Documentação do Oracle Cloud Infrastructure

Acesse o Oracle APEX, o Oracle REST Data Services e as Ferramentas de Banco de Dados Incorporadas Usando um URL Personalizado

Por padrão, o acesso aos aplicativos Oracle APEX, pontos finais REST e ferramentas de banco de dados incorporadas no Autonomous AI Database é por meio do nome de domínio oraclecloudapps.com. Opcionalmente, você pode configurar um URL personalizado (ou seja, um domínio personalizado) que seja mais relevante para sua organização ou projeto.

Para isso, primeiro você deve adquirir o nome de domínio desejado e o certificado SSL correspondente de um fornecedor de sua escolha.

Tópico principal: Criar Aplicativos com o Oracle APEX no Autonomous AI Database

Ativar um URL Personalizado em seu Banco de Dados de Membros do Elastic Pool

Com um nome de domínio e um certificado registrados disponíveis, para um banco de dados em um pool elástico, você pode ativar facilmente um URL personalizado no Autonomous AI Database e configurar um domínio personalizado de URL personalizado para sua instância do Autonomous AI Database usando um Gateway de API.

Observação

  • Os URLs intuitivos são suportados por gateways de API do OCI que usam pontos finais HTTP, mas não por pontos finais baseados em TCP, como MongoDB e SQLNET.
  • A ferramenta OML (Oracle Machine Language) não suporta URL personalizado.

Tópico principal: Acesse o Oracle APEX, o Oracle REST Data Services e as Ferramentas de Banco de Dados Incorporadas Usando um URL Personalizado

Registre seu Gateway de API com seu DNS

Este capítulo destaca a importância de configurar o DNS (Domain Name System) do OCI (Oracle Cloud Infrastructure) na configuração de um URL personalizado.

A configuração do DNS para apontar para um Gateway de API do OCI (Oracle Cloud Infrastructure) é necessária para ativar um URL personalizado porque o DNS é o sistema que converte o nome de domínio personalizado amigável (por exemplo, api.mycompany.com) no endereço IP do ponto final real do Gateway de API do OCI. Sem configurar o DNS, o domínio personalizado não será resolvido para o IP público do Gateway de API do OCI, e os usuários não poderão acessar suas APIs do OCI usando o URL personalizado.

A Configuração de DNS envolve três componentes principais:
  • Propriedade e verificação do domínio:

    Um domínio personalizado requer prova de propriedade. O domínio deve ser registrado com um registrador de domínio autorizado e você deve ter controle administrativo para gerenciar seus registros de DNS. Isso garante que apenas proprietários legítimos possam mapear seu domínio personalizado (por exemplo, examplehost.com) para o ponto final do OCI API Gateway.

  • Certificados TLS para HTTPS:

    Como os Gateways de API do OCI são protegidos com o TLS (Transport Layer Security), um certificado TLS é obrigatório. Se você usar o domínio padrão (gerado automaticamente) da Oracle, a Oracle provisionará e manterá automaticamente um certificado. No entanto, ao usar um domínio personalizado, você deve fornecer seu próprio certificado TLS obtido de uma Autoridade de Certificação (CA) confiável. Este certificado vincula seu domínio personalizado ao gateway, permitindo a comunicação criptografada e garantindo a confiança do cliente.

    Há duas abordagens:

    • Usar um certificado gerenciado pela Oracle por meio do serviço OCI Certificates (autoemitido ou importado de uma CA).

    • Carregue seu próprio certificado personalizado, junto com a chave privada e quaisquer certificados intermediários.

  • Configuração de registro DNS:

    Depois que o OCI API Gateway e o certificado TLS forem configurados, você deverá configurar o DNS para que o domínio personalizado seja resolvido para o ponto final público do gateway.

    Sem esse processo, as solicitações de entrada para o seu domínio personalizado não alcançariam o gateway.

O DNS é como uma ponte entre o seu domínio personalizado e a infraestrutura subjacente do OCI API Gateway. Para que seu URL personalizado possa ser acessado e funcional, você deve apontar seus registros de DNS para o Gateway de API.

Etapas para configurar o DNS para o OCI API Gateway

Para configurar o DNS para apontar para um Gateway de API do OCI, execute as etapas a seguir que envolvem propriedade de domínio, certificados TLS e configuração de registro de DNS.

Pré-requisitos:
  • Você deve possuir um nome de domínio registrado (seja gerenciado no DNS do OCI ou em um provedor de DNS externo) antes do início da configuração.
  • Você deve adquirir um certificado TLS para seu domínio personalizado de uma Autoridade de Certificação (CA) de terceiros ou por meio do OCI Certificates Service.
  1. Criar e Fazer Upload de um Certificado TLS Personalizado:

    • Gere uma Solicitação de Assinatura de Certificado (CSR) para seu domínio, incluindo seu nome de domínio totalmente qualificado (FQDN).

    • Use o OCI Certificates Service ou uma CA de terceiros para emitir o certificado.
    • Importe esse certificado e a chave privada para o OCI como um recurso de Certificado.

    Para obter mais detalhes, consulte Configurando Domínios Personalizados e Certificados TLS.

  2. Create an API Gateway in OCI:

    • Navegue até Serviços do Desenvolvedor > Gateway de API na Console do OCI.

    • Crie um gateway com seus certificados TLS na Sub-rede pública apropriada da VCN.

    Após a criação, anote o API Gateway OCID ID que o OCI gera automaticamente.

    Consulte Criando um Gateway de API para obter mais detalhes.

  3. Configurar Registros DNS para o Seu Domínio:
    • Vá para seu sistema de gerenciamento de DNS (serviço DNS do OCI ou um provedor DNS externo, como a Rota 53) para configurar seu mapeamento de DNS personalizado para o endereço IP público do OCI API Gateway.

    Isso garante que o tráfego de entrada do seu domínio personalizado seja resolvido para o endereço IP Público do OCI API Gateway.

    Após a propagação do DNS, você poderá acessar o URL personalizado (https://examplehost.com) e confirmar se ele é roteado para seu endereço IP Público do OCI API Gateway.

Você também pode configurar um URL personalizado para o Autonomous AI Database na Console do Oracle Cloud Infrastructure Service para usuários do Elastic Pool.

Ativar Controlador de Recursos para Acessar Recursos do Oracle Cloud Infrastructure

Execute as etapas a seguir para ativar o controlador de recursos no Autonomous AI Database. Isso permite que o banco de dados autentique e acesse recursos do OCI com segurança.

Como pré-requisito, configure grupos dinâmicos e políticas. Consulte Executar Pré-requisitos para Usar o Controlador de Recursos com o Autonomous AI Database para obter mais informações.

Para ativar um controlador de recursos no Autonomous AI Database:

  1. Como usuário ADMIN, ative o controlador de recursos para a instância do Autonomous AI Database.

    Por exemplo:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL();

PL/SQL procedure successfully completed.
    Consulte ENABLE_RESOURCE_PRINCIPAL Procedures para obter mais informações.

    Isso cria a credencial OCI$RESOURCE_PRINCIPAL.

  2. (Opcional) Esta etapa só será necessária se você quiser conceder acesso à credencial do controlador de recursos a um usuário de banco de dados diferente do usuário ADMIN. Como usuário ADMIN, ative o controlador de recursos para um usuário de banco de dados especificado.

    Por exemplo:

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user');

PL/SQL procedure successfully completed.

    Isso concede ao usuário adb_user acesso à credencial OCI$RESOURCE_PRINCIPAL.

    Se você quiser que o usuário especificado tenha privilégios para ativar o controlador de recursos para outros usuários, defina o parâmetro grant_option como TRUE.

    Por exemplo:

    BEGIN
DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(
     username => 'adb_user',
     grant_option => TRUE);
END;
/

    Depois de executar esse comando, adb_user poderá ativar o controlador de recursos para outro usuário. Por exemplo, se você se conectar como adb_user, poderá executar o seguinte comando: 

    EXEC DBMS_CLOUD_ADMIN.ENABLE_RESOURCE_PRINCIPAL(username => 'adb_user2');
    Consulte ENABLE_RESOURCE_PRINCIPAL Procedures para obter mais informações.
  3. Verifique se a credencial do controlador de recursos está ativada.

    Por exemplo, como o usuário ADMIN consulta a view DBA_CREDENTIALS: 

    SELECT owner, credential_name FROM dba_credentials 
        WHERE credential_name = 'OCI$RESOURCE_PRINCIPAL' AND owner = 'ADMIN'; 

OWNER  CREDENTIAL_NAME
-----  ----------------------
ADMIN  OCI$RESOURCE_PRINCIPAL

    Por exemplo, como um usuário não ADMIN, consulte a view ALL_TAB_PRIVS: 

    SELECT grantee, table_name, grantor FROM ALL_TAB_PRIVS
   WHERE grantee = 'ADB_USER' 
        AND table_name = 'OCI$RESOURCE_PRINCIPAL' 
        AND table_schema = 'ADMIN';

GRANTEE   TABLE_NAME                GRANTOR
--------- -----------------------   -------------
ADB_USER  OCI$RESOURCE_PRINCIPAL    ADMIN

A ativação do controlador de recursos em uma instância do Autonomous AI Database é uma operação única. Não é necessário ativar o controlador de recursos novamente, a menos que você execute DBMS_CLOUD_ADMIN.DISABLE_RESOURCE_PRINCIPAL para desativar o controlador de recursos.

Política do IAM para Configurar um URL Personalizado

Antes de configurar um URL personalizado para sua instância do Autonomous AI Database no seu Elastic Pool Member Database, você deve conceder permissões ao banco de dados para gerenciar as implantações do OCI API Gateway

Para criar políticas de acesso no OCI (Oracle Cloud Infrastructure) como administrador da tenancy, siga estas etapas:
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Políticas.
  2. Clique em Criar Política.
  3. Na janela Criar Política, informe um nome (por exemplo, IntegrationGroupPolicy) e uma descrição.
  4. No Criador de Política, selecione Mostrar editor manual e informe as instruções de política obrigatórias.
    A Sintaxe típica para permitir que um grupo gerencie implantações do Serviço API Gateway é:

    • Permitir que o id de grupo dinâmico <dynamic group ocid> gerencie implantações de api no compartimento <compartment name>

    • Permitir que o id de grupo dinâmico <dynamic group ocid> use api-gateways no compartimento <compartment name>

    Exemplo:
    • Permitir que o id de grupo dinâmico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq gerencie implantações de api no compartimento adwtoolsqa
    • Permitir que o id de grupo dinâmico ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq use api-gateways no compartimento adwtoolsqa

    Esta instrução de política permite que o grupo ocid1.dynamicgroup.oc1..aaaaaaaaaaaaaaaaaa1111ex3aztuwucyjiqoclhpuflmlncmkwtqsjwlmmq no domínio de administração gerencie e use Implantações do OCI API Gateway no compartimento adwtoolsqa.

    Observação

    • Ao definir instruções de política, você pode especificar verbos (como usados nessas etapas) ou permissões (normalmente usados por usuários avançados).

    • Para saber mais sobre políticas, consulte:

      Como As Políticas Funcionam e Referência de Política na documentação do Oracle Cloud Infrastructure.

  5. Verifique e crie a política.

As declarações de política são validadas e os erros de sintaxe são exibidos.

Ativar um URL Personalizado em seu Banco de Dados de Membros do Elastic Pool

Siga estas instruções para configurar um URL personalizado para sua instância do Autonomous AI Database usando o Oracle Cloud Infrastructure Service Console.

  1. Na página Detalhes do Autonomous AI Database, na lista drop-down Mais ações, selecione Ativar URL personalizado.
  2. Na caixa de diálogo Configurar URL personalizado para ferramentas de banco de dados, selecione Usar URL personalizado.
  3. Selecione o Compartimento do seu OCI API Gateway.
  4. Selecione o Gateway de API na lista de nomes do Gateway de API do OCI aos quais você tem acesso.
  5. Especifique o nome de domínio personalizado totalmente qualificado que deve aparecer no URL e está registrado no DNS.

    Por exemplo, informe examplehost.com.


    Veja a seguir a descrição da ilustração adb_configure_vanity_url.png
    Descrição da ilustração adb_configure_vanity_url.png

    Clique em Configurar.

    Após a configuração bem-sucedida, a guia Configuração da Ferramenta na página Detalhes do Autonomous AI Database exibe um novo campo chamado URL de Valor, juntamente com campos de URL de Valor adicionais em Oracle APEX e Database Actions.


    Descrição da ilustração adb-vanity-url-tool-configuration.png a seguir
    Descrição da ilustração adb-vanity-url-tool-configuration.png

    Você poderá acessar aplicativos de usuário final e ferramentas de desenvolvedor, como o Oracle APEX e o Database Actions, usando seu nome de domínio personalizado ou URL de acesso Público/Privado com base no acesso à rede do banco de dados.

Ativar um URL Personalizado em seu Banco de Dados de Pool Não Elástico usando um Proxy Reverso

Para um banco de dados que não faz parte de um pool elástico, você pode implantar manualmente um Oracle Cloud Infrastructure Load Balancer na sua VCN (Rede Virtual na Nuvem) usando seu Autonomous AI Database como backend.

Sua instância do Autonomous AI Database deve ser configurada com um ponto final privado na mesma VCN. Consulte Configurar o Acesso à Rede com Pontos Finais Privados para mais informações.

Consulte as seguintes publicações para obter detalhes sobre como ativar um URL personalizado para um banco de dados fora de um pool elástico: