Mengonfigurasi ODB mengintip ke VPC Amazon di Oracle Database @AWS

ODB peering adalah koneksi jaringan buatan pengguna yang memungkinkan lalu lintas dirutekan secara pribadi antara VPC Amazon dan jaringan ODB. Ada one-to-one hubungan antara VPC dan jaringan ODB. Setelah Anda membuat koneksi peering menggunakan konsol, CLI, atau API, pastikan untuk memperbarui tabel rute VPC Anda dan mengonfigurasi resolusi DNS. Untuk gambaran konseptual tentang peering ODB, lihat. ODB mengintip

Membuat koneksi peering ODB di Oracle Database@AWS

Dengan koneksi peering ODB, Anda dapat membangun konektivitas jaringan pribadi antara infrastruktur Oracle Exadata Anda dan aplikasi yang berjalan di Amazon Anda. VPCs Setiap koneksi peering ODB adalah sumber daya terpisah yang dapat Anda buat, lihat, dan hapus secara independen dari jaringan ODB.

Saat membuat koneksi peering ODB, Anda dapat menentukan rentang CIDR jaringan rekan. Teknik ini membatasi akses jaringan ke subnet yang diperlukan, mengurangi target potensial untuk serangan, dan memungkinkan segmentasi jaringan yang lebih terperinci untuk persyaratan kepatuhan.

Anda dapat membuat jenis koneksi peering ODB berikut:

Pengintip ODB akun yang sama

Anda dapat membuat koneksi peering ODB antara jaringan ODB dan VPC Amazon di akun yang sama. AWS

Peering ODB lintas akun

Anda dapat membuat koneksi peering ODB antara jaringan ODB dalam satu akun dan VPC Amazon di akun yang berbeda, setelah jaringan ODB dibagikan menggunakan. AWS RAM Akun pemilik VPC dapat mengelola rentang CIDR yang ditentukan dalam koneksi peering tanpa juga memiliki jaringan ODB.

Ada hubungan 1:1 antara VPC dan jaringan ODB. Anda tidak dapat membuat koneksi peering ODB antara VPC dan beberapa jaringan ODB atau antara jaringan ODB dan beberapa. VPCs

Konsol

1. Masuk ke Konsol Manajemen AWS dan buka Oracle Database@AWS konsol di https://console.aws.amazon.com/odb/.

2. Di panel navigasi, pilih koneksi peering ODB.

3. Pilih Buat koneksi peering ODB.

4. (Opsional) Untuk nama peering ODB, masukkan nama unik untuk koneksi Anda.

5. Untuk jaringan ODB, pilih jaringan ODB ke peer.

6. Untuk jaringan Peer, pilih Amazon VPC untuk mengintip dengan jaringan ODB Anda.

7. (Opsional) Untuk jaringan Peer CIDRs, tentukan blok CIDR tambahan dari VPC rekan yang dapat mengakses jaringan ODB. Jika Anda tidak menentukan CIDRs, semua CIDRs dari VPC rekan diizinkan akses.

8. (Opsional) Di Tag, tambahkan pasangan kunci dan nilai.

9. Pilih Buat koneksi peering ODB.

Setelah membuat koneksi peering ODB, konfigurasikan tabel rute VPC Amazon Anda untuk merutekan lalu lintas ke jaringan ODB yang diintip. Untuk informasi selengkapnya, lihat Mengkonfigurasi tabel rute VPC untuk mengintip ODB. Perhatikan bahwa Oracle Database@AWS secara otomatis mengkonfigurasi tabel rute jaringan ODB.

AWS CLI

Untuk membuat koneksi peering ODB, gunakan perintah. create-odb-peering-connection

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

Untuk membatasi akses ke jaringan ODB ke rentang CIDR tertentu, gunakan parameter. --peer-network-cidrs-to-be-added Jika Anda tidak menentukan rentang CIDR, semua rentang memiliki akses.

