Acerca de la conexión a una instancia de Autonomous Database

Después de crear usuarios de base de datos, las aplicaciones y las herramientas se conectan a bases de datos autónomas mediante Oracle Net Services (también conocido como SQL*Net). Oracle Net Services habilita una sesión de red desde una aplicación cliente a un servidor de Oracle Database.

Una vez que se establece una sesión de red, Oracle Net Services actúa como el mensajero de datos de la aplicación cliente y la base de datos. Es responsable de establecer y mantener la conexión entre la aplicación cliente y la base de datos, así como de intercambiar mensajes entre ellas.

Oracle Net Services soporta diversos tipos de conexión a una instancia de Autonomous Database, que incluyen:

  • Controlador JDBC Thin: para aplicaciones Java, el controlador JDBC Thin es un controlador Java puro. Muchas aplicaciones, incluida Oracle SQL Developer, admiten conexiones del controlador JDBC Thin.

  • JDBC OCI: que utilizan las aplicaciones de lenguaje Java. JDBC OCI agrega una capa sobre Oracle Call Interface para aplicaciones Java. La interfaz de línea de comandos de Oracle SQLcl utiliza JDBC OCI.

  • Oracle Call Interface (OCI): que utilizan muchas aplicaciones escritas en lenguaje C. Entre los ejemplos que utilizan Oracle Call Interface se incluyen utilidades de Oracle como Oracle SQL*Plus, SQL*Loader y Oracle Data Pump.

  • Controladores ODBC: que utilizan las aplicaciones que se ejecutan en Microsoft Windows y que se colocan en capas sobre Oracle Call Interface (OCI).

Los productos de terceros y las aplicaciones personalizadas pueden utilizar cualquiera de estos tipos de conexión.

Temas

Conexiones seguras a Autonomous Database con mTLS o con TLS

Las conexiones a Autonomous Database se realizan a través de la red pública de Internet, opcionalmente con reglas de control de acceso (ACL) definidas, o mediante un punto final privado dentro de una red virtual en la nube (VCN) en su arrendamiento.

Al especificar una configuración de punto final privado, esto solo permite el tráfico de la red virtual en la nube que especifique y bloquea el acceso a la base de datos desde todas las IP públicas o las VCN. La configuración de un punto final privado permite mantener todo el tráfico hacia y desde la base de datos fuera de Internet. Con un punto final privado, cuando el acceso público está activado con Permitir acceso público, la instancia tiene un punto final privado y un punto final público:

  • El nombre de host privado, la URL de punto final y la dirección IP privada permiten conectarse a la base de datos desde la VCN en la que reside la base de datos.

  • El nombre de host público permite conectarse a la base de datos desde direcciones IP públicas específicas o desde VCN específicas si esas VCN están configuradas para conectarse de forma privada a Autonomous Database mediante un gateway de servicio.

Muchas aplicaciones proporcionan soporte para más de un tipo de conexión, pero cada tipo de conexión a Autonomous Database utiliza autenticación de certificado y conexión a base de datos TCPS (TCP seguro) mediante el estándar TLS 1.2. Esto garantiza que no se produzca ningún acceso no autorizado a Autonomous Database y que las comunicaciones entre el cliente y el servidor se cifren por completo y no se puedan interceptar ni modificar.

Por defecto, Autonomous Database soporta conexiones TLS mutuas (mTLS) (utilice el puerto 1522 para conectarse a mTLS). Tiene la opción de configurar una instancia de Autonomous Database para soportar conexiones mTLS y TLS (utilice el puerto 1521 o 1522 para conectarse a TLS).

Hay ventajas para los clientes que utilizan la autenticación TLS con Autonomous Database, incluidas las siguientes:

  • No es necesario que las conexiones TLS descarguen una cartera. Para las conexiones TLS que utilizan el controlador JDBC Thin con JDK8 o superior, no es necesaria una cartera. Esto incluye conexiones procedentes de clientes como SQL Developer y línea de comandos SQL (SQLcl).

