Documentación de Oracle Cloud Infrastructure

Acerca de la conexión a una instancia de Autonomous Database

Después de crear usuarios de base de datos, las aplicaciones y las herramientas se conectan a instancias de Autonomous Database mediante Oracle Net Services (también conocido como SQL*Net). Oracle Net Services habilita una sesión de red desde una aplicación cliente a un servidor de Oracle Database.

Una vez que se establece una sesión de red, Oracle Net Services actúa como el mensajero de datos de la aplicación cliente y la base de datos. Es responsable de establecer y mantener la conexión entre la aplicación cliente y la base de datos, así como de intercambiar mensajes entre ellas.

Oracle Net Services soporta diversos tipos de conexión a una instancia de Autonomous Database, que incluyen:

  • Controlador JDBC Thin: para aplicaciones Java, el controlador JDBC Thin es un controlador Java puro. Muchas aplicaciones, incluida Oracle SQL Developer, soportan conexiones del controlador JDBC Thin.

  • OCI de JDBC: que utilizan las aplicaciones de lenguaje Java. JDBC OCI agrega una capa sobre Oracle Call Interface para aplicaciones Java. La interfaz de línea de comandos de Oracle SQLcl utiliza JDBC OCI.

  • Oracle Call Interface (OCI): used by many applications written in C language. Entre los ejemplos que utilizan Oracle Call Interface se incluyen utilidades de Oracle como Oracle SQL*Plus, SQL*Loader y Oracle Data Pump.

  • Controladores ODBC: que utilizan las aplicaciones que se ejecutan en Microsoft Windows y que se colocan en capas sobre Oracle Call Interface (OCI).

Los productos de terceros y las aplicaciones personalizadas pueden utilizar cualquiera de estos tipos de conexión.

  • Conexiones seguras a Autonomous Database
    Las conexiones a Autonomous Database se realizan a través de la Internet pública, opcionalmente con reglas de control de acceso (ACL) definidas, o mediante un punto final privado dentro de una red virtual en la nube (VCN) en su arrendamiento.
  • Conexión a Autonomous Database a través de un firewall
    La mayoría de las organizaciones protegen las redes y los dispositivos de una red mediante un firewall. Un firewall controla el tráfico de red entrante y saliente mediante reglas que permiten el uso de ciertos puertos y el acceso a ciertas computadoras (o, más específicamente, direcciones IP o nombres de host). Una función importante de un firewall es proporcionar separación entre las redes internas y la red pública de Internet.
  • Uso de la continuidad de aplicaciones
    La continuidad de aplicaciones oculta las interrupciones a los usuarios finales y a las aplicaciones mediante la recuperación del trabajo en ejecución para las sesiones de base de datos afectadas después de las interrupciones. La continuidad de aplicaciones realiza esta recuperación bajo la aplicación para que la interrupción aparezca en la aplicación como una ejecución ligeramente retrasada.

Tema principal: Conexión a Autonomous Database

Conexiones seguras a Autonomous Database

Las conexiones a Autonomous Database se realizan a través de la Internet pública, opcionalmente con reglas de control de acceso (ACL) definidas, o mediante un punto final privado dentro de una red virtual en la nube (VCN) en su arrendamiento.

Al especificar una configuración de punto final privado, esto solo permite el tráfico de la red virtual en la nube que especifique y bloquea el acceso a la base de datos desde todas las IP públicas o las VCN. La configuración de un punto final privado permite mantener todo el tráfico hacia y desde la base de datos fuera de Internet. Con un punto final privado, cuando el acceso público está activado con Permitir acceso público, la instancia tiene un punto final privado y un punto final público:

  • El nombre de host privado, la URL de punto final y la dirección IP privada permiten conectarse a la base de datos desde la VCN en la que reside la base de datos.

  • El nombre de host público permite conectarse a la base de datos desde las IP y las VCN permitidas a través de la red pública de Internet.

Muchas aplicaciones proporcionan soporte para más de un tipo de conexión, pero cada tipo de conexión a Autonomous Database utiliza autenticación de certificado y conexión a base de datos TCPS (TPS seguro) mediante el estándar TLS 1.2. Esto garantiza que no se produzca ningún acceso no autorizado a Autonomous Database y que las comunicaciones entre el cliente y el servidor estén totalmente cifradas y no se puedan interceptar ni modificar.