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

Untuk membuat daftar koneksi peering ODB Anda, gunakan perintah. list-odb-peering-connections

aws odb list-odb-peering-connections

Untuk mendapatkan detail tentang koneksi peering ODB tertentu, gunakan perintah. get-odb-peering-connection

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

Memperbarui koneksi peering ODB

Anda dapat memperbarui koneksi peering ODB yang ada untuk menambah atau menghapus jaringan rekan. CIDRs Anda mengontrol subnet mana di VPC rekan yang memiliki akses ke jaringan ODB Anda.

Konsol

1. Masuk ke Konsol Manajemen AWS dan buka Oracle Database@AWS konsol di https://console.aws.amazon.com/odb/.

2. Di panel navigasi, pilih koneksi peering ODB.

3. Pilih koneksi peering ODB yang ingin Anda perbarui.

4. Pilih Tindakan, lalu pilih Perbarui koneksi peering.

5. Di CIDRs bagian jaringan Peer, tambahkan atau hapus blok CIDR sesuai kebutuhan:

   • Untuk menambahkan CIDRs, pilih Tambahkan CIDR dan masukkan blok CIDR.

   • Untuk menghapus CIDRs, pilih X di sebelah blok CIDR yang ingin Anda hapus.

6. Pilih Perbarui koneksi peering.

AWS CLI

Untuk menambahkan jaringan peer CIDRs ke koneksi peering ODB, tentukan parameter --peer-network-cidrs-to-be-added dalam perintah. update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

Untuk menghapus jaringan peer CIDRs dari koneksi peering ODB, tentukan parameter --peer-network-cidrs-to-be-removed dalam perintah. update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

Mengkonfigurasi tabel rute VPC untuk mengintip ODB

Tabel rute berisi seperangkat aturan, yang disebut rute, yang menentukan ke mana lalu lintas jaringan dari subnet atau gateway Anda diarahkan. CIDR tujuan dalam tabel rute adalah rentang alamat IP tempat Anda ingin lalu lintas pergi. Jika Anda menentukan VPC untuk ODB yang mengintip ke jaringan ODB Anda, perbarui tabel rute VPC Anda dengan rentang IP tujuan di jaringan ODB Anda. Untuk informasi lebih lanjut tentang peering ODB, lihat. ODB mengintip

Untuk memperbarui tabel rute, gunakan AWS CLI ec2 create-route perintah. Contoh berikut memperbarui tabel rute Amazon VPC. Untuk informasi selengkapnya, lihat Mengkonfigurasi tabel rute VPC untuk mengintip ODB.

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

Tabel rute jaringan ODB diperbarui secara otomatis dengan VPC CIDRs. Untuk mengizinkan akses ke jaringan ODB hanya untuk subnet tertentu CIDRs daripada semua CIDRs di VPC, Anda dapat menentukan jaringan rekan CIDRs saat membuat koneksi peering ODB atau memperbarui koneksi peering ODB yang ada untuk menambah atau menghapus rentang CIDR yang dipeered. Untuk informasi selengkapnya, lihat Membuat koneksi peering ODB di Oracle Database@AWS dan Memperbarui koneksi peering ODB.

Untuk informasi selengkapnya tentang tabel rute VPC, lihat Tabel rute subnet di Panduan Pengguna Amazon Virtual Private Cloud dan ec2 create-route di Referensi Perintah.AWS CLI

Mengkonfigurasi DNS untuk Oracle Database@AWS

Amazon Route 53 adalah layanan web Sistem Nama Domain (DNS) yang sangat tersedia dan dapat diskalakan yang dapat Anda gunakan untuk perutean DNS. Saat Anda membuat koneksi peering ODB antara jaringan ODB dan VPC, Anda memerlukan mekanisme untuk menyelesaikan kueri DNS untuk sumber daya jaringan ODB dari dalam VPC. Anda dapat menggunakan Amazon Route 53 untuk mengonfigurasi sumber daya berikut:

• Titik akhir keluar

  Titik akhir diperlukan untuk mengirim kueri DNS ke jaringan ODB.

• Aturan resolver

  Aturan ini menentukan nama domain dari kueri DNS yang diteruskan oleh Resolver Route 53 ke DNS untuk jaringan ODB.

