Netzwerkkonfiguration
Mit Amazon Virtual Private Cloud (Amazon VPC) können Sie einen logisch isolierten Abschnitt von AWS Cloud bereitstellen, der für Ihr Konto vorgesehen ist. Sie haben die vollständige Kontrolle über Ihre virtuelle Netzwerkumgebung, einschließlich der Auswahl Ihres eigenen IP-Adressbereichs, der Erstellung von Subnetzen und der Konfiguration von Routing-Tabellen und Netzwerk-Gateways.
Ein Subnetz ist ein IP-Adressbereich in Ihrer Amazon VPC. Sie können Ihre AWS-Ressourcen in einem von Ihnen gewählten Subnetz starten. Verwenden Sie öffentliche Subnetze für Ressourcen, die mit dem Internet verbunden sein müssen, und private Subnetze für Ressourcen, die nicht mit dem Internet verbunden sein werden.
Um die AWS-Ressourcen in den einzelnen Subnetzen zu schützen, können Sie mehrere Sicherheitsebenen verwenden, darunter Sicherheitsgruppen und Netzwerk-Zugriffskontrolllisten (ACLs).
In der folgenden Tabelle werden die grundlegenden Unterschiede zwischen Sicherheitsgruppen und Netzwerk-ACLs beschrieben.
| Sicherheitsgruppe | Netzwerk-ACL |
|---|---|
| Arbeitet auf Instance-Ebene (erste Verteidigungsebene) | Arbeitet auf Subnetzebene (zweite Verteidigungsebene) |
| Unterstützt nur Regeln zum Erlauben | Unterstützt Regeln zum Erlauben und Verweigern |
| Zustandsbehaftet: Rückfließender Datenverkehr ist unabhängig von Regeln immer erlaubt | Zustandslos: Rückfließender Datenverkehr muss ausdrücklich durch Regeln zugelassen werden |
| Alle Regeln werden vor dem Erlauben von Datenverkehr ausgewertet. | Alle Regeln werden in festgelegter Reihenfolge vor dem Erlauben von Datenverkehr verarbeitet. |
| Gilt für eine Instance nur dann, wenn beim Starten der Instance oder später eine Sicherheitsgruppe festgelegt wird. | Wird automatisch auf alle Instances in den zugeordneten Subnetzen angewendet (Sicherungs-Verteidigungsebene, damit nicht unbedingt eine Sicherheitsgruppe festgelegt werden muss). |
Amazon VPC bietet Isolierung, zusätzliche Sicherheit und die Möglichkeit, Amazon EC2-Instances in Subnetze aufzuteilen. Außerdem ist die Verwendung privater IP-Adressen möglich. All dies ist wichtig für die Implementierung der Datenbank.
Stellen Sie die Oracle Database-Instance in einem privaten Subnetz bereit und erlauben Sie nur Anwendungsservern innerhalb der Amazon VPC oder einem Bastion-Host innerhalb der Amazon VPC, auf die Datenbank-Instance zuzugreifen.
Erstellen Sie geeignete Sicherheitsgruppen, die den Zugriff nur auf bestimmte IP-Adressen über die angegebenen Ports zulassen. Diese Empfehlungen gelten für Oracle Database, unabhängig davon, ob Sie Amazon RDS oder Amazon EC2 verwenden.
Oracle Database im privaten Subnetz einer Amazon VPC
