Accéder à Oracle APEX, à Oracle REST Data Services et aux outils de base de données intégrés à l'aide d'une URL personnalisée
Par défaut, l'accès aux applications Oracle APEX, aux points d'extrémité REST et aux outils de base de données intégrés sur Autonomous AI Database se fait au moyen du nom de domaine oraclecloudapps.com. Vous pouvez éventuellement configurer une URL personnalisée (c'est-à-dire un domaine personnalisé) plus pertinente pour votre organisation ou votre projet.
Pour cela, vous devez d'abord acquérir votre nom de domaine privilégié et le certificat SSL correspondant auprès d'un fournisseur de votre choix.
Activer une URL personnalisée dans votre base de données de membres de groupe élastique
Avec un nom de domaine enregistré et un certificat disponibles, pour une base de données dans un groupe élastique, vous pouvez facilement activer une URL personnalisée sur votre base de données IA autonome et configurer un domaine personnalisé d'URL personnalisée pour votre instance de base de données IA autonome à l'aide d'une passerelle d'API.
Note :
-
Les URL personnalisées sont prises en charge par les passerelles d'API OCI qui utilisent des points d'extrémité HTTP, mais pas par les points d'extrémité TCP tels que MongoDB et SQLNET.
-
L'outil Oracle Machine Language (OML) ne prend pas en charge l'URL personnalisée.
Enregistrer votre passerelle d'API avec votre DNS
Ce chapitre souligne l'importance de configurer le système de noms de domaine (DNS) d'Oracle Cloud Infrastructure (OCI) dans la configuration d'une URL personnalisée.
La configuration du DNS pour pointer vers une passerelle d'API Oracle Cloud Infrastructure (OCI) est nécessaire pour activer une URL personnalisée, car le DNS est le système qui convertit le nom de domaine personnalisé convivial (par exemple, api.mycompany.com) en adresse IP du point d'extrémité réel de la passerelle d'API OCI. Sans configurer le DNS, le domaine personnalisé ne se résoudra pas à l'adresse IP publique du service de passerelle d'API OCI et les utilisateurs ne pourront pas accéder à vos API OCI à l'aide de l'URL personnalisée.
La configuration DNS comprend trois composants principaux :
-
Propriété et vérification du domaine :
Un domaine personnalisé nécessite une preuve de propriété. Le domaine doit être enregistré auprès d'un registraire de domaine autorisé et vous devez disposer d'un contrôle administratif pour gérer ses enregistrements DNS. Ainsi, seuls les responsables légitimes peuvent mapper leur domaine personnalisé (par exemple,
examplehost.com) au point d'extrémité de la passerelle d'API OCI. -
Certificats TLS pour HTTPS :
Comme les passerelles d'API OCI sont sécurisées avec le protocole TLS (Transport Layer Security), un certificat TLS est obligatoire. Si vous utilisez le domaine par défaut d'Oracle (généré automatiquement), Oracle provisionne et tient à jour automatiquement un certificat. Toutefois, lors de l'utilisation d'un domaine personnalisé, vous devez fournir votre propre certificat TLS obtenu auprès d'une autorité de certification approuvée. Ce certificat lie votre domaine personnalisé à la passerelle, ce qui permet une communication chiffrée et garantit la confiance du client.
Il existe deux approches :
-
Utilisez un certificat géré par Oracle au moyen du service de certificats OCI (autodémis ou importé à partir d'une autorité de certification).
-
Chargez votre propre certificat personnalisé, ainsi que la clé privée et tout certificat intermédiaire.
-
-
Configuration d'enregistrements DNS :
Une fois la passerelle d'API OCI et le certificat TLS configurés, vous devez configurer le DNS afin que le domaine personnalisé soit résolu en point d'extrémité public de la passerelle.
Sans ce processus, les demandes entrantes vers votre domaine personnalisé n'atteindraient pas la passerelle.
Le DNS est comme un pont entre votre domaine personnalisé et l'infrastructure de passerelle d'API OCI sous-jacente. Pour que votre URL personnalisée soit accessible et fonctionnelle, vous devez pointer vos enregistrements DNS vers la passerelle d'API.
Conditions requises
-
Vous devez posséder un nom de domaine enregistré (qu'il soit géré dans le DNS OCI ou un fournisseur DNS externe) avant le début de la configuration.
-
Vous devez vous procurer un certificat TLS pour votre domaine personnalisé auprès d'une autorité de certification tierce ou au moyen du service de certificats OCI.
Étapes de configuration du DNS pour la passerelle d'API OCI
Pour configurer le DNS pour qu'il pointe vers une passerelle d'API OCI, vous devez effectuer les étapes suivantes qui impliquent la propriété du domaine, les certificats TLS et la configuration d'enregistrement DNS.
