Configuration de l'accès réseau avec des adresses privées

Vous pouvez indiquer que la base de données autonome utilise une adresse privée du réseau cloud virtuel de votre location. Vous pouvez configurer une adresse privée lors du provisionnement ou du clonage de la base de données autonome, ou passer à une adresse privée dans une base de données existante qui utilise une adresse publique. Vous conservez ainsi tout le trafic vers et depuis votre base de données hors du réseau Internet public.

La spécification de la configuration de réseau cloud virtuel autorise uniquement le trafic à partir du réseau cloud virtuel indiqué. L'accès à la base de données à partir de l'ensemble des adresses IP ou réseaux cloud virtuels publics est bloqué. Cela vous permet de définir des règles de sécurité avec des listes de sécurité ou au niveau du groupe de sécurité réseau afin d'indiquer les entrées/sorties pour votre instance Autonomous Database. L'utilisation d'une adresse privée et la définition de listes de sécurité ou de groupes de sécurité réseau vous permettent de contrôler le trafic depuis et vers votre instance Autonomous Database.

Remarque

Si vous configurez votre instance Autonomous Database pour qu'elle utilise une adresse privée et que vous voulez également autoriser les connexions à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces réseaux cloud virtuels sont configurés pour se connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service, sélectionnez l'option Autoriser l'accès public. Vous ajoutez ainsi une adresse publique pour une base de données configurée avec une adresse privée. Pour plus d'informations, reportez-vous à Utilisation d'une adresse privée avec accès public autorisé.

L'option Autoriser l'accès public est disponible uniquement lorsque la base de données utilise le modèle de calcul ECPU.

Rubriques

Configuration d'adresses privées

Vous pouvez indiquer que la base de données autonome utilise une adresse privée et configurer un réseau cloud virtuel dans la location à utiliser avec l'adresse privée.

Etapes prérequises pour configurer des adresses privées

Décrit les étapes prérequises à effectuer avant de configurer une adresse privée pour une instance Autonomous Database.

Effectuez les étapes prérequises suivantes avant de configurer une adresse privée :

  • Définissez les stratégies requises pour les ressources que vous utilisez. Pour plus d'informations, reportez-vous à Stratégies IAM requises pour gérer des adresses privées.

  • Créez dans la région un réseau cloud virtuel qui contiendra la base de données autonome. Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

  • Configurez un sous-réseau dans le réseau cloud virtuel, défini avec des options DHCP par défaut. Pour plus d'informations, reportez-vous à DNS dans votre réseau cloud virtuel.

  • (Facultatif) Effectuez l'étape facultative suivante avant de configurer une adresse privée :

    Spécifiez un groupe de sécurité réseau (NSG) dans votre VCN. Le groupe de sécurité réseau indique les règles de connexion à la base de données autonome. Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.

Stratégies IAM requises pour gérer des adresses privées

En plus des stratégies requises pour provisionner et gérer une base de données autonome, certaines stratégies réseau sont nécessaires à l'utilisation des adresses privées.

Le tableau suivant répertorie les stratégies IAM requises pour qu'un utilisateur cloud puisse ajouter une adresse privée. Les stratégies répertoriées correspondent aux exigences minimales permettant d'ajouter une adresse privée. Vous pouvez également utiliser une règle de stratégie plus large. Par exemple, si vous définissez la règle de stratégie suivante :

Allow group MyGroupName to manage virtual-network-family in tenancy

Cette règle fonctionne également car il s'agit d'un surensemble contenant toutes les stratégies requises.

Opération Stratégies IAM requises

Configuration une adresse privée

use vcns pour le compartiment dans lequel se trouve le réseau cloud virtuel

use subnets pour le compartiment dans lequel se trouve le réseau cloud virtuel

use network-security-groups pour le compartiment dans lequel se trouve le groupe de sécurité réseau

manage private-ips pour le compartiment dans lequel se trouve le réseau cloud virtuel

manage vnics pour le compartiment dans lequel se trouve le réseau cloud virtuel

manage vnics pour le compartiment dans lequel la base de données est provisionnée ou doit être provisionnée

Autonomous Database s'appuie sur le service IAM (Identity and Access Management) pour authentifier les utilisateurs cloud et les autoriser à effectuer des opérations qui utilisent l'une des interfaces Oracle Cloud Infrastructure (console, API REST, interface de ligne de commande, kit SDK ou autres).

Le service IAM recourt aux groupes, aux compartiments et aux stratégies pour déterminer quels utilisateurs cloud peuvent accéder à quelles ressources. Plus particulièrement, une stratégie définit le type d'accès dont dispose un groupe d'utilisateurs à un type spécifique de ressource dans un compartiment donné. Pour plus d'informations, reportez-vous à Introduction aux stratégies.

Configuration d'adresses privées lors du provisionnement ou du clonage d'une instance

Vous pouvez configurer une adresse privée lorsque vous provisionnez ou clonez une instance Autonomous Database.

Cette procédure suppose que vous êtes en train de provisionner ou de cloner une instance, que vous avez terminé les étapes prérequises et que vous en êtes à l'étape Choisir l'accès réseau du provisionnement ou du clonage :

  1. Sélectionnez Accès à l'adresse privée uniquement.

    Cette opération permet de développer la zone de configuration de l'accès privé à partir du réseau cloud virtuel.



