generado automáticamente) de Oracle, Oracle aprovisiona y mantiene automáticamente un certificado. Sin embargo, al utilizar un dominio personalizado, debe proporcionar su propio certificado TLS obtenido de una autoridad de certificación (CA) de confianza. Este certificado enlaza el dominio personalizado al gateway, lo que permite una comunicación cifrada y garantiza la confianza del cliente.

    Existen dos enfoques:

    • Utilizar un certificado gestionado por Oracle mediante el servicio OCI Certificates (autoemitido o importado de una CA).

    • Cargue su propio certificado personalizado, junto con la clave privada y los certificados intermedios.

  • Configuración de registro DNS:

    Una vez configurado el gateway de API de OCI y el certificado TLS, debe configurar el DNS para que el dominio personalizado se resuelva en el punto final público del gateway.

    Sin este proceso, las solicitudes entrantes al dominio personalizado no alcanzarían la puerta de enlace.

El DNS es como un puente entre su dominio personalizado y la infraestructura de gateway de API de OCI subyacente. Para que su URL personalizada sea accesible y funcional, debe apuntar sus registros DNS al gateway de API.

Pasos para configurar DNS para OCI API Gateway

Para configurar el DNS para que apunte a un gateway de API de OCI, debe realizar los siguientes pasos que implican la propiedad del dominio, los certificados TLS y la configuración del registro DNS.

Requisitos:
  • Debe ser propietario de un nombre de dominio registrado (ya sea gestionado en OCI DNS o en un proveedor de DNS externo) antes de que comience la configuración.
  • Debe adquirir un certificado TLS para su dominio personalizado desde una autoridad de certificación (CA) de terceros o mediante el servicio OCI Certificates.
  1. Crear y cargar un certificación TLS personalizada:

    • Genere una solicitud de firma de certificado (CSR) para su dominio, incluido su nombre de dominio completo (FQDN).

    • Utilice el servicio OCI Certificates o una CA de terceros para emitir el certificado.
    • Importe este certificado y la clave privada en OCI como recurso de certificado.

    Consulte Configuración de dominios personalizados y certificados TLS para obtener más información.

  2. Creación de un gateway de API en OCI:

    • Vaya a Developer Services > API Gateway en la consola de OCI.

    • Cree un gateway con los certificados TLS en la subred pública adecuada de la VCN.

    Después de la creación, mantenga una nota de API Gateway OCID ID que OCI genera automáticamente.

    Consulte Creación de un gateway de API para obtener más información.

  3. Configuración de registros DNS para el dominio:
    • Vaya a su sistema de gestión de DNS (ya sea un servicio de DNS de OCI o un proveedor de DNS externo, como la ruta 53) para configurar su asignación de DNS personalizada a la dirección IP pública de OCI API Gateway.

    Esto garantiza que el tráfico entrante para su dominio personalizado se resuelva en su dirección IP pública de OCI API Gateway.

    Después de la propagación de DNS, puede acceder a la URL personalizada (https://examplehost.com) y confirmar que se enruta a la dirección IP pública de OCI API Gateway.

También puede configurar una URL personalizada para la base de datos de IA autónoma desde la consola de servicio de Oracle Cloud Infrastructure para usuarios del pool elástico.

Activación de la entidad de recurso para acceder a los recursos de Oracle Cloud Infrastructure

Realice los siguientes pasos para activar la entidad de recurso en la base de datos de IA autónoma. Esto permite a la base de datos autenticar y acceder a los recursos de OCI de forma segura.

Como requisito, configure políticas y grupos dinámicos. Consulte Realización de requisitos previos para utilizar la entidad de recurso con una base de datos de IA autónoma para obtener más información.

Para activar una entidad de recurso en la base de datos de IA autónoma:

  1. Como usuario ADMIN, active la entidad de recurso para la instancia de base de datos de IA autónoma.

    Por ejemplo:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();

PL/SQL procedure successfully completed.
    Consulte ENABLE_RESOURCE_PRINCIPAL Procedure para obtener más información.

    Esto crea la credencial OCI$RESOURCE_PRINCIPAL.

  2. (Opcional) Este paso solo es necesario si desea otorgar acceso a la credencial de entidad de recurso a un usuario de base de datos que no sea el usuario ADMIN. Como usuario ADMIN, active la entidad de recurso para un usuario de base de datos especificado.

    Por ejemplo:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');

PL/SQL procedure successfully completed.

    Esto otorga al usuario acceso adb_user a la credencial OCI$RESOURCE_PRINCIPAL.

    Si desea que el usuario especificado tenga privilegios para activar la entidad de recurso para otros usuarios, defina el parámetro grant_option en TRUE.

    Por ejemplo:

    BEGIN
DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(
     username => 'adb_user',
     grant_option => TRUE);
END;
/

    Después de ejecutar este comando, adb_user puede activar la entidad de recurso para otro usuario. Por ejemplo, si se conecta como adb_user, puede ejecutar el siguiente comando: 

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');
    Consulte ENABLE_RESOURCE_PRINCIPAL Procedure para obtener más información.
  3. Verifique que la credencial de entidad de recurso esté activada.

