Documentación de Oracle Cloud Infrastructure

Configurar el acceso de red con puntos finales privados

Puede especificar que Autonomous Database utilice un punto final privado dentro de su red virtual en la nube (VCN) en su arrendamiento. Puede configurar un punto final privado durante el aprovisionamiento o la clonación de Autonomous Database, o bien puede cambiar a utilizar un punto final privado en una base de datos existente que utilice un punto final público. Esto le permite mantener todo el tráfico hacia y desde la base de datos fuera de Internet.

La especificación de la configuración de red virtual en la nube permite el tráfico solo desde la red virtual en la nube que especifique y bloquea el acceso a la base de datos desde todas las IP públicas o VCN. Esto le permite definir reglas de seguridad con listas de seguridad o en el nivel de grupo de seguridad de red (NSG) para especificar la entrada/salida para su instancia de Autonomous Database. El uso de un punto final privado y la definición de listas de seguridad o NSG le permiten controlar el tráfico hacia y desde la instancia de Autonomous Database.

Nota

Si configura la instancia de Autonomous Database para que utilice un punto final privado y también desea permitir conexiones desde direcciones IP públicas o VCN especificadas, seleccione la opción Permitir acceso público. Esto agrega un punto final público para una base de datos configurada con un punto final privado. Consulte Uso de un punto final privado con acceso público permitido para obtener más información.

La opción Permitir acceso público solo está disponible cuando la base de datos utiliza el modelo de recursos informáticos de ECPU.

Temas

Tema principal: Configuración del acceso de red con reglas de control de acceso (ACL) y puntos finales privados

Configuración de puntos finales privados

Puede especificar que Autonomous Database utilice un punto final privado y configure una red virtual en la nube (VCN) en su arrendamiento para utilizarla con el punto final privado.

Tema principal: Configuración del acceso de red con puntos finales privados

Pasos previos necesarios para configurar puntos finales privados

Describe los pasos de requisitos que debe realizar antes de configurar un punto final privado para una instancia de Autonomous Database.

Realice los siguientes pasos previos necesarios antes de configurar un punto final privado:

  • Defina las políticas necesarias para los recursos con los que está trabajando. Consulte Políticas de IAM necesarias para gestionar puntos finales privados para obtener más información.

  • Cree una VCN dentro de la región que contendrá la instancia de Autonomous Database. Consulte VCN y subredes para obtener más información.

  • Configure una subred dentro de la VCN configurada con opciones de DHCP por defecto. Consulte DNS en su red virtual en la nube para obtener más información.

  • (Opcional) Realice el siguiente paso opcional antes de configurar un punto final privado:

    Especifique un grupo de seguridad de red (NSG) en la VCN. El NSG especifica reglas para las conexiones a su instancia de Autonomous Database. Consulte Grupos de seguridad de red para obtener más información.

Políticas de IAM necesarias para gestionar puntos finales privados

Además de las políticas necesarias para aprovisionar y gestionar una instancia de Autonomous Database, se necesitan algunas políticas de red para utilizar puntos finales privados.

En la siguiente tabla, se muestran las políticas de IAM necesarias para que un usuario en la nube agregue un punto final privado. Las políticas mostradas son los requisitos mínimos para agregar un punto final privado. También puede utilizar una regla de política más amplia. Por ejemplo, si define la regla de política:

Allow group MyGroupName to manage virtual-network-family in tenancy

Esta regla también funciona porque es un superjuego que contiene todas las políticas necesarias.

Operación Políticas de IAM necesarias

Configurar un punto final privado

use vcns para el compartimento en el que está la VCN

use subnets para el compartimento en el que está la VCN

use network-security-groups para el compartimento en el que está el grupo de seguridad de red

manage private-ips para el compartimento en el que está la VCN

manage vnics para el compartimento en el que está la VCN

manage vnics para el compartimento en el que se aprovisiona la base de datos o en el que se va a aprovisionar

Autonomous Database se basa en el servicio IAM (Identity and Access Management) para autenticar y autorizar a los usuarios en la nube a realizar operaciones que utilizan cualquiera de las interfaces de Oracle Cloud Infrastructure (la consola, la API de REST, la CLI, el SDK, etc.).

El servicio IAM utiliza grupos, compartimentos y políticas para controlar qué usuarios de la nube pueden acceder a qué recursos. En concreto, una política define qué tipo de acceso tiene un grupo de usuarios a un tipo concreto de recurso en un compartimento concreto. Para obtener más información, consulte Introducción a las políticas.

Configuración de puntos finales privados al aprovisionar o clonar una instancia

Puede configurar un punto final privado al aprovisionar o clonar una instancia de Autonomous Database.

En estos pasos se asume que está aprovisionando o clonando una instancia y que ha completado los pasos previos y que está en el paso Seleccionar acceso de red de los pasos de aprovisionamiento o clonación:

  1. Seleccione Solo acceso de punto final privado.

    De esta forma se amplía el área de configuración de acceso privado a la red virtual en la nube.