Autonomous Database soporta por defecto conexiones TLS mutuas (mTLS) (utilice el puerto 1522 para conectarse con mTLS). Tiene la opción de configurar una instancia de Autonomous Database para soportar tanto conexiones mTLS y TLS (utilice el puerto 1521 para conectarse con TLS).

Hay ventajas para los clientes que utilizan la autenticación TLS con Autonomous Database, incluidas las siguientes:

  • No es necesario que las conexiones TLS descarguen una cartera. Para las conexiones TLS que utilizan el controlador JDBC Thin con JDK8 o superior, no es necesaria una cartera. Esto incluye conexiones procedentes de clientes como SQL Developer y línea de comandos SQL (SQLcl).

  • Los clientes que se conectan con TLS no necesitan preocuparse por la rotación de cartera. La rotación de cartera es un procedimiento normal para las conexiones mTLS.

  • Las conexiones TLS pueden ser más rápidas (lo que proporciona menos latencia de conexión). La autenticación TLS puede proporcionar una latencia de conexión reducida en comparación con mTLS.

  • Las conexiones TLS y mTLS no se excluyen mutuamente. La autenticación TLS mutua (mTLS) está activada por defecto y siempre disponible. Al activar la autenticación TLS, puede utilizar la autenticación mTLS o TLS.

  • El uso de la autenticación TLS no pone en peligro la comunicación completa cifrada entre un cliente y Autonomous Database.

Temas

  • Acerca de la autenticación TLS mutua (mTLS)
    Mediante la seguridad de capa de transporte mutuo (mTLS), los clientes se conectan a través de una conexión de base de datos TCPS ( TCP seguro) mediante el uso del estándar TLS 1.2 con un certificado de autoridad de certificación (CA) de cliente de confianza. Con la autenticación mutua, tanto la aplicación cliente como Autonomous Database se autentican. Autonomous Database utiliza la autenticación mTLS por defecto (utilice el puerto 1522 para conectarse a mTLS).
  • Acerca de la autenticación TLS
    Mediante la seguridad de capa de transporte (TLS), los clientes se conectan a través de una conexión de base de datos TCPS ( TCP seguro) utilizando TLS 1.2. Un cliente utiliza su lista de autoridades de certificado (CA) de confianza para validar el certificado raíz de CA del servidor. Si la CA emisora es de confianza, el cliente verifica que el certificado sea auténtico. Esto permite al cliente y a Autonomous Database establecer la conexión cifrada antes de intercambiar mensajes (utilice el puerto 1521 para conectarse a TLS).

Tema principal: Acerca de la conexión a una instancia de Autonomous Database

Acerca de la autenticación TLS mutua (mTLS)

Mediante la seguridad de capa de transporte mutuo (mTLS), los clientes se conectan a través de una conexión de base de datos TCPS (TCP seguro) mediante el uso del estándar TLS 1.2 con un certificado de autoridad de certificación (CA) de cliente de confianza. Con la autenticación mutua, tanto la aplicación cliente como Autonomous Database se autentican. Autonomous Database utiliza la autenticación mTLS por defecto (utilice el puerto 1522 para conectarse a mTLS).

La autenticación TLS mutua requiere que el cliente descargue u obtenga un certificado de CA de cliente de confianza para conectarse a una instancia de Autonomous Database. A continuación, Autonomous Database utiliza el certificado para autenticar el cliente. Esto proporciona mayor seguridad y especifica los clientes que se pueden comunicar con una instancia de Autonomous Database.

La autenticación de certificación con TLS mutua utiliza una clave cifrada almacenada en una wallet tanto en el cliente (cuando se ejecuta la aplicación) como en el servidor (cuando se ejecuta el servicio de base de datos en Autonomous Database). La clave del cliente debe coincidir con la clave del servidor para establecer una conexión. Una cartera contiene una recopilación de archivos, entre los que se incluyen la clave y otra información necesaria para conectarse a la instancia de Autonomous Database. Todas las comunicaciones entre el cliente y el servidor están cifradas.

Para proteger la conexión a la instancia de Autonomous Database, un administrador de servicio descarga las credenciales del cliente (archivos de cartera) de Autonomous Database. Si no es administrador de servicio de Autonomous Database, su administrador le proporcionará las credenciales de cliente. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

En la siguiente figura, se muestran las conexiones seguras de cliente a Oracle Autonomous Database a través de la Internet pública mediante conexiones TLS mutuales. Si configura su base de datos para utilizar puntos finales privados, no se utiliza la red pública de Internet y la conexión utiliza un punto final privado dentro de una red virtual en la nube (VCN) en su arrendamiento.

Descripción de autonomous-database.eps a continuación

Acerca de la autenticación TLS

Mediante la seguridad de capa de transporte (TLS), los clientes se conectan a través de una conexión de base de datos TCPS ( TCP seguro) utilizando TLS 1.2. Un cliente utiliza su lista de autoridades de certificado (CA) de confianza para validar el certificado raíz de CA del servidor. Si la CA emisora es de confianza, el cliente verifica que el certificado sea auténtico. Esto permite al cliente y a Autonomous Database establecer la conexión cifrada antes de intercambiar mensajes (utilice el puerto 1521 para conectarse a TLS).

Al conectarse con la autenticación TLS mediante clientes del controlador JDBC Thin, incluidos Oracle SQL Developer y Oracle SQLcl, no es necesario descargar una cartera para proteger la conexión a la instancia de Autonomous Database. La autenticación TLS permite al cliente verificar la identidad del servicio de Autonomous Database para proporcionar una comunicación segura.

Según el tipo de cliente, una conexión TLS tiene el siguiente soporte con Autonomous Database:

  • Para conexiones con el controlador fino JDBC mediante JDK8u162 o superior, incluidas las conexiones con Oracle SQL Developer y Oracle SQLcl, no es necesaria una cartera.

  • Los clientes de Oracle Call Interface (OCI) admiten la autenticación TLS sin una cartera si utiliza las siguientes versiones de cliente:

    • Oracle Instant Client/Oracle Database Client 19.13: solo en Linux x64

    • Oracle Instant Client/Oracle Database Client 19.14 (o posterior) y 21.5 (o posterior): solo en Linux x64 y Windows

  • Si el cliente se conecta con las versiones principales ODP.NET o ODP.NET gestionadas 19.13 o 21.4 (o superior) mediante la autenticación TLS, el cliente se puede conectar sin proporcionar una cartera.

Hay requisitos de acceso a la red para conexiones TLS. Consulte Requisitos de acceso de red para conexiones TLS para obtener más información.

Conexión a Autonomous Database a través de un firewall

La mayoría de las organizaciones protegen las redes y los dispositivos de una red mediante un firewall. Un firewall controla el tráfico de red entrante y saliente mediante reglas que permiten el uso de ciertos puertos y el acceso a ciertas computadoras (o, más específicamente, direcciones IP o nombres de host). Una función importante de un firewall es proporcionar separación entre las redes internas y la red pública de Internet.

Cuando Autonomous Database se configura para el acceso mediante la Internet pública, debe configurar el firewall para permitir el acceso a los servidores de Autonomous Database.

Para acceder a Autonomous Database con protección de firewall, este debe permitir el uso del puerto especificado en la conexión a la base de datos al conectarse a los servidores de la conexión. Utilice el puerto 1522 para las conexiones mTLS de Autonomous Database (puede ver el número de puerto en la cadena de conexión del archivo tnsnames.ora en el archivo credentials ZIP). Por ejemplo, consulte el valor port en el siguiente archivo tnsnames.ora: 

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

El firewall debe permitir el acceso a los servidores del dominio .oraclecloud.com mediante el puerto 1522. Para conectarse a Autonomous Database, según la configuración de red de su organización, puede que necesite utilizar un servidor proxy para acceder a este puerto o que necesite solicitar que el administrador de red abra este puerto.

Uso de la continuidad de aplicaciones

La continuidad de aplicaciones oculta las interrupciones a los usuarios finales y a las aplicaciones mediante la recuperación del trabajo en ejecución para las sesiones de base de datos afectadas después de las interrupciones. La continuidad de aplicaciones realiza esta recuperación bajo la aplicación para que la interrupción aparezca en la aplicación como una ejecución ligeramente retrasada.

Nota

Por defecto, la continuidad de aplicaciones está desactivada.

Consulte Uso de la continuidad de aplicaciones en Autonomous Database para obtener más información sobre la continuidad de aplicaciones.