Configurar o acesso à rede com pontos finais privados

Você pode especificar que o Autonomous Database use um ponto final privado na sua VCN (Rede Virtual na Nuvem) em sua tenancy. Você pode configurar um ponto final privado durante o provisionamento ou a clonagem do seu Autonomous Database ou pode alternar para o uso de um ponto final privado em um banco de dados existente que use um ponto final público. Isso permite que você mantenha todo o tráfego de/para o seu banco de dados fora da internet pública.

A especificação da configuração de rede virtual na nuvem permite o tráfego apenas da rede virtual na nuvem especificada e bloqueia o acesso ao banco de dados de todos os IPs públicos ou VCNs. Isso permite que você defina regras de segurança com Listas de Segurança ou no nível de Grupo de Segurança de Rede (NSG) para especificar entrada/saída para sua instância do Autonomous Database. O uso de um ponto final privado e a definição de Listas de Segurança ou NSGs permitem controlar o tráfego de/para sua instância do Autonomous Database.

Observação

Se você configurar sua instância do Autonomous Database para usar um ponto final privado e também quiser permitir conexões de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço, selecione a opção Permitir acesso público. Isso adiciona um ponto final público para um banco de dados configurado com um ponto final privado. Consulte Usar um Ponto Final Privado com Acesso Público Permitido para obter mais informações.

A opção Permitir acesso público só está disponível quando o banco de dados usa o modelo de computação ECPU.

Tópicos

Configurar Pontos Finais Privados
Você pode especificar que o Autonomous Database use um ponto final privado e configure uma VCN (rede virtual na nuvem) em sua tenancy para usar com o ponto final privado.
Segurança Aprimorada para Conexões de Saída com Pontos Finais Privados
Quando você usa um ponto final privado com sua instância do Autonomous Database, pode fornecer segurança aprimorada definindo a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS com o valor PRIVATE_ENDPOINT.
Observações de Pontos Finais Privados
Descreve restrições e observações para pontos finais privados no Autonomous Database.
Exemplos de Configuração de Pontos Finais Privados no Autonomous Database
Mostra várias amostras de configuração de Ponto Final Privado (VCN) para o Autonomous Database.

Tópico principal: Configurar o Acesso à Rede com regras de controle de acesso (ACLs) e pontos finais privados

Configurar Pontos Finais Privados

Você pode especificar que o Autonomous Database use um ponto final privado e configure uma VCN (Rede Virtual na Nuvem) em sua tenancy para usar com o ponto final privado.

Etapas de Pré-requisito para Configurar Pontos Finais Privados
Descreve as etapas de pré-requisito que você precisa executar antes de configurar um ponto final privado para uma instância do Autonomous Database.
Políticas do Serviço IAM Necessárias para Gerenciar Pontos Finais Privados
Além das políticas necessárias para provisionar e gerenciar um Autonomous Database, algumas políticas de rede são necessárias para usar pontos finais privados.
Configurar Pontos Finais Privados ao Provisionar ou Clonar uma Instância
Você pode configurar um ponto final privado ao provisionar ou clonar uma instância do Autonomous Database.
Alterar de Pontos Finais Públicos para Privados com o Autonomous Database
Se sua instância do Autonomous Database estiver configurada para usar um ponto final público, você poderá alterar a configuração para um ponto final privado.
Atualizar a Configuração de um Ponto Final Privado
Você pode alterar algumas opções na configuração de um ponto final privado em uma instância existente do Autonomous Database.
Configurar Opções Avançadas de Ponto Final Privado
As opções avançadas de acesso ao ponto final privado permitem que você informe um endereço IP privado especificado pelo usuário e o nome do host, selecione um ou mais grupos de segurança de rede ou especifique detalhes para permitir o acesso público a um banco de dados de ponto final privado.
Usar um Ponto Final Privado com Acesso Público Permitido
Selecione a opção Permitir acesso público quando quiser configurar um Autonomous Database para usar um ponto final privado e também quiser permitir conexões de endereços IP públicos específicos ou de VCNs específicas (se as VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço).

Tópico principal: Configurar o Acesso à Rede com Pontos Finais Privados

Etapas de Pré-requisito para Configurar Pontos Finais Privados

Descreve as etapas de pré-requisito que você precisa executar antes de configurar um ponto final privado para uma instância do Autonomous Database.

Execute as seguintes etapas de pré-requisito antes de configurar um ponto final privado:

Defina políticas obrigatórias para os recursos com os quais você está trabalhando. Consulte Políticas do Serviço IAM Necessárias para Gerenciar Pontos Finais Privados para obter mais informações.
Crie uma VCN dentro da região que conterá seu Autonomous Database. Consulte VCNs e Sub-redes para obter mais informações.
Configure uma sub-rede dentro da sua VCN configurada com opções de DHCP padrão. Consulte DNS na Sua Rede Virtual na Nuvem para obter mais informações.
(Opcional) Execute a seguinte etapa opcional antes de configurar um ponto final privado:

Especifique um Grupo de Segurança de Rede (NSG) na sua VCN. O NSG especifica regras para conexões com o seu Autonomous Database. Consulte Grupos de Segurança de Rede para obter mais informações.

Tópico principal: Configurar Pontos Finais Privados

Políticas do Serviço IAM Necessárias para Gerenciar Pontos Finais Privados

Além das políticas necessárias para provisionar e gerenciar um Autonomous Database, algumas políticas de rede são necessárias para usar pontos finais privados.