    A continuación se muestra la descripción de adb_private_vcn.png

    Si selecciona Solo acceso de punto final privado, esto solo permite conexiones desde la red privada especificada (VCN), desde VCN conectadas entre sí y desde redes locales conectadas a la VCN. Puede configurar una instancia de Autonomous Database en un punto final privado para permitir conexiones desde redes locales. Consulte Por ejemplo, conexión desde el centro de datos a Autonomous Database.

    Si desea permitir conexiones desde direcciones IP públicas o desde IP y VCN permitidas, tiene las siguientes opciones:

    • Seleccione Acceso seguro desde cualquier lugar.

    • Seleccione Acceso seguro solo de IP y VCN permitidas.

    • Si selecciona Solo acceso de punto final privado, amplíe Mostrar opciones avanzadas y seleccione Permitir acceso público. Consulte Configuración de opciones avanzadas de punto final privado para obtener más información.

  2. Seleccione una red virtual en la nube en el compartimento o si la VCN está en otro compartimento, haga clic en Cambiar compartimento, seleccione el compartimento que contiene la VCN y, a continuación, seleccione una red virtual en la nube.

    Consulte VCN y subredes para obtener más información.

  3. Seleccione la subred del compartimento al que asociar Autonomous Database o si la subred está en un compartimento diferente, haga clic en Cambiar compartimento y seleccione el compartimento que contiene la subred y, a continuación, seleccione una subred.

    Consulte VCN y subredes para obtener más información.

  4. (Opcional) Haga clic en Mostrar opciones avanzadas para mostrar opciones de punto final privado adicionales.

    Consulte Configuración de opciones avanzadas de punto final privado para obtener más información sobre las opciones avanzadas.

  5. Requerir autenticación TLS mutua (mTLS).

    Las opciones Requerir autenticación TLS mutua (mTLS) son:

    • Si no se selecciona Necesitar autenticación TLS mutua (mTLS), se permiten las conexiones TLS y mTLS. Es la configuración por defecto.

    • Cuando se selecciona Requerir autenticación TLS mutua (mTLS), solo se permiten conexiones mTLS (no se permite la autenticación TLS).

    Consulte Actualización de opciones de red para permitir TLS o requerir solo autenticación TLS mutua (mTLS) en Autonomous Database para obtener más información.

  6. Complete los pasos de aprovisionamiento o clonación restantes, como se especifica en Aprovisionamiento de una instancia de Autonomous Database, Clonación de una instancia de Autonomous Database o Clonación de una instancia de Autonomous Database a partir de una copia de seguridad.

Consulte Notas de puntos finales privados para obtener más información.

Cambio de puntos finales públicos a privados con Autonomous Database

Si la instancia de Autonomous Database está configurada para utilizar un punto final público, puede cambiar la configuración a un punto final privado.

  1. On the Details page, from the More actions drop-down list, select Update network access.

    Para cambiar una instancia de un punto final público a un punto final privado, la instancia de Autonomous Database debe tener el estado Disponible (Estado del ciclo de vida: Disponible).

  2. En el cuadro de diálogo Actualizar acceso a la red, seleccione Solo acceso de punto final privado.

    De esta forma se amplía el área de configuración de acceso privado a la red virtual en la nube.

    A continuación se muestra la descripción de adb_network_private_update.png

    Si selecciona Solo acceso de punto final privado, esto solo permite conexiones desde la red privada especificada (VCN), desde VCN conectadas entre sí y desde redes locales conectadas a la VCN. Puede configurar una instancia de Autonomous Database en un punto final privado para permitir conexiones desde redes locales. Consulte Por ejemplo, conexión desde el centro de datos a Autonomous Database.

    Si desea permitir conexiones desde direcciones IP públicas o desde IP y VCN permitidas, tiene las siguientes opciones:

    • Seleccione Acceso seguro desde cualquier lugar.

    • Seleccione Acceso seguro solo de IP y VCN permitidas.

    • Si selecciona Solo acceso de punto final privado, amplíe Mostrar opciones avanzadas y seleccione Permitir acceso público. Consulte Configuración de opciones avanzadas de punto final privado para obtener más información.

  3. Seleccione una red virtual en la nube en el compartimento o si la VCN está en otro compartimento, haga clic en Cambiar compartimento, seleccione el compartimento que contiene la VCN y, a continuación, seleccione una red virtual en la nube.

    Consulte VCN y subredes para obtener más información.

  4. Seleccione la subred del compartimento al que asociar Autonomous Database o si la subred está en un compartimento diferente, haga clic en Cambiar compartimento y seleccione el compartimento que contiene la subred y, a continuación, seleccione una subred.

    Consulte VCN y subredes para obtener más información.

  5. (Opcional) Haga clic en Mostrar opciones avanzadas para ver opciones adicionales.

    Consulte Configuración de opciones avanzadas de punto final privado para obtener más información sobre las opciones avanzadas.