Bagaimana DNS bekerja di Oracle Database@AWS

Oracle Database@AWS mengelola konfigurasi Domain Name System (DNS) untuk jaringan ODB secara otomatis. Untuk nama domain, Anda dapat menentukan awalan kustom untuk nama domain default oraclevcn.com atau nama domain yang sepenuhnya kustom. Untuk informasi selengkapnya, lihat Langkah 1: Buat jaringan ODB di Oracle Database@AWS.

Ketika Oracle Database@AWS menyediakan jaringan ODB, itu menciptakan sumber daya berikut:

• Jaringan cloud virtual (VCN) Oracle Cloud Infrastructure (OCI) dengan blok CIDR yang sama dengan jaringan ODB

  VCN ini berada dalam penyewaan OCI terkait pelanggan. Ada pemetaan 1:1 antara jaringan ODB dan OCI VCN. Setiap jaringan ODB dikaitkan dengan OCI VCN.

• Penyelesai DNS pribadi dalam OCI VCN

  DNS resolver ini menangani query DNS dalam OCI VCN. Otomatisasi OCI membuat catatan untuk cluster VM. Pemindaian menggunakan nama domain yang *.oraclevcn.com sepenuhnya memenuhi syarat (FQDN).

• Titik akhir mendengarkan DNS dalam OCI VCN untuk penyelesai DNS pribadi

  Anda dapat menemukan titik akhir mendengarkan DNS di halaman detail jaringan ODB di konsol. Oracle Database@AWS

Mengkonfigurasi titik akhir keluar dalam jaringan ODB di Oracle Database@AWS

Titik akhir keluar memungkinkan kueri DNS dikirim dari VPC Anda ke jaringan atau alamat IP. Endpoint menentukan alamat IP dari mana query berasal. Untuk meneruskan kueri DNS dari VPC Anda ke jaringan ODB Anda, buat titik akhir keluar menggunakan konsol Route 53. Untuk informasi selengkapnya, lihat Meneruskan kueri DNS keluar ke jaringan Anda.

Untuk mengkonfigurasi titik akhir keluar dalam jaringan ODB

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

2. Dari panel kiri, pilih Titik akhir Outbound.

3. Pada bilah navigasi, pilih Wilayah untuk VPC tempat Anda ingin membuat titik akhir keluar.

4. Pilih Buat titik akhir keluar.

5. Lengkapi bagian Pengaturan umum untuk titik akhir keluar sebagai berikut:

   1. Pilih grup Keamanan yang memungkinkan konektivitas TCP dan UDP keluar ke yang berikut:

      • Alamat IP yang digunakan resolver untuk kueri DNS di jaringan ODB Anda

      • Port yang digunakan resolver untuk kueri DNS di jaringan ODB Anda

   2. Untuk Jenis Titik Akhir, pilih IPv4.

   3. Untuk Protokol untuk titik akhir ini, pilih Do53.

6. Di alamat IP, berikan informasi berikut:

   • Entah menentukan alamat IP atau biarkan Route 53 Resolver memilih alamat IP untuk Anda dari alamat yang tersedia di subnet. Pilih minimal 2 hingga maksimal 6 alamat IP untuk kueri DNS. Kami menyarankan Anda memilih alamat IP di setidaknya dua Availability Zone yang berbeda.

   • Untuk Subnet, pilih subnet yang memiliki berikut ini:

     • Rute tabel yang menyertakan rute ke alamat IP pendengar DNS di jaringan ODB

     • Daftar kontrol akses jaringan (ACLs) yang memungkinkan lalu lintas UDP dan TCP ke alamat IP dan port yang digunakan resolver untuk kueri DNS di jaringan ODB

     • Jaringan ACLs yang memungkinkan lalu lintas dari resolver pada rentang port tujuan 1024-65535

7. (Opsional) Untuk Tag, tentukan tag untuk titik akhir.

8. Pilih Kirim.

Mengkonfigurasi aturan resolver di Oracle Database@AWS

Aturan resolver adalah seperangkat kriteria yang menentukan cara merutekan kueri DNS. Baik menggunakan kembali atau membuat aturan yang menentukan nama domain dari kueri DNS yang diteruskan oleh resolver ke DNS untuk jaringan ODB.

Menggunakan aturan resolver yang ada

Untuk menggunakan aturan resolver yang ada, tindakan Anda bergantung pada jenis aturan:

Aturan untuk domain yang sama di AWS Wilayah yang sama dengan VPC di wilayah Anda Akun AWS

Kaitkan aturan dengan VPC Anda alih-alih membuat aturan baru. Pilih aturan dari dasbor aturan dan kaitkan dengan aturan yang berlaku VPCs di AWS Wilayah.

Aturan untuk domain yang sama di Wilayah yang sama dengan VPC Anda tetapi di akun yang berbeda

Gunakan AWS Resource Access Manager untuk membagikan aturan dari akun jarak jauh ke akun Anda. Saat Anda membagikan aturan, Anda juga membagikan titik akhir keluar yang sesuai. Setelah Anda membagikan aturan dengan akun Anda, pilih aturan dari dasbor aturan dan kaitkan dengan VPCs di akun Anda. Untuk informasi selengkapnya, lihat Mengelola aturan penerusan.

Membuat aturan resolver baru

Jika Anda tidak dapat menggunakan kembali aturan resolver yang ada, buat aturan baru menggunakan konsol Amazon Route 53.

Untuk membuat aturan resolver baru

1. Masuk ke Konsol Manajemen AWS dan buka konsol Route 53 di https://console.aws.amazon.com/route53/.

2. Dari panel kiri, pilih Aturan.

3. Pada bilah navigasi, pilih Wilayah untuk VPC tempat titik akhir keluar ada.

4. Pilih Buat aturan.

5. Lengkapi Aturan untuk bagian lalu lintas keluar sebagai berikut:

   1. Untuk jenis Aturan, pilih Aturan teruskan.

   2. Untuk nama Domain, tentukan nama domain lengkap dari jaringan ODB.

   3. Untuk VPCs itu gunakan aturan ini, kaitkan dengan VPC dari mana kueri DNS diteruskan ke jaringan ODB Anda.

   4. Untuk titik akhir Outbound, pilih titik akhir keluar yang Anda buat. Mengkonfigurasi titik akhir keluar dalam jaringan ODB di Oracle Database@AWS

      catatan

      VPC yang terkait dengan aturan ini tidak harus VPC yang sama tempat Anda membuat titik akhir keluar.

6. Lengkapi bagian Alamat IP Target sebagai berikut:

   1. Untuk alamat IP, tentukan alamat IP IP pendengar DNS di jaringan ODB Anda.

   2. Untuk Port, tentukan 53. Ini adalah port yang digunakan resolver untuk kueri DNS.

      catatan

      Route 53 Resolver meneruskan kueri DNS yang cocok dengan aturan ini dan berasal dari VPC yang terkait dengan aturan ini ke titik akhir keluar yang direferensikan. Kueri ini diteruskan ke alamat IP target yang Anda tentukan di alamat IP Target.

   3. Untuk protokol Transmisi, pilih Do53.

7. (Opsional) Untuk Tag, tentukan tag untuk aturan.

8. Pilih Kirim.

Menguji konfigurasi DNS Anda di Oracle Database@AWS

Setelah Anda membuat titik akhir keluar dan aturan resolver, uji untuk memastikan bahwa DNS menyelesaikan dengan benar. Menggunakan EC2 instans Amazon di VPC aplikasi Anda, lakukan resolusi DNS sebagai berikut:

Untuk Linux atau macOS

Gunakan perintah formulirdig record-name record-type.

Untuk Windows

Gunakan perintah formulirnslookup -type=record-name record-type.

Mengkonfigurasi Gateway Transit VPC Amazon untuk Oracle Database@AWS

Amazon VPC Transit Gateways adalah hub transit jaringan yang menghubungkan virtual private cloud () VPCs dan jaringan lokal. Setiap VPC dalam hub-and-spoke arsitektur dapat terhubung ke gateway transit untuk mendapatkan akses ke koneksi lain. VPCs AWS Transit Gateway mendukung lalu lintas untuk keduanya IPv4 dan IPv6.

Di Oracle Database@AWS, jaringan ODB mendukung koneksi peering ke hanya satu VPC. Jika Anda menghubungkan gateway transit ke VPC yang diintip ke jaringan ODB, Anda dapat menghubungkan beberapa VPCs ke gateway ini. Aplikasi yang berjalan di berbagai ini VPCs dapat mengakses cluster Exadata VM yang berjalan di jaringan ODB Anda.

Diagram berikut menunjukkan gateway transit yang terhubung ke dua VPCs dan satu jaringan lokal.

Pada diagram sebelumnya, satu VPC diintip ke jaringan ODB. Dalam konfigurasi ini, jaringan ODB dapat merutekan lalu lintas ke semua yang VPCs terpasang pada gateway transit. Tabel rute untuk setiap VPC mencakup rute lokal dan rute yang mengirim lalu lintas yang ditujukan untuk jaringan ODB ke gateway transit.

Di AWS Transit Gateway, Anda dikenakan biaya untuk jumlah koneksi yang Anda buat ke gateway transit per jam dan jumlah lalu lintas yang mengalir AWS Transit Gateway. Untuk informasi biaya, lihat AWS Transit Gateway harga.

Persyaratan

Pastikan Oracle Database@AWS lingkungan Anda memenuhi persyaratan berikut:

• VPC yang diintip ke jaringan ODB Anda harus sama. Akun AWS Jika VPC peered berada di akun yang berbeda dari jaringan ODB, lampiran gateway transit gagal terlepas dari konfigurasi berbagi.

• VPC yang diintip ke jaringan ODB Anda harus memiliki lampiran gateway transit.

  catatan

  Jika gateway transit dikonfigurasi untuk berbagi, itu dapat berada di akun apa pun. Dengan demikian, gateway itu sendiri tidak perlu berada di akun yang sama dengan jaringan VPC dan ODB.

• Lampiran gateway transit harus berada di Availability Zone (AZ) yang sama dengan jaringan ODB.

Batasan

Perhatikan batasan berikut dari Amazon VPC Transit Gateways untuk: Oracle Database@AWS

• Amazon VPC Transit Gateways tidak menawarkan integrasi asli untuk menggunakan jaringan ODB sebagai lampiran. Oleh karena itu, fitur VPC seperti berikut ini tidak tersedia:

  • Resolusi nama host DNS publik ke alamat IP pribadi

  • Pemberitahuan acara untuk perubahan topologi jaringan ODB, routing, dan status koneksi

• Lalu lintas multicast ke jaringan ODB tidak didukung.

Menyiapkan dan mengonfigurasi gateway transit

Anda membuat dan mengonfigurasi gateway transit menggunakan konsol atau aws ec2 perintah Amazon VPC. Prosedur berikut mengasumsikan bahwa Anda tidak memiliki jaringan ODB yang diintip ke VPC di Anda. Akun AWS Jika jaringan ODB dan VPC sudah diintip di akun Anda, lewati langkah 1-3.

catatan

Jika Anda melampirkan atau memasang kembali lampiran pada VPC Anda, pastikan Anda memasukkan kembali rentang CIDR ke jaringan ODB ODB.

Untuk mengatur dan mengkonfigurasi gateway transit untuk Oracle Database@AWS

1. Buat jaringan ODB. Untuk informasi selengkapnya, lihat Langkah 1: Buat jaringan ODB di Oracle Database@AWS.

2. Buat VPC, menggunakan akun yang sama yang berisi jaringan ODB. Untuk informasi selengkapnya, lihat Membuat VPC di Panduan Pengguna Amazon VPC.

3. Buat koneksi peering ODB antara jaringan ODB Anda dan VPC Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi ODB mengintip ke VPC Amazon di Oracle Database @AWS.