A tabela a seguir lista as políticas do serviço IAM necessárias para que um usuário da nuvem adicione um ponto final privado. As políticas listadas são os requisitos mínimos para adicionar um ponto final privado. Você também pode usar uma regra de política mais ampla. Por exemplo, se você definir a regra de política:

Allow group MyGroupName to manage virtual-network-family in tenancy

Essa regra também funciona porque é um superconjunto que contém todas as políticas necessárias.

Operação Políticas Obrigatórias do Serviço IAM

Operação	Políticas Obrigatórias do Serviço IAM
Configurar um ponto final privado	`use vcns` para o compartimento no qual se encontra a VCN `use subnets` para o compartimento no qual se encontra a VCN `use network-security-groups` para o compartimento no qual se encontra o grupo de segurança de rede `manage private-ips` para o compartimento no qual se encontra a VCN `manage vnics` para o compartimento no qual se encontra a VCN `manage vnics` para o compartimento no qual o banco de dados está provisionado ou deve ser provisionado

Configurar um ponto final privado

use vcns para o compartimento no qual se encontra a VCN

use subnets para o compartimento no qual se encontra a VCN

use network-security-groups para o compartimento no qual se encontra o grupo de segurança de rede

manage private-ips para o compartimento no qual se encontra a VCN

manage vnics para o compartimento no qual se encontra a VCN

manage vnics para o compartimento no qual o banco de dados está provisionado ou deve ser provisionado

O Autonomous Database depende do serviço IAM (Identity and Access Management) para autenticar e autorizar os usuários da nuvem a executar operações que usam qualquer uma das interfaces do Oracle Cloud Infrastructure (Console, API REST, CLI, SDK ou outras).

O serviço do IAM usa grupos, compartimentos e políticas para controlar quais usuários da nuvem podem acessar quais recursos. Especificamente, uma política define qual tipo de acesso um grupo de usuários tem a um tipo específico de recurso em um compartimento específico. Para obter mais informações, consulte Conceitos Básicos de Políticas.

Tópico principal: Configurar Pontos Finais Privados

Configurar Pontos Finais Privados ao Provisionar ou Clonar uma Instância

Você pode configurar um ponto final privado ao provisionar ou clonar uma instância do Autonomous Database.

Essas etapas pressupõem que você esteja provisionando ou clonando uma instância e tenha concluído as etapas de pré-requisito, e você está na etapa Escolher acesso à rede das etapas de provisionamento ou clonagem:

Selecione Somente acesso de ponto final privado.

Com isso, expande-se a área de configuração de acesso privado à Rede virtual na nuvem.

Descrição da ilustração adb_private_vcn.png
Se você selecionar Somente acesso de ponto final privado, isso só permitirá conexões da rede privada (VCN) especificada, de VCNs pareadas e de redes on-premises conectadas à sua VCN. Você pode configurar uma instância do Autonomous Database em um ponto final privado para permitir conexões de redes on-premises. Consulte Exemplo: Conectando-se do seu Data Center ao Autonomous Database para obter um exemplo.

Se quiser permitir conexões de endereços IP públicos ou de IPs e VCNs permitidos, você terá as seguintes opções:
- Selecione Acesso seguro de todos os lugares.
- Selecione Acesso seguro somente de IPs e VCNs permitidos.
- Se você selecionar Somente acesso de ponto final privado, expanda Mostrar opções avançadas e selecione Permitir acesso público. Consulte Configurar Opções Avançadas de Ponto Final Privado para obter mais informações.
Selecione uma Rede virtual na nuvem em seu compartimento ou, se a VCN estiver em outro compartimento, clique em Alterar Compartimento e selecione o compartimento que contém a VCN e, em seguida, selecione uma rede virtual na nuvem.

Consulte VCNs e Sub-redes para obter mais informações.
Selecione a Sub-rede no seu compartimento para anexar o Autonomous Database ou, se a Sub-rede estiver em outro compartimento, clique em Alterar Compartimento e selecione o compartimento que contém a Sub-rede e, em seguida, selecione uma sub-rede.

Consulte VCNs e Sub-redes para obter mais informações.
(Opcional) Clique em Mostrar opções avançadas para mostrar opções adicionais de ponto final privado.

Consulte Configurar Opções Avançadas de Ponto Final Privado para obter detalhes sobre as opções avançadas.
Exija autenticação mTLS (TLS mútuo).
As opções Exigir autenticação mTLS (TLS mútuo) são:
- Quando a opção Exigir autenticação mTLS (TLS mútuo) está desmarcada, conexões TLS e mTLS são permitidas. Essa é a configuração padrão.
- Quando a opção Exigir autenticação mTLS (TLS mútuo) está selecionada, somente conexões mTLS são permitidas (a autenticação TLS não é permitida).
Consulte Atualizar Opções de Rede para Permitir TLS ou Exigir Apenas Autenticação mTLS (TLS Mútuo) no Autonomous Database para obter mais informações.
Conclua as etapas restantes de provisionamento ou clonagem, conforme especificado em Provisionar uma Instância do Autonomous Database, Clonar uma Instância do Autonomous Database ou Clonar um Autonomous Database de um Backup.

Consulte Observações sobre Pontos Finais Privados para obter mais informações.

Tópico principal: Configurar Pontos Finais Privados

Alterar de Pontos Finais Públicos para Privados com o Autonomous Database

Se sua instância do Autonomous Database estiver configurada para usar um ponto final público, você poderá alterar a configuração para um ponto final privado.

Na página Detalhes, na lista drop-down Mais ações, selecione Atualizar acesso à rede.

Para alterar uma instância de pública para privada, a instância do Autonomous Database deve estar no estado Disponível (Estado do ciclo de vida: Disponível).
Na caixa de diálogo Atualizar acesso à rede, selecione Somente acesso de ponto final privado.

Com isso, expande-se a área de configuração de acesso privado à Rede virtual na nuvem.

Descrição da ilustração adb_network_private_update.png
Se você selecionar Somente acesso de ponto final privado, isso só permitirá conexões da rede privada (VCN) especificada, de VCNs pareadas e de redes on-premises conectadas à sua VCN. Você pode configurar uma instância do Autonomous Database em um ponto final privado para permitir conexões de redes on-premises. Consulte Exemplo: Conectando-se do seu Data Center ao Autonomous Database para obter um exemplo.

Se quiser permitir conexões de endereços IP públicos ou de IPs e VCNs permitidos, você terá as seguintes opções:
- Selecione Acesso seguro de todos os lugares.
- Selecione Acesso seguro somente de IPs e VCNs permitidos.
- Se você selecionar Somente acesso de ponto final privado, expanda Mostrar opções avançadas e selecione Permitir acesso público. Consulte Configurar Opções Avançadas de Ponto Final Privado para obter mais informações.
Selecione uma Rede virtual na nuvem em seu compartimento ou, se a VCN estiver em outro compartimento, clique em Alterar Compartimento e selecione o compartimento que contém a VCN e, em seguida, selecione uma rede virtual na nuvem.

Consulte VCNs e Sub-redes para obter mais informações.
Selecione a Sub-rede no seu compartimento para anexar o Autonomous Database ou, se a Sub-rede estiver em outro compartimento, clique em Alterar Compartimento e selecione o compartimento que contém a Sub-rede e, em seguida, selecione uma sub-rede.

Consulte VCNs e Sub-redes para obter mais informações.
(Opcional) Clique em Mostrar opções avançadas para ver opções adicionais.

Consulte Configurar Opções Avançadas de Ponto Final Privado para obter detalhes sobre as opções avançadas.
Clique em Atualizar.
Na caixa de diálogo Confirmar, digite o nome do Autonomous Database para confirmar a alteração.
Na caixa de diálogo Confirmar, clique em Atualizar.

O estado do Ciclo de Vida muda para Atualizando até a conclusão da operação.

Notas para alterar do acesso de rede pública para privada:

Após atualizar o tipo de acesso à rede, todos os usuários do banco de dados devem obter uma nova wallet e usar a nova wallet para acessar o banco de dados. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.
Se você tiver ACLs definidas para o ponto final público, as ACLs não se aplicam ao ponto final privado.
Depois de atualizar o acesso à rede para usar um ponto final privado, o URL das Ferramentas de Banco de Dados é diferente em comparação com o uso de um ponto final público. Você pode encontrar os URLs atualizados na console, após alterar de um ponto final público para um ponto final privado.

Tópico principal: Configurar Pontos Finais Privados

Atualizar a Configuração de um Ponto Final Privado

Você pode alterar algumas opções na configuração de um ponto final privado em uma instância existente do Autonomous Database.

Na página Detalhes, na lista drop-down Mais ações, selecione Atualizar acesso à rede.

Mostra o painel Atualizar acesso à rede.

Descrição da ilustração adb_network_access_private_update.png
Selecione Somente acesso de ponto final privado.
Se quiser permitir conexões de endereços IP públicos ou de IPs e VCNs permitidos, você terá as seguintes opções:
- Selecione Acesso seguro de todos os lugares.
- Selecione Acesso seguro somente de IPs e VCNs permitidos.
- Quando você seleciona Somente acesso de ponto final privado, mostra opções avançadas e seleciona Permitir acesso público. Isso define um banco de dados de ponto final privado que inclui um ponto final privado e um ponto final público.
1. Opcionalmente, adicione Grupos de segurança de rede (NSGs).
  Opcionalmente, para permitir conexões com a instância do Autonomous Database, defina regras de segurança em um NSG; isso cria um firewall virtual para o Autonomous Database.
  - Selecione um Grupo de Segurança de Rede em seu compartimento para anexar o Autonomous Database ou, se o Grupo de Segurança de Rede estiver em outro compartimento, clique em Alterar Compartimento e selecione outro compartimento e, em seguida, selecione um Grupo de Segurança de Rede nesse compartimento.
  - Clique em + Outro Grupo de Segurança de Rede para adicionar outro Grupo de Segurança de Rede.
  - Clique em x para remover uma entrada do Grupo de Segurança de Rede.
  Para o NSG selecionado para o ponto final privado, defina uma regra de segurança da seguinte forma:
  - Para autenticação mTLS (TLS mútuo), adicione uma regra de entrada com monitoramento de estado com a origem definida para o intervalo de endereços que você deseja permitir que se conectem com seu banco de dados, o Protocolo IP definido como TCP e o Intervalo de Portas de Destino definido como 1522.
  - Para autenticação de TLS, adicione uma regra da entrada stateful com o conjunto de origem para a faixa de endereço que você deseja permitir que se conecte ao seu banco, o Protocolo IP definido como TCP e a Faixa de Portas de Destino definida como 1521 ou 1522.
  - Para usar o Oracle APEX, o Database Actions e o Oracle REST Data Services, adicione a porta 443 à regra de NSG.
  Observação
  
  As conexões de entrada e saída são limitadas pela combinação de regras de entrada e saída definidas nos NSGs e nas Listas de Segurança definidas com a VCN. Quando não há NSGs, as regras de entrada e saída definidas nas Listas de Segurança da VCN ainda se aplicam. Consulte Listas de Segurança para obter mais informações sobre como trabalhar com Listas de Segurança.
  
