À propos de la connexion à une instance Autonomous AI Database

Les connexions à la base de données IA autonome sont effectuées sur l'Internet public, éventuellement avec des règles de contrôle d'accès définies, ou à l'aide d'un point d'extrémité privé dans un réseau en nuage virtuel (VCN) de votre location.

Lorsque vous spécifiez une configuration de point d'extrémité privé, cela autorise uniquement le trafic à partir du réseau en nuage virtuel que vous spécifiez et bloque l'accès à la base de données à partir de toutes les adresses IP publiques ou de tous les réseaux en nuage virtuels. La configuration d'un point d'extrémité privé vous permet de conserver tout le trafic vers et depuis votre base de données hors du réseau Internet public. Avec un point d'extrémité privé, lorsque l'accès public est activé avec Autoriser l'accès public, l'instance comporte à la fois un point d'extrémité privé et un point d'extrémité public :

• Le nom d'hôte privé, l'URL du point d'extrémité et l'adresse IP privée vous permettent de vous connecter à la base de données à partir du VCN où réside la base de données.

• Le nom d'hôte public vous permet de vous connecter à la base de données à partir d'adresses IP publiques spécifiques ou à partir de réseaux en nuage virtuels spécifiques si ces derniers sont configurés pour une connexion privée à la base de données IA autonome à l'aide d'une passerelle de service.

De nombreuses applications prennent en charge plusieurs types de connexion, mais chaque type de connexion à Autonomous AI Database utilise l'authentification par certificat et la connexion à la base de données TCPS (Secure TCP) à l'aide de la norme TLS 1.3. Cela garantit qu'il n'y a pas d'accès non autorisé à la base de données Autonomous AI Database et que les communications entre le client et le serveur sont entièrement chiffrées et ne peuvent pas être interceptées ou modifiées.

La base de données autonome d'IA prend par défaut en charge les connexions TLS mutuelles (mTLS) (utilisez le port 1522 pour vous connecter avec mTLS). Vous avez la possibilité de configurer une instance de base de données autonome avec intelligence artificielle pour prendre en charge les connexions mTLS et TLS (utilisez le port 1521 ou 1522 pour vous connecter à TLS).

Les clients qui utilisent l'authentification TLS avec Autonomous AI Database présentent des avantages, notamment :

• Les connexions TLS ne nécessitent pas le téléchargement d'un portefeuille. Pour les connexions TLS utilisant le pilote léger JDBC avec JDK8 ou une valeur supérieure, un portefeuille n'est pas requis. Cela inclut les connexions provenant de clients tels que SQL Developer et SQL Command Line (SQLcl).

• Les clients qui se connectent à TLS n'ont pas à se soucier de la rotation du portefeuille. La rotation de portefeuille est une procédure régulière pour les connexions mTLS.

• Les connexions TLS peuvent être plus rapides (fournissant moins de latence de connexion). L'authentification TLS peut fournir une latence de connexion réduite par rapport à mTLS.

• Les connexions TLS et mTLS ne s'excluent pas mutuellement. L'authentification TLS mutuelle (mTLS) est activée par défaut et toujours disponible. Lorsque vous activez l'authentification TLS, vous pouvez utiliser l'authentification mTLS ou TLS.

• L'utilisation de l'authentification TLS ne compromet pas la communication de bout en bout entièrement chiffrée entre un client et une base de données IA autonome.

Voir Voir les noms TNS et les chaînes de connexion pour une instance de base de données d'IA autonome pour plus de détails sur l'obtention des chaînes de connexion mTLS pour votre instance de base de données d'IA autonome.

À propos de l'authentification TLS mutuelle (mTLS)

Avec le protocole mTLS (Mutual Transport Layer Security), les clients se connectent au moyen d'une connexion TCPS (Secure TCP) à la base de données conforme à la norme TLS 1.3 et d'un certificat de client approuvé d'une autorité de certification (CA).

Avec l'authentification mutuelle, l'application client et la base de données autonome d'IA s'authentifient mutuellement. Autonomous AI Database utilise l'authentification mTLS par défaut. Utilisez le port 1522 pour vous connecter à une instance Autonomous AI Database avec mTLS (l'affectation de port 1522 ne peut pas être modifiée).

L'authentification TLS mutuelle nécessite que le client télécharge ou obtienne un certificat d'autorité de certification du client approuvé pour la connexion à une instance de base de données IA autonome. La base de données autonome d'IA utilise ensuite le certificat pour authentifier le client. Cela assure une sécurité accrue et spécifie les clients qui peuvent communiquer avec une instance de base de données d'IA autonome.

L'authentification de certification avec TLS mutuelle utilise une clé chiffrée stockée dans un wallet sur le client (où l'application s'exécute) et sur le serveur (où votre service de base de données sur la base de données de l'IA autonome s'exécute). Pour établir une connexion, la clé du client doit correspondre à la clé du serveur. Un portefeuille contient une collection de fichiers, y compris la clé et d'autres informations nécessaires pour la connexion à l'instance de base de données du service d'intelligence artificielle autonome. Toutes les communications entre le client et le serveur sont chiffrées.

Pour sécuriser la connexion à votre instance de base de données Autonomous AI Database, un administrateur de service télécharge les données d'identification du client (fichiers de portefeuille) à partir de la base de données Autonomous AI Database. Si vous n'êtes pas un administrateur du service Autonomous AI Database, votre administrateur vous fournit les données d'identification du client. Pour plus d'informations, voir Télécharger les données d'identification du client (portefeuilles).

La figure suivante présente des connexions sécurisées client à Oracle Autonomous AI Database par l'Internet public à l'aide de connexions TLS mutuelles. Si vous configurez votre base de données pour qu'elle utilise des points d'extrémité privés, l'Internet public n'est pas utilisé et la connexion utilise un point d'extrémité privé dans un réseau en nuage virtuel (VCN) de votre location.

Description de l'illustration autonomous-database.eps

Voir Voir les noms TNS et les chaînes de connexion pour une instance de base de données d'IA autonome pour plus de détails sur l'obtention des chaînes de connexion mTLS pour votre instance de base de données d'IA autonome.

La plupart des organisations protègent les réseaux et les appareils d'un réseau à l'aide d'un pare-feu. Un pare-feu contrôle le trafic réseau entrant et sortant à l'aide de règles qui permettent l'utilisation de certains ports et l'accès à certains ordinateurs (ou, plus précisément, des adresses IP ou des noms d'hôte). Une fonction importante d'un pare-feu est d'assurer la séparation entre les réseaux internes et l'Internet public.

Lorsque Autonomous AI Database est configuré pour l'accès à l'aide de l'Internet public, vous devez configurer le pare-feu pour autoriser l'accès aux serveurs Autonomous AI Database.

Pour accéder à la base de données IA autonome à partir d'un pare-feu, ce dernier doit autoriser l'utilisation du port spécifié dans la connexion à la base de données lors de la connexion aux serveurs de la connexion. Utilisez le port 1522 pour les connexions mTLS de base de données Autonomous AI Database (vous pouvez voir le numéro de port dans la chaîne de connexion à partir du fichier tnsnames.ora dans votre fichier credentials ZIP). Par exemple, voir la valeur port dans le fichier tnsnames.ora suivant :

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Votre pare-feu doit autoriser l'accès aux serveurs du domaine .oraclecloud.com à l'aide du port 1522. Pour vous connecter à Autonomous AI Database, selon la configuration réseau de votre organisation, vous devrez peut-être utiliser un serveur mandataire pour accéder à ce port ou vous devrez peut-être demander à l'administrateur de réseau d'ouvrir ce port.

Voir Intervalles d'adresses IP pour plus d'informations sur les intervalles d'adresses IP publiques dans Oracle Cloud Infrastructure. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance de base de données d'intelligence artificielle autonome sur un point d'extrémité public.

La continuité des applications masque les pannes des utilisateurs finaux et des applications en récupérant le travail en cours pour les sessions de base de données touchées après les pannes. La continuité des applications effectue cette récupération sous l'application de sorte que la panne apparaisse à l'application comme une exécution légèrement retardée.

Pour plus d'informations sur la continuité des applications, voir Utiliser la continuité des applications dans Autonomous AI Database.