4. Siapkan gateway transit dengan mengikuti langkah-langkah di Memulai menggunakan Amazon VPC Transit Gateways. Gateway harus sama dengan jaringan ODB dan VPC, atau dibagikan oleh akun lain. Akun AWS

   penting

   Buat lampiran gateway transit di AZ yang sama dengan jaringan ODB.

5. Tambahkan rentang CIDR ke jaringan ODB Anda untuk jaringan lokal VPCs dan lokal yang Anda rencanakan untuk dilampirkan ke jaringan inti Anda. Untuk informasi selengkapnya, lihat Memperbarui jaringan ODB di Oracle Database@AWS.

   Jika Anda menggunakan CLI, jalankan perintah update-odb-network dengan --peered-cidrs-to-be-added dan. --peered-cidrs-to-be-removed Untuk informasi selengkapnya, lihat Referensi Perintah AWS AWS CLI.

Mengkonfigurasi AWS Cloud WAN untuk Oracle Database@AWS

AWS Cloud WAN adalah layanan Managed Wide-Area Networking (WAN). Anda dapat menggunakan AWS Cloud WAN untuk membangun, mengelola, dan memantau jaringan global terpadu yang menghubungkan sumber daya yang berjalan di lingkungan cloud dan lokal Anda.

Di AWS Cloud WAN, jaringan global adalah jaringan pribadi tunggal yang bertindak sebagai wadah tingkat tinggi untuk objek jaringan Anda. Jaringan inti adalah bagian dari jaringan global Anda yang dikelola oleh AWS.

AWS Cloud WAN memberikan manfaat utama berikut:

• Manajemen jaringan terpusat yang menyederhanakan operasi sambil menjaga keamanan di beberapa Wilayah

• Jaringan inti dengan segmentasi bawaan untuk mengisolasi lalu lintas melalui beberapa domain perutean

• Support untuk kebijakan untuk mengotomatiskan manajemen jaringan dan menentukan konfigurasi yang konsisten di seluruh jaringan global Anda

Di Oracle Database@AWS, jaringan ODB mendukung peering ke hanya satu VPC. Jika Anda menghubungkan jaringan inti AWS Cloud WAN ke VPC peered, ini memungkinkan perutean lalu lintas global. Aplikasi yang terpasang VPCs di beberapa Wilayah dapat mengakses klaster Exadata VM di jaringan ODB Anda. Anda dapat mengisolasi lalu lintas jaringan ODB di segmennya sendiri atau mengaktifkan akses ke segmen lain.

Diagram berikut menunjukkan jaringan inti AWS Cloud WAN yang terhubung ke tiga VPCs dan satu jaringan lokal.

AWS Cloud WAN tidak menawarkan integrasi asli untuk menggunakan jaringan ODB sebagai lampiran. Oleh karena itu, fitur VPC seperti berikut ini tidak tersedia:

• Resolusi nama host DNS publik ke alamat IP pribadi

• Pemberitahuan acara untuk perubahan topologi jaringan ODB, routing, dan status koneksi

Di AWS Cloud WAN, Anda dikenakan biaya per jam untuk hal-hal berikut:

• Jumlah Wilayah (tepi jaringan inti)

• Jumlah lampiran jaringan inti

• Jumlah lalu lintas yang mengalir melalui jaringan inti Anda melalui lampiran

Untuk informasi detail harga, lihat harga AWS Cloud WAN.

Untuk mengkonfigurasi jaringan inti untuk Oracle Database@AWS

1. Tambahkan rentang CIDR ke jaringan ODB Anda untuk jaringan lokal VPCs dan lokal yang Anda rencanakan untuk dilampirkan ke jaringan inti Anda. Untuk informasi selengkapnya, lihat Memperbarui jaringan ODB di Oracle Database@AWS.

   catatan

   Jika Anda melampirkan atau memasang kembali lampiran pada VPC Anda, pastikan Anda memasukkan kembali rentang CIDR ke jaringan ODB ODB.

2. Ikuti langkah-langkah di Buat jaringan global AWS Cloud WAN dan jaringan inti.