  Consulte Conexões Seguras com o Autonomous Database com mTLS ou com TLS para obter mais informações.
  
  Consulte Exemplos de Configuração de Pontos Finais Privados no Autonomous Database para obter exemplos.
  
  Consulte Grupos de Segurança de Rede para obter mais informações.
2. Opcionalmente, selecione Permitir acesso público ou, se isso já estiver selecionado, você poderá configurar regras de controle de acesso para o ponto final público configurado com o banco de dados de ponto final privado.
  
  A opção Permitir acesso público só está disponível quando o banco de dados usa o modelo de computação ECPU.
  
  Quando você seleciona Permitir acesso público, isso mostra as opções Configurar controle de acesso para informar os endereços IP, blocos CIDR ou redes virtuais na nuvem que podem se conectar ao banco de dados.
  Selecione entre
  - IP endereço:
    No campo Valor, insira valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM do Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console do Oracle Cloud Infrastructure dessa VM.
    
    Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
  - Bloco CIDR:
    No campo Valores, insira valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.
  - Rede virtual na nuvem:
    Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.
    
    Use essa opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:
    - No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
    - Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
  - Rede virtual na nuvem (OCID):
    Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.
    - No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
    - Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
  Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.
Clique em Atualizar.

Se o estado do Ciclo de Vida for Disponível quando você clicar em Atualizar, o estado do Ciclo de Vida será alterado para Atualizando até que as alterações sejam aplicadas. O banco de dados ainda está ativo e acessível; não há inatividade. Quando a atualização for concluída, o estado do Ciclo de Vida retornará para Disponível.

Consulte Observações sobre Pontos Finais Privados para obter mais informações.

Tópico principal: Configurar Pontos Finais Privados

Configurar Opções Avançadas de Ponto Final Privado

As opções avançadas de acesso ao ponto final privado permitem que você informe um endereço IP privado especificado pelo usuário e um nome de host, selecione um ou mais grupos de segurança de rede ou especifique detalhes para permitir o acesso público a um banco de dados de ponto final privado.

Essas etapas supõem que você esteja provisionando ou clonando uma instância do Autonomous Database ou alterando o acesso público para privado de uma instância existente do Autonomous Database e você esteja na etapa Escolher acesso à rede.

Selecione Somente acesso de ponto final privado.

Mostra a área de configuração de acesso privado à Rede virtual na nuvem.
(Opcional) Clique em Mostrar opções avançadas para mostrar opções adicionais de ponto final privado.

Isso exibe as opções avançadas.

Descrição da ilustração adb_network_access_private_advanced.png
1. Opcionalmente, informe um Endereço IP Privado.
  
  Use este campo para digitar um endereço IP privado personalizado. O endereço IP privado informado deve estar dentro da faixa de CIDRs da sub-rede selecionada.
  
  Se você não fornecer um endereço IP privado personalizado, o endereço IP será designado automaticamente.
2. Opcionalmente, informe um Prefixo de nome de host.
  Especifica um prefixo de nome de host para o Autonomous Database e associa um nome DNS à instância do banco de dados, no seguinte formato:
```
hostname_prefix.adb.region.oraclecloud.com
```
  Se você não especificar um prefixo de nome de host, um prefixo de nome de host gerado pelo sistema será fornecido.
3. Opcionalmente, adicione Grupos de segurança de rede (NSGs).
  Opcionalmente, para permitir conexões com a instância do Autonomous Database, defina regras de segurança em um NSG; isso cria um firewall virtual para o Autonomous Database.
  - Selecione um Grupo de Segurança de Rede em seu compartimento para anexar o Autonomous Database ou, se o Grupo de Segurança de Rede estiver em outro compartimento, clique em Alterar Compartimento e selecione outro compartimento e, em seguida, selecione um Grupo de Segurança de Rede nesse compartimento.
  - Clique em + Outro Grupo de Segurança de Rede para adicionar outro Grupo de Segurança de Rede.
  - Clique em x para remover uma entrada do Grupo de Segurança de Rede.
  Para o NSG selecionado para o ponto final privado, defina uma regra de segurança da seguinte forma:
  - Para autenticação mTLS (TLS mútuo), adicione uma regra de entrada com monitoramento de estado com a origem definida para o intervalo de endereços que você deseja permitir que se conectem com seu banco de dados, o Protocolo IP definido como TCP e o Intervalo de Portas de Destino definido como 1522.
  - Para autenticação de TLS, adicione uma regra da entrada stateful com o conjunto de origem para a faixa de endereço que você deseja permitir que se conecte ao seu banco, o Protocolo IP definido como TCP e a Faixa de Portas de Destino definida como 1521 ou 1522.
  - Para usar o Oracle APEX, o Database Actions e o Oracle REST Data Services, adicione a porta 443 à regra de NSG.
  Observação
  
  As conexões de entrada e saída são limitadas pela combinação de regras de entrada e saída definidas nos NSGs e nas Listas de Segurança definidas com a VCN. Quando não há NSGs, as regras de entrada e saída definidas nas Listas de Segurança da VCN ainda se aplicam. Consulte Listas de Segurança para obter mais informações sobre como trabalhar com Listas de Segurança.
  
  Consulte Conexões Seguras com o Autonomous Database com mTLS ou com TLS para obter mais informações.
  
  Consulte Exemplos de Configuração de Pontos Finais Privados no Autonomous Database para obter exemplos.
  
  Consulte Grupos de Segurança de Rede para obter mais informações.
4. Opcionalmente, selecione Permitir acesso público e configure regras de controle de acesso para adicionar um ponto final público para o banco de dados de ponto final privado.
  
  A opção Permitir acesso público só está disponível quando o banco de dados usa o modelo de computação ECPU.
  
  Quando você seleciona Permitir acesso público, isso mostra as opções Configurar controle de acesso para informar os endereços IP, blocos CIDR ou redes virtuais na nuvem que podem se conectar ao banco de dados.
  Selecione entre
  - IP endereço:
    No campo Valor, insira valores para o endereço IP. Um endereço IP especificado em uma entrada ACL de rede é o endereço IP público do cliente que é visível na internet pública ao qual você deseja conceder acesso. Por exemplo, para uma VM do Oracle Cloud Infrastructure, esse é o endereço IP mostrado no campo IP Público na console do Oracle Cloud Infrastructure dessa VM.
    
    Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
    
    Opcionalmente, selecione Adicionar meu endereço IP para adicionar seu endereço IP atual à entrada ACL.
  - Bloco CIDR:
    No campo Valores, insira valores para o bloco CIDR. O bloco CIDR especificado é o bloco CIDR público dos clientes que estão visíveis na internet pública ao qual você deseja conceder acesso.
  - Rede virtual na nuvem:
    Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.
    
    Use essa opção para especificar a VCN a ser usada com um Oracle Cloud Infrastructure Service Gateway:
    - No campo Rede virtual na nuvem, selecione a VCN da qual você deseja conceder acesso. Se você não tiver os privilégios para ver as VCNs em sua tenancy, essa lista estará vazia. Nesse caso, use a seleção Virtual cloud network (OCID) para especificar o OCID da VCN.
    - Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
  - Rede virtual na nuvem (OCID):
    Use essa opção quando a rota de rede do cliente para o banco de dados estiver passando por um Oracle Cloud Infrastructure Service Gateway. Consulte Acesso ao Oracle Services: Gateway de Serviço para obter mais informações.
    - No campo Valores, informe o OCID da VCN da qual você deseja conceder acesso.
    - Opcionalmente, no campo Endereços IP ou CIDRs, informe endereços IP privados ou blocos CIDR privados como uma lista separada por vírgulas para permitir clientes específicos na VCN.
  Se você quiser especificar vários endereços IP ou faixas de CIDR dentro da mesma VCN, não crie várias entradas de ACL. Use uma entrada de ACL com os valores para vários endereços IP ou faixas de CIDR separados por vírgulas.
Conclua as etapas restantes de configuração do ponto final privado.

Tópico principal: Configurar Pontos Finais Privados

Usar um Ponto Final Privado com Acesso Público Permitido

Selecione a opção Permitir acesso público quando quiser configurar um Autonomous Database para usar um ponto final privado e também quiser permitir conexões de endereços IP públicos específicos ou de VCNs específicas (se as VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço).

Esta opção adiciona um ponto final público para um banco de dados configurado em um ponto final privado. Você configura um ponto final privado para sua instância do Autonomous Database quando provisiona ou clona a instância ou quando atualiza a configuração de rede para um Autonomous Database existente. Consulte o seguinte para obter detalhes sobre as etapas para configurar uma instância do Autonomous Database com um ponto final privado:

Quando o acesso público é ativado com Permitir acesso público em um banco de dados de ponto final privado, a instância tem um ponto final privado e um ponto final público:

O nome do host privado, o URL do ponto final e o endereço IP privado permitem que você estabeleça conexão com o banco de dados na VCN em que o banco de dados reside.
O nome do host público permite que você se conecte ao banco de dados de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço.

Adições de String de Conexão do Autonomous Database para um Banco de Dados de Ponto Final Privado com Permitir Acesso Público Ativado

Quando a opção Permitir acesso público está ativada para um banco de dados de ponto final privado, há strings de conexão adicionais que permitem estabelecer conexão com o banco de dados do ponto final público:

As strings de conexão em tnsnames.ora no zip da wallet do Autonomous Database incluem as strings de conexão públicas a serem usadas com conexões provenientes da internet pública. As strings de conexão para o ponto final público usam a seguinte convenção de nomenclatura:
```
dbname_public_consumerGroup
```
Por exemplo:
```
adbfinance_public_low
```
Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.
Você pode exibir as strings de conexão para o ponto final público e o ponto final privado na Console do Oracle Cloud Infrastructure (ou usando a API).

Consulte Exibir Nomes de TNS e Strings de Conexão de uma Instância do Autonomous Database para obter mais informações.

Adições de Ferramentas do Autonomous Database para um Banco de Dados de Ponto Final Privado com Permitir Acesso Público Ativado

Quando a opção Permitir acesso público está ativada para um banco de dados de ponto final privado, as ferramentas de banco de dados permitem que você estabeleça conexão de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço:

Cada ferramenta tem um URL de acesso privado e um URL de acesso público exibido na tabela de configuração da Ferramenta. Use o URL de acesso público para acessar a ferramenta de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço.

