Documentazione dell'infrastruttura Oracle Cloud

Accedi a Oracle APEX, Oracle REST Data Services e agli strumenti di database integrati utilizzando un URL univoco

Per impostazione predefinita, l'accesso alle applicazioni Oracle APEX, agli endpoint REST e agli strumenti di database integrati in Autonomous AI Database avviene tramite il nome di dominio oraclecloudapps.com. Facoltativamente, è possibile configurare un URL univoco (ad esempio un dominio personalizzato) più pertinente per l'organizzazione o il progetto.

A tale scopo, è necessario acquisire il nome di dominio desiderato e trovare il certificato SSL corrispondente da un fornitore a propria scelta.

Argomento padre: Creare applicazioni con Oracle APEX in Autonomous AI Database

Abilitare un URL univoco nel database membri Elastic Pool

Con un nome di dominio e un certificato registrati disponibili, per un database in un pool elastico, puoi abilitare facilmente un URL univoco nell'Autonomous AI Database e configurare un dominio personalizzato URL univoco per l'istanza di Autonomous AI Database utilizzando un gateway API.

Nota

  • Gli URL univoci sono supportati dai gateway API OCI che utilizzano endpoint HTTP, ma non dagli endpoint basati su TCP come MongoDB e SQLNET.
  • Lo strumento Oracle Machine Language (OML) non supporta l'URL univoco.

Argomento padre: Accedere a Oracle APEX, Oracle REST Data Services e agli strumenti di database integrati utilizzando un URL univoco

Registra il gateway API con il tuo DNS

Questo capitolo evidenzia l'importanza di impostare Oracle Cloud Infrastructure (OCI) Domain Name System (DNS) nella configurazione di un URL univoco.

La configurazione del DNS per puntare a un gateway API Oracle Cloud Infrastructure (OCI) è necessaria per abilitare un URL univoco perché il DNS è il sistema che converte il nome di dominio personalizzato intuitivo (ad esempio, api.mycompany.com) nell'indirizzo IP dell'endpoint gateway API OCI effettivo. Senza la configurazione del DNS, il dominio personalizzato non verrà risolto nell'IP pubblico del gateway API OCI e gli utenti non sarebbero in grado di raggiungere le API OCI utilizzando l'URL univoco.

L'impostazione DNS prevede tre componenti principali:
  • Proprietà e verifica del dominio:

    Un dominio di vanità richiede la prova della proprietà. Il dominio deve essere registrato con un registrar di dominio autorizzato e devi avere il controllo amministrativo per gestire i suoi record DNS. Ciò garantisce che solo i proprietari legittimi possano mappare il proprio dominio personalizzato (ad esempio, examplehost.com) all'endpoint del gateway API OCI.

  • Certificati TLS per HTTPS:

    Poiché i gateway API OCI sono protetti con TLS (Transport Layer Security), un certificato TLS è obbligatorio. Se si utilizza il dominio predefinito (generato automaticamente) di Oracle, Oracle esegue automaticamente il provisioning e gestisce un certificato. Tuttavia, quando si utilizza un dominio personalizzato, è necessario fornire il proprio certificato TLS ottenuto da un'autorità di certificazione (CA) attendibile. Questo certificato lega il dominio univoco al gateway, abilitando la comunicazione cifrata e garantendo l'attendibilità del client.

    Gli approcci sono due:

    • Utilizzare un certificato gestito da Oracle tramite il servizio OCI Certificates (autorizzato o importato da una CA).

    • Carica il tuo certificato personalizzato, insieme alla chiave privata e agli eventuali certificati intermedi.

  • Configurazione dei record DNS:

    Una volta impostati il gateway API OCI e il certificato TLS, è necessario configurare il DNS in modo che il dominio personalizzato risolva l'endpoint pubblico del gateway.

    Senza questo processo, le richieste in entrata al dominio personalizzato non raggiungeranno il gateway.

Il DNS è come un ponte tra il dominio univoco e l'infrastruttura OCI API Gateway sottostante. Affinché l'URL univoco sia raggiungibile e funzionale, è necessario puntare i record DNS al gateway API.

Passi per configurare il DNS per il gateway API OCI

Per configurare il DNS in modo che punti a un gateway API OCI, è necessario eseguire le operazioni riportate di seguito che implicano la proprietà del dominio, i certificati TLS e la configurazione dei record DNS.

Prerequisiti:
  • Prima di iniziare la configurazione, è necessario essere proprietari di un nome di dominio registrato (gestito in DNS OCI o in un provider DNS esterno).
  • È necessario ottenere un certificato TLS per il dominio personalizzato da un'autorità di certificazione (CA) di terze parti o tramite il servizio OCI Certificates.
  1. Creare e caricare un certificati TLS personalizzati:

    • Generare una richiesta di firma certificato (CSR) per il dominio, incluso il nome dominio completamente qualificato (FQDN).

    • Utilizzare il servizio OCI Certificates o una CA di terze parti per emettere il certificato.
    • Importare questo certificato e questa chiave privata in OCI come risorsa certificato.

    Per ulteriori dettagli, vedere Impostazione di domini personalizzati e certificati TLS.

  2. Creare un gateway API in OCI:

    • Passare a Developer Services > API Gateway in OCI Console.

    • Creare un gateway con i certificati TLS nella subnet pubblica appropriata della VCN.

    Dopo la creazione, tenere nota del file API Gateway OCID ID generato automaticamente da OCI.

    Per ulteriori dettagli, vedere Creazione di un gateway API.

  3. Configurare i record DNS per il dominio:
    • Vai al tuo sistema di gestione DNS (servizio DNS OCI o provider DNS esterno come Route 53) per configurare il mapping DNS personalizzato all'indirizzo IP pubblico del gateway API OCI.

    Ciò garantisce che il traffico in entrata per il dominio personalizzato venga risolto nell'indirizzo IP pubblico del gateway API OCI.

    Dopo la propagazione DNS, puoi accedere all'URL univoco (https://examplehost.com) e confermare che instrada all'indirizzo IP pubblico del gateway API OCI.

Puoi anche configurare un URL univoco per Autonomous AI Database dalla console dei servizi di Oracle Cloud Infrastructure per gli utenti di Elastic Pool.

Consenti al principal delle risorse di accedere alle risorse di Oracle Cloud Infrastructure

Eseguire i passi riportati di seguito per abilitare il principal risorsa in Autonomous AI Database. Ciò consente al database di autenticare e accedere in modo sicuro alle risorse OCI.

Come prerequisito, configurare i gruppi dinamici e i criteri. Per ulteriori informazioni, vedere Eseguire i prerequisiti per utilizzare il principal risorsa con Autonomous AI Database.

Per abilitare un principal risorsa in Autonomous AI Database:

  1. L'utente ADMIN abilita il principal risorsa per l'istanza di Autonomous AI Database.

    Ad esempio:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();

PL/SQL procedure successfully completed.
    Per ulteriori informazioni, vedere ENABLE_RESOURCE_PRINCIPAL Procedure.

    In questo modo vengono create le credenziali OCI$RESOURCE_PRINCIPAL.

  2. (Facoltativo) Questo passo è obbligatorio solo se si desidera concedere l'accesso alla credenziale del principal risorsa a un utente del database diverso dall'utente ADMIN. L'utente ADMIN abilita il principal risorsa per un utente di database specificato.

    Ad esempio:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');

PL/SQL procedure successfully completed.

    Ciò consente all'utente adb_user di accedere alle credenziali OCI$RESOURCE_PRINCIPAL.

    Se si desidera che l'utente specificato disponga dei privilegi per abilitare il principal risorsa per altri utenti, impostare il parametro grant_option su TRUE.

    Ad esempio:

    BEGIN
DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(
     username => 'adb_user',
     grant_option => TRUE);
END;
/

    Dopo aver eseguito questo comando, adb_user può abilitare il principal risorsa per un altro utente. Ad esempio, se si esegue la connessione come adb_user, è possibile eseguire il comando seguente: 

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');
    Per ulteriori informazioni, vedere ENABLE_RESOURCE_PRINCIPAL Procedure.
  3. Verificare che la credenziale del principal risorsa sia abilitata.

    Ad esempio, l'utente ADMIN esegue una query sulla vista DBA_CREDENTIALS: 

    SELECT owner, credential_name FROM dba_credentials 
        WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN'; 

OWNER  CREDENTIAL_NAME
-----  ----------------------
ADMIN  OCI$RESOURCE_PRINCIPAL

    Ad esempio, come utente non ADMIN eseguire una query sulla vista ALL_TAB_PRIVS: 

    SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS
   WHERE grantee = 'ADB_USER' 
        AND table_name = 'OCI$RESOURCE_PRINCIPAL' 
        AND table_schema = 'ADMIN';

GRANTEE   TABLE_NAME                GRANTOR
--------- -----------------------   -------------
ADB_USER  OCI$RESOURCE_PRINCIPAL    ADMIN

L'abilitazione del principal risorsa in un'istanza di Autonomous AI Database è un'operazione una tantum. Non è necessario abilitare di nuovo il principal risorsa, a meno che non si esegua DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL per disabilitare il principal risorsa.

Criterio IAM per l'impostazione di un URL univoco

Prima di configurare un URL univoco per l'istanza di Autonomous AI Database nel tuo Elastic Pool Member Database, è necessario concedere le autorizzazioni al database per gestire le distribuzioni del gateway API OCI

Per creare criteri di accesso su Oracle Cloud Infrastructure (OCI) come amministratore della tenancy, effettuare le operazioni riportate di seguito.
  1. Aprire il menu di navigazione e fare clic su Id entità e sicurezza. In Identità fare clic su Criteri.
  2. Fare clic su Crea criterio.
  3. Nella finestra Crea criterio immettere un nome (ad esempio, IntegrationGroupPolicy) e una descrizione.
  4. In Costruzione guidata criteri selezionare Mostra editor manuale e immettere le istruzioni dei criteri necessarie.
    Di seguito è riportata la sintassi tipica per consentire a un gruppo di gestire le distribuzioni del gateway API.

    • Consentire all'ID gruppo dinamico <dynamic group ocid> di gestire le distribuzioni API nel compartimento <compartment name>

    • Consenti a ID gruppo dinamico <dynamic group ocid> di utilizzare gateway API nel compartimento <compartment name>

    Esempio:
    • Consentire all'ID gruppo dinamico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq di gestire le distribuzioni API nel compartimento adwtoolsqa
    • Consentire all'ID gruppo dinamico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq di utilizzare gateway API nel compartimento adwtoolsqa

    Questa istruzione dei criteri consente al gruppo ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq nel dominio di amministrazione di gestire e utilizzare le distribuzioni del gateway API OCI nel compartimento adwtoolsqa.

    Nota

    • Quando si definiscono le istruzioni dei criteri, è possibile specificare i verbi (come utilizzati in questi passi) o le autorizzazioni (in genere utilizzate dagli utenti avanzati).

    • Per ulteriori informazioni sui criteri, vedere:

      Come funzionano i criteri e Riferimento ai criteri nella documentazione di Oracle Cloud Infrastructure.

  5. Rivedere e creare il criterio.

Le istruzioni dei criteri vengono convalidate e vengono visualizzati errori di sintassi.

Abilitare un URL univoco nel database membri Elastic Pool

Seguire queste istruzioni per configurare un URL univoco per l'istanza di Autonomous AI Database utilizzando la console del servizio Oracle Cloud Infrastructure.

  1. Nella pagina Dettagli Autonomous AI Database selezionare Abilita URL univoco nell'elenco a discesa Abilita URL univoco.
  2. Nella finestra di dialogo Configura URL univoco per strumenti di database, selezionare Usa URL univoco.
  3. Selezionare il compartimento del gateway API OCI.
  4. Selezionare il gateway API dalla lista dei nomi di gateway API OCI a cui si ha accesso.
  5. Specificare il nome di dominio personalizzato completamente qualificato che deve essere visualizzato nell'URL ed è registrato con DNS.

    Ad esempio, immettere examplehost.com.


    Segue la descrizione di adb_configure_vanity_url.png
    Descrizione dell'immagine adb_configure_vanity_url.png

    Fare clic su Configura.

    Dopo la corretta configurazione, nella scheda Configurazione degli strumenti della pagina Dettagli Autonomous AI Database viene visualizzato un nuovo campo denominato URL vanità, insieme a ulteriori campi URL vanità in Oracle APEX e Azioni del database.


    Segue la descrizione dell'immagine adb-vanity-url-tool-configuration.png
    Descrizione dell'illustrazione adb-vanity-url-tool-configuration.png

    Sarà possibile accedere alle applicazioni dell'utente finale e agli strumenti di sviluppo, ad esempio Oracle APEX e Database Actions, utilizzando un nome di dominio personalizzato o un URL di accesso pubblico/privato in base all'accesso alla rete di database.

Abilitare un URL univoco nel database pool non elastico utilizzando un proxy inverso

Per un database che non fa parte di un pool elastico, puoi distribuire manualmente un'istanza di Oracle Cloud Infrastructure Load Balancer nella tua rete cloud virtuale (VCN) utilizzando Autonomous AI Database come backend.

L'istanza di Autonomous AI Database deve essere configurata con un endpoint privato nella stessa VCN. Per ulteriori informazioni, vedere Configura accesso di rete con endpoint privati.

Fare riferimento ai seguenti post per dettagli su come abilitare un URL univoco per un database esterno a un pool elastico: