A propos de la connexion à une instance de base de données Autonomous AI

Les connexions à la base de données Autonomous AI sont établies via l'Internet public, éventuellement avec des règles de contrôle d'accès (ACL) définies, ou à l'aide d'une adresse privée dans un réseau cloud virtuel (VCN) de votre location.

Lorsque vous indiquez une configuration d'adresse privée, cela autorise uniquement le trafic du réseau cloud virtuel que vous indiquez et bloque l'accès à la base de données à partir de toutes les adresses IP publiques ou de tous les réseaux cloud virtuels. La configuration d'une adresse privée vous permet de conserver l'ensemble du trafic vers et depuis votre base de données hors du réseau Internet public. Avec une adresse privée, lorsque l'accès public est activé avec Autoriser l'accès public, l'instance dispose à la fois d'une adresse privée et d'une adresse publique :

• Le nom d'hôte privé, l'URL d'adresse et l'adresse IP privée vous permettent de vous connecter à la base de données à partir du VCN où réside la base de données.

• Le nom d'hôte public vous permet de vous connecter à la base de données à partir d'adresses IP publiques spécifiques ou de réseaux cloud virtuels spécifiques si ces réseaux cloud virtuels sont configurés pour une connexion privée à la base de données Autonomous AI à l'aide d'une passerelle de service.

De nombreuses applications prennent en charge plusieurs types de connexion, mais chaque type de connexion à la base de données Autonomous AI utilise l'authentification par certificat et la connexion à la base de données TCPS (TCP sécurisé) à l'aide de la norme TLS 1.2. Vous assurez ainsi l'absence d'accès non autorisé à la base de données Autonomous AI, et que les communications entre le client et les serveurs sont entièrement cryptées, et ne peuvent pas être interceptées ou modifiées.

Par défaut, la base de données Autonomous AI prend en charge les connexions TLS mutuelles (utilisez le port 1522 pour vous connecter à mTLS). Vous avez la possibilité de configurer une instance de base de données Autonomous AI pour prendre en charge à la fois les connexions mTLS et TLS (utilisez le port 1521 ou 1522 pour vous connecter à TLS).

Les clients qui utilisent l'authentification TLS avec la base de données Autonomous AI présentent les avantages suivants :

• Les connexions TLS ne nécessitent pas le téléchargement d'un portefeuille. Pour les connexions TLS utilisant le pilote léger JDBC avec JDK8 ou une version supérieure, aucun portefeuille n'est requis. Cela inclut les connexions provenant de clients tels que SQL Developer et la ligne de commande SQL (SQLcl).

• Les clients qui se connectent à TLS n'ont pas besoin de s'inquiéter de la rotation du portefeuille. La rotation de portefeuille est une procédure standard pour les connexions mTLS.

• Les connexions TLS peuvent être plus rapides (ce qui réduit la latence de connexion). L'authentification TLS peut fournir une latence de connexion réduite par rapport au protocole mTLS.

• Les connexions TLS et mTLS ne s'excluent pas mutuellement. L'authentification TLS mutuelle (mTLS) est activée par défaut et toujours disponible. Lorsque vous activez l'authentification TLS, vous pouvez utiliser l'authentification mTLS ou TLS.

• L'utilisation de l'authentification TLS ne compromet pas la communication de bout en bout entièrement chiffrée entre un client et une base de données Autonomous AI.

Reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance de base de données Autonomous AI pour plus de détails sur l'obtention des chaînes de connexion mTLS pour votre instance de base de données Autonomous AI.

A propos de l'authentification TLS réciproque (mTLS)

Lorsque l'authentification mTLS (Mutual Transport Layer Security) est utilisée, les clients se connectent via une connexion de base de données TCP sécurisée (TCPS) à l'aide du protocole TLS 1.2 standard avec un certificat d'autorité de certification client sécurisée.

Avec l'authentification mutuelle, l'application client et la base de données Autonomous AI s'authentifient mutuellement. Autonomous AI Database utilise l'authentification TLS mutuelle par défaut. Utilisez le port 1522 pour vous connecter à une instance de base de données Autonomous AI avec mTLS (l'affectation de port 1522 ne peut pas être modifiée).

