Autonomous Databaseへの接続は、パブリック・インターネットを介して、オプションでアクセス制御ルール(ACL)を定義するか、テナンシ内のVirtual Cloud Network (VCN)内のプライベート・エンドポイントを使用して行われます。

プライベート・エンドポイント構成を指定すると、指定した仮想クラウド・ネットワークからのトラフィックのみが許可され、すべてのパブリックIPまたはVCNからのデータベースへのアクセスがブロックされます。プライベート・エンドポイントを構成すると、データベースとの間のすべてのトラフィックをパブリック・インターネットから削除できます。プライベート・エンドポイントでは、パブリック・アクセスが「パブリック・アクセスの許可」で有効になっている場合、インスタンスにプライベート・エンドポイントとパブリック・エンドポイントの両方があります:

• プライベート・ホスト名、エンドポイントURLおよびプライベートIPアドレスを使用すると、データベースが存在するVCNからデータベースに接続できます。

• パブリック・ホスト名を使用すると、特定のパブリックIPアドレスから、または特定のVCN (サービス・ゲートウェイを使用してAutonomous Databaseにプライベート接続するように構成されている場合)からデータベースに接続できます。

多くのアプリケーションで複数の接続タイプがサポートされていますが、Autonomous Databaseへの各接続タイプでは、標準のTLS 1.2を使用した証明書認証およびTCPS (セキュアTCP)データベース接続が使用されます。これにより、Autonomous Databaseへの不正アクセスがなくなり、クライアントとサーバー間の通信が完全に暗号化され、傍受または変更できなくなります。

Autonomous Databaseは、デフォルトで相互TLS (mTLS)接続をサポートしています(mTLSとの接続にはポート1522を使用します)。mTLSとTLSの両方の接続をサポートするようにAutonomous Databaseインスタンスを構成するオプションがあります(ポート1521を使用してTLSに接続)。

Autonomous DatabaseでTLS認証を使用するクライアントには、次のような利点があります:

• TLS接続では、ウォレットをダウンロードする必要はありません。JDK8以上のJDBC Thinドライバを使用するTLS接続の場合、ウォレットは必要ありません。これには、SQL DeveloperやSQLコマンドライン(SQLcl)などのクライアントからの接続が含まれます。

• TLSで接続しているクライアントでは、ウォレットのローテーションについて考慮する必要はありません。Walletローテーションは、mTLS接続のための通常の手順です。

• TLS接続は高速です(接続レイテンシが少なくなります)。TLS認証では、mTLSと比較して接続レイテンシを短縮できます。

• TLS接続とmTLS接続は、相互に排他的ではありません。相互TLS (mTLS)認証はデフォルトで有効化されており、常に使用可能です。TLS認証を有効にすると、mTLS認証またはTLS認証のいずれかを使用できます。

• TLS認証を使用しても、クライアントとAutonomous Database間の完全に暗号化されたエンドツーエンド通信が損なわれることはありません。

• 相互TLS (mTLS)認証について
  相互トランスポート層セキュリティ(mTLS)を使用すると、クライアントは、標準のTLS 1.2を信頼できるクライアント認証局(CA)証明書とともに使用して、TCPS (セキュアTCP)データベース接続を介して接続します。相互認証では、クライアント・アプリケーションとAutonomous Databaseの両方が相互に認証します。Autonomous Databaseでは、デフォルトでmTLS認証が使用されます(mTLSに接続するにはポート1522を使用します)。
• TLS認証について
  Transport Layer Security (TLS)を使用すると、クライアントは、標準のTLS 1.2を使用してTCPS (セキュアTCP)データベース接続を介して接続します。クライアントは、信頼できる認証局(CA)のリストを使用して、サーバーのCAルート証明書を検証します。発行元CAが信頼されている場合、クライアントは証明書が本物であることを確認します。これにより、クライアントおよびAutonomous Databaseは、メッセージを交換する前に暗号化された接続を確立できます(ポート1521を使用してTLSに接続)。

ほとんどの組織は、ファイアウォールを使用してネットワークおよびネットワーク上のデバイスを保護します。ファイアウォールは、特定のポートの使用および特定のコンピュータ(具体的には、IPアドレスまたはホスト名)へのアクセスを許可するルールを使用して、受信および送信ネットワーク・トラフィックを制御します。ファイアウォールの重要な機能は、内部ネットワークとパブリック・インターネットを分離することです。

Autonomous Databaseがパブリック・インターネットを使用したアクセス用に構成されている場合は、Autonomous Databaseサーバーへのアクセスを許可するようにファイアウォールを構成する必要があります。

ファイアウォールの内側からAutonomous Databaseにアクセスするには、接続内のサーバーに接続するときに、ファイアウォールがデータベース接続で指定されたポートの使用を許可する必要があります。Autonomous Database mTLS接続にはポート1522を使用します(credentials ZIPファイルのtnsnames.oraファイルにある接続文字列でポート番号を確認できます)。たとえば、次のtnsnames.oraファイルのport値を確認します:

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

ファイアウォールでは、ポート1522を使用した.oraclecloud.comドメイン内のサーバーへのアクセスを許可する必要があります。Autonomous Databaseに接続するには、組織のネットワーク構成に応じて、プロキシ・サーバーを使用してこのポートにアクセスするか、ネットワーク管理者に連絡してください。

アプリケーション・コンティニュイティは、停止後に影響を受けるデータベース・セッションの進行中の作業をリカバリすることで、エンド・ユーザーおよびアプリケーションから停止を隠します。アプリケーション・コンティニュイティは、このリカバリをアプリケーションの下で実行するため、アプリケーションには停止が実行のわずかな遅延のように見えます。

アプリケーション・コンティニュイティの詳細は、Autonomous Databaseでのアプリケーション・継続性の使用を参照してください。