    Si vous sélectionnez Accès à l'adresse privée uniquement, cela autorise uniquement les connexions à partir du réseau privé spécifié (VCN), à partir de réseaux cloud virtuels appairés et à partir de réseaux sur site connectés à votre VCN. Vous pouvez configurer une instance Autonomous Database sur une adresse privée pour autoriser les connexions à partir de réseaux sur site. Reportez-vous à Exemple : connexion à Autonomous Database à partir de votre centre de données pour obtenir un exemple.

    Si vous voulez autoriser les connexions à partir d'adresses IP publiques ou d'adresses IP et de réseaux cloud virtuels autorisés, vous disposez des options suivantes :

    • Sélectionnez Accès sécurisé à partir de n'importe quel emplacement.

    • Sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    • Si vous sélectionnez Accès à l'adresse privée uniquement, développez Afficher les options avancées et sélectionnez Autoriser l'accès public. Pour plus d'informations, reportez-vous à Configuration des options avancées d'adresse privée.

  2. Sélectionnez un réseau cloud virtuel de votre compartiment ou, si le réseau cloud virtuel se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment approprié, puis sélectionnez le réseau cloud virtuel.

    Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

  3. Sélectionnez le sous-réseau de votre compartiment auquel attacher l'instance Autonomous Database ou, si le sous-réseau se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment contenant le sous-réseau, puis sélectionnez un sous-réseau.

    Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

  4. (Facultatif) Cliquez sur Afficher les options avancées pour afficher des options d'adresse privée supplémentaires.

    Pour plus de détails sur les options avancées, reportez-vous à Configuration des options avancées d'adresse privée.

  5. Exigez l'authentification TLS mutuelle (mTLS).

    L'option Exiger l'authentification TLS mutuelle offre les possibilités suivantes :

    • Lorsque l'option Exiger l'authentification TLS mutuelle est désélectionnée, les connexions TLS et TLS mutuelles sont autorisées. Il s'agit de la configuration par défaut.

    • Lorsque l'option Exiger l'authentification TLS mutuelle est sélectionnée, seules les connexions TLS mutuelles sont autorisées (l'authentification TLS est interdite).

    Pour plus d'informations, reportez-vous à Mise à jour des options de réseau pour autoriser l'authentification TLS ou exiger uniquement l'authentification TLS mutuelle (mTLS) sur Autonomous Database.

  6. Effectuez les étapes de provisionnement ou de clonage restantes, comme indiqué dans Provisionnement d'une instance Autonomous Database, Clonage d'une instance Autonomous Database ou Clonage d'une instance Autonomous Database à partir d'une sauvegarde.

Pour plus d'informations, reportez-vous à Remarques relatives aux adresses privées.

Passage d'adresses publiques à des adresses privées avec Autonomous Database

Si l'instance Autonomous Database est configurée pour utiliser une adresse publique, vous pouvez modifier la configuration afin d'utiliser une adresse privée.

  1. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Mettre à jour l'accès réseau.

    Pour passer d'une adresse publique à une adresse privée, l'instance Autonomous Database doit présenter l'état Disponible (Etat de cycle de vie : Disponible).

  2. Dans la boîte de dialogue Mettre à jour l'accès réseau, sélectionnez Accès à l'adresse privée uniquement.

    Cette opération permet de développer la zone de configuration de l'accès privé à partir du réseau cloud virtuel.

    Description de l'image adb_network_private_update.png ci-après
    Description de l'illustration adb_network_private_update.png

    Si vous sélectionnez Accès à l'adresse privée uniquement, cela autorise uniquement les connexions à partir du réseau privé spécifié (VCN), à partir de réseaux cloud virtuels appairés et à partir de réseaux sur site connectés à votre VCN. Vous pouvez configurer une instance Autonomous Database sur une adresse privée pour autoriser les connexions à partir de réseaux sur site. Reportez-vous à Exemple : connexion à Autonomous Database à partir de votre centre de données pour obtenir un exemple.

    Si vous voulez autoriser les connexions à partir d'adresses IP publiques ou d'adresses IP et de réseaux cloud virtuels autorisés, vous disposez des options suivantes :

    • Sélectionnez Accès sécurisé à partir de n'importe quel emplacement.

    • Sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    • Si vous sélectionnez Accès à l'adresse privée uniquement, développez Afficher les options avancées et sélectionnez Autoriser l'accès public. Pour plus d'informations, reportez-vous à Configuration des options avancées d'adresse privée.

  3. Sélectionnez un réseau cloud virtuel de votre compartiment ou, si le réseau cloud virtuel se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment approprié, puis sélectionnez le réseau cloud virtuel.

    Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

  4. Sélectionnez le sous-réseau de votre compartiment auquel attacher l'instance Autonomous Database ou, si le sous-réseau se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment contenant le sous-réseau, puis sélectionnez un sous-réseau.

    Pour plus d'informations, reportez-vous à Réseaux cloud virtuels et sous-réseaux.

  5. (Facultatif) Cliquez sur Afficher les options avancées pour afficher des options supplémentaires.

