A propos de la connexion à une instance Autonomous Database
Une fois que vous avez créé des utilisateurs de base de données, les applications et les outils se connectent aux bases de données autonomes avec Oracle Net Services (également appelé SQL*Net). Oracle Net Services permet d'établir une session réseau depuis une application client vers un serveur Oracle Database.
Lorsqu'une session réseau est établie, Oracle Net Services joue le rôle de coursier de données pour l'application client et la base de données. Il est responsable de l'établissement et de la gestion de la connexion entre l'application client et la base de données, ainsi que de l'échange des messages entre ces dernières.
Oracle Net Services prend en charge divers types de connexion pour la connexion à une instance Autonomous Database, notamment :
-
Pilote JDBC léger : pour les applications Java, le pilote JDBC léger est un pilote Java pur. De nombreuses applications, y compris Oracle SQL Developer, prennent en charge les connexions JDBC Thin Driver.
-
JDBC OCI : utilisé par les applications en langage Java. JDBC OCI ajoute une couche par-dessus Oracle Call Interface pour les applications Java. L'interface de ligne de commande Oracle SQLcl utilise JDBC OCI.
-
Oracle Call Interface (OCI) : utilisé par de nombreuses applications écrites en langage C. Examples that use Oracle Call Interface include Oracle utilities such as Oracle SQL*Plus, SQL*Loader, and Oracle Data Pump.
-
Pilotes ODBC : utilisés par les applications exécutées sur Microsoft Windows, qui sont superposées sur Oracle Call Interface (OCI).
Les produits tiers et les applications personnalisées peuvent utiliser n'importe lequel de ces types de connexion.
Sujets
- Connexions sécurisées à Autonomous Database avec mTLS ou TLS
Les connexions à Autonomous Database sont établies via l'Internet public, éventuellement avec des règles de contrôle d'accès (ACL) définies ou à l'aide d'une adresse privée dans un réseau cloud virtuel (VCN) de votre location. - Connexion à Autonomous Database via un pare-feu
La plupart des entreprises protègent les réseaux et les appareils sur un réseau à l'aide d'un pare-feu. Un pare-feu contrôle le trafic réseau entrant et sortant en utilisant des règles qui permettent l'utilisation de certains ports et l'accès à certains ordinateurs (ou, plus précisément, des adresses IP ou des noms d'hôtes). Une fonction importante d'un pare-feu est de fournir une séparation entre les réseaux internes et l'Internet public. - Utilisation de la continuité des applications
La continuité des applications masque les pannes des utilisateurs finals et des applications en récupérant le travail en cours pour les sessions de base de données concernées après les pannes. La continuité des applications effectue cette récupération sous l'application de sorte que la panne apparaisse à l'application comme une exécution légèrement retardée.
Rubrique parent : Connexion à Autonomous Database
Connexions sécurisées à Autonomous Database avec mTLS ou TLS
Les connexions à Autonomous Database sont effectuées via l'Internet public, éventuellement avec des règles de contrôle d'accès (ACL) définies, ou à l'aide d'une adresse privée dans un réseau cloud virtuel (VCN) de votre location.
Lorsque vous indiquez une configuration d'adresse privée, cela autorise uniquement le trafic du réseau cloud virtuel que vous indiquez et bloque l'accès à la base de données à partir de toutes les adresses IP publiques ou de tous les réseaux cloud virtuels. La configuration d'une adresse privée vous permet de conserver l'ensemble du trafic vers et depuis votre base de données hors du réseau Internet public. Avec une adresse privée, lorsque l'accès public est activé avec Autoriser l'accès public, l'instance dispose à la fois d'une adresse privée et d'une adresse publique :
-
Le nom d'hôte privé, l'URL d'adresse et l'adresse IP privée vous permettent de vous connecter à la base de données à partir du VCN où réside la base de données.
-
Le nom d'hôte public vous permet de vous connecter à la base de données à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces réseaux cloud virtuels sont configurés pour une connexion privée à Autonomous Database à l'aide d'une passerelle de service.
De nombreuses applications prennent en charge plusieurs types de connexion, mais chaque type de connexion à Autonomous Database utilise l'authentification par certificat et la connexion à la base de données TCPS (TCP sécurisé) à l'aide de la norme TLS 1.2. Vous assurez ainsi l'absence d'accès non autorisé à Autonomous Database, et que les communications entre le client et les serveurs sont entièrement cryptées, et ne peuvent pas être interceptées ou modifiées.
Par défaut, Autonomous Database prend en charge les connexions TLS mutuelles (mTLS) (utilisez le port 1522 pour vous connecter à mTLS). Vous avez la possibilité de configurer une instance Autonomous Database pour qu'elle prenne en charge à la fois les connexions mTLS et TLS (utilisez le port 1521 ou 1522 pour vous connecter à TLS).
Les clients qui utilisent l'authentification TLS avec Autonomous Database présentent les avantages suivants :
-
Les connexions TLS ne nécessitent pas le téléchargement d'un portefeuille. Pour les connexions TLS utilisant le pilote léger JDBC avec JDK8 ou une version supérieure, aucun portefeuille n'est requis. Cela inclut les connexions provenant de clients tels que SQL Developer et la ligne de commande SQL (SQLcl).
-
Les clients qui se connectent à TLS n'ont pas besoin de s'inquiéter de la rotation du portefeuille. La rotation de portefeuille est une procédure standard pour les connexions mTLS.
-
Les connexions TLS peuvent être plus rapides (ce qui réduit la latence de connexion). L'authentification TLS peut fournir une latence de connexion réduite par rapport au protocole mTLS.
-
Les connexions TLS et mTLS ne s'excluent pas mutuellement. L'authentification TLS mutuelle (mTLS) est activée par défaut et toujours disponible. Lorsque vous activez l'authentification TLS, vous pouvez utiliser l'authentification mTLS ou TLS.
-
L'utilisation de l'authentification TLS ne compromet pas la communication de bout en bout entièrement chiffrée entre un client et Autonomous Database.
Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.
A propos de l'authentification TLS réciproque (mTLS)
Lorsque l'authentification mTLS (Mutual Transport Layer Security) est utilisée, les clients se connectent via une connexion de base de données TCP sécurisée (TCPS) à l'aide du protocole TLS 1.2 standard avec un certificat d'autorité de certification client sécurisée.
Avec l'authentification mutuelle, l'application client authentifie Autonomous Database, et inversement. Autonomous Database utilise l'authentification TLS mutuelle par défaut. Utilisez le port 1522 pour vous connecter à une instance Autonomous Database avec mTLS (l'affectation de port 1522 ne peut pas être modifiée).
L'authentification TLS mutuelle exige que le client télécharge ou obtienne un certificat d'autorité de certification client sécurisé pour se connecter à une instance Autonomous Database. Autonomous Database utilise ensuite le certificat pour authentifier le client. Cela augmente la sécurité et indique les clients qui peuvent communiquer avec une instance Autonomous Database.
L'authentification de certification avec TLS mutuelle utilise une clé cryptée stockée dans un portefeuille sur le client (où l'application est en cours d'exécution) et le serveur (où le service de base de données sur Autonomous Database est en cours d'exécution). La clé du client doit correspondre à celle du serveur pour établir une connexion. Un portefeuille contient un ensemble de fichiers, notamment la clé et d'autres informations nécessaires pour se connecter à votre instance Autonomous Database. Toutes les communications entre le client et le serveur sont cryptées.
Pour sécuriser la connexion à votre instance Autonomous Database, un administrateur de service télécharge les informations d'identification client (fichiers de portefeuille) à partir d'Autonomous Database. Si vous n'êtes pas administrateur du service Autonomous Database, l'administrateur vous fournit les informations d'identification client. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).
La figure suivante illustre les connexions sécurisées client à Oracle Autonomous Database sur le réseau Internet public à l'aide de connexions TLS mutuelles. Si vous configurez votre base de données pour qu'elle utilise des adresses privées, le réseau Internet public n'est pas utilisé et la connexion utilise une adresse privée dans un réseau cloud virtuel (VCN) de votre location.
Description de l'illustration autonomous-database.eps
Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.
A propos de l'authentification TLS
Lorsque le protocole TLS (Transport Layer Security) est utilisé, les clients se connectent via une connexion de base de données TCP (Secure TCP) à l'aide du Protocole TLS 1.2 standard. Un client utilise sa liste d'autorités de certification sécurisées pour valider le certificat racine d'autorité de certification du serveur. Si l'autorité de certification émettrice est sécurisée, le client vérifie que le certificat est authentique.
Le client et Autonomous Database peuvent ainsi établir la connexion cryptée avant d'échanger des messages. Utilisez le port 1521 ou 1522 pour vous connecter à une instance Autonomous Database avec TLS (ces affectations de port ne peuvent pas être modifiées).
