Documentazione dell'infrastruttura Oracle Cloud

Configurare l'accesso di rete con gli endpoint privati

È possibile specificare che Autonomous Database utilizzi un endpoint privato all'interno della rete cloud virtuale (VCN) nella tenancy. È possibile configurare un endpoint privato durante il provisioning o la duplicazione di Autonomous Database oppure passare all'uso di un endpoint privato in un database esistente che utilizza un endpoint pubblico. Questo ti consente di mantenere tutto il traffico da e verso il tuo database fuori dalla rete Internet pubblica.

La specifica della configurazione della rete cloud virtuale consente il traffico solo dalla rete cloud virtuale specificata e blocca l'accesso al database da tutti gli IP pubblici o dalle reti VCN. Ciò consente di definire regole di sicurezza con liste di sicurezza o a livello di gruppo di sicurezza di rete (NSG) per specificare l'ingresso/uscita per l'istanza di Autonomous Database. L'uso di un endpoint privato e la definizione delle liste di sicurezza o dei gruppi NSG consentono di controllare il traffico da e verso l'istanza di Autonomous Database.

Nota

Se si configura l'istanza di Autonomous Database in modo che utilizzi un endpoint privato e si desidera consentire anche le connessioni da indirizzi IP pubblici specifici o da VCN specifiche se tali VCN sono configurate per la connessione privata ad Autonomous Database mediante un gateway di servizi, selezionare l'opzione Consenti accesso pubblico. In questo modo viene aggiunto un endpoint pubblico per un database configurato con un endpoint privato. Per ulteriori informazioni, vedere Utilizzare un endpoint privato con accesso pubblico consentito.

L'opzione Consenti accesso pubblico è disponibile solo quando il database utilizza il modello di computazione ECPU.

Argomenti

Argomento padre: Configurare l'accesso di rete con le regole di controllo dell'accesso (ACL) e gli endpoint privati

Configura endpoint privati

È possibile specificare che Autonomous Database utilizza un endpoint privato e configurare una rete cloud virtuale (VCN) nella tenancy da utilizzare con l'endpoint privato.

Argomento padre: Configurare l'accesso di rete con endpoint privati

Passi dei prerequisiti per configurare gli endpoint privati

Descrive i passi dei prerequisiti da eseguire prima di configurare un endpoint privato per un'istanza di Autonomous Database.

Eseguire i passi dei prerequisiti riportati di seguito prima di configurare un endpoint privato.

  • Impostare i criteri necessari per le risorse in uso. Per ulteriori informazioni, vedere Criteri IAM necessari per gestire gli endpoint privati.

  • Crea una VCN all'interno dell'area che conterrà l'Autonomous Database. Per ulteriori informazioni, vedere VCN e subnet.

  • Configurare una subnet all'interno della VCN configurata con le opzioni DHCP predefinite. Per ulteriori informazioni, vedere DNS nella rete cloud virtuale.

  • (Facoltativo) Eseguire il passo facoltativo riportato di seguito prima di configurare un endpoint privato.

    Specificare un gruppo di sicurezza di rete (NSG) all'interno della VCN. Il gruppo NSG specifica le regole per le connessioni ad Autonomous Database. Per ulteriori informazioni, vedere Gruppi di sicurezza di rete.

Argomento padre: Configura endpoint privati

Criteri IAM necessari per gestire gli endpoint privati

Oltre ai criteri necessari per eseguire il provisioning e gestire un Autonomous Database, sono necessari alcuni criteri di rete per utilizzare gli endpoint privati.

Nella tabella riportata di seguito sono elencati i criteri IAM necessari per consentire a un utente cloud di aggiungere un endpoint privato. I criteri elencati sono i requisiti minimi per aggiungere un endpoint privato. È inoltre possibile utilizzare una regola criteri più ampia. Ad esempio, se si imposta la regola dei criteri:

Allow group MyGroupName to manage virtual-network-family in tenancy

Questa regola funziona anche perché è un superset che contiene tutti i criteri richiesti.

Operation Criteri IAM necessari

Configurare un endpoint privato

use vcns per il compartimento in cui si trova la VCN

use subnets per il compartimento in cui si trova la VCN

use network-security-groups per il compartimento in cui si trova il gruppo di sicurezza di rete

manage private-ips per il compartimento in cui si trova la VCN

manage vnics per il compartimento in cui si trova la VCN

manage vnics per il compartimento di cui viene eseguito il provisioning o in cui deve essere eseguito il provisioning del database

Autonomous Database si basa sul servizio IAM (Identity and Access Management) per autenticare e autorizzare gli utenti cloud a eseguire operazioni che utilizzano qualsiasi interfaccia di Oracle Cloud Infrastructure (console, API REST, CLI, SDK o altre).

Il servizio IAM utilizza gruppi, compartimenti e criteri per controllare quali utenti cloud possono accedere a determinate risorse. In particolare, un criterio definisce il tipo di accesso di un gruppo di utenti a un determinato tipo di risorsa in un determinato compartimento. Per ulteriori informazioni, vedere Guida introduttiva ai criteri.

Argomento padre: Configura endpoint privati

Configurare gli endpoint privati quando si esegue il provisioning o si duplica un'istanza

È possibile configurare un endpoint privato quando si esegue il provisioning o si duplica un'istanza di Autonomous Database.

Questi passi presuppongono che si stia eseguendo il provisioning o la clonazione di un'istanza e che siano stati completati i passi dei prerequisiti, mentre si è al passo Scegliere l'accesso alla rete dei passi di provisioning o duplicazione:

  1. Selezionare Solo accesso endpoint privato.

    Ciò espande l'area di configurazione dell'accesso privato alla rete cloud virtuale.


    Segue la descrizione di adb_private_vcn.png
    Descrizione dell'immagine adb_private_vcn.png

    Se si seleziona Solo accesso all'endpoint privato, questa opzione consente solo le connessioni dalla rete privata (VCN) specificata, dalle reti VCN sottoposte a peering e dalle reti in locale connesse alla VCN. È possibile configurare un'istanza di Autonomous Database su un endpoint privato per consentire connessioni da reti in locale. Per un esempio, vedere Esempio: connessione dal data center ad Autonomous Database.

    Se si desidera consentire connessioni da indirizzi IP pubblici o da IP e VCN consentiti, sono disponibili le seguenti opzioni:

    • Seleziona Accesso sicuro da ovunque.

    • Selezionare Accesso sicuro solo da IP e VCN consentiti.

    • Se si seleziona Solo accesso endpoint privato, espandere Mostra opzioni avanzate e selezionare Consenti accesso pubblico. Per ulteriori informazioni, vedere Configura opzioni avanzate endpoint privati.

  2. Selezionare una rete cloud virtuale nel compartimento oppure, se la VCN si trova in un compartimento diverso, fare clic su Modifica compartimento e selezionare il compartimento che contiene la VCN, quindi selezionare una rete cloud virtuale.

    Per ulteriori informazioni, vedere VCN e subnet.

  3. Selezionare la subnet nel compartimento a cui collegare l'Autonomous Database o se la subnet si trova in un compartimento diverso, fare clic su Modifica compartimento e selezionare il compartimento che contiene la subnet, quindi selezionare una subnet.

    Per ulteriori informazioni, vedere VCN e subnet.

  4. (Facoltativo) Fare clic su Mostra opzioni avanzate per visualizzare ulteriori opzioni di endpoint privato.

    Per informazioni dettagliate sulle opzioni avanzate, vedere Configura opzioni avanzate endpoint privato.

  5. Richiedi autenticazione TLS reciproca (mTLS).

    Le opzioni Require autenticazione TLS reciproca (mTLS) sono:

    • Quando l'opzione Require mutual TLS (mTLS) authentication è deselezionata, sono consentite le connessioni TLS e mTLS. Questa è la configurazione predefinita.

    • Quando è selezionata l'opzione Require mutual TLS (mTLS) authentication, saranno consentite solo le connessioni mTLS (l'autenticazione TLS non è consentita).

    Per ulteriori informazioni, vedere Update Network Options to Allow TLS or Require Only Mutual TLS (mTLS) Authentication on Autonomous Database.

  6. Completare i passi di provisioning o duplicazione rimanenti, come specificato in Esegui provisioning di un'istanza di Autonomous Database, Duplica un'istanza di Autonomous Database o Duplica un Autonomous Database da un backup.

Per ulteriori informazioni, vedere Note sugli endpoint privati.

Argomento padre: Configura endpoint privati

Passa dagli endpoint pubblici a quelli privati con Autonomous Database

Se l'istanza di Autonomous Database è configurata per utilizzare un endpoint pubblico, è possibile modificare la configurazione in un endpoint privato.

  1. Nella pagina Dettagli, nell'elenco a discesa Altre azioni, selezionare Aggiorna accesso alla rete.

    Per modificare un'istanza da un endpoint pubblico a un endpoint privato, l'istanza di Autonomous Database deve essere nello stato Disponibile (stato del ciclo di vita: Disponibile).

  2. Nella finestra di dialogo Aggiorna accesso alla rete selezionare Solo accesso endpoint privato.

    Ciò espande l'area di configurazione dell'accesso privato alla rete cloud virtuale.

    Segue la descrizione di adb_network_private_update.png
    Descrizione dell'immagine adb_network_private_update.png

    Se si seleziona Solo accesso all'endpoint privato, questa opzione consente solo le connessioni dalla rete privata (VCN) specificata, dalle reti VCN sottoposte a peering e dalle reti in locale connesse alla VCN. È possibile configurare un'istanza di Autonomous Database su un endpoint privato per consentire connessioni da reti in locale. Per un esempio, vedere Esempio: connessione dal data center ad Autonomous Database.

    Se si desidera consentire connessioni da indirizzi IP pubblici o da IP e VCN consentiti, sono disponibili le seguenti opzioni:

    • Seleziona Accesso sicuro da ovunque.

    • Selezionare Accesso sicuro solo da IP e VCN consentiti.

    • Se si seleziona Solo accesso endpoint privato, espandere Mostra opzioni avanzate e selezionare Consenti accesso pubblico. Per ulteriori informazioni, vedere Configura opzioni avanzate endpoint privati.

  3. Selezionare una rete cloud virtuale nel compartimento oppure, se la VCN si trova in un compartimento diverso, fare clic su Modifica compartimento e selezionare il compartimento che contiene la VCN, quindi selezionare una rete cloud virtuale.

    Per ulteriori informazioni, vedere VCN e subnet.

  4. Selezionare la subnet nel compartimento a cui collegare l'Autonomous Database o se la subnet si trova in un compartimento diverso, fare clic su Modifica compartimento e selezionare il compartimento che contiene la subnet, quindi selezionare una subnet.

    Per ulteriori informazioni, vedere VCN e subnet.

  5. (Facoltativo) Fare clic su Mostra opzioni avanzate per visualizzare le opzioni aggiuntive.

    Per informazioni dettagliate sulle opzioni avanzate, vedere Configura opzioni avanzate endpoint privato.

  6. Fare clic su Aggiorna.
  7. Nella finestra di dialogo Conferma digitare il nome Autonomous Database per confermare la modifica.
  8. Nella finestra di dialogo Conferma fare clic su Aggiorna.

Lo stato del ciclo di vita viene modificato in Aggiornamento fino al completamento dell'operazione.

Note per il passaggio dall'accesso di rete pubblico a quello privato:

  • Dopo l'aggiornamento del tipo di accesso alla rete, tutti gli utenti del database devono ottenere un nuovo wallet e utilizzare il nuovo wallet per accedere al database. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).

  • Se sono state definite ACL per l'endpoint pubblico, le ACL non si applicano per l'endpoint privato.

  • Dopo l'aggiornamento dell'accesso di rete per l'uso di un endpoint privato, l'URL degli strumenti di database è diverso rispetto all'uso di un endpoint pubblico. È possibile trovare gli URL aggiornati nella console dopo il passaggio da un endpoint pubblico a un endpoint privato.

Argomento padre: Configura endpoint privati

Aggiorna la configurazione di un endpoint privato

È possibile modificare alcune opzioni nella configurazione di un endpoint privato in un'istanza di Autonomous Database esistente.

  1. Nella pagina Dettagli, nell'elenco a discesa Altre azioni, selezionare Aggiorna accesso alla rete.

    Mostra il pannello Aggiorna accesso alla rete.

    Segue la descrizione di adb_network_access_private_update.png
    Descrizione dell'immagine adb_network_access_private_update.png
  2. Selezionare Solo accesso endpoint privato.

    Se si desidera consentire connessioni da indirizzi IP pubblici o da IP e VCN consentiti, sono disponibili le seguenti opzioni:

    • Seleziona Accesso sicuro da ovunque.

    • Selezionare Accesso sicuro solo da IP e VCN consentiti.

    • Quando si seleziona Solo accesso endpoint privato, vengono visualizzate le opzioni avanzate e si seleziona Consenti accesso pubblico. Definisce un database endpoint privato che include sia un endpoint privato che un endpoint pubblico.

    1. Se si desidera, aggiungere i gruppi di sicurezza della rete (NSG).

      Facoltativamente, per consentire le connessioni all'istanza di Autonomous Database, definire le regole di sicurezza in un gruppo NSG; in questo modo viene creato un firewall virtuale per l'Autonomous Database.

      • Selezionare un gruppo di sicurezza di rete nel compartimento a cui collegare l'Autonomous Database o, se il gruppo di sicurezza di rete si trova in un compartimento diverso, fare clic su Modifica compartimento, selezionare un compartimento diverso, quindi selezionare un gruppo di sicurezza di rete in tale compartimento.
      • Fare clic su + Another Network Security Group per aggiungere un altro gruppo di sicurezza di rete.
      • Fare clic su x per rimuovere una voce del gruppo di sicurezza di rete.

      Per il gruppo NSG selezionato per l'endpoint privato, definire una regola di sicurezza come indicato di seguito.

      • Per l'autenticazione TLS (mTLS) reciproca, aggiungere una regola di entrata con conservazione dello stato con l'origine impostata all'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP impostato su TCP e l'intervallo di porte di destinazione impostato su 1522.

      • Per l'autenticazione TLS, aggiungere una regola di entrata con conservazione dello stato con l'origine impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP impostato su TCP e l'intervallo di porte di destinazione impostato su 1521 o 1522.

      • Per utilizzare Oracle APEX, Database Actions e Oracle REST Data Services, aggiungere la porta 443 alla regola NSG.

      Nota

      Le connessioni in entrata e in uscita sono limitate dalla combinazione di regole di entrata e in uscita definite nei gruppi NSG e negli elenchi di sicurezza definiti con la VCN. Quando non sono presenti gruppi NSG, le regole di entrata e uscita definite negli elenchi di sicurezza per la VCN rimangono valide. Per ulteriori informazioni sull'utilizzo delle liste di sicurezza, vedere Liste di sicurezza.

      Per ulteriori informazioni, vedere Secure Connections to Autonomous Database con mTLS o con TLS.

      Per esempi, vedere Esempi di configurazione degli endpoint privati in Autonomous Database.

      Per ulteriori informazioni, vedere Gruppi di sicurezza di rete.

    2. Facoltativamente, selezionare Consenti accesso pubblico oppure, se questa opzione è già selezionata, è possibile configurare le regole di controllo dell'accesso all'endpoint pubblico configurato con il database dell'endpoint privato.

      L'opzione Consenti accesso pubblico è disponibile solo quando il database utilizza il modello di computazione ECPU.

      Quando si seleziona Consenti accesso pubblico, vengono visualizzate le opzioni Configura controllo dell'accesso per immettere gli indirizzi IP consentiti, i blocchi CIDR o le reti cloud virtuali che possono connettersi al database.

      Selezionare una delle opzioni riportate di seguito.

      • Indirizzo IP:

        Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce dell'ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico nella console di Oracle Cloud Infrastructure per tale VM.

        Facoltativamente, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.

      • blocco CIDR:

        Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

      • Rete cloud virtuale:

        Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

        Utilizzare questa opzione per specificare la VCN da utilizzare con Oracle Cloud Infrastructure Service Gateway:

        • Nel campo Rete cloud virtuale selezionare la VCN da cui si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le reti VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
        • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
      • OCID (Rete cloud virtuale):

        Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

        • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
        • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

      Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Fare clic su Aggiorna.

Se lo stato del ciclo di vita è Disponibile quando si fa clic su Aggiorna, lo stato del ciclo di vita viene modificato in Aggiornamento fino all'applicazione delle modifiche. Il database è ancora attivo e accessibile, non ci sono tempi di inattività. Una volta completato l'aggiornamento, lo stato del ciclo di vita torna a Disponibile.

Per ulteriori informazioni, vedere Note sugli endpoint privati.

Argomento padre: Configura endpoint privati

Configura opzioni avanzate endpoint privato

Le opzioni avanzate per l'accesso all'endpoint privato consentono di immettere un indirizzo IP privato e un nome host specificati dall'utente, selezionare uno o più gruppi e di specificare i dettagli per consentire l'accesso pubblico a un database di endpoint privato.

Questi passi presuppongono che tu stia eseguendo il provisioning o la duplicazione di un'istanza di Autonomous Database o che tu stia passando dall'accesso pubblico all'accesso privato per un'istanza di Autonomous Database esistente e ti trovi al passo Scegli l'accesso di rete.

  1. Selezionare Solo accesso endpoint privato.

    Mostra l'area di configurazione dell'accesso privato alla rete cloud virtuale.

  2. (Facoltativo) Fare clic su Mostra opzioni avanzate per visualizzare ulteriori opzioni di endpoint privato.
    1. Facoltativamente, immettere un indirizzo IP privato.

      Utilizzare questo campo per immettere un indirizzo IP privato personalizzato. L'indirizzo IP privato immesso deve essere compreso nell'intervallo CIDR della subnet selezionata.

      Se non si fornisce un indirizzo IP privato personalizzato, l'indirizzo IP viene assegnato automaticamente.

    2. Facoltativamente, immettere un prefisso nome host.

      Specifica un prefisso del nome host per Autonomous Database e associa un nome DNS all'istanza di database, nel formato seguente: 

      hostname_prefix.adb.region.oraclecloud.com

      Se non si specifica un prefisso del nome host, viene fornito un prefisso del nome host generato dal sistema.

    3. Se si desidera, aggiungere i gruppi di sicurezza della rete (NSG).

      Facoltativamente, per consentire le connessioni all'istanza di Autonomous Database, definire le regole di sicurezza in un gruppo NSG; in questo modo viene creato un firewall virtuale per l'Autonomous Database.

      • Selezionare un gruppo di sicurezza di rete nel compartimento a cui collegare l'Autonomous Database o, se il gruppo di sicurezza di rete si trova in un compartimento diverso, fare clic su Modifica compartimento, selezionare un compartimento diverso, quindi selezionare un gruppo di sicurezza di rete in tale compartimento.
      • Fare clic su + Another Network Security Group per aggiungere un altro gruppo di protezione di rete.
      • Fare clic su x per rimuovere una voce del gruppo di sicurezza di rete.

      Per il gruppo NSG selezionato per l'endpoint privato, definire una regola di sicurezza come indicato di seguito.

      • Per l'autenticazione TLS (mTLS) reciproca, aggiungere una regola di entrata con conservazione dello stato con l'origine impostata all'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP impostato su TCP e l'intervallo di porte di destinazione impostato su 1522.

      • Per l'autenticazione TLS, aggiungere una regola di entrata con conservazione dello stato con l'origine impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP impostato su TCP e l'intervallo di porte di destinazione impostato su 1521 o 1522.

      • Per utilizzare Oracle APEX, Database Actions e Oracle REST Data Services, aggiungere la porta 443 alla regola NSG.

      Nota

      Le connessioni in entrata e in uscita sono limitate dalla combinazione di regole di entrata e in uscita definite nei gruppi NSG e negli elenchi di sicurezza definiti con la VCN. Quando non sono presenti gruppi NSG, le regole di entrata e uscita definite negli elenchi di sicurezza per la VCN rimangono valide. Per ulteriori informazioni sull'utilizzo delle liste di sicurezza, vedere Liste di sicurezza.

      Per ulteriori informazioni, vedere Secure Connections to Autonomous Database con mTLS o con TLS.

      Per esempi, vedere Esempi di configurazione degli endpoint privati in Autonomous Database.

      Per ulteriori informazioni, vedere Gruppi di sicurezza di rete.

    4. Facoltativamente, selezionare Consenti accesso pubblico e configurare le regole di controllo dell'accesso per aggiungere un endpoint pubblico per il database degli endpoint privati.

      L'opzione Consenti accesso pubblico è disponibile solo quando il database utilizza il modello di computazione ECPU.

      Quando si seleziona Consenti accesso pubblico, vengono visualizzate le opzioni Configura controllo dell'accesso per immettere gli indirizzi IP consentiti, i blocchi CIDR o le reti cloud virtuali che possono connettersi al database.

      Selezionare una delle opzioni riportate di seguito.

      • Indirizzo IP:

        Nel campo Valori immettere i valori per l'indirizzo IP. Un indirizzo IP specificato in una voce dell'ACL di rete è l'indirizzo IP pubblico del client visibile nella rete Internet pubblica a cui si desidera concedere l'accesso. Ad esempio, per una VM Oracle Cloud Infrastructure, questo è l'indirizzo IP mostrato nel campo IP pubblico nella console di Oracle Cloud Infrastructure per tale VM.

        Facoltativamente, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.

        Facoltativamente, selezionare Aggiungi indirizzo IP personale per aggiungere l'indirizzo IP corrente alla voce ACL.

      • blocco CIDR:

        Nel campo Valori immettere i valori per il blocco CIDR. Il blocco CIDR specificato è il blocco CIDR pubblico dei client visibili sulla rete Internet pubblica a cui si desidera concedere l'accesso.

      • Rete cloud virtuale:

        Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

        Utilizzare questa opzione per specificare la VCN da utilizzare con Oracle Cloud Infrastructure Service Gateway:

        • Nel campo Rete cloud virtuale selezionare la VCN da cui si desidera concedere l'accesso. Se non si dispone dei privilegi per visualizzare le reti VCN nella tenancy, questa lista è vuota. In questo caso, utilizzare la rete cloud virtuale (OCID) selezionata per specificare l'OCID della VCN.
        • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.
      • OCID (Rete cloud virtuale):

        Utilizzare questa opzione quando l'instradamento di rete dal client al database avviene tramite un Oracle Cloud Infrastructure Service Gateway. Per ulteriori informazioni, vedere Accesso a Oracle Services: Service Gateway.

        • Nel campo Valori immettere l'OCID della VCN da cui si desidera concedere l'accesso.
        • Facoltativamente, nel campo Indirizzi IP o CIDR immettere gli indirizzi IP privati o i blocchi CIDR privati come lista separata da virgole per consentire client specifici nella VCN.

      Se si desidera specificare più indirizzi IP o intervalli CIDR all'interno della stessa VCN, non creare più voci ACL. Utilizzare una voce ACL con i valori per più indirizzi IP o intervalli CIDR separati da virgole.

  3. Completare i passi di configurazione dell'endpoint privato rimanenti.

Argomento padre: Configura endpoint privati

Usa un endpoint privato con accesso pubblico consentito

Selezionare l'opzione Consenti accesso pubblico quando si desidera configurare un Autonomous Database per l'uso di un endpoint privato e si desidera anche consentire le connessioni da indirizzi IP pubblici specifici o da VCN specifici (se le VCN sono configurate per la connessione privata ad Autonomous Database mediante un gateway di servizi).

Questa opzione aggiunge un endpoint pubblico per un database configurato in un endpoint privato. È possibile configurare un endpoint privato per l'istanza di Autonomous Database quando si esegue il provisioning o si duplica l'istanza o quando si aggiorna la configurazione di rete per un Autonomous Database esistente. Per i dettagli sui passi per configurare un'istanza di Autonomous Database con un endpoint privato, vedere quanto riportato di seguito.

Quando l'accesso pubblico è abilitato con Consenti accesso pubblico su un database endpoint privato, l'istanza dispone sia di un endpoint privato che di un endpoint pubblico:

  • Il nome host privato, l'URL dell'endpoint e l'indirizzo IP privato consentono di connettersi al database dalla VCN in cui risiede il database.

  • Il nome host pubblico consente di connettersi al database da indirizzi IP pubblici specifici o da VCN specifiche se tali VCN sono configurate per la connessione privata ad Autonomous Database mediante un gateway di servizi.

Aggiunte alle stringhe di connessione di Autonomous Database per un database endpoint privato con l'opzione Consenti accesso pubblico abilitata

Quando l'opzione Consenti accesso pubblico è abilitata per un database endpoint privato, esistono stringhe di connessione aggiuntive che consentono di connettersi al database dall'endpoint pubblico:

  • Le stringhe di connessione in tnsnames.ora nel file zip del wallet di Autonomous Database includono le stringhe di connessione pubblica da utilizzare con connessioni provenienti dalla rete Internet pubblica. Le stringhe di connessione per l'endpoint pubblico utilizzano la seguente convenzione di denominazione: 

    dbname_public_consumerGroup

    Ad esempio:

    adbfinance_public_low

    Per ulteriori informazioni, vedere Scarica credenziali client (wallet).

  • È possibile visualizzare le stringhe di connessione sia per l'endpoint pubblico che per l'endpoint privato dalla console di Oracle Cloud Infrastructure (o utilizzando l'API).

    Per ulteriori informazioni, vedere Visualizza nomi TNS e stringhe di connessione per un'istanza di Autonomous Database.

Autonomous Database supporta aggiunte di strumenti per un database endpoint privato con l'opzione Consenti accesso pubblico abilitata

Quando l'opzione Consenti accesso pubblico è abilitata per un database di endpoint privati, gli strumenti di database consentono di connettersi da indirizzi IP pubblici specifici o da reti VCN specifiche se tali reti VCN sono configurate per connettersi in modo privato ad Autonomous Database utilizzando un gateway di servizi:

  • Ogni strumento dispone di un URL di accesso privato e di un URL di accesso pubblico visualizzati nella tabella di configurazione dello strumento. Utilizzare l'URL di accesso pubblico per accedere allo strumento da indirizzi IP pubblici specifici o da VCN specifiche se tali VCN sono configurate per connettersi privatamente ad Autonomous Database utilizzando un gateway del servizio.

    Ad esempio:

    Segue la descrizione di adb_tools_status_private_public.png
    Descrizione dell'immagine adb_tools_status_private_public.png

    Per ulteriori informazioni, consulta la sezione relativa allo stato degli strumenti integrati di Autonomous Database.

  • Il file README nel file zip del wallet fornisce sia un collegamento di accesso per l'endpoint privato per ogni strumento di database che un collegamento di accesso pubblico.

    Per ulteriori informazioni, vedere File README wallet.

Argomento padre: Configura endpoint privati

Sicurezza migliorata per le connessioni in uscita con endpoint privati

Quando si utilizza un endpoint privato con l'istanza di Autonomous Database, è possibile fornire una sicurezza avanzata impostando la proprietà del database ROUTE_OUTBOUND_CONNECTIONS sul valore PRIVATE_ENDPOINT.

Se si imposta la proprietà del database ROUTE_OUTBOUND_CONNECTIONS sul valore PRIVATE_ENDPOINT, tutte le connessioni in uscita a un host di destinazione sono soggette e limitate dalle regole di uscita dell'endpoint privato. Definire le regole di uscita nella lista di sicurezza della rete cloud virtuale (VCN) o nel gruppo di sicurezza di rete (NSG) associato all'endpoint privato dell'istanza di Autonomous Database.

Prima di impostare la proprietà del database ROUTE_OUTBOUND_CONNECTIONS, configurare l'istanza di Autonomous Database in modo che utilizzi un endpoint privato. Per ulteriori informazioni, vedere Configura endpoint privati.

Impostare la proprietà del database ROUTE_OUTBOUND_CONNECTIONS su PRIVATE_ENDPOINT per specificare che tutte le connessioni in uscita sono soggette alle regole di uscita della VCN dell'endpoint privato dell'istanza di Autonomous Database. Con il valore PRIVATE_ENDPOINT il database limita le connessioni in uscita alle posizioni specificate dalle regole di uscita dell'endpoint privato e modifica anche la risoluzione DNS in modo che i nomi host vengano risolti utilizzando il resolver DNS della VCN (non utilizzando un resolver DNS pubblico).

Nota

Se ROUTE_OUTBOUND_CONNECTIONS non è impostato su PRIVATE_ENDPOINT, tutte le connessioni in uscita alla rete Internet pubblica passano attraverso il gateway NAT (Network Address Translation) della VCN del servizio. In questo caso, se l'host di destinazione si trova su un endpoint pubblico, le connessioni in uscita non sono soggette alle regole di uscita VCN o NSG dell'endpoint privato dell'istanza di Autonomous Database.

Quando si configura un endpoint privato per l'istanza di Autonomous Database e si imposta ROUTE_OUTBOUND_CONNECTIONS su PRIVATE_ENDPOINT, questa impostazione modifica la gestione delle connessioni in uscita e la risoluzione DNS per gli elementi riportati di seguito.

Quando si configura un endpoint privato per l'istanza di Autonomous Database e si imposta ROUTE_OUTBOUND_CONNECTIONS su PRIVATE_ENDPOINT, questa impostazione non modifica la gestione delle connessioni in uscita e della risoluzione DNS per gli elementi riportati di seguito.

  • Oracle REST Data Services (ORDS)

  • Azioni database

Per impostare ROUTE_OUTBOUND_CONNECTIONS:

  1. Connettersi al database.
  2. Impostare la proprietà del database ROUTE_OUTBOUND_CONNECTIONS.

    Ad esempio:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';

Note per l'impostazione di ROUTE_OUTBOUND_CONNECTIONS:

  • Utilizzare il comando seguente per ripristinare il valore del parametro predefinito:

    ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';

  • Utilizzare il comando seguente per eseguire una query sul valore del parametro corrente:

    SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';

    Se la proprietà non è impostata, la query non restituisce risultati.

  • Questa proprietà si applica solo ai database link creati dopo l'impostazione della proprietà sul valore PRIVATE_ENDPOINT. Pertanto, i database link creati prima dell'impostazione della proprietà continuano a utilizzare il gateway NAT della VCN del servizio e non sono soggetti alle regole di uscita dell'endpoint privato dell'istanza di Autonomous Database.

  • Impostare ROUTE_OUTBOUND_CONNECTIONS sul valore PRIVATE_ENDPOINT solo quando si utilizza Autonomous Database con un endpoint privato.

  • Quando il database si trova su un endpoint privato e si desidera che le connessioni in uscita vengano risolte dalla rete VCN, è necessario impostare il parametro ROUTE_OUTBOUND_CONNECTIONS su PRIVATE_ENDPOINT.

Per ulteriori informazioni sul gateway NAT (Network Address Translation), vedere Gateway NAT.

Note endpoint privati

Descrive le restrizioni e le note per gli endpoint privati in Autonomous Database.

  • Dopo aver aggiornato l'accesso di rete per utilizzare un endpoint privato o dopo il completamento del provisioning o della clonazione in cui si configura un endpoint privato, è possibile visualizzare la configurazione di rete nella pagina Dettagli di Autonomous Database nella sezione Rete.

    La sezione Rete mostra le informazioni riportate di seguito per un endpoint privato.

    • Tipo di accesso: specifica il tipo di accesso per la configurazione di Autonomous Database. Le configurazioni degli endpoint privati mostrano il tipo di accesso: Rete cloud virtuale.
    • Dominio di disponibilità: specifica il dominio di disponibilità dell'istanza di Autonomous Database.
    • Rete cloud virtuale: include un collegamento per la VCN associata all'endpoint privato.
    • Subnet: include un collegamento per la subnet associata all'endpoint privato.
    • IP endpoint privato: mostra l'IP dell'endpoint privato per la configurazione dell'endpoint privato.
    • URL endpoint privato: mostra l'URL dell'endpoint privato per la configurazione dell'endpoint privato.
    • Gruppi di sicurezza di rete: questo campo include i collegamenti ai gruppi NSG configurati con l'endpoint privato.
    • Accesso pubblico: questo campo indica se l'accesso pubblico è abilitato per l'endpoint privato. Fare clic sul collegamento Edit per visualizzare o modificare le ACL o le VCN consentite.
    • URL endpoint pubblico: mostra quando l'opzione Consenti accesso pubblico è abilitata nell'endpoint privato. Questo è l'URL dell'endpoint pubblico che è possibile utilizzare per connettersi da IP o VCN consentiti nella rete Internet pubblica.

    Per ulteriori dettagli sulle informazioni di rete nella console di Oracle Cloud Infrastructure, vedere Visualizza informazioni di rete nella console OCI.

  • Al termine del provisioning o della duplicazione, è possibile modificare la configurazione di Autonomous Database in modo che utilizzi un endpoint pubblico.

    Per informazioni sulla modifica a un endpoint pubblico, vedere Passare da endpoint privati a endpoint pubblici con Autonomous Database.

  • Puoi specificare fino a cinque gruppi NSG per controllare l'accesso ad Autonomous Database.

  • È possibile modificare il gruppo di sicurezza di rete (NSG) dell'endpoint privato per Autonomous Database.

    Per modificare il gruppo NSG per un endpoint privato, effettuare le operazioni riportate di seguito.

    1. Nella pagina Autonomous Databases selezionare un Autonomous Database dai collegamenti nella colonna Nome visualizzato.

    2. Nella pagina Dettagli Autonomous Database, in Rete nel campo Gruppi di sicurezza di rete, fare clic su Modifica.

  • Puoi connettere l'istanza di Oracle Analytics Cloud all'Autonomous Database che dispone di un endpoint privato utilizzando il Data Gateway come fai per un database on premise. Per ulteriori informazioni, vedere Configurare e registrare Data Gateway per Data Visualization.

  • I seguenti strumenti Autonomous Database sono supportati nei database configurati con un endpoint privato:

    • Azioni database
    • Oracle APEX
    • Oracle Graph Studio
    • Oracle Machine Learning Notebooks
    • Oracle REST Data Services
    • API database Oracle per MongoDB

    Per accedere a questi strumenti di Autonomous Database dagli ambienti on premise è necessaria una configurazione aggiuntiva. Per ulteriori informazioni, consulta l'esempio: Connessione dal data center ad Autonomous Database.

    L'accesso a Oracle APEX, Database Actions, Oracle Graph Studio o Oracle REST Data Services utilizzando un endpoint privato da ambienti on premise senza completare la configurazione di endpoint privato aggiuntiva mostra l'errore: 

    404 Not Found

  • Dopo l'aggiornamento dell'accesso di rete per l'uso di un endpoint privato, l'URL degli strumenti di database è diverso rispetto all'uso di un endpoint pubblico. È possibile trovare gli URL aggiornati nella console dopo il passaggio da un endpoint pubblico a un endpoint privato.

  • Oltre a Oracle REST Data Services (ORDS) preconfigurato con Autonomous Database, puoi configurare una distribuzione ORDS alternativa che fornisce più opzioni di configurazione e che può essere utilizzata con gli endpoint privati. Consulta la sezione Informazioni su Customer Managed Oracle REST Data Services su Autonomous Database per informazioni su una distribuzione ORDS alternativa che può essere utilizzata con endpoint privati.

  • La modifica di un indirizzo IP privato non è consentita dopo il provisioning o la copia di un'istanza, indipendentemente dal fatto che l'indirizzo IP venga assegnato automaticamente quando si immette un valore nel campo Indirizzo IP privato.

Esempi di configurazione degli endpoint privati su Autonomous Database

Mostra diversi esempi di configurazione degli endpoint privati (VCN) per Autonomous Database.

Argomento padre: Configurare l'accesso di rete con endpoint privati

Esempio: connessione dalla VCN Oracle Cloud Infrastructure interna

Dimostra un'applicazione in esecuzione all'interno di Oracle Cloud Infrastructure su una virtual machine (VM) nella stessa VCN configurata con Autonomous Database.

Segue la descrizione di adb_private_endpoint1.png
Descrizione dell'illustrazione adb_private_endpoint1.png

Esiste un'istanza di Autonomous Database che dispone di un endpoint privato nella VCN denominato "La tua VCN". La VCN include due SUBNET: "SUBNET B" (CIDR 10.0.1.0/24) e "SUBNET A" (CIDR 10.0.2.0/24).

Il gruppo di sicurezza di rete (NSG) associato all'istanza di Autonomous Database viene visualizzato come "NSG 1 - Regole di sicurezza". Questo gruppo di sicurezza di rete definisce le regole di sicurezza che consentono il traffico in entrata e in uscita da e verso l'istanza di Autonomous Database. Definire una regola per l'istanza di Autonomous Database come indicato di seguito.

  • Per l'autenticazione TLS reciproca, aggiungere una regola di entrata con conservazione dello stato per consentire le connessioni dall'origine all'istanza di Autonomous Database; l'origine è impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP è impostato su TCP e l'intervallo di porte di destinazione è impostato su 1522.

  • Per l'autenticazione TLS, aggiungere una regola di entrata con conservazione dello stato per consentire le connessioni dall'origine all'istanza di Autonomous Database; l'origine è impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo IP è impostato su TCP e l'intervallo di porte di destinazione è impostato su 1521 o 1522.

  • Per utilizzare Oracle APEX, Database Actions e Oracle REST Data Services, aggiungere la porta 443 alla regola NSG.

La figura riportata di seguito mostra una regola di sicurezza con conservazione dello stato di esempio per controllare il traffico per l'istanza di Autonomous Database.

Segue la descrizione di adb_private_vcn_nsg_stateful1.png
Descrizione dell'illustrazione adb_private_vcn_nsg_stateful1.png

L'applicazione che si connette ad Autonomous Database è in esecuzione su una VM in SUBNET B. È inoltre possibile aggiungere una regola di sicurezza per consentire il traffico da e verso la VM (come mostrato, con l'etichetta "Regole di sicurezza NSG 2"). È possibile utilizzare una regola di sicurezza con conservazione dello stato per la VM, quindi è sufficiente aggiungere una regola per l'uscita alle regole di sicurezza NSG 2 (ciò consente l'accesso alla subnet di destinazione A).

La figura seguente mostra regole di sicurezza di esempio che controllano il traffico per la VM:

Segue la descrizione di adb_private_vcn_rules2.png
Descrizione dell'illustrazione adb_private_vcn_rules2.png

Dopo aver configurato le regole di sicurezza, l'applicazione può connettersi all'istanza di Autonomous Database utilizzando il wallet delle credenziali client. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).

Vedere Gruppi di sicurezza di rete per informazioni sulla configurazione dei gruppi di sicurezza di rete.

Esempio: connessione dal data center ad Autonomous Database

Dimostra come connettersi privatamente a un Autonomous Database dal tuo data center on premise. In questo scenario, il traffico non passa mai attraverso l'Internet pubblico.

Segue la descrizione di adb_private_endpoint2.png
Descrizione dell'illustrazione adb_private_endpoint2.png

Per connettersi dal data center, connetti la rete in locale alla VCN con FastConnect, quindi imposta un gateway di instradamento dinamico (DRG). Per risolvere l'endpoint privato di Autonomous Database, un nome dominio completamente qualificato (FQDN, Fully Qualified Domain Name), è necessario aggiungere una voce nel file host del client in locale. Ad esempio, il file /etc/hosts per i computer Linux. Ad esempio: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Per utilizzare Oracle APEX, Database Actions e Oracle REST Data Services, aggiungere un'altra voce con lo stesso IP. Ad esempio: 

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

L'IP dell'endpoint privato e il nome FQDN sono riportati di seguito.

  • L'IP privato viene visualizzato nella pagina dei dettagli di Autonomous Database della console di Oracle Cloud Infrastructure per l'istanza.

  • Il nome FQDN viene visualizzato nel file tnsnames.ora nel wallet delle credenziali del client Autonomous Database.

In alternativa, puoi utilizzare il DNS privato di Oracle Cloud Infrastructure per fornire la risoluzione dei nomi DNS. Per ulteriori informazioni, consulta DNS privato.

In questo esempio è presente un gateway di instradamento dinamico (DRG) tra il data center in locale e "La tua VCN". La VCN contiene l'Autonomous Database. Mostra anche una tabella di instradamento per la VCN associata ad Autonomous Database, per il traffico in uscita verso CIDR 172.16.0.0/16 tramite DRG.

Oltre a impostare il gateway DRG, definire una regola del gruppo di sicurezza di rete (NSG) per consentire il traffico da e verso Autonomous Database, aggiungendo una regola per l'intervallo CIDR del centro dati (172.16.0.0/16). In questo esempio, definire una regola di sicurezza in "NSG 1" come indicato di seguito.

  • Per l'autenticazione TLS reciproca, creare una regola con conservazione dello stato per consentire il traffico in entrata dal centro dati. Questa è una regola di entrata con conservazione dello stato con l'origine impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo impostato su TCP, l'intervallo di porte di origine impostato sull'intervallo CIDR (172.16.0.0/16) e la porta di destinazione impostata su 1522.

  • Per l'autenticazione TLS, creare una regola con conservazione dello stato per consentire il traffico in entrata dal data center. Questa è una regola di entrata con conservazione dello stato con l'origine impostata sull'intervallo di indirizzi che si desidera consentire di connettersi al database, il protocollo impostato su TCP, l'intervallo di porte di origine impostato sull'intervallo CIDR (172.16.0.0/16) e la porta di destinazione impostata su 1521 o 1522.

  • Per utilizzare Oracle APEX, Database Actions e Oracle REST Data Services, aggiungere la porta 443 alla regola NSG.

La figura riportata di seguito mostra la regola di sicurezza che controlla il traffico per l'istanza di Autonomous Database.

Segue la descrizione di adb_private_vcn_nsg_stateful2.png
Descrizione dell'illustrazione adb_private_vcn_nsg_stateful2.png

Dopo aver configurato la regola di sicurezza, l'applicazione di database in locale può connettersi all'istanza di Autonomous Database utilizzando il wallet delle credenziali client. Per ulteriori informazioni, vedere Scarica credenziali client (wallet).