Por exemplo:

Descrição da ilustração adb_tools_status_private_public.png

Consulte Exibir Status de Ferramentas Incorporadas do Autonomous Database para obter mais informações.
O arquivo README no arquivo zip da wallet fornece um Link de Acesso para o ponto final privado de cada ferramenta de banco de dados e um Link de Acesso Público.

Consulte Arquivo README de Wallet para obter mais informações.

Tópico principal: Configurar Pontos Finais Privados

Segurança Aprimorada para Conexões de Saída com Pontos Finais Privados

Quando você usa um ponto final privado com sua instância do Autonomous Database, pode fornecer segurança aprimorada definindo a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS com o valor PRIVATE_ENDPOINT.

A definição da propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS com o valor PRIVATE_ENDPOINT impõe que todas as conexões de saída com um host de destino estejam sujeitas e limitadas pelas regras de saída do ponto final privado. Você define regras de saída na lista de segurança da Rede Virtual na Cloud (VCN) ou no Grupo de Segurança de Rede (NSG) associado ao ponto final privado da instância do Autonomous Database.

Antes de definir a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS, configure sua instância do Autonomous Database para usar um ponto final privado. Consulte Configurar Pontos Finais Privados para obter mais informações.

Defina a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS como PRIVATE_ENDPOINT para especificar que todas as conexões de saída estão sujeitas às regras de saída da VCN do ponto final privado da instância do Autonomous Database. Com o valor PRIVATE_ENDPOINT, o banco de dados restringe conexões de saída a locais especificados pelas regras de saída do ponto final privado e também altera a resolução de DNS de modo que os nomes de host sejam resolvidos usando o resolvedor de DNS da sua VCN (não usando um resolvedor de DNS público).

Observação

Com ROUTE_OUTBOUND_CONNECTIONS não definido como PRIVATE_ENDPOINT, todas as conexões de saída com a internet pública passam pelo Gateway NAT (Conversão de Endereço de Rede) da VCN de serviço. Nesse caso, se o host de destino estiver em um ponto final público, as conexões de saída não estarão sujeitas às regras de saída da VCN ou do NSG do ponto final privado da instância do Autonomous Database.

Quando você configura um ponto final privado para sua instância do Autonomous Database e define ROUTE_OUTBOUND_CONNECTIONS como PRIVATE_ENDPOINT, essa definição altera o tratamento das conexões de saída e da resolução de DNS para os seguintes itens:

Links de banco de dados
APEX_LDAP, APEX_MAIL e APEX_WEB_SERVICE
UTL_HTTP, UTL_SMTP e UTL_TCP
DBMS_LDAP
CMU com o Microsoft Active Directory

Consulte Usar o Microsoft Active Directory com o Autonomous Database para obter mais informações.

Quando você configura um ponto final privado para sua instância do Autonomous Database e define ROUTE_OUTBOUND_CONNECTIONS como PRIVATE_ENDPOINT, essa definição não altera o tratamento de conexões de saída e a resolução de DNS para o seguinte:

Oracle REST Data Services (ORDS)
Database Actions

Para definir ROUTE_OUTBOUND_CONNECTIONS:

Estabeleça conexão com o banco de dados.
Defina a propriedade de banco de dados ROUTE_OUTBOUND_CONNECTIONS.
Por exemplo:
```
ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = 'PRIVATE_ENDPOINT';
```

Observações para definir ROUTE_OUTBOUND_CONNECTIONS:

Use o seguinte comando para restaurar o valor de parâmetro padrão:
```
ALTER DATABASE PROPERTY SET ROUTE_OUTBOUND_CONNECTIONS = '';
```
Use este comando para consultar o valor atual do parâmetro:
```
SELECT * FROM DATABASE_PROPERTIES
        WHERE PROPERTY_NAME = 'ROUTE_OUTBOUND_CONNECTIONS';
```
Se a propriedade não for definida, a consulta não retornará resultados.
Essa propriedade só se aplica a links de banco de dados que você cria depois de definir a propriedade com o valor PRIVATE_ENDPOINT. Portanto, os links de banco de dados que você criou antes de definir a propriedade continuam a usar o NAT Gateway da VCN de serviço e não estão sujeitos às regras de saída do ponto final privado da instância do Autonomous Database.
Só defina ROUTE_OUTBOUND_CONNECTIONS com o valor PRIVATE_ENDPOINT quando estiver usando o Autonomous Database com um ponto final privado.
Quando seu banco de dados estiver em um ponto final privado e quiser que suas conexões de saída sejam resolvidas pela sua VCN, defina o parâmetro ROUTE_OUTBOUND_CONNECTIONS como PRIVATE_ENDPOINT.

Consulte Gateway NAT para obter mais informações sobre o gateway de Conversão de Endereço de Rede (NAT).

Tópico principal: Configurar o Acesso à Rede com Pontos Finais Privados

Observações de Pontos Finais Privados

Descreve restrições e observações para pontos finais privados no Autonomous Database.

Depois de atualizar o acesso à rede para usar um ponto final privado, ou após a conclusão do provisionamento ou da clonagem de onde você configura um ponto final privado, você poderá exibir a configuração de rede na página Detalhes do Autonomous Database, na seção Rede.