  • Los clientes que se conectan con TLS no necesitan preocuparse por la rotación de cartera. La rotación de cartera es un procedimiento normal para las conexiones mTLS.

  • Las conexiones TLS pueden ser más rápidas (lo que proporciona menos latencia de conexión). La autenticación TLS puede proporcionar una latencia de conexión reducida en comparación con mTLS.

  • Las conexiones TLS y mTLS no se excluyen mutuamente. La autenticación TLS mutua (mTLS) está activada por defecto y siempre disponible. Al activar la autenticación TLS, puede utilizar la autenticación mTLS o TLS.

  • El uso de la autenticación TLS no pone en peligro la comunicación completa cifrada entre un cliente y Autonomous Database.

Consulte Visualización de nombres de TNS y cadenas de conexión para una instancia de Autonomous Database para obtener detalles sobre la obtención de las cadenas de conexión mTLS para la instancia de Autonomous Database.

Acerca de la autenticación TLS mutua (mTLS)

Mediante la seguridad de capa de transporte mutuo (mTLS), los clientes se conectan a través de una conexión de base de datos TCPS (TCP seguro) mediante el uso del estándar TLS 1.2 con un certificado de autoridad de certificación (CA) de cliente de confianza.

Con la autenticación mutua, tanto la aplicación cliente como Autonomous Database se autentican entre sí. Autonomous Database utiliza la autenticación mTLS por defecto. Utilice el puerto 1522 para conectarse a una instancia de Autonomous Database con mTLS (la asignación de puerto 1522 no se puede cambiar).

La autenticación TLS mutua necesita que el cliente descargue u obtenga un certificado de CA de cliente de confianza para conectarse a una instancia de Autonomous Database. A continuación, Autonomous Database utiliza el certificado para autenticar el cliente. Esto proporciona mayor seguridad y especifica los clientes que se pueden comunicar con una instancia de Autonomous Database.

La autenticación de certificación con Mutual TLS utiliza una clave cifrada almacenada en una caja tanto en el cliente (donde se ejecuta la aplicación) como en el servidor (donde se ejecuta el servicio de base de datos en Autonomous Database). La clave del cliente debe coincidir con la clave del servidor para establecer una conexión. Una cartera contiene una recopilación de archivos, entre los que se incluyen la clave y otra información necesaria para conectarse a la instancia de Autonomous Database. Todas las comunicaciones entre el cliente y el servidor están cifradas.

Para proteger la conexión a la instancia de Autonomous Database, un administrador de servicio descarga las credenciales del cliente (archivos de cartera) de Autonomous Database. Si no es administrador de servicio de Autonomous Database, su administrador le proporcionará las credenciales de cliente. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

En la siguiente figura, se muestran las conexiones seguras de cliente a Oracle Autonomous Database a través de la Internet pública mediante conexiones TLS mutuas. Si configura su base de datos para utilizar puntos finales privados, no se utiliza la red pública de Internet y la conexión utiliza un punto final privado dentro de una red virtual en la nube (VCN) en su arrendamiento.

A continuación, se incluye la Descripción de autonomous-database.eps
Descripción de la ilustración autonomous-database.eps

Consulte Visualización de nombres de TNS y cadenas de conexión para una instancia de Autonomous Database para obtener detalles sobre la obtención de las cadenas de conexión mTLS para la instancia de Autonomous Database.

Acerca de la autenticación TLS

Mediante la seguridad de capa de transporte (TLS), los clientes se conectan a través de una conexión de base de datos TCPS (TCP seguro) utilizando TLS 1.2. Un cliente utiliza su lista de autoridades de certificación (CA) de confianza para validar el certificado raíz de CA del servidor. Si la CA emisora es de confianza, el cliente verifica que el certificado sea auténtico.