Lorsque vous vous connectez avec l'authentification TLS à l'aide des clients JDBC Thin Driver, y compris Oracle SQL Developer et Oracle SQLcl, vous n'avez pas besoin de télécharger de portefeuille pour sécuriser la connexion à votre instance Autonomous Database. L'authentification TLS permet au client de vérifier l'identité du service Autonomous Database afin de fournir une communication sécurisée.
Selon le type de client, une connexion TLS prend en charge les éléments suivants avec Autonomous Database :
-
Pour les connexions avec le pilote léger JDBC utilisant JDK8u162 ou une version ultérieure, y compris les connexions avec Oracle SQL Developer et Oracle SQLcl, aucun portefeuille n'est requis.
-
Les clients Oracle Call Interface (OCI) prennent en charge l'authentification TLS sans portefeuille si vous utilisez les versions client suivantes :
-
Oracle Instant Client/Oracle Database Client 19.13 - uniquement sous Linux x64
-
Oracle Instant Client/Oracle Database Client 19.14 (ou version ultérieure), 21.5 (ou version ultérieure) ou 23.1 (ou version ultérieure)
-
-
Si le client se connecte avec la version 19.13 ou 21.4 (ou supérieure) gérée de ODP.NET ou ODP.NET Core à l'aide de l'authentification TLS, il peut se connecter sans fournir de portefeuille.
Des prérequis d'accès réseau sont requis pour les connexion TLS. Pour plus d'informations, reportez-vous à Prérequis d'accès réseau pour les connexions TLS.
Pour plus de détails sur l'obtention des chaînes de connexion TLS pour votre instance Autonomous Database, reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance Autonomous Database.
Rubrique parent : A propos de la connexion à une instance d'Autonomous Database
Connexion à Autonomous Database via un pare-feu
La plupart des entreprises protègent les réseaux et les périphériques d'un réseau à l'aide d'un pare-feu. Un pare-feu contrôle le trafic réseau entrant et sortant en utilisant des règles qui permettent l'utilisation de certains ports et l'accès à certains ordinateurs (ou, plus précisément, des adresses IP ou des noms d'hôtes). Une fonction importante d'un pare-feu est de fournir une séparation entre les réseaux internes et l'Internet public.
Lorsque Autonomous Database est configuré pour l'accès à l'aide du réseau Internet public, vous devez configurer le pare-feu pour autoriser l'accès aux serveurs Autonomous Database.
Pour accéder à Autonomous Database depuis un pare-feu, celui-ci doit autoriser l'utilisation du port indiqué dans la connexion de base de données lors de la connexion aux serveurs de la connexion. Utilisez le port 1522 pour les connexions TLS mutuelle Autonomous Database (vous pouvez voir le numéro de port dans la chaîne de connexion à partir du fichier tnsnames.ora dans votre fichier credentials ZIP). Par exemple, reportez-vous à la valeur port dans le fichier tnsnames.ora suivant :
db2022adb_high = (description = (
address=(protocol=tcps)
(port=1522)
(host=adb.example.oraclecloud.com))
(connect_data=(service_name=example_high.adb.oraclecloud.com))
(security=(ssl_server_dn_match=yes)))Votre pare-feu doit autoriser l'accès aux serveurs dans le domaine .oraclecloud.com à l'aide du port 1522. Pour vous connecter à Autonomous Database, selon la configuration réseau de votre organisation, vous devrez peut-être utiliser un serveur proxy pour accéder à ce port ou demander à l'administrateur réseau d'ouvrir ce port.
Pour plus d'informations sur les plages d'adresses IP publiques dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance Autonomous Database sur une adresse publique.
Rubrique parent : A propos de la connexion à une instance d'Autonomous Database
Utilisation de la continuité des applications
La continuité des applications masque les pannes des utilisateurs finals et des applications en récupérant le travail en cours pour les sessions de base de données concernées après les pannes. La continuité des applications effectue cette récupération sous l'application de sorte que la panne apparaisse à l'application comme une exécution légèrement retardée.
Par défaut, la continuité des applications est désactivée.
Pour plus d'informations sur la continuité des applications, reportez-vous à Utilisation de la continuité des applications sur Autonomous Database.
Rubrique parent : A propos de la connexion à une instance d'Autonomous Database