A seção Rede mostra as seguintes informações para um ponto final privado:
- Tipo de acesso: Especifica o tipo de acesso para a configuração do Autonomous Database. As configurações de ponto final privado mostram o tipo de acesso: Rede virtual na nuvem.
- Domínio de disponibilidade: Especifica o domínio de disponibilidade da sua instância do Autonomous Database.
- Rede virtual na nuvem: Isso inclui um link para a VCN associada ao ponto final privado.
- Sub-rede: Isso inclui um link para a sub-rede associada ao ponto final privado.
- IP do ponto final privado: Mostra o IP do ponto final privado para a configuração do ponto final privado.
- URL de ponto final privado: Mostra o URL de ponto final privado para a configuração de ponto final privado.
- Grupos de segurança de rede: Este campo inclui links para o(s) NSG(s) configurado(s) com o ponto final privado.
- Acesso público: Este campo indica se o acesso público está ativado para o ponto final privado. Clique no link Edit para exibir ou alterar as ACLs ou VCNs permitidas.
- URL do ponto final público: Mostra quando a opção Permitir acesso público está ativada no ponto final privado. Este é o URL de ponto final público que você pode usar para estabelecer conexão de IPs ou VCNs permitidos na internet pública.
Para obter mais detalhes sobre as informações de rede na Console do Oracle Cloud Infrastructure, consulte Exibir Informações de Rede na Console do OCI.
Após a conclusão do provisionamento ou da clonagem, você poderá alterar a configuração do Autonomous Database para usar um ponto final público.

Consulte Alterar de Pontos Finais Privados para Públicos com o Autonomous Database para obter informações sobre alteração para um ponto final público.
Você pode especificar até cinco NSGs para controlar o acesso ao seu Autonomous Database.
Você pode alterar o NSG (Network Security Group) do ponto final privado do Autonomous Database.

Para alterar o NSG de um ponto final privado, faça o seguinte:
1. Na página Autonomous Databases, selecione um Autonomous Database nos links que estão na coluna Nome para exibição.
2. Na página Detalhes do Autonomous Database, em Rede no campo Grupos de Segurança de Rede, clique em Editar.
Você pode conectar sua instância do Oracle Analytics Cloud ao seu Autonomous Database que tenha um ponto final privado usando o Gateway de Dados, como faz para um banco de dados on-premise. Consulte Configurar e Registrar o Data Gateway para Visualização de Dados para obter mais informações.
Há suporte para as seguintes ferramentas do Autonomous Database em bancos de dados configurados com um ponto final privado:
- Database Actions
- Oracle APEX
- Oracle Graph Studio
- Oracle Machine Learning Notebooks
- Oracle REST Data Services
- Oracle Database API for MongoDB
É necessária uma configuração adicional para acessar essas ferramentas do Autonomous Database em ambientes on-premises. Consulte Exemplo: Estabelecendo Conexão do seu Data Center com o Autonomous Database para saber mais.

O acesso ao Oracle APEX, Database Actions, Oracle Graph Studio ou Oracle REST Data Services usando um ponto final privado de ambientes on-premises sem concluir a configuração adicional de ponto final privado mostra o erro:
```
404 Not Found
```
Depois de atualizar o acesso à rede para usar um ponto final privado, o URL das Ferramentas de Banco de Dados é diferente em comparação com o uso de um ponto final público. Você pode encontrar os URLs atualizados na console, após alterar de um ponto final público para um ponto final privado.
Além do ORDS (Oracle REST Data Services) padrão pré-configurado com o Autonomous Database, você pode configurar uma implantação alternativa do ORDS que forneça mais opções de configuração e que possa ser usada com pontos finais privados. Consulte Sobre o Oracle REST Data Services Gerenciado pelo Cliente no Autonomous Database para saber mais sobre uma implantação alternativa do ORDS que pode ser usada com pontos finais privados.
Não é permitido modificar um endereço IP privado depois de provisionar ou clonar uma instância, se o endereço IP for designado automaticamente quando você informar um valor no campo Endereço IP Privado.

Tópico principal: Configurar o Acesso à Rede com Pontos Finais Privados

Exemplos de Configuração de Pontos Finais Privados no Autonomous Database

Mostra várias amostras de configuração de Ponto Final Privado (VCN) para o Autonomous Database.

Exemplo: Conectando-se de dentro da VCN do Oracle Cloud Infrastructure
Demonstra um aplicativo em execução no Oracle Cloud Infrastructure em uma máquina virtual (VM) na mesma VCN que é configurada com seu Autonomous Database.
Exemplo: Conexão do Seu Data Center com o Autonomous Database
Demonstra como estabelecer conexão privada com um Autonomous Database no seu data center local. Nesse cenário, o tráfego nunca passa pela internet pública.

Tópico principal: Configurar o Acesso à Rede com Pontos Finais Privados

Exemplo: Estabelecendo Conexão de dentro da VCN do Oracle Cloud Infrastructure

Demonstra um aplicativo em execução no Oracle Cloud Infrastructure em uma máquina virtual (VM) na mesma VCN que é configurada com seu Autonomous Database.

Descrição da ilustração adb_private_endpoint1.png

Há uma instância do Autonomous Database que tem um ponto final privado na VCN chamada "Sua VCN". A VCN inclui duas sub-redes: "SUBNET B" (CIDR 10.0.1.0/24) e "SUBNET A" (CIDR 10.0.2.0/24).

