网络配置
借助 Amazon Virtual Private Cloud (Amazon VPC),您可以预置 AWS Cloud 中专用于您的账户的逻辑隔离部分。您可以完全掌控您的虚拟联网环境,包括选择您自己的 IP 地址范围、创建子网、安全设置以及配置路由表和网络网关。
子网是您的 Amazon VPC 中的一个 IP 地址范围。您可以在您选定的子网内启动 AWS 资源。对必须连接互联网的资源使用公有子网,而对将不会连接到互联网的资源使用私有子网。
要保护每个子网中的 AWS 资源,您可以利用多种安全层,包括安全组和网络访问控制列表 (ACL)。
下表介绍安全组和网络 ACL 之间的基本差异。
安全组 | 网络 ACL |
---|---|
在实例级别操作 (第一防御层) | 在子网级别操作 (第二防御层) |
仅支持允许规则 | 支持允许规则和拒绝规则 |
有状态:自动允许返回数据流,不受任何规则的影响 | 无状态:返回数据流必须由规则明确允许 |
在决定是否允许流量前评估所有规则 | 在决定是否允许流量时按照数字顺序处理所有规则 |
只有在启动实例的同时指定安全组、或稍后将安全组与实例关联的情况下,操作才会被应用到实例 | 自动应用到关联子网内的所有实例 (备份防御层,因此您便不需要依靠别人为您指定安全组) |
Amazon VPC 提供隔离、额外的安全性以及将 Amazon EC2 实例分隔到子网的功能,并允许使用私有 IP 地址。所有这些在数据库实施中都很重要。
在私有子网中部署 Oracle Database 实例,并且仅允