    Pour plus de détails sur les options avancées, reportez-vous à Configuration des options avancées d'adresse privée.

  6. Cliquez sur Mettre à jour.
  7. Dans la boîte de dialogue Confirmer, saisissez le nom de l'instance Autonomous Database pour confirmer la modification.
  8. Dans la boîte de dialogue Confirmer, cliquez sur Mettre à jour.

L'état de cycle de vie passe à Mise à jour jusqu'à la fin de l'opération.

Remarques relatives au passage de l'accès réseau public à l'accès réseau privé :

  • Une fois le type d'accès réseau mis à jour, tous les utilisateurs de la base de données doivent obtenir un nouveau portefeuille et l'utiliser pour y accéder. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

  • Si des listes de contrôle d'accès étaient définies pour l'adresse publique, elles ne s'appliquent pas à l'adresse privée.

  • Une fois que vous avez mis à jour l'accès réseau pour utiliser une adresse privée, l'URL des outils de base de données est différente de celle utilisée avec une adresse publique. Vous pouvez trouver les URL mises à jour sur la console, après être passé d'une adresse publique à une adresse privée.

Mise à jour de la configuration d'une adresse privée

Vous pouvez modifier certaines options dans la configuration d'une adresse privée sur une instance Autonomous Database existante.

  1. Sur la page Détails, dans la liste déroulante Actions supplémentaires, sélectionnez Mettre à jour l'accès réseau.

    Affiche le panneau Mettre à jour l'accès réseau.

    Description de l'image adb_network_access_private_update.png
    Description de l'illustration adb_network_access_private_update.png
  2. Sélectionnez Accès à l'adresse privée uniquement.

    Si vous voulez autoriser les connexions à partir d'adresses IP publiques ou d'adresses IP et de réseaux cloud virtuels autorisés, vous disposez des options suivantes :

    • Sélectionnez Accès sécurisé à partir de n'importe quel emplacement.

    • Sélectionnez Accès sécurisé à partir des adresses IP et des réseaux cloud virtuels autorisés uniquement.

    • Lorsque vous sélectionnez Accès à l'adresse privée uniquement, affichez les options avancées et sélectionnez Autoriser l'accès public. Elle définit une base de données d'adresse privée qui inclut à la fois une adresse privée et une adresse publique.

    1. Vous pouvez éventuellement ajouter des groupes de sécurité réseau.

      Vous pouvez éventuellement définir des règles de sécurité dans un groupe de sécurité réseau afin d'autoriser les connexions à l'instance Autonomous Database. Cela crée un pare-feu virtuel pour votre instance Autonomous Database.

      • Sélectionnez le groupe de sécurité réseau de votre compartiment auquel attacher la base de données autonome ou, si le groupe de sécurité réseau se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment approprié, puis sélectionnez le groupe de sécurité réseau.
      • Cliquez sur + Un autre groupe de sécurité réseau pour ajouter un groupe de sécurité réseau.
      • Cliquez sur x pour enlever une entrée de groupe de sécurité réseau.

      Pour le groupe de sécurité réseau sélectionné pour l'adresse privée, définissez une règle de sécurité comme suit :

      • Pour l'authentification TLS mutuelle (mTLS), ajoutez une règle entrante avec conservation de statut, définissant la source sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole IP sur TCP et la plage de ports de destination sur 1522.

      • Pour l'authentification TLS, ajoutez une règle entrante avec conservation de Statut, définissant la source sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole IP sur TCP et la plage de port de destination sur 1521 ou 1522.

      • Pour utiliser Oracle APEX, Database Actions et Oracle REST Data Services, ajoutez le port 443 à la règle de groupe de sécurité réseau.

      Remarque

      Les connexions entrantes et sortantes sont limitées par la combinaison de règles entrantes et sortantes définies dans les groupes de sécurité réseau et les listes de sécurité définies avec le VCN. En l'absence de groupes de sécurité réseau, les règles entrantes et sortantes définies dans les listes de sécurité pour le VCN s'appliquent toujours. Pour plus d'informations sur l'utilisation des listes de sécurité, reportez-vous à Listes de sécurité.

      Pour plus d'informations, reportez-vous à Connexions sécurisées à Autonomous Database avec mTLS ou TLS.

      Pour obtenir des exemples, reportez-vous à Exemples de configuration d'adresses privées sur Autonomous Database.

      Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.

    2. Sélectionnez éventuellement Autoriser l'accès public ou, si cette option est déjà sélectionnée, vous pouvez configurer des règles de contrôle d'accès à l'adresse publique configurée avec la base de données d'adresse privée.

      L'option Autoriser l'accès public est disponible uniquement lorsque la base de données utilise le modèle de calcul ECPU.

      Lorsque vous sélectionnez Autoriser l'accès public, les options Configurer le contrôle d'accès permettent d'entrer les adresses IP, les blocs CIDR ou les réseaux cloud virtuels autorisés à se connecter à la base de données.

      Sélectionnez l'une des options suivantes :

      • Adresse IP :

        Dans le champ Values, entrez les valeurs de l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

        Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.