    Por ejemplo, cuando el usuario ADMIN consulta la vista DBA_CREDENTIALS: 

    SELECT owner, credential_name FROM dba_credentials 
        WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN'; 

OWNER  CREDENTIAL_NAME
-----  ----------------------
ADMIN  OCI$RESOURCE_PRINCIPAL

    Por ejemplo, como usuario no ADMIN, consulte la vista ALL_TAB_PRIVS: 

    SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS
   WHERE grantee = 'ADB_USER' 
        AND table_name = 'OCI$RESOURCE_PRINCIPAL' 
        AND table_schema = 'ADMIN';

GRANTEE   TABLE_NAME                GRANTOR
--------- -----------------------   -------------
ADB_USER  OCI$RESOURCE_PRINCIPAL    ADMIN

La activación de la entidad de recurso en una instancia de base de datos de IA autónoma es una operación puntual. No es necesario volver a activar la entidad de recurso, a menos que ejecute DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL para desactivar la entidad de recurso.

Política de IAM para configurar una URL personalizada

Antes de configurar una URL personalizada para su instancia de Autonomous AI Database en su base de datos de miembros de pool elástico, debe otorgar permisos a la base de datos para gestionar los despliegues de OCI API Gateway

Para crear políticas de acceso en Oracle Cloud Infrastructure (OCI) como administrador de arrendamiento, siga estos pasos:
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
  2. Haga clic en Crear política.
  3. En la ventana Crear política, introduzca un nombre (por ejemplo, IntegrationGroupPolicy) y una descripción.
  4. En el Creador de política, seleccione Mostrar editor manual e introduzca las sentencias de política necesarias.
    La sintaxis típica para permitir que un grupo gestione despliegues de gateway de API es:

    • Permitir que el ID de grupo dinámico <dynamic group ocid> gestione despliegues de API en el compartimento <compartment name>

    • Permitir que el ID de grupo dinámico <dynamic group ocid> utilice api-gateways en el compartimento <compartment name>

    Ejemplo:
    • Permitir que el ID de grupo dinámico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq gestione despliegues de API en el compartimento adwtoolsqa
    • Permitir que el ID de grupo dinámico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq utilice api-gateways en el compartimento adwtoolsqa

    Esta sentencia de política permite al grupo ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq del dominio de administración gestionar y utilizar despliegues de gateway de API de OCI en el compartimento adwtoolsqa.

    Nota

    • Al definir sentencias de política, puede especificar verbos (como se utilizan en estos pasos) o permisos (normalmente utilizados por los usuarios avanzados).

    • Para obtener más información sobre las políticas, consulte:

      Funcionamiento de las pólizas y Referencia de pólizas en la Documentación de Oracle Cloud Infrastructure.

  5. Revise y cree la política.

Se validarán las sentencias de política y se mostrarán los errores de sintaxis.

Activar una URL personalizada en la base de datos de miembros de pool elástico

Siga estas instrucciones para configurar una URL personalizada para su instancia de base de datos de IA autónoma mediante la consola de servicio de Oracle Cloud Infrastructure.

  1. En la página Autonomous AI Database Details, en la lista desplegable Más acciones, seleccione Activar URL personalizada.
  2. En el cuadro de diálogo Configurar URL personalizada para herramientas de base de datos, seleccione Usar URL personalizada.
  3. Seleccione el compartimento de su gateway de API de OCI.
  4. Seleccione el gateway de API en la lista de nombres de gateway de API de OCI a los que tiene acceso.
  5. Especifique el nombre de dominio personalizado completo que debe aparecer en la URL y que está registrado con DNS.

    Por ejemplo, introduzca examplehost.com.


    Descripción de adb_configure_vanity_url.png a continuación
    Descripción de la ilustración adb_configure_vanity_url.png

    Haga clic en Configurar.

    Después de una configuración correcta, el separador Configuración de herramienta de la página Detalles de base de datos de IA autónoma muestra un nuevo campo denominado URL personalizada, junto con campos de URL personalizada adicionales en Oracle APEX y Database Actions.


    A continuación, se incluye la Descripción de adb-vanity-url-tool-configuration.png
    Descripción de la ilustración adb-vanity-url-tool-configuration.png

    Podrá acceder a las aplicaciones de usuario final y a las herramientas de desarrollador, como Oracle APEX y Database Actions, mediante su nombre de dominio personalizado o la URL de acceso público/privado en función del acceso a la red de su base de datos.

Activación de una URL personalizada en la base de datos de pool no flexible mediante un proxy inverso

Para una base de datos que no forma parte de un pool elástico, puede desplegar manualmente un equilibrador de carga de Oracle Cloud Infrastructure Load Balancer en su red virtual en la nube (VCN) utilizando su base de datos de IA autónoma como backend.

Su instancia de base de datos de IA autónoma debe estar configurada con un punto final privado en la misma VCN. Consulte Configuración de acceso de Red con puntos finales privados para más información.

Consulte las siguientes publicaciones para obtener detalles sobre cómo activar una URL personalizada para una base de datos fuera de un pool elástico: