Sobre a Conexão com uma Instância do Autonomous Database

As conexões com o Autonomous Database são feitas pela Internet pública, opcionalmente com Regras de Controle de Acesso (ACLs) definidas ou usando um ponto final privado dentro de uma VCN (Virtual Cloud Network) em sua tenancy.

Quando você especifica uma configuração de ponto final privado, isso só permite tráfego da rede virtual na nuvem que você especifica e bloqueia o acesso ao banco de dados de todos os IPs ou VCNs públicos. A configuração de um ponto final privado permite que você mantenha todo tráfego de/para seu banco da dados fora da internet pública. Com um ponto final privado, quando o acesso público é ativado com Permitir acesso público, a instância tem um ponto final privado e um ponto final público:

• O nome do host privado, o URL do ponto final e o endereço IP privado permitem que você se conecte ao banco de dados na VCN em que o banco de dados reside.

• O nome do host público permite estabelecer conexão com o banco de dados de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço.

Muitos aplicativos fornecem suporte para mais de um tipo de conexão, mas cada tipo de conexão com o Autonomous Database usa autenticação de certificado e conexão de banco de dados TCPS (TCP Seguro) usando o TLS 1.2 padrão. Isso garante que não haja acesso não autorizado ao Autonomous Database e que a comunicação entre o cliente e servidor seja totalmente criptografada e não possa ser interceptada ou alterada.

Por padrão, o Autonomous Database suporta conexões TLS Mútuas (mTLS) (use a porta 1522 para estabelecer conexão com o mTLS). Você tem a opção de configurar uma instância do Autonomous Database para suportar conexões mTLS e TLS (use a porta 1521 ou 1522 para estabelecer conexão com o TLS).

Há vantagens para os clientes que usam a autenticação TLS com o Autonomous Database, incluindo as seguintes:

• As conexões TLS não exigem que você faça download de uma wallet. Para conexões TLS que usam o Driver JDBC Thin com JDK8 ou superior, não é necessária uma wallet. Isso inclui conexões provenientes de clientes como SQL Developer e SQL Command Line (SQLcl).

• Os clientes que se conectam ao TLS não precisam se preocupar com a rotação da carteira. A rotação da wallet é um procedimento regular para conexões mTLS.

• As conexões TLS podem ser mais rápidas (fornecendo menos latência de conexão). A autenticação TLS pode fornecer latência de conexão reduzida em comparação com o mTLS.

• As conexões TLS e mTLS não são mutuamente exclusivas. A autenticação mTLS (TLS mútuo) é ativada por padrão e sempre está disponível. Quando você ativa a autenticação TLS, pode usar a autenticação mTLS ou TLS.

• O uso da autenticação TLS não compromete a comunicação totalmente criptografada de ponta a ponta entre um cliente e o Autonomous Database.

Consulte Exibir Nomes TNS e Strings de Conexão de uma Instância do Autonomous Database para obter detalhes sobre como obter as strings de conexão mTLS da sua Instância do Autonomous Database.

Sobre a autenticação MTLS (Mutual TLS)

Usando a autenticação Mutual Transport Layer Security (mTLS), os clientes se conectam por meio de uma conexão de banco de dados TCPS (Secure TCP) usando o TLS 1.2 padrão com um certificado de autoridade de certificação (CA) cliente confiável.

Com autenticação mútua, o aplicativo cliente e o Autonomous Database se autenticam. O Autonomous Database usa a autenticação mTLS por padrão. Use a porta 1522 para estabelecer conexão com uma instância do Autonomous Database com mTLS (a designação de porta 1522 não pode ser alterada).

A autenticação mútua de TLS requer que o cliente faça download ou obtenha um certificado de CA cliente confiável para estabelecer conexão com uma instância do Autonomous Database. Em seguida, o Autonomous Database usa o certificado para autenticar o cliente. Isso fornece maior segurança e especifica os clientes que podem se comunicar com uma instância do Autonomous Database.

A autenticação de autorização com TLS Mútuo usa uma chave criptografada armazenada em uma wallet no cliente (onde o aplicativo está sendo executado) e o servidor (onde o serviço de banco de dados no Autonomous Database está sendo executado). A chave do cliente deve corresponder à chave do servidor para estabelecer uma conexão. Uma wallet contém uma coleção de arquivos, incluindo a chave e outras informações necessárias para estabelecer conexão com a sua instância do Autonomous Database. Toda a comunicação entre o cliente e o servidor é criptografada.

Para proteger a conexão com a sua instância do Autonomous Database, um administrador de serviço faz download das credenciais do cliente (arquivos de wallet) do Autonomous Database. Se você não for um administrador de serviços do Autonomous Database, seu administrador fornecerá as credenciais do cliente. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

A figura a seguir mostra conexões seguras do cliente com o Oracle Autonomous Database pela Internet pública usando conexões TLS Mútuas. Se você configurar seu banco de dados para usar pontos finais privados, a internet pública não será usada e a conexão usará um ponto final privado dentro de uma VCN (Rede Virtual na Nuvem) em sua tenancy.

Descrição da ilustração autônoma-database.eps

Consulte Exibir Nomes TNS e Strings de Conexão de uma Instância do Autonomous Database para obter detalhes sobre como obter as strings de conexão mTLS da sua Instância do Autonomous Database.

A maioria das organizações protege redes e dispositivos em uma rede usando um firewall. Um firewall controla o tráfego de rede de entrada e saída usando regras que permitem o uso de certas portas e o acesso a determinados computadores (ou, mais especificamente, endereços IP ou nomes de host). Uma função importante de um firewall é fornecer a separação entre redes internas e a internet pública.

Quando o Autonomous Database estiver configurado para acesso usando a internet pública, você deverá configurar o firewall para permitir o acesso aos servidores do Autonomous Database.

Para acessar o Autonomous Database por trás de um firewall, o firewall deve permitir o uso da porta especificada na conexão do banco de dados ao estabelecer conexão com os servidores na conexão. Use a porta 1522 para conexões mTLS do Autonomous Database (você pode ver o número da porta na string de conexão do arquivo tnsnames.ora no arquivo credentials ZIP). Por exemplo, consulte o valor port no seguinte arquivo tnsnames.ora:

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Seu firewall deve permitir o acesso a servidores dentro do domínio .oraclecloud.com usando a porta 1522. Para estabelecer conexão com o Autonomous Database, dependendo da configuração de rede da sua organização, talvez você precise usar um servidor proxy para acessar essa porta ou talvez precise solicitar que o administrador de rede abra essa porta.

Consulte Intervalos de Endereços IP para obter informações sobre os intervalos de endereços IP públicos no Oracle Cloud Infrastructure. Você deve permitir o tráfego para esses blocos CIDR para garantir o acesso a uma instância do Autonomous Database em um ponto final público.

O Application Continuity mascara interrupções de usuários finais e aplicativos, recuperando o trabalho em andamento para sessões de banco de dados impactadas após interrupções. O Application Continuity executa essa recuperação abaixo do aplicativo para que a interrupção apareça para o aplicativo como uma execução um pouco atrasada.

Consulte Usar Continuidade de Aplicativos no Autonomous Database para obter mais informações sobre a Continuidade de Aplicativos.