  6. Haga clic en Actualizar.
  7. En el cuadro de diálogo Confirmar, escriba el nombre de la instancia de Autonomous Database para confirmar el cambio.
  8. En el cuadro de diálogo Confirmar, haga clic en Actualizar.

El estado del ciclo de vida cambia a Actualizando hasta que finaliza la operación.

Notas para cambiar el acceso de red de público a privado:

  • Después de actualizar el tipo de acceso de red, todos los usuarios de la base de datos deben obtener una cartera nueva y utilizar la nueva cartera para acceder a la base de datos. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

  • Si tenía ACL definidas para el punto final público, las ACL no se aplican al punto final privado.

  • Después de actualizar el acceso de red para utilizar un punto final privado, la URL para las herramientas de base de datos es diferente en comparación con el uso de un punto final público. Puede encontrar las URL actualizadas en la consola, después de cambiar de un punto final público a un punto final privado.

Actualización de la configuración de un punto final privado

Puede cambiar algunas opciones en la configuración de un punto final privado en una instancia de Autonomous Database existente.

  1. On the Details page, from the More actions drop-down list, select Update network access.

    De esta forma se muestra el cuadro de diálogo Actualizar acceso a la red.

    A continuación se muestra la descripción de adb_network_access_private_update.png
  2. Seleccione Solo acceso de punto final privado.

    Si desea permitir conexiones desde direcciones IP públicas o desde IP y VCN permitidas, tiene las siguientes opciones:

    • Seleccione Acceso seguro desde cualquier lugar.

    • Seleccione Acceso seguro solo de IP y VCN permitidas.

    • Al seleccionar Solo acceso de punto final privado y Permitir acceso público, la base de datos de punto final privado tiene un punto final privado y un punto final público.

    1. Si lo desea, agregue grupos de seguridad de red (NSG).

      Opcionalmente, para permitir conexiones a la instancia de Autonomous Database, defina reglas de seguridad en un NSG. Esto crea un firewall virtual para su instancia de Autonomous Database.

      • Seleccione un grupo de seguridad de red en el compartimento al que asociar Autonomous Database o, si el grupo de seguridad de red está en un compartimento diferente, haga clic en Cambiar compartimento, seleccione un compartimento diferente y, a continuación, seleccione un grupo de seguridad de red en ese compartimento.
      • Haga clic en + Otro grupo de seguridad de red para agregar otro grupo de seguridad de red.
      • Haga clic en la x para eliminar una entrada de grupo de seguridad de red.

      Para el NSG que seleccione para el punto final privado, defina una regla de seguridad de la siguiente manera:

      • Para la autenticación TLS (mTLS) mutua, agregue una regla de entrada con estado con el origen definido en el rango de direcciones que desea permitir para conectarse a la base de datos, el protocolo IP definido en TCP y el rango de puertos de destino definido en 1522. Consulte Acerca de la autenticación TLS mutua (mTLS) para obtener más información.

      • Para la autenticación TLS, agregue una regla de entrada con estado con el origen definido en el rango de direcciones que desea permitir para conectarse a la base de datos, el protocolo IP definido en TCP y el rango de puertos de destino definido en 1521. Consulte Acerca de la autenticación TLS para obtener más información.

      • Para utilizar Oracle APEX, Database Actions y Oracle REST Data Services, agregue el puerto 443 a la regla de NSG.

      Nota

      Las conexiones de entrada y salida están limitadas por la combinación de reglas de entrada y salida definidas en los NSG y las listas de seguridad definidas con la VCN. Cuando no haya ningún NSG, se aplicarán las reglas de entrada y salida definidas en las listas de seguridad para la VCN. Consulte Listas de seguridad para obtener más información sobre cómo trabajar con listas de seguridad.

      Consulte Ejemplos de configuración de puntos finales privados en Autonomous Database para obtener ejemplos.

      Consulte Grupos de seguridad de red para obtener más información.

    2. Opcionalmente, seleccione Permitir acceso público o, si ya está seleccionado, puede configurar reglas de control de acceso al punto final público configurado con la base de datos de punto final privado.

      La opción Permitir acceso público solo está disponible cuando la base de datos utiliza el modelo de recursos informáticos de ECPU.

      Al seleccionar Permitir acceso público, se muestran las opciones de configuración de control de acceso para introducir las direcciones IP, los bloques CIDR o las redes virtuales en la nube permitidas que se pueden conectar a la base de datos.

      Seleccione:

      • Dirección IP:

        En el campo Valores, introduzca valores para la dirección IP. Una dirección IP especificada en una entrada de ACL de red es la dirección IP pública del cliente que está visible en la Internet pública a la que desea otorgar acceso. Por ejemplo, para una máquina virtual de Oracle Cloud Infrastructure, esta es la dirección IP que se muestra en el campo IP pública de la consola de Oracle Cloud Infrastructure para esa máquina virtual.

        También puede hacer clic en Agregar mi dirección IP para agregar la dirección IP actual a la entrada de la ACL.

      • bloque de CIDR:

        En el campo Valores, introduzca valores para el bloque de CIDR. El bloque de CIDR especificado es el bloque de CIDR público de los clientes que está visible en la Internet pública a la que desea otorgar acceso.

      • Red virtual en la nube:

        Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

        Utilice esta opción para especificar la VCN que se utilizará con un gateway de servicio de Oracle Cloud Infrastructure:

        • En el campo Red virtual en la nube, seleccione la VCN desde la que desea otorgar acceso. Si no tiene privilegios para ver las VCN en su arrendamiento, esta lista está vacía. En este caso, utilice la selección Red virtual en la nube (OCID) para especificar el OCID de la VCN.
        • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.
      • OCID de red virtual en la nube:

        Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

        • En el campo Valores, introduzca el OCID de la VCN desde la que desea otorgar acceso.
        • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.

      Si desea especificar varias direcciones IP o rangos de CIDR dentro de la misma VCN, no cree varias entradas de ACL. Utilice una entrada de ACL con los valores para varias direcciones IP o rangos de CIDR separados por comas.

  3. Haga clic en Actualizar.

Si el estado del ciclo de vida es Disponible al hacer clic en Actualizar, este cambiará a Actualizando hasta que se apliquen los cambios. La base de datos todavía estará activa y accesible; no hay ningún tiempo de inactividad. Una vez finalizada la actualización, el estado del ciclo de vida vuelve a Disponible.

Consulte Notas de puntos finales privados para obtener más información.

Configurar opciones avanzadas de punto final privado

Las opciones avanzadas de acceso de punto final privado permiten introducir una dirección IP privada y un nombre de host especificados por el usuario, seleccionar uno o más grupos de seguridad de red o especificar detalles para permitir el acceso público a una base de datos de punto final privado.

En estos pasos se asume que está aprovisionando o clonando una instancia de Autonomous Database o cambiando de acceso público a acceso privado para una instancia de Autonomous Database existente y que está en el paso Seleccionar acceso de red.

  1. Seleccione Solo acceso de punto final privado.

    Se muestra el área de configuración de acceso privado a la red virtual en la nube.

  2. (Opcional) Haga clic en Mostrar opciones avanzadas para mostrar opciones de punto final privado adicionales.

    Se muestran las opciones avanzadas.

    A continuación se muestra la descripción de adb_network_access_private_advanced.png
    1. Si lo desea, introduzca una Dirección IP privada.

      Utilice este campo para introducir una dirección IP privada personalizada. La dirección IP privada que introduzca debe estar dentro del rango de CIDR de la subred seleccionada.

      Si no proporciona una dirección IP privada personalizada, la dirección IP se asigna automáticamente.

    2. Si lo desea, introduzca un prefijo de nombre de host.

      Especifica un prefijo de nombre de host para Autonomous Database y asocia un nombre de DNS a la instancia de base de datos con el siguiente formato: 

      hostname_prefix.adb.region.oraclecloud.com

      Si no especifica un prefijo de nombre de host, se proporciona un prefijo de nombre de host generado por el sistema.

    3. Si lo desea, agregue grupos de seguridad de red (NSG).

      Opcionalmente, para permitir conexiones a la instancia de Autonomous Database, defina reglas de seguridad en un NSG. Esto crea un firewall virtual para su instancia de Autonomous Database.

      • Seleccione un grupo de seguridad de red en el compartimento al que asociar Autonomous Database o, si el grupo de seguridad de red está en un compartimento diferente, haga clic en Cambiar compartimento, seleccione un compartimento diferente y, a continuación, seleccione un grupo de seguridad de red en ese compartimento.
      • Haga clic en + Otro grupo de seguridad de red para agregar otro grupo de seguridad de red.
      • Haga clic en la x para eliminar una entrada de grupo de seguridad de red.

      Para el NSG que seleccione para el punto final privado, defina una regla de seguridad de la siguiente manera:

      • Para la autenticación TLS (mTLS) mutua, agregue una regla de entrada con estado con el origen definido en el rango de direcciones que desea permitir para conectarse a la base de datos, el protocolo IP definido en TCP y el rango de puertos de destino definido en 1522. Consulte Acerca de la autenticación TLS mutua (mTLS) para obtener más información.

      • Para la autenticación TLS, agregue una regla de entrada con estado con el origen definido en el rango de direcciones que desea permitir para conectarse a la base de datos, el protocolo IP definido en TCP y el rango de puertos de destino definido en 1521. Consulte Acerca de la autenticación TLS para obtener más información.

      • Para utilizar Oracle APEX, Database Actions y Oracle REST Data Services, agregue el puerto 443 a la regla de NSG.

      Nota

      Las conexiones de entrada y salida están limitadas por la combinación de reglas de entrada y salida definidas en los NSG y las listas de seguridad definidas con la VCN. Cuando no haya ningún NSG, se aplicarán las reglas de entrada y salida definidas en las listas de seguridad para la VCN. Consulte Listas de seguridad para obtener más información sobre cómo trabajar con listas de seguridad.

      Consulte Ejemplos de configuración de puntos finales privados en Autonomous Database para obtener ejemplos.

      Consulte Grupos de seguridad de red para obtener más información.

    4. Opcionalmente, seleccione Permitir acceso público y configure reglas de control de acceso para agregar un punto final público para la base de datos de punto final privado.

      La opción Permitir acceso público solo está disponible cuando la base de datos utiliza el modelo de recursos informáticos de ECPU.

      Al seleccionar Permitir acceso público, se muestran las opciones de configuración de control de acceso para introducir las direcciones IP, los bloques CIDR o las redes virtuales en la nube permitidas que se pueden conectar a la base de datos.

      Seleccione:

      • Dirección IP:

        En el campo Valores, introduzca valores para la dirección IP. Una dirección IP especificada en una entrada de ACL de red es la dirección IP pública del cliente que está visible en la Internet pública a la que desea otorgar acceso. Por ejemplo, para una máquina virtual de Oracle Cloud Infrastructure, esta es la dirección IP que se muestra en el campo IP pública de la consola de Oracle Cloud Infrastructure para esa máquina virtual.

        También puede hacer clic en Agregar mi dirección IP para agregar la dirección IP actual a la entrada de la ACL.

      • bloque de CIDR:

        En el campo Valores, introduzca valores para el bloque de CIDR. El bloque de CIDR especificado es el bloque de CIDR público de los clientes que está visible en la Internet pública a la que desea otorgar acceso.

      • Red virtual en la nube:

        Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

        Utilice esta opción para especificar la VCN que se utilizará con un gateway de servicio de Oracle Cloud Infrastructure:

        • En el campo Red virtual en la nube, seleccione la VCN desde la que desea otorgar acceso. Si no tiene privilegios para ver las VCN en su arrendamiento, esta lista está vacía. En este caso, utilice la selección Red virtual en la nube (OCID) para especificar el OCID de la VCN.
        • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.
      • OCID de red virtual en la nube:

        Utilice esta opción cuando la ruta de red del cliente a la base de datos pase por un gateway de servicio de Oracle Cloud Infrastructure. Consulte Acceso a Oracle Services: gateway de servicio para obtener más información.

        • En el campo Valores, introduzca el OCID de la VCN desde la que desea otorgar acceso.
        • Si lo desea, en el campo Direcciones IP o CIDR, puede introducir direcciones IP privadas o bloques de CIDR privados como una lista separada por comas para permitir clientes específicos en la VCN.

      Si desea especificar varias direcciones IP o rangos de CIDR dentro de la misma VCN, no cree varias entradas de ACL. Utilice una entrada de ACL con los valores para varias direcciones IP o rangos de CIDR separados por comas.

  3. Complete los pasos de configuración de punto final privado restantes.

Uso de un punto final privado con acceso público permitido

Si desea configurar una instancia de Autonomous Database para utilizar un punto final privado y también desea permitir conexiones desde IP públicas permitidas o VCN públicas, puede seleccionar la opción Permitir acceso público. Esto agrega un punto final público para una base de datos configurada en un punto final privado.

Configure un punto final privado para la instancia de Autonomous Database al aprovisionar o clonar la instancia, o al actualizar la configuración de red para una instancia de Autonomous Database existente. Consulte lo siguiente para obtener más información sobre los pasos para configurar una instancia de Autonomous Database con un punto final privado:

Cuando el acceso público está activado con Permitir acceso público en una base de datos de punto final privado, la instancia tiene un punto final privado y un punto final público:

  • El nombre de host privado, la URL de punto final y la dirección IP privada permiten conectarse a la base de datos desde la VCN en la que reside la base de datos.

  • El nombre de host público permite conectarse a la base de datos desde las IP y las VCN permitidas a través de la red pública de Internet.

Adiciones de cadena de conexión de Autonomous Database para una base de datos de punto final privada con permiso de acceso público activado

Cuando la opción Permitir acceso público está activada para una base de datos de punto final privado, hay cadenas de conexión adicionales que permiten conectarse a la base de datos desde el punto final público:

  • Las cadenas de conexión de tnsnames.ora en el zip de cartera de Autonomous Database incluyen las cadenas de conexión pública que se utilizarán con conexiones procedentes de la red pública de Internet. Las cadenas de conexión para el punto final público utilizan la siguiente convención de nomenclatura: 

    dbname_public_consumerGroup

    Por ejemplo:

    adbfinance_public_low

    Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

  • Puede ver las cadenas de conexión tanto para el punto final público como para el punto final privado desde la consola de Oracle Cloud Infrastructure (o mediante la API).

    Consulte Visualización de nombres TNS y cadenas de conexión para una instancia de Autonomous Database para obtener más información.

Adiciones de herramientas de Autonomous Database para una base de datos de punto final privada con permiso de acceso público activado

Cuando la opción Permitir acceso público está activada para una base de datos de punto final privado, las herramientas de base de datos permiten conectarse desde IP o VCN permitidas desde la red pública de Internet:

  • Cada herramienta tiene una URL de acceso privado y una URL de acceso público que se muestran en la tabla de configuración de la herramienta. Utilice la URL de acceso público para acceder a la herramienta desde la red pública de Internet.

    Por ejemplo:

    A continuación se muestra la descripción de adb_tools_status_private_public.png

    Consulte Visualización del estado de las herramientas incorporadas de Autonomous Database para obtener más información.

  • El archivo README del archivo zip de cartera proporciona un enlace de acceso para el punto final privado de cada herramienta de base de datos y un enlace de acceso público.

    Consulte Archivo LÉAME de cartera para obtener más información.

Seguridad mejorada para conexiones de salida con puntos finales privados

Al utilizar un punto final privado con la instancia de Autonomous Database, puede proporcionar seguridad mejorada definiendo la propiedad de base de datos ROUTE_OUTBOUND_CONNECTIONS en el valor PRIVATE_ENDPOINT.

La definición de la propiedad de base de datos ROUTE_OUTBOUND_CONNECTIONS en el valor PRIVATE_ENDPOINT aplica que todas las conexiones salientes a un host de destino están sujetas y limitadas por las reglas de salida del punto final privado. Puede definir reglas de salida en la lista de seguridad de red virtual en la nube (VCN) o en el grupo de seguridad de red (NSG) asociado a la instancia de Autonomous Database.

Antes de definir la propiedad de base de datos ROUTE_OUTBOUND_CONNECTIONS, configure la instancia de Autonomous Database para que utilice un punto final privado. Consulte Configuración de puntos finales privados para obtener más información.

Set the ROUTE_OUTBOUND_CONNECTIONS database property to PRIVATE_ENDPOINT to specify that all outgoing connections are subject to the Autonomous Database instance private endpoint VCN's egress rules. Con el valor PRIVATE_ENDPOINT, la base de datos restringe las conexiones salientes a las ubicaciones especificadas por las reglas de salida del punto final privado y también cambia la resolución de DNS, de modo que los nombres de host se resuelven mediante el solucionador de DNS de la VCN (no mediante un solucionador de DNS público).

Nota

Con ROUTE_OUTBOUND_CONNECTIONS no definido en PRIVATE_ENDPOINT, todas las conexiones salientes a la red pública de Internet pasan por el gateway de traducción de direcciones de red (NAT) de la VCN de servicio. En este caso, si el host de destino está en un punto final público, las conexiones salientes no están sujetas a las reglas de salida de NSG o VCN de punto final privado de la instancia de Autonomous Database.

Al configurar un punto final privado para la instancia de Autonomous Database y definir ROUTE_OUTBOUND_CONNECTIONS en PRIVATE_ENDPOINT, este valor cambia el manejo de conexiones salientes y la resolución de DNS para lo siguiente:

Para definir ROUTE_OUTBOUND_CONNECTIONS:

  1. Conéctese a la base de datos.
  2. Defina la propiedad de la base de datos ROUTE_OUTBOUND_CONNECTIONS.

    Por ejemplo:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Notas sobre la definición de ROUTE_OUTBOUND_CONNECTIONS:

  • Utilice el siguiente comando para restaurar el valor de parámetro por defecto:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • Utilice el siguiente comando para consultar el valor del parámetro actual:

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Si la propiedad no está definida, la consulta no devuelve resultados.

  • Esta propiedad solo se aplica a los enlaces de base de datos que cree después de definir la propiedad en el valor PRIVATE_ENDPOINT. Por lo tanto, los enlaces de base de datos que ha creado antes de definir la propiedad siguen utilizando el gateway de NAT de la VCN de servicio y no están sujetos a las reglas de salida del punto final privado de la instancia de Autonomous Database.

  • Defina solo ROUTE_OUTBOUND_CONNECTIONS en el valor PRIVATE_ENDPOINT cuando utilice Autonomous Database con un punto final privado.

  • Cuando la base de datos está en un punto final privado y desea que la VCN resuelva las conexiones salientes, debe definir el parámetro ROUTE_OUTBOUND_CONNECTIONS en PRIVATE_ENDPOINT.

Consulte NAT Gateway para obtener más información sobre el gateway de traducción de direcciones de red (NAT).

Notas de puntos finales privados

Se describen restricciones y notas para puntos finales privados en Autonomous Database.

  • Después de actualizar el acceso a la red para utilizar un punto final privado, o una vez que el aprovisionamiento o la clonación hayan terminado donde haya configurado un punto final privado, podrá ver la configuración de red en la página Detalles de base de datos autónoma en la sección Red.

