Informazioni sulla connessione a un'istanza di Autonomous AI Database
Dopo aver creato gli utenti del database, le applicazioni e gli strumenti si connettono AI database AI autonomi utilizzando Oracle Net Services (noto anche come SQL*Net). Oracle Net Services consente di effettuare una sessione in rete dall'applicazione client a un server Oracle Database.
Quando viene stabilita una sessione di rete, Oracle Net Services funge da corriere per i dati sia per l'applicazione client che per il database. È responsabile della creazione e del mantenimento della connessione tra l'applicazione client e il database, nonché dello scambio di messaggi tra di essi.
Oracle Net Services supporta una vasta gamma di tipi di connessione per connettersi a un'istanza di Autonomous AI Database, tra cui:
-
Driver JDBC Thin: per le applicazioni Java, il driver JDBC Thin è un driver Java puro. Molte applicazioni, tra cui Oracle SQL Developer, supportano le connessioni JDBC Thin Driver.
-
JDBC OCI: utilizzato dalle applicazioni del linguaggio Java. JDBC OCI aggiunge un layer su Oracle Call Interface per le applicazioni Java. L'interfaccia della riga di comando di Oracle SQLcl utilizza JDBC OCI.
-
Oracle Call Interface (OCI): utilizzato da molte applicazioni scritte in linguaggio C. Esempi che utilizzano Oracle Call Interface includono le utility Oracle come Oracle SQL*Plus, SQL*Loader e Oracle Data Pump.
-
Driver OBC: utilizzati dalle applicazioni in esecuzione su Microsoft Windows e stratificati su Oracle Call Interface (OCI).
I prodotti di terze parti e le applicazioni personalizzate possono utilizzare uno qualsiasi di questi tipi di connessione.
Argomenti
- Connessioni sicure ad Autonomous AI Database con mTLS o con TLS
Le connessioni ad Autonomous AI Database vengono effettuate tramite la rete Internet pubblica, facoltativamente con le regole di controllo dell'accesso (ACL) definite o utilizzando un endpoint privato all'interno di una rete cloud virtuale (VCN) nella tenancy. - Connettiti ad Autonomous AI Database tramite un firewall
La maggior parte delle organizzazioni protegge reti e dispositivi su una rete utilizzando un firewall. Un firewall controlla il traffico di rete in entrata e in uscita utilizzando regole che consentono l'uso di determinate porte e l'accesso a determinati computer (o, più specificamente, indirizzi IP o nomi host). Una funzione importante di un firewall è quella di fornire la separazione tra le reti interne e l'Internet pubblico. - Uso della continuità di applicazione
Application Continuity maschera le interruzioni da parte di utenti finali e applicazioni recuperando il lavoro in corso per le sessioni di database interessate in seguito a interruzioni. Continuità di applicazione esegue questo recupero sotto l'applicazione in modo che l'indisponibilità appare all'applicazione come un'esecuzione leggermente ritardata.
Argomento padre: Connettersi ad Autonomous AI Database
Connessioni sicure ad Autonomous AI Database con mTLS o con TLS
Le connessioni ad Autonomous AI Database vengono effettuate tramite la rete Internet pubblica, facoltativamente con le regole di controllo dell'accesso (ACL) definite o utilizzando un endpoint privato all'interno di una rete cloud virtuale (VCN) nella tenancy.
Quando si specifica una configurazione di endpoint privato, questo consente solo il traffico dalla rete cloud virtuale specificata e blocca l'accesso al database da tutti gli IP pubblici o le reti VCN. La configurazione di un endpoint privato consente di mantenere tutto il traffico da e verso il database fuori dalla rete Internet pubblica. Con un endpoint privato, quando l'accesso pubblico è abilitato con Consenti accesso pubblico, l'istanza dispone sia di un endpoint privato che di un endpoint pubblico:
-
Il nome host privato, l'URL dell'endpoint e l'indirizzo IP privato consentono di connettersi al database dalla VCN in cui risiede il database.
-
Il nome host pubblico consente di connettersi al database da indirizzi IP pubblici specifici o da reti VCN specifiche se tali reti VCN sono configurate per connettersi privatamente ad Autonomous AI Database utilizzando un gateway di servizi.
Molte applicazioni forniscono supporto per più tipi di connessione, ma ogni tipo di connessione ad Autonomous AI Database utilizza l'autenticazione dei certificati e la connessione al database TCPS (Secure TCP) utilizzando TLS 1.2 standard. Ciò garantisce che non vi sia alcun accesso non autorizzato ad Autonomous AI Database e che le comunicazioni tra client e server siano completamente cifrate e non possano essere intercettate o modificate.
Autonomous AI Database supporta per impostazione predefinita le connessioni TLS (mTLS) reciproche (utilizzare la porta 1522 per connettersi a mTLS). Hai la possibilità di configurare un'istanza di Autonomous AI Database per supportare sia le connessioni mTLS che TLS (utilizzare la porta 1521 o 1522 per connettersi a TLS).
Esistono vantaggi per i client che utilizzano l'autenticazione TLS con Autonomous AI Database, tra cui:
-
Le connessioni TLS non richiedono il download di un wallet. Per le connessioni TLS che utilizzano un driver Thin JDBC con JDK8 o versione successiva, non è necessario un wallet. Ciò include le connessioni provenienti dai client, ad esempio SQL Developer e SQL Command Line (SQLcl).
-
I clienti che si connettono a TLS non devono preoccuparsi della rotazione del portafoglio. La rotazione del wallet è una procedura normale per le connessioni mTLS.
-
Le connessioni TLS possono essere più veloci (fornendo meno latenza di connessione). L'autenticazione TLS può fornire una latenza di connessione ridotta rispetto a mTLS.
-
Le connessioni TLS e mTLS non si escludono a vicenda. L'autenticazione TLS reciproca (mTLS) è abilitata per impostazione predefinita e sempre disponibile. Quando si abilita l'autenticazione TLS, è possibile utilizzare l'autenticazione mTLS o TLS.
-
L'uso dell'autenticazione TLS non compromette la comunicazione end-to-end completamente cifrata tra un client e Autonomous AI Database.
Per informazioni dettagliate su come ottenere le stringhe di connessione mTLS per l'istanza di Autonomous AI Database, vedere Visualizza nomi TNS e stringhe di connessione per un'istanza di Autonomous AI Database.
Informazioni sull'autenticazione mTLS (mutual TLS)
Utilizzando mTLS (Mutual Transport Layer Security), i client si connettono tramite una connessione al database TCPS (Secure TCP) utilizzando la versione TLS 1.2 standard con un certificato CA (Certificate Authority) client affidabile.
Con l'autenticazione reciproca, sia l'applicazione client che Autonomous AI Database si autenticano a vicenda. Autonomous AI Database utilizza l'autenticazione mTLS per impostazione predefinita. Utilizzare la porta 1522 per connettersi a un'istanza di Autonomous AI Database con mTLS (l'assegnazione della porta 1522 non può essere modificata).
L'autenticazione TLS reciproca richiede che il client scarichi o ottenga un certificato CA client sicuro per la connessione a un'istanza di Autonomous AI Database. Autonomous AI Database utilizza quindi il certificato per autenticare il client. Ciò garantisce una maggiore sicurezza e specifica i client in grado di comunicare con un'istanza di Autonomous AI Database.
L'autenticazione di certificazione con TLS reciproco utilizza una chiave cifrata memorizzata in un wallet sia sul client (in cui l'applicazione è in esecuzione) che sul server (in cui è in esecuzione il servizio di database su Autonomous AI Database). La chiave sul client deve corrispondere alla chiave sul server per stabilire una connessione. Un wallet contiene una raccolta di file, tra cui la chiave e altre informazioni necessarie per connettersi all'istanza di Autonomous AI Database. Tutte le comunicazioni tra il client e il server sono cifrate.
Per proteggere la connessione all'istanza di Autonomous AI Database, un amministratore del servizio scarica le credenziali client (file wallet) da Autonomous AI Database. Se non si è amministratori del servizio Autonomous AI Database, l'amministratore fornisce le credenziali client. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).
La figura seguente mostra le connessioni sicure dei client a Oracle Autonomous AI Database tramite la rete Internet pubblica utilizzando le connessioni TLS reciproche. Se si configura il database in modo che utilizzi endpoint privati, la rete Internet pubblica non viene utilizzata e la connessione utilizza un endpoint privato all'interno di una rete cloud virtuale (VCN) nella tenancy.
Descrizione dell'immagine autonomous-database.eps
Per informazioni dettagliate su come ottenere le stringhe di connessione mTLS per l'istanza di Autonomous AI Database, vedere Visualizza nomi TNS e stringhe di connessione per un'istanza di Autonomous AI Database.
Informazioni sull'autenticazione TLS
Utilizzando TLS (Transport Layer Security), i client si connettono tramite una connessione al database TCPS (Secure TCP) utilizzando TLS 1.2 standard. Un client utilizza il proprio elenco di autorità di certificazione (CA) sicure per convalidare il certificato radice CA del server. Se l'autorità di certificazione emittente è attendibile, il client verifica che il certificato sia autentico.
Ciò consente al client e ad Autonomous AI Database di stabilire la connessione cifrata prima di scambiare messaggi. Utilizzare la porta 1521 o la porta 1522 per connettersi a un'istanza di Autonomous AI Database con TLS (queste assegnazioni di porte non possono essere modificate).
Quando ci si connette con l'autenticazione TLS utilizzando i client Thin Driver JDBC, inclusi Oracle SQL Developer e Oracle SQLcl, non è necessario scaricare un wallet per proteggere la connessione all'istanza di Autonomous AI Database. L'autenticazione TLS consente al client di verificare l'identità del servizio Autonomous AI Database per fornire una comunicazione sicura.
A seconda del tipo di client, una connessione TLS dispone del supporto seguente con Autonomous AI Database:
-
Per le connessioni con il driver Thin JDBC che utilizza JDK8u162 o versioni successive, incluse le connessioni con Oracle SQL Developer e Oracle SQLcl, non è necessario un wallet.
-
I client Oracle Call Interface (OCI) supportano l'autenticazione TLS senza wallet se si utilizzano le versioni client riportate di seguito.
-
Oracle Instant Client/Oracle Database Client 19.13 - solo su Linux x64
-
Oracle Instant Client/Oracle Database Client 19.14 (o versione successiva), 21.5 (o versione successiva) o 23.1 (o versione successiva)
-
-
Se il client si connette con l'autenticazione TLS gestita ODP.NET o ODP.NET Core versione 19.13 o 21.4 (o superiore), il client può connettersi senza fornire un wallet.
Per le connessioni TLS sono previsti prerequisiti di accesso alla rete. Per ulteriori informazioni, vedere Network Access Prerequisites for TLS Connections.
Vedere Visualizza nomi TNS e stringhe di connessione per un'istanza di Autonomous AI Database per i dettagli su come ottenere le stringhe di connessione TLS per l'istanza di Autonomous AI Database.
Connettersi a Autonomous AI Database tramite un firewall
La maggior parte delle organizzazioni protegge le reti e i dispositivi su una rete utilizzando un firewall. Un firewall controlla il traffico di rete in entrata e in uscita utilizzando regole che consentono l'uso di determinate porte e l'accesso a determinati computer (o, più specificamente, indirizzi IP o nomi host). Una funzione importante di un firewall è quella di fornire la separazione tra le reti interne e l'Internet pubblico.
Quando Autonomous AI Database è configurato per l'accesso tramite la rete Internet pubblica, è necessario configurare il firewall per consentire l'accesso AI server Autonomous AI Database.
Per accedere ad Autonomous AI Database da un firewall, il firewall deve consentire l'uso della porta specificata nella connessione al database durante la connessione AI server nella connessione. Utilizzare la porta 1522 per le connessioni mTLS di Autonomous AI Database (è possibile vedere il numero di porta nella stringa di connessione dal file tnsnames.ora nel file credentials ZIP). Ad esempio, vedere il valore port nel seguente file tnsnames.ora:
db2022adb_high = (description = (
address=(protocol=tcps)
(port=1522)
(host=adb.example.oraclecloud.com))
(connect_data=(service_name=example_high.adb.oraclecloud.com))
(security=(ssl_server_dn_match=yes)))Il firewall deve consentire l'accesso ai server all'interno del dominio .oraclecloud.com utilizzando la porta 1522. Per connettersi ad Autonomous AI Database, a seconda della configurazione di rete dell'organizzazione, potrebbe essere necessario utilizzare un server proxy per accedere a questa porta o potrebbe essere necessario richiedere all'amministratore di rete di aprire questa porta.
Vedere Intervalli di indirizzi IP per informazioni sugli intervalli di indirizzi IP pubblici in Oracle Cloud Infrastructure. È necessario consentire il traffico a questi blocchi CIDR per garantire l'accesso a un'istanza di Autonomous AI Database su un endpoint pubblico.
Uso della continuità di applicazione
La continuità di applicazione maschera le interruzioni da parte degli utenti finali e delle applicazioni recuperando il lavoro in corso per le sessioni di database interessate in seguito a interruzioni. Continuità di applicazione esegue questo recupero sotto l'applicazione in modo che l'indisponibilità appare all'applicazione come un'esecuzione leggermente ritardata.
Per impostazione predefinita, la continuità di applicazione è disabilitata.
Per ulteriori informazioni sulla continuità di applicazione, vedere Usa continuità di applicazione in Autonomous AI Database.