-
Créer et charger un certificat TLS personnalisé :
-
Générez une demande de signature de certificat (CSR) pour votre domaine, y compris votre nom de domaine complet.
-
Utilisez le service de certificats OCI ou une autorité de certification tierce pour émettre le certificat.
-
Importez ce certificat et cette clé privée dans OCI en tant que ressource de certificat.
Pour plus de détails, voir Configuration de domaines personnalisés et de certificats TLS.
-
-
Créer une passerelle d'API dans OCI :
-
Naviguez jusqu'à Services de développement > Passerelle d'API dans la console OCI.
-
Créez une passerelle avec vos certificats TLS dans le sous-réseau public approprié du VCN.
Après la création, conservez la note
API Gateway OCID IDgénérée automatiquement par OCI.Pour plus de détails, consultez Création d'une passerelle d'API.
-
-
Configurer des enregistrements DNS pour votre domaine :
- Allez à votre système de gestion DNS (service DNS OCI ou fournisseur DNS externe tel que Route 53) pour configurer votre mappage DNS personnalisé à l'adresse IP publique du service de passerelle d'API OCI.
Cela garantit que le trafic entrant pour votre domaine personnalisé est résolu en votre adresse IP publique du service de passerelle d'API OCI.
Après la propagation DNS, vous pouvez accéder à l'URL personnalisée (https://examplehost.com) et confirmer qu'elle est acheminée vers votre adresse IP publique du service de passerelle d'API OCI.
Vous pouvez également configurer une URL personnalisée pour Autonomous AI Database à partir de la console de service Oracle Cloud Infrastructure pour les utilisateurs de groupe élastique.
Activer un principal de ressource pour accéder aux ressources Oracle Cloud Infrastructure
Effectuez les étapes suivantes pour activer le principal de ressource sur la base de données d'IA autonome. Cela permet à la base de données de s'authentifier et d'accéder aux ressources OCI en toute sécurité.
Vous devez au préalable configurer des groupes et des politiques dynamiques. Pour plus d'informations, voir Exécuter les conditions requises pour utiliser le principal de ressource avec une base de données autonome basée sur l'IA.
Pour activer un principal de ressource dans une base de données d'intelligence artificielle autonome :
-
En tant qu'utilisateur ADMIN, activez le principal de ressource pour l'instance de base de données du service d'intelligence artificielle autonome.
Exemple :
EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();Pour plus d'informations, voir Procédure ENABLE_RESOURCE_PRINCIPAL.
Cela crée les données d'identification
OCI$RESOURCE_PRINCIPAL. -
(Facultatif) Cette étape n'est requise que si vous voulez accorder l'accès aux données d'identification du principal de ressource à un utilisateur de base de données autre que l'utilisateur ADMIN. En tant qu'utilisateur ADMIN, activez le principal de ressource pour un utilisateur de base de données spécifié.
Exemple :
EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');L'utilisateur
adb_usera ainsi accès aux données d'identificationOCI$RESOURCE_PRINCIPAL.Si vous voulez que l'utilisateur spécifié dispose de privilèges pour activer le principal de ressource pour les autres utilisateurs, réglez le paramètre
grant_optionàTRUE.Exemple :
BEGIN DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL( username => 'adb_user', grant_option => TRUE); END; /Après avoir exécuté cette commande,
adb_userpeut activer le principal de ressource pour un autre utilisateur. Par exemple, si vous êtes connecté en tant queadb_user, vous pouvez exécuter la commande suivante :EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');Pour plus d'informations, voir Procédure ENABLE_RESOURCE_PRINCIPAL.
-
Vérifiez que les données d'identification du principal de ressource sont activées.
Par exemple, lorsque l'utilisateur ADMIN interroge la vue
DBA_CREDENTIALS:SELECT owner, credential_name FROM dba_credentials WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN';OWNER CREDENTIAL_NAME ----- ---------------------- ADMIN OCI$RESOURCE_PRINCIPALPar exemple, en tant qu'utilisateur non ADMIN, interrogez la vue
ALL_TAB_PRIVS:SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS WHERE grantee = 'ADB_USER' AND table_name = 'OCI$RESOURCE_PRINCIPAL' AND table_schema = 'ADMIN';GRANTEE TABLE_NAME GRANTOR --------- ----------------------- ------------- ADB_USER OCI$RESOURCE_PRINCIPAL ADMIN
L'activation du principal de ressource sur une instance de base de données autonome avec intelligence artificielle est une opération ponctuelle. Vous n'avez pas besoin d'activer de nouveau le principal de ressource, sauf si vous exécutez DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL pour désactiver le principal de ressource.
Politique IAM pour configurer une URL personnalisée
Avant de configurer une URL personnalisée pour votre instance de base de données du service d'intelligence artificielle autonome sur votre base de données de membres de groupe élastique, vous devez accorder des autorisations à la base de données pour gérer les déploiements du service de passerelle d'API OCI
Pour créer des politiques d'accès sur Oracle Cloud Infrastructure (OCI) en tant qu'administrateur de location, procédez comme suit :
-
Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous identité, cliquez sur Politiques.
-
Cliquez sur Créer une politique.
-
Dans la fenêtre Créer une politique, entrez un nom (par exemple,
IntegrationGroupPolicy) et une description. -
Dans le générateur de politiques, sélectionnez Afficher l'éditeur manuel et entrez les énoncés de politique requis.
La syntaxe standard permettant à un groupe de gérer les déploiements du service de passerelle d'API est la suivante :
-
Autoriser l'ID groupe dynamique <
dynamic group ocid> à gérer les déploiements d'API dans le compartiment <compartment name> -
Autoriser l'ID groupe dynamique <
dynamic group ocid> à utiliser des passerelles d'API dans le compartiment <compartment name>
Exemple :
-
Autoriser l'ID groupe dynamique
ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmqà gérer les déploiements d'API dans le compartimentadwtoolsqa -
Autoriser l'ID groupe dynamique
ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmqà utiliser des passerelles d'API dans le compartimentadwtoolsqa
Cet énoncé de politique permet au groupe
ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmqdu domaine d'administration de gérer et d'utiliser les déploiements de passerelle d'API OCI dans le compartimentadwtoolsqa.Note
Note :
-
Lors de la définition d'énoncés de politique, vous pouvez spécifier des verbes (comme dans ces étapes) ou des autorisations (généralement utilisées par les utilisateurs expérimentés).
-
Pour en savoir plus sur les politiques, voir Fonctionnement des politiques et Informations de référence sur les politiques dans la documentation sur Oracle Cloud Infrastructure.
-
-
Vérifiez et créez la politique.
Les énoncés de politique sont validés et les erreurs de syntaxe sont affichées.
Activer une URL personnalisée dans votre base de données de membres de groupe élastique
Suivez ces instructions pour configurer une URL personnalisée pour votre instance de base de données du service d'intelligence artificielle autonome à l'aide de la console de service Oracle Cloud Infrastructure.
-
Dans la page Détails de la base de données de l'IA autonome, dans la liste déroulante Actions supplémentaires, sélectionnez Activer l'URL personnalisée.
-
Dans la boîte de dialogue Configurer l'URL personnalisée pour les outils de base de données, sélectionnez Utiliser l'URL personnalisée.
-
Sélectionnez le compartiment de votre passerelle d'API OCI.
-
Sélectionnez le service Passerelle d'API dans la liste des noms de passerelle d'API OCI auxquels vous avez accès.
-
Spécifiez le nom de domaine personnalisé complet qui doit apparaître dans l'URL et qui est enregistré auprès du DNS.
Par exemple, entrez
examplehost.com.
Description de l'illustration adb_configure_vanity_url.png
Cliquez sur Configurer.
Une fois la configuration réussie, l'onglet Configuration de l'outil de la page Détails de la base de données d'intelligence artificielle autonome affiche un nouveau champ nommé URL de valeur, ainsi que des champs d'URL de valeur supplémentaires sous Oracle APEX et Actions de base de données.
Description de l'illustration adb-vanity-url-tool-configuration.png
Vous pourrez accéder aux applications d'utilisateur final et aux outils de développement tels qu'Oracle APEX et Database Actions à l'aide de votre nom de domaine personnalisé ou de votre URL d'accès public/privé en fonction de l'accès au réseau de votre base de données.
Activer une URL personnalisée sur votre base de données de groupe non élastique à l'aide d'un mandataire inversé
Pour une base de données qui ne fait pas partie d'un groupe élastique, vous pouvez déployer manuellement un équilibreur de charge Oracle Cloud Infrastructure Load Balancer dans votre réseau en nuage virtuel (VCN) à l'aide de votre base de données IA autonome en tant que dorsale.
Votre instance de base de données d'intelligence artificielle autonome doit être configurée avec un point d'extrémité privé dans le même VCN. Pour plus d'informations, voir Configurer l'accès au réseau à l'aide de points d'extrémité privés.
Reportez-vous aux publications suivantes pour plus de détails sur l'activation d'une URL personnalisée pour une base de données en dehors d'un pool élastique :