    En la sección Red se muestra la siguiente información para un punto final privado:

    • Tipo de acceso: especifica el tipo de acceso para la configuración de Autonomous Database. Las configuraciones de punto final privado muestran el tipo de acceso: Red virtual en la nube.
    • Red virtual en la nube: incluye un enlace para la VCN asociada al punto final privado.
    • Subred: incluye un enlace para la subred asociada al punto final privado.
    • IP de punto final privado: muestra la IP de punto final privado para la configuración de punto final privado.
    • URL de punto final privado: muestra la URL de punto final privado para la configuración de punto final privado.
    • Grupos de seguridad de red: este campo incluye enlaces a los NSG configurados con el punto final privado.
    • Acceso público: este campo indica si el acceso público está activado para el punto final privado. Haga clic en el enlace Edit para ver o cambiar las ACL o las VCN permitidas.
    • URL de punto final público: se muestra cuando la opción Permitir acceso público está activada en el punto final privado. Esta es la URL de punto final público que puede utilizar para conectarse desde IP o redes virtuales en la red pública de Internet permitidas.

  • Una vez que se haya completado el aprovisionamiento o la clonación, puede cambiar la configuración de Autonomous Database para utilizar un punto final público.

    Consulte Cambio de puntos finales privados a públicos con Autonomous Database para obtener información sobre cómo cambiar a un punto final público.

  • Puede especificar hasta cinco NSG para controlar el acceso a Autonomous Database.

  • Puede cambiar el grupo de seguridad de red (NSG) de punto final privado para Autonomous Database.

    Para cambiar el NSG de un punto final privado, haga lo siguiente:

    1. En la página Bases de datos autónomas, seleccione una instancia de Autonomous Database en los enlaces de la columna Nombre mostrado.

    2. En la página Detalles de base de datos autónoma, en Red en el campo Grupos de seguridad de red, haga clic en Editar.

  • Puede conectar su instancia de Oracle Analytics Cloud a su instancia de Autonomous Database que tiene un punto final privado mediante el gateway de datos como lo haría para una base de datos local. Consulte Configuración y registro de Data Gateway para la visualización de datos para obtener más información.

  • Las siguientes herramientas de Autonomous Database están soportadas en bases de datos configuradas con un punto final privado:

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services
    • API de Oracle Database para MongoDB

    Se necesita una configuración adicional para acceder a estas herramientas de Autonomous Database desde entornos locales. Consulte Ejemplo: conexión desde el centro de datos a Autonomous Database para obtener más información.

    Al acceder a Oracle APEX, Database Actions, Oracle Graph Studio y Oracle REST Data Services mediante un punto final privado desde entornos locales sin completar la configuración de punto final privado adicional, se muestra el error: 

    404 Not Found

  • Después de actualizar el acceso de red para utilizar un punto final privado, la URL para las herramientas de base de datos es diferente en comparación con el uso de un punto final público. Puede encontrar las URL actualizadas en la consola, después de cambiar de un punto final público a un punto final privado.

  • Además de Oracle REST Data Services (ORDS) por defecto preconfigurado con Autonomous Database, puede configurar un despliegue de ORDS alternativo que proporcione más opciones de configuración y que se pueda utilizar con puntos finales privados. Consulte Acerca de Oracle REST Data Services gestionado por el cliente en Autonomous Database para obtener información sobre un despliegue de ORDS alternativo que se puede utilizar con puntos finales privados.

  • La modificación de una dirección IP privada no está permitida después de aprovisionar o clonar una instancia, tanto si la dirección IP se asigna automáticamente al introducir un valor en el campo Dirección IP privada.

Ejemplos de configuración de puntos finales privados en Autonomous Database

Muestra varios ejemplos de configuración de punto final privado (VCN) para Autonomous Database.

Tema principal: Configuración del acceso de red con puntos finales privados

Ejemplo: conexión desde la VCN de Oracle Cloud Infrastructure

Muestra una aplicación que se ejecuta dentro de Oracle Cloud Infrastructure en una máquina virtual (VM) en la misma VCN que esté configurada con su instancia de Autonomous Database.

A continuación se muestra la descripción de adb_private_endpoint1.png

Hay una instancia de Autonomous Database que tiene un punto final privado en la VCN denominado "Su VCN". La VCN incluye dos subredes: "SUBNET B" (CIDR 10.0.1.0/24) y "SUBNET A" (CIDR 10.0.2.0/24).

El grupo de seguridad de red (NSG) asociado a la instancia de Autonomous Database se muestra como "NSG 1 - Reglas de seguridad". Este grupo de seguridad de red define reglas de seguridad que permiten el tráfico entrante y saliente hacia y desde la instancia de Autonomous Database. Defina una regla para la instancia de Autonomous Database de la siguiente manera:

  • Para la autenticación TLS mutua, agregue una regla de entrada con estado para permitir conexiones desde el origen a la instancia de Autonomous Database; el origen se define en el rango de direcciones cuya conexión a la base de datos desea permitir, el protocolo IP se define en TCP y el rango de puertos de destino se define en 1522.

  • Para la autenticación TLS, agregue una regla de entrada con estado para permitir conexiones desde el origen a la instancia de Autonomous Database; el origen se define en el rango de direcciones cuya conexión a la base de datos desea permitir, el protocolo IP se define en TCP y el rango de puertos de destino se define en 1521.

  • Para utilizar Oracle APEX, Database Actions y Oracle REST Data Services, agregue el puerto 443 a la regla de NSG.

En la siguiente figura, se muestra un ejemplo de regla de seguridad con estado para controlar el tráfico de la instancia de Autonomous Database:

A continuación se muestra la descripción de adb_private_vcn_nsg_stateful1.png

La aplicación que se conecta a Autonomous Database se está ejecutando en una máquina virtual en SUBNET B. También puede agregar una regla de seguridad para permitir el tráfico desde y hacia la máquina virtual (como se muestra, con la etiqueta "NSG 2 - Reglas de seguridad"). Puede utilizar una regla de seguridad con estado para la máquina virtual, de modo que simplemente agregue una regla para la salida a las reglas de seguridad de NSG 2 (esto permite el acceso a la subred A de destino).

En la siguiente figura, se muestran reglas de seguridad de ejemplo que controlan el tráfico de la máquina virtual:

A continuación se muestra la descripción de adb_private_vcn_rules2.png

Después de configurar las reglas de seguridad, la aplicación se puede conectar a la instancia de Autonomous Database mediante la cartera de credenciales de cliente. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.

Consulte Grupos de seguridad de red para obtener información sobre la configuración de grupos de seguridad de red.

Ejemplo: conexión desde el centro de datos a Autonomous Database

Muestra cómo conectarse de forma privada a una instancia de Autonomous Database desde su centro de datos local. En este escenario, el tráfico nunca pasa por la Internet pública.

A continuación se muestra la descripción de adb_private_endpoint2.png

Para conectarse desde su centro de datos, conecte la red local a la VCN con FastConnect y, a continuación, configure un gateway de direccionamiento dinámico (DRG). Para resolver el punto final privado de Autonomous Database, un nombre de dominio completo (FQDN), debe agregar una entrada en el archivo de hosts del cliente local. Por ejemplo, archivo /etc/hosts en máquinas Linux. Por ejemplo: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Para utilizar Oracle APEX, Database Actions y Oracle REST Data Services, agregue otra entrada con la misma IP. Por ejemplo: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Busque la IP del punto final privado y el FQDN de la siguiente manera:

  • La IP privada se muestra en la página de detalles de Autonomous Database de la consola de Oracle Cloud Infrastructure de la instancia.

  • El FQDN se muestra en el archivo tnsnames.ora de la cartera de cliente de Autonomous Database.

También puede utilizar el DNS privado de Oracle Cloud Infrastructure para proporcionar una resolución de nombres de DNS. Consulte DNS privado para obtener más información.

En este ejemplo hay un gateway de direccionamiento dinámico (DRG) entre el centro de datos local y "Su VCN". La VCN contiene Autonomous Database. También muestra una tabla de rutas para la VCN asociada a Autonomous Database, para el tráfico saliente a CIDR 172.16.0.0/16 a través del DRG.

Además de configurar el DRG, defina una regla de grupo de seguridad de red (NSG) para permitir el tráfico desde y hacia Autonomous Database agregando una regla para el rango de CIDR del centro de datos (172.16.0.0/16). En este ejemplo, defina una regla de seguridad en "NSG 1", de la siguiente manera:

  • Para la autenticación TLS mutua, cree una regla con estado para permitir el tráfico de entrada desde el centro de datos. Se trata de una regla de entrada con estado con el origen definido en el rango de direcciones cuya conexión a la base de datos desea permitir, el protocolo definido en TCP, el rango de puertos de origen definido en el rango de CIDR (172.16.0.0/16) y el puerto de destino definido en 1522.

  • Para la autenticación TLS, cree una regla con estado para permitir el tráfico de entrada desde el centro de datos. Se trata de una regla de entrada con estado con el origen definido en el rango de direcciones cuya conexión a la base de datos desea permitir, el protocolo definido en TCP, el rango de puertos de origen definido en el rango de CIDR (172.16.0.0/16) y el puerto de destino definido en 1521.

  • Para utilizar Oracle APEX, Database Actions y Oracle REST Data Services, agregue el puerto 443 a la regla de NSG.

En la siguiente figura se muestra la regla de seguridad que controla el tráfico de la instancia de Autonomous Database:

A continuación se muestra la descripción de adb_private_vcn_nsg_stateful2.png

Después de configurar la regla de seguridad, la aplicación de base de datos local se puede conectar a la instancia de Autonomous Database mediante la cartera de credenciales del cliente. Consulte Descarga de credenciales de cliente (carteras) para obtener más información.