O Grupo de Segurança de Rede (NSG) associado à instância do Autonomous Database é mostrado como "NSG 1 - Regras de Segurança". Este Grupo de Segurança de Rede define regras de segurança que permitem o tráfego de entrada e saída de/para a instância do Autonomous Database. Defina uma regra para a instância do Autonomous Database da seguinte forma:

Para autenticação do tipo TLS mútuo, adicione uma regra de entrada com monitoramento de estado para permitir conexões da origem com a instância do Autonomous Database; a origem é definida com o intervalo de endereços que você deseja permitir que se conectem com seu banco de dados, o Protocolo IP é definido como TCP e o Intervalo de Portas de Destino é definido como 1522.
Para autenticação TLS, adicione uma regra da entrada stateful para permitir conexões da origem para a instância do Autonomous Database; a origem está definida para a faixa de endereço que você deseja permitir conectar ao seu banco, o Protocolo IP está definido como TCP e a Faixa de Portas de Destino está definida como 1521 ou 1522.
Para usar o Oracle APEX, o Database Actions e o Oracle REST Data Services, adicione a porta 443 à regra de NSG.

A figura a seguir mostra um exemplo de regra de segurança com monitoramento de estado para controlar o tráfego da instância do Autonomous Database:

Descrição da ilustração adb_private_vcn_nsg_stateful1.png

O aplicativo que se conecta ao Autonomous Database está sendo executado em uma VM na SUBNET B. Você também adiciona uma regra de segurança para permitir tráfego de/para a VM (conforme mostrado, com o label "Regras de Segurança NSG 2"). Você pode usar uma regra de segurança com monitoramento de estado para a VM; portanto, basta adicionar uma regra de saída às Regras de Segurança NSG 2 (isso permite o acesso à sub-rede A de destino).

A figura a seguir mostra um exemplo de regras de segurança que controlam o tráfego da VM:

Descrição da ilustração adb_private_vcn_rules2.png

Depois de você configurar as regras de segurança, seu aplicativo poderá se conectar à instância do Autonomous Database usando a wallet de credenciais do cliente. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

Consulte Grupos de Segurança de Rede para obter informações sobre como configurar Grupos de Segurança de Rede.

Tópico principal: Exemplos de Configuração de Pontos Finais Privados no Autonomous Database

Exemplo: Conexão do Seu Data Center com o Autonomous Database

Demonstra como estabelecer conexão privada no seu data center local.com um Autonomous Database Nesse cenário, o tráfego nunca passa pela internet pública.

Descrição da ilustração adb_private_endpoint2.png

Para se conectar do seu data center, você conecta a rede on-premise à VCN com o FastConnect e, em seguida, configura um DRG (Dynamic Routing Gateway). Para resolver o ponto final privado do Autonomous Database, um FQDN (Fully Qualified Domain Name) requer que você adicione uma entrada ao arquivo de hosts do cliente on-premise. Por exemplo, arquivo /etc/hosts para máquinas Linux. Por exemplo:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloud.com

Para usar o Oracle APEX, o Database Actions e o Oracle REST Data Services, adicione outra entrada com o mesmo IP. Por exemplo:

/etc/hosts entry -> 10.0.2.7 example.adb.ca-toronto-1.oraclecloudapps.com

Você encontra o IP do ponto final privado e o FQDN da seguinte forma:

O IP Privado é mostrado na página de detalhes do Autonomous Database da console do Oracle Cloud Infrastructure para a instância.
O FQDN é mostrado no arquivo tnsnames.ora na wallet de credenciais do cliente do Autonomous Database.

Como alternativa, você pode usar o DNS privado do Oracle Cloud Infrastructure para fornecer resolução de nomes de DNS. Consulte DNS Privado para obter mais informações.

Neste exemplo, há um DRG (Dynamic Routing Gateway) entre o data center on-premise e "Sua VCN". A VCN contém o Autonomous Database. Isso também mostra uma tabela de roteamento para a VCN associada ao Autonomous Database, para tráfego de saída para o CIDR 172.16.0.0/16 por meio do DRG.

Além de configurar o DRG, defina uma regra NSG (Network Security Group) para permitir o tráfego de/para o Autonomous Database, adicionando uma regra para o intervalo CIDR do data center (172.16.0.0/16). Neste exemplo, defina uma regra de segurança em "NSG 1" da seguinte forma:

Para do tipo TLS mútuo, crie uma regra com monitoramento de estado para permitir o tráfego de entrada do data center. Esta é uma regra de entrada com monitoramento de estado, com a origem definida para o intervalo de endereços que você deseja permitir que estabeleça conexão com seu banco de dados, o protocolo definido como TCP, o intervalo de portas de origem definido como intervalo CIDR (172.16.0.0/16) e a porta de destino definida como 1522.
Para autenticação TLS, crie uma regra com monitoramento de estado para permitir o tráfego de entrada do data center. Esta é uma regra de entrada com monitoramento do estado com o conjunto de origem para a faixa de endereço que você deseja permitir que se conecte ao seu banco, protocolo definido como TCP, faixa de porta de origem definida como faixa de CIDR (172.16.0.0/16) e porta de destino definida como 1521 ou 1522.
Para usar o Oracle APEX, o Database Actions e o Oracle REST Data Services, adicione a porta 443 à regra de NSG.

A figura a seguir mostra a regra de segurança que controla o tráfego da instância do Autonomous Database:

Descrição da ilustração adb_private_vcn_nsg_stateful2.png

Depois de configurar a regra de segurança, seu aplicativo de banco de dados on-premise poderá se conectar à instância do Autonomous Database usando a wallet de credenciais do cliente. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

Tópico principal: Exemplos de Configuração de Pontos Finais Privados no Autonomous Database

Documentação do Oracle Cloud Infrastructure