L'authentification TLS mutuelle exige que le client télécharge ou obtienne un certificat d'autorité de certification client sécurisé pour se connecter à une instance de base de données Autonomous AI. Autonomous AI Database utilise ensuite le certificat pour authentifier le client. Cela offre une sécurité accrue et indique les clients qui peuvent communiquer avec une instance de base de données Autonomous AI.

L'authentification de certification avec TLS mutuel utilise une clé cryptée stockée dans un portefeuille sur le client (où l'application est en cours d'exécution) et le serveur (où le service de base de données sur la base de données Autonomous AI est en cours d'exécution). La clé du client doit correspondre à celle du serveur pour établir une connexion. Un portefeuille contient un ensemble de fichiers, notamment la clé et d'autres informations nécessaires pour se connecter à l'instance de base de données Autonomous AI. Toutes les communications entre le client et le serveur sont cryptées.

Pour sécuriser la connexion à votre instance de base de données Autonomous AI, un administrateur de service télécharge les informations d'identification client (fichiers de portefeuille) à partir de la base de données Autonomous AI. Si vous n'êtes pas administrateur du service Autonomous AI Database, l'administrateur vous fournit les informations d'identification client. Pour plus d'informations, reportez-vous à Téléchargement des informations d'identification client (portefeuilles).

La figure suivante illustre les connexions sécurisées client à Oracle Autonomous AI Database sur le réseau Internet public à l'aide de connexions TLS mutuelles. Si vous configurez votre base de données pour qu'elle utilise des adresses privées, le réseau Internet public n'est pas utilisé et la connexion utilise une adresse privée dans un réseau cloud virtuel (VCN) de votre location.

Description de l'illustration autonomous-database.eps

Reportez-vous à Affichage des noms TNS et des chaînes de connexion pour une instance de base de données Autonomous AI pour plus de détails sur l'obtention des chaînes de connexion mTLS pour votre instance de base de données Autonomous AI.

La plupart des entreprises protègent les réseaux et les périphériques d'un réseau à l'aide d'un pare-feu. Un pare-feu contrôle le trafic réseau entrant et sortant en utilisant des règles qui permettent l'utilisation de certains ports et l'accès à certains ordinateurs (ou, plus précisément, des adresses IP ou des noms d'hôtes). Une fonction importante d'un pare-feu est de fournir une séparation entre les réseaux internes et l'Internet public.

Lorsque la base de données Autonomous AI est configurée pour l'accès à l'aide du réseau Internet public, vous devez configurer le pare-feu pour autoriser l'accès aux serveurs de base de données Autonomous AI.

Pour accéder à la base de données Autonomous AI à partir d'un pare-feu, le pare-feu doit autoriser l'utilisation du port indiqué dans la connexion de base de données lors de la connexion aux serveurs de la connexion. Utilisez le port 1522 pour les connexions mTLS de base de données Autonomous AI (vous pouvez voir le numéro de port dans la chaîne de connexion à partir du fichier tnsnames.ora dans votre fichier credentials ZIP). Par exemple, reportez-vous à la valeur port dans le fichier tnsnames.ora suivant :

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Votre pare-feu doit autoriser l'accès aux serveurs dans le domaine .oraclecloud.com à l'aide du port 1522. Pour vous connecter à la base de données Autonomous AI, selon la configuration réseau de votre organisation, vous devrez peut-être utiliser un serveur proxy pour accéder à ce port, ou vous devrez peut-être demander à l'administrateur réseau d'ouvrir ce port.

Pour plus d'informations sur les plages d'adresses IP publiques dans Oracle Cloud Infrastructure, reportez-vous à Plages d'adresses IP. Vous devez autoriser le trafic vers ces blocs CIDR pour garantir l'accès à une instance de base de données Autonomous AI sur une adresse publique.

La continuité des applications masque les pannes des utilisateurs finals et des applications en récupérant le travail en cours pour les sessions de base de données concernées après les pannes. La continuité des applications effectue cette récupération sous l'application de sorte que la panne apparaisse à l'application comme une exécution légèrement retardée.

Pour plus d'informations sur la continuité des applications, reportez-vous à Utilisation de la continuité des applications sur la base de données Autonomous AI.