      • bloc CIDR :

        Dans le champ Valeurs, entrez les valeurs du bloc CIDR. Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

      • réseau cloud virtuel :

        Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

        Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle Oracle Cloud Infrastructure Service Gateway :

        • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
        • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
      • Réseau cloud virtuel (OCID) :

        Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

        • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
        • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

      Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Cliquez sur Mettre à jour.

Si l'état du cycle de vie est défini sur Disponible lorsque vous cliquez sur Mettre à jour, il devient Mise à jour jusqu'à ce que les modifications soient appliquées. La base de données continue de fonctionner et reste accessible. Il n'y a aucun temps d'inactivité. Une fois la mise à jour terminée, l'état du cycle de vie redevient Disponible.

Pour plus d'informations, reportez-vous à Remarques relatives aux adresses privées.

Configuration d'options avancées d'adresse privée

Les options avancées d'accès à l'adresse privée vous permettent de saisir une adresse IP privée et un nom d'hôte indiqués par l'utilisateur, de sélectionner des groupes de sécurité réseau ou de spécifier des détails autorisant l'accès public à une base de données d'adresse privée.

Ces étapes supposent que vous provisionnez ou clonez une instance Autonomous Database ou que vous passez de l'accès public à l'accès privé pour une instance Autonomous Database existante et que vous en êtes à l'étape Choisir l'accès réseau.

  1. Sélectionnez Accès à l'adresse privée uniquement.

    La zone de configuration de l'accès privé à partir du réseau cloud virtuel s'affiche.

  2. (Facultatif) Cliquez sur Afficher les options avancées pour afficher des options d'adresse privée supplémentaires.
    1. Vous pouvez éventuellement entrer une adresse IP privée.

      Utilisez ce champ pour entrer une adresse IP privée personnalisée. L'adresse IP privée que vous saisissez doit être comprise dans la plage CIDR du sous-réseau sélectionné.

      Si vous n'indiquez pas d'adresse IP privée personnalisée, l'adresse IP est automatiquement affectée.

    2. Vous pouvez éventuellement entrer un fixe de nom d'hôte.

      Vous spécifiez ainsi un préfixe de nom d'hôte pour la base de données autonome et associez un nom DNS à l'instance de base de données, au format suivant :

      hostname_prefix.adb.region.oraclecloud.com

      Si vous ne spécifiez pas de préfixe de nom d'hôte, un préfixe généré par le système est fourni.

    3. Vous pouvez éventuellement ajouter des groupes de sécurité réseau.

      Vous pouvez éventuellement définir des règles de sécurité dans un groupe de sécurité réseau afin d'autoriser les connexions à l'instance Autonomous Database. Cela crée un pare-feu virtuel pour votre instance Autonomous Database.

      • Sélectionnez le groupe de sécurité réseau de votre compartiment auquel attacher la base de données autonome ou, si le groupe de sécurité réseau se trouve dans un autre compartiment, cliquez sur Modifier le compartiment, sélectionnez le compartiment approprié, puis sélectionnez le groupe de sécurité réseau.
      • Cliquez sur + Un autre groupe de sécurité réseau pour ajouter un groupe de sécurité réseau.
      • Cliquez sur x pour enlever une entrée de groupe de sécurité réseau.

      Pour le groupe de sécurité réseau sélectionné pour l'adresse privée, définissez une règle de sécurité comme suit :

      • Pour l'authentification TLS mutuelle (mTLS), ajoutez une règle entrante avec conservation de statut, définissant la source sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole IP sur TCP et la plage de ports de destination sur 1522.

      • Pour l'authentification TLS, ajoutez une règle entrante avec conservation de Statut, définissant la source sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole IP sur TCP et la plage de port de destination sur 1521 ou 1522.

      • Pour utiliser Oracle APEX, Database Actions et Oracle REST Data Services, ajoutez le port 443 à la règle de groupe de sécurité réseau.

      Remarque

      Les connexions entrantes et sortantes sont limitées par la combinaison de règles entrantes et sortantes définies dans les groupes de sécurité réseau et les listes de sécurité définies avec le VCN. En l'absence de groupes de sécurité réseau, les règles entrantes et sortantes définies dans les listes de sécurité pour le VCN s'appliquent toujours. Pour plus d'informations sur l'utilisation des listes de sécurité, reportez-vous à Listes de sécurité.

      Pour plus d'informations, reportez-vous à Connexions sécurisées à Autonomous Database avec mTLS ou TLS.

      Pour obtenir des exemples, reportez-vous à Exemples de configuration d'adresses privées sur Autonomous Database.

      Pour plus d'informations, reportez-vous à Groupes de sécurité réseau.

    4. Vous pouvez également sélectionner Autoriser l'accès public et configurer des règles de contrôle d'accès afin d'ajouter une adresse publique pour la base de données d'adresse privée.

      L'option Autoriser l'accès public est disponible uniquement lorsque la base de données utilise le modèle de calcul ECPU.

      Lorsque vous sélectionnez Autoriser l'accès public, les options Configurer le contrôle d'accès permettent d'entrer les adresses IP, les blocs CIDR ou les réseaux cloud virtuels autorisés à se connecter à la base de données.

      Sélectionnez l'une des options suivantes :

      • Adresse IP :

        Dans le champ Values, entrez les valeurs de l'adresse IP. Une adresse IP spécifiée dans une entrée de liste de contrôle d'accès réseau correspond à l'adresse IP publique du client visible sur le réseau Internet public, auquel vous souhaitez accorder l'accès. Par exemple, pour une machine virtuelle Oracle Cloud Infrastructure, il s'agit de l'adresse IP affichée dans le champ Adresse IP publique de la console Oracle Cloud Infrastructure pour cette machine virtuelle.

        Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.

        Sélectionnez éventuellement Ajouter mon adresse IP pour ajouter votre adresse IP actuelle à l'entrée d'ACL.

      • bloc CIDR :

        Dans le champ Valeurs, entrez les valeurs du bloc CIDR. Le bloc CIDR spécifié correspond au bloc CIDR public des clients visibles sur le réseau Internet public, auxquels vous souhaitez accorder l'accès.

      • réseau cloud virtuel :

        Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

        Utilisez cette option pour indiquer le VCN à utiliser avec une passerelle Oracle Cloud Infrastructure Service Gateway :

        • Dans le champ Réseau cloud virtuel, sélectionnez le VCN à partir duquel vous souhaitez accorder l'accès. Si vous ne disposez pas des privilèges nécessaires pour afficher les réseaux cloud virtuels de votre location, cette liste est vide. Dans ce cas, utilisez la sélection Réseau cloud virtuel (OCID) pour indiquer l'OCID du VCN.
        • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.
      • Réseau cloud virtuel (OCID) :

        Utilisez cette option lorsque le routage réseau du client vers la base de données passe par Oracle Cloud Infrastructure Service Gateway. Pour plus d'informations, reportez-vous à Accès aux services Oracle : passerelle de service.

        • Dans le champ Valeurs, entrez l'OCID du réseau cloud virtuel à partir duquel accorder l'accès.
        • Eventuellement, dans le champ Adresses IP ou CIDR, entrez des adresses IP privées ou des blocs CIDR privés sous forme de liste séparée par des virgules pour autoriser des clients spécifiques dans le VCN.

      Si vous souhaitez spécifier plusieurs adresses IP ou plages CIDR dans le même réseau cloud virtuel, ne créez pas plusieurs entrées de liste de contrôle d'accès. Utilisez une entrée de liste de contrôle d'accès comportant les valeurs de plusieurs adresses IP ou plages CIDR séparées par des virgules.

  3. Effectuez les étapes restantes de configuration de l'adresse privée.

Utilisation d'une adresse privée avec accès public autorisé

Sélectionnez l'option Autoriser l'accès public lorsque vous voulez configurer une instance Autonomous Database pour qu'elle utilise une adresse privée et que vous voulez également autoriser les connexions à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques (si les réseaux cloud virtuels sont configurés pour se connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service).

Cette option ajoute une adresse publique pour une base de données configurée sur une adresse privée. Vous configurez une adresse privée pour votre instance Autonomous Database lorsque vous provisionnez ou clonez l'instance, ou lorsque vous mettez à jour la configuration réseau d'une instance Autonomous Database existante. Pour plus d'informations sur les étapes de configuration d'une instance Autonomous Database avec une adresse privée, reportez-vous aux sections suivantes :

Lorsque l'accès public est activé avec Autoriser l'accès public sur une base de données d'adresse privée, l'instance dispose à la fois d'une adresse privée et d'une adresse publique :

  • Le nom d'hôte privé, l'URL endpoint et l'adresse IP privée vous permettent de vous connecter à la base de données à partir du VCN où réside la base de données.

  • Le nom d'hôte public vous permet de vous connecter à la base de données à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces derniers sont configurés pour vous connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service.

Ajouts de chaîne de connexion Autonomous Database pour une base de données d'adresse privée avec l'autorisation de l'accès public activée

Lorsque l'option Autoriser l'accès public est activée pour une base de données d'adresse privée, des chaînes de connexion supplémentaires vous permettent de vous connecter à la base de données à partir de l'adresse publique :

Ajouts aux outils Autonomous Database pour une base de données d'adresse privée avec l'autorisation de l'accès public activée

Lorsque l'option Autoriser l'accès public est activée pour une base de données d'adresse privée, les outils de base de données vous permettent de vous connecter à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces réseaux cloud virtuels sont configurés pour se connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service :

  • Chaque outil dispose d'une URL d'accès privé et d'une URL d'accès public affichées dans le tableau de configuration de l'outil. Utilisez l'URL d'accès public pour accéder à l'outil à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces derniers sont configurés pour se connecter de manière privée à Autonomous Database à l'aide d'une passerelle de service.

    Par exemple :

    Pour plus d'informations, reportez-vous à Affichage du statut des outils intégrés Autonomous Database.

  • Le fichier README du fichier ZIP de portefeuille fournit à la fois un lien d'accès pour l'adresse privée de chaque outil de base de données et un lien d'accès public.

    Pour plus d'informations, reportez-vous à Fichier README de portefeuille.

Sécurité améliorée pour les connexions sortantes avec des adresses privées

Lorsque vous utilisez une adresse privée avec votre instance Autonomous Database, vous pouvez améliorer la sécurité en définissant la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS sur la valeur PRIVATE_ENDPOINT.

La définition de la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS sur la valeur PRIVATE_ENDPOINT impose que toutes les connexions sortantes à un hôte cible soient soumises aux règles sortantes de l'adresse privée et limitées par celles-ci. Vous définissez des règles sortantes dans la liste de sécurité du réseau cloud virtuel (VCN) ou dans le groupe de sécurité réseau associé à l'adresse privée de l'instance Autonomous Database.

Avant de définir la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS, configurez l'instance Autonomous Database de sorte à utiliser une adresse privée. Pour plus d'informations, reportez-vous à Configuration d'adresses privées.

Définissez la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS sur PRIVATE_ENDPOINT pour indiquer que toutes les connexions sortantes sont soumises aux règles sortantes du VCN d'adresse privée d'instance Autonomous Database. Avec la valeur PRIVATE_ENDPOINT, la base de données limite les connexions sortantes aux emplacements spécifiés par les règles sortantes de l'adresse privée et modifie également la résolution DNS de sorte que les noms d'hôte soient résolus à l'aide du résolveur DNS de votre VCN (n'utilisant pas de résolveur DNS public).

Remarque

Avec ROUTE_OUTBOUND_CONNECTIONS non défini sur PRIVATE_ENDPOINT, toutes les connexions sortantes au réseau Internet public passent par la passerelle NAT (Network Address Translation) du service VCN. Dans ce cas, si l'hôte cible se trouve sur une adresse publique, les connexions sortantes ne sont pas soumises aux règles sortantes de l'adresse privée VCN ou du groupe de sécurité réseau de l'instance Autonomous Database.

Lorsque vous configurez une adresse privée pour votre instance Autonomous Database et que vous définissez ROUTE_OUTBOUND_CONNECTIONS sur PRIVATE_ENDPOINT, ce paramètre modifie la gestion des connexions sortantes et la résolution DNS pour les éléments suivants :

Lorsque vous configurez une adresse privée pour votre instance Autonomous Database et que vous définissez ROUTE_OUTBOUND_CONNECTIONS sur PRIVATE_ENDPOINT, ce paramètre ne modifie pas la gestion des connexions sortantes et de la résolution DNS pour les éléments suivants :

  • Oracle REST Data Services (ORDS)

  • Database Actions

Pour définir ROUTE_OUTBOUND_CONNECTIONS, procédez comme suit :

  1. Connectez-vous à votre base de données.
  2. Définissez la propriété de base de données ROUTE_OUTBOUND_CONNECTIONS.

    Par exemple :

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Remarques relatives à la définition de ROUTE_OUTBOUND_CONNECTIONS :

  • Utilisez la commande suivante pour restaurer la valeur de paramètre par défaut :

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';
  • Utilisez la commande suivante pour interroger la valeur de paramètre en cours :

    SELECT * FROM DATABASE_PROPERTIES
            WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Si la propriété n'est pas définie, la requête ne renvoie aucun résultat.

  • Cette propriété s'applique uniquement aux liens de base de données créés après avoir défini la propriété sur la valeur PRIVATE_ENDPOINT. Par conséquent, les liens de base de données que vous avez créés avant de définir la propriété continuent d'utiliser la passerelle NAT du VCN de service et ne sont pas soumis aux règles sortantes de l'adresse privée de l'instance Autonomous Database.

  • Définissez ROUTE_OUTBOUND_CONNECTIONS uniquement sur la valeur PRIVATE_ENDPOINT lorsque vous utilisez Autonomous Database avec une adresse privée.

  • Lorsque votre base de données se trouve sur une adresse privée et que vous souhaitez que vos connexions sortantes soient résolues par votre VCN, vous devez définir le paramètre ROUTE_OUTBOUND_CONNECTIONS sur PRIVATE_ENDPOINT.

Pour plus d'informations sur la passerelle NAT (Network Address Translation), reportez-vous à Passerelle NAT.

Remarques relatives aux adresses privées

Décrit les restrictions et les remarques relatives aux adresses privées sur Autonomous Database.

  • Une fois que vous avez mis à jour l'accès réseau pour passer à une adresse privée, ou une fois le provisionnement ou le clonage terminé lorsque vous configurez une adresse privée, vous pouvez visualiser la configuration réseau sur la page Détails sur la base de données autonome, dans la section Réseau.

    La section Réseau affiche les informations suivantes pour une adresse privée :

    • Type d'accès : indique le type d'accès de la configuration Autonomous Database. Les configurations d'adresse privée présentent le type d'accès Réseau cloud virtuel.
    • Domaine de disponibilité : indique le domaine de disponibilité de votre instance Autonomous Database.
    • Réseau cloud virtuel : cela inclut un lien pour le VCN associé à l'adresse privée.
    • Sous-réseau : inclut un lien correspondant au sous-réseau associé à l'adresse privée.
    • Adresse IP de l'adresse privée : affiche l'adresse IP de l'adresse privée de la configuration d'adresse privée.
    • URL de l'adresse privée : affiche l'URL de l'adresse privée pour la configuration de l'adresse privée.
    • Groupes de sécurité réseau : ce champ contient des liens vers les groupes de sécurité réseau configurés avec l'adresse privée.
    • Accès public : ce champ indique si l'accès public est activé pour l'adresse privée. Cliquez sur le lien Edit pour visualiser ou modifier les listes de contrôle d'accès ou les réseaux cloud virtuels autorisés.
    • URL d'adresse publique : indique quand l'option Autoriser l'accès public est activée sur l'adresse privée. Il s'agit de l'URL d'adresse publique que vous pouvez utiliser pour vous connecter à partir d'adresses IP ou de réseaux cloud virtuels autorisés sur le réseau Internet public.

    Pour plus de détails sur les informations réseau sur la console Oracle Cloud Infrastructure, reportez-vous à Affichage des informations réseau sur la console OCI.

  • Une fois le provisionnement ou le clonage terminé, vous pouvez modifier la configuration de base de données autonome pour utiliser une adresse publique.

    Pour plus d'informations sur le passage à une adresse publique, reportez-vous à Passage d'adresses privées à des adresses publiques avec Autonomous Database.

  • Vous pouvez indiquer jusqu'à cinq groupes de sécurité réseau pour contrôler l'accès à la base de données autonome.

  • Vous pouvez modifier le groupe de sécurité réseau d'adresse privée de la base de données autonome.

    Pour modifier le groupe de sécurité réseau d'une adresse privée, procédez comme suit :

    1. Sur la page Bases de données autonomes, sélectionnez une instance Autonomous Database dans les liens sous la colonne Nom d'affichage.

    2. Sur la page Détails sur la base de données autonome, sous Réseau dans le champ Groupes de sécurité réseau, cliquez sur Modifier.

  • Vous pouvez connecter votre instance Oracle Analytics Cloud à la base de données autonome disposant d'une adresse privée en utilisant la passerelle de données, comme pour une base de données sur site. Pour plus d'informations, reportez-vous à Configuration et inscription d'une passerelle de données pour la visualisation des données.

  • Les outils Autonomous Database suivants sont pris en charge dans les bases de données configurées avec une adresse privée :

    • Database Actions
    • Oracle APEX
    • Oracle Graph Studio
    • Blocs-notes Oracle Machine Learning
    • Oracle REST Data Services
    • API Oracle Database pour MongoDB

    Une configuration supplémentaire est requise pour accéder aux outils Autonomous Database à partir d'environnements sur site. Pour en savoir plus, reportez-vous à Exemple : connexion à partir de votre centre de données vers Autonomous Database.

    Si vous accédez à Oracle APEX, Database Actions, Oracle Graph Studio ou Oracle REST Data Services à l'aide d'une adresse privée à partir d'environnements sur site sans avoir terminé les étapes supplémentaires de configuration d'adresse privée, l'erreur apparaît :

    404 Not Found
  • Une fois que vous avez mis à jour l'accès réseau pour utiliser une adresse privée, l'URL des outils de base de données est différente de celle utilisée avec une adresse publique. Vous pouvez trouver les URL mises à jour sur la console, après être passé d'une adresse publique à une adresse privée.

  • En plus d'Oracle REST Data Services (ORDS), préconfiguré par défaut avec Autonomous Database, vous pouvez configurer un autre déploiement ORDS qui fournit davantage d'options de configuration et peut être utilisé avec des adresses privées. Reportez-vous à A propos d'Oracle REST Data Services géré par le client sur Autonomous Database pour en savoir plus sur un autre déploiement ORDS pouvant être utilisé avec des adresses privées.

  • La modification d'une adresse IP privée n'est pas autorisée après le provisionnement ou le clonage d'une instance, que l'adresse IP soit automatiquement affectée lorsque vous entrez une valeur dans le champ Adresse IP privée.

Exemples de configuration d'adresses privées sur Autonomous Database

Présente plusieurs exemples de configuration d'adresse privée (réseau cloud virtuel) pour Autonomous Database.

Exemple : connexion à partir d'un réseau cloud virtuel Oracle Cloud Infrastructure

Présente une application exécutée dans Oracle Cloud Infrastructure sur une machine virtuelle, dans le réseau cloud virtuel configuré avec votre base de données autonome.

Description de l'image adb_private_endpoint1.png ci-après
Description de l'illustration adb_private_endpoint1.png

Une instance Autonomous Database comporte une adresse privée dans le réseau cloud virtuel nommé "Your VCN". Le réseau cloud virtuel inclut deux sous-réseaux : "SUBNET B" (CIDR 10.0.1.0/24) et "SUBNET A" (CIDR 10.0.2.0/24).

Le groupe de sécurité réseau associé à l'instance Autonomous Database apparaît sous la forme "NSG 1 - Security Rules". Ce groupe de sécurité réseau définit les règles de sécurité qui autorisent le trafic entrant et sortant vers et depuis l'instance Autonomous Database. Définissez une règle pour l'instance Autonomous Database en procédant comme suit :

  • Pour l'authentification TLS mutuelle, ajoutez une règle entrante avec conservation de statut autorisant les connexions de la source à l'instance Autonomous Database. La source est définie sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole IP sur TCP et la plage de ports de destination sur 1522.

  • Pour l'authentification TLS, ajoutez une règle entrante avec conservation de statuts autorisant le branchement de la source à l'instance Autonomous Database. La source est définie sur la plage d'adresses que vous voulez autoriser à se connecter à votre base de données, le protocole IP sur TCP et la plage de port de destination sur 1521 ou 1522.

  • Pour utiliser Oracle APEX, Database Actions et Oracle REST Data Services, ajoutez le port 443 à la règle de groupe de sécurité réseau.

La figure suivante présente un exemple de règle de sécurité avec conservation de statut permettant de contrôler le trafic de l'instance Autonomous Database :

Description de l'image adb_private_vcn_nsg_stateful1.png ci-après
Description de l'illustration adb_private_vcn_nsg_stateful1.png

L'application se connectant à la base de données autonome est exécutée sur une machine virtuelle dans SUBNET B. Vous ajoutez également une règle de sécurité pour autoriser le trafic vers et depuis la machine virtuelle (comme indiqué, avec le libellé "NSG 2 Security Rules"). Vous pouvez utiliser une règle de sécurité avec conservation de statut pour la machine virtuelle. Il vous suffit donc d'ajouter une règle pour la sortie aux règles de sécurité du groupe de sécurité réseau 2 (ce qui permet d'accéder au sous-réseau de destination A).

La figure suivante présente des exemples de règles de sécurité qui contrôlent le trafic de la machine virtuelle :

Description de l'image adb_private_vcn_rules2.png ci-après
Description de l'illustration adb_private_vcn_rules2.png

Une fois les règles de sécurité configurées, l'application peut se connecter à l'instance Autonomous Database à l'aide du portefeuille d'informations d'identification client. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

Pour plus d'informations sur la configuration des groupes de sécurité réseau, reportez-vous à Groupes de sécurité réseau.

Exemple : connexion à partir de votre centre de données vers Autonomous Database

Montre comment établir une connexion privée vers une base de données autonome à partir de votre centre de données sur site. Dans ce scénario, le trafic ne passe jamais par le réseau Internet public.

Description de l'image adb_private_endpoint2.png ci-après
Description de l'illustration adb_private_endpoint2.png

Pour établir une connexion à partir de votre centre de données, connectez le réseau sur site au réseau cloud virtuel avec FastConnect, puis configurez une passerelle de routage dynamique. Pour résoudre l'adresse privée de la base de données autonome (nom de domaine qualifié complet), vous devez ajouter une entrée au fichier hosts du client sur site. Par exemple, le fichier /etc/hosts pour les machines Linux. Exemples :

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Pour utiliser Oracle APEX, Database Actions et Oracle REST Data Services, ajoutez une autre entrée avec la même IP. Exemples :

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Vous trouverez l'adresse IP de l'adresse privée et le nom de domaine qualifié complet comme suit :

  • L'adresse IP privée est affichée sur la page de détails de la base de données autonome de l'instance dans la console Oracle Cloud Infrastructure.

  • Le nom de domaine qualifié complet est affiché dans le fichier tnsnames.ora du portefeuille d'informations d'identification client de la base de données autonome.

Vous pouvez également utiliser un DNS privé Oracle Cloud Infrastructure pour fournir une résolution de nom DNS. Pour plus d'informations, reportez-vous à DNS privé.

Dans cet exemple, il existe une passerelle de routage dynamique entre le centre de données sur site et le réseau cloud virtuel ("Your VCN"). Le réseau cloud virtuel contient la base de données autonome. Il existe également une table de routage pour le réseau cloud virtuel associé à la base de données autonome, pour le trafic sortant vers le CIDR 172.16.0.0/16 via la passerelle de routage dynamique.

En plus de configurer la passerelle de routage dynamique, ajoutez une règle pour la plage CIDR du centre de données (172.16.0.0/16) afin de définir une règle de groupe de sécurité réseau autorisant le trafic vers et depuis la base de données autonome. Dans cet exemple, définissez une règle de sécurité dans "NSG 1" comme suit :

  • Pour l'authentification TLS mutuelle, créez une règle avec conservation de statut autorisant le trafic entrant à partir du centre de données. Il s'agit d'une règle entrante avec conservation de statut définissant la source sur la plage d'adresses que vous voulez autoriser à se connecter à la base de données, le protocole sur TCP, la plage de ports source sur la plage CIDR (172.16.0.0/16) et le port de destination sur 1522.

  • Pour l'authentification TLS, créez une règle avec conservation de statut autorisant le trafic entrant à partir du centre de données. Il s'agit d'une règle entrante avec conservation de statut qui définit la source sur l'intervalle d'adresses que vous voulez autoriser à se connecter à votre base de données, l'ensemble de protocoles sur TCP, l'ensemble d'adresses sur l'intervalle CIDR (172.16.0.0/16) et l'ensemble de port de destination sur 1521 ou 1522.

  • Pour utiliser Oracle APEX, Database Actions et Oracle REST Data Services, ajoutez le port 443 à la règle de groupe de sécurité réseau.

La figure suivante présente la règle de sécurité qui contrôle le trafic de l'instance Autonomous Database :

Description de l'image adb_private_vcn_nsg_stateful2.png ci-après
Description de l'illustration adb_private_vcn_nsg_stateful2.png

Une fois la règle de sécurité configurée, l'application de base de données sur site peut se connecter à l'instance Autonomous Database à l'aide du portefeuille d'informations d'identification client. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).