Esto permite al cliente y a Autonomous Database establecer la conexión cifrada antes de intercambiar mensajes. Utilice el puerto 1521 o 1522 para conectarse a una instancia de Autonomous Database con TLS (estas asignaciones de puerto no se pueden cambiar).

Al conectarse con la autenticación TLS mediante clientes del controlador JDBC Thin, incluidos Oracle SQL Developer y Oracle SQLcl, no es necesario descargar una cartera para proteger la conexión a la instancia de Autonomous Database. La autenticación TLS permite al cliente verificar la identidad del servicio de Autonomous Database para proporcionar una comunicación segura.

Según el tipo de cliente, una conexión TLS tiene el siguiente soporte con Autonomous Database:

  • Para conexiones con el controlador JDBC Thin mediante JDK8u162 o superior, incluidas las conexiones con Oracle SQL Developer y Oracle SQLcl, no es necesaria una cartera.

  • Los clientes de Oracle Call Interface (OCI) admiten la autenticación TLS sin una cartera si utiliza las siguientes versiones de cliente:

    • Oracle Instant Client/Oracle Database Client 19.13: solo en Linux x64

    • Oracle Instant Client/Oracle Database Client 19.14 (o posterior) y 21.5 (o posterior): solo en Linux x64 y Windows

  • Si el cliente se conecta con las versiones principales ODP.NET o ODP.NET gestionadas 19.13 o 21.4 (o superior) mediante la autenticación TLS, el cliente se puede conectar sin proporcionar una cartera.

Hay requisitos de acceso a la red para conexiones TLS. Consulte Requisitos de acceso de red para conexiones TLS para obtener más información.

Consulte Visualización de nombres de TNS y cadenas de conexión para una instancia de Autonomous Database para obtener más información sobre cómo obtener las cadenas de conexión de TLS para la instancia de Autonomous Database.

Conexión a Autonomous Database a través de un firewall

La mayoría de las organizaciones protegen las redes y los dispositivos de una red mediante un firewall. Un firewall controla el tráfico de red entrante y saliente mediante reglas que permiten el uso de ciertos puertos y el acceso a ciertas computadoras (o, más específicamente, direcciones IP o nombres de host). Una función importante de un firewall es proporcionar separación entre las redes internas y la red pública de Internet.

Cuando Autonomous Database se configura para acceso mediante la red pública de Internet, debe configurar el firewall para permitir el acceso a los servidores de Autonomous Database.

Para acceder a Autonomous Database con protección de un firewall, este debe permitir el uso del puerto especificado en la conexión a la base de datos al conectarse a los servidores de la conexión. Utilice el puerto 1522 para las conexiones mTLS de Autonomous Database (puede ver el número de puerto en la cadena de conexión del archivo tnsnames.ora en el archivo credentials ZIP). Por ejemplo, consulte el valor port en el siguiente archivo tnsnames.ora:

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

El firewall debe permitir el acceso a los servidores del dominio .oraclecloud.com mediante el puerto 1522. Para conectarse a Autonomous Database, según la configuración de red de su organización, puede que necesite utilizar un servidor proxy para acceder a este puerto o que necesite solicitar que el administrador de red abra este puerto.

Consulte Rangos de direcciones IP para obtener información sobre los rangos de direcciones IP públicas en Oracle Cloud Infrastructure. Debe permitir el tráfico a estos bloques de CIDR para garantizar el acceso a una instancia de Autonomous Database en un punto final público.

Uso de la continuidad de aplicaciones

La continuidad de aplicaciones oculta las interrupciones a los usuarios finales y a las aplicaciones mediante la recuperación del trabajo en ejecución para las sesiones de base de datos afectadas después de las interrupciones. La continuidad de aplicaciones realiza esta recuperación bajo la aplicación para que la interrupción aparezca en la aplicación como una ejecución ligeramente retrasada.

Nota

Por defecto, la continuidad de aplicaciones está desactivada.

Consulte Uso de la continuidad de aplicaciones en Autonomous Database para obtener más información sobre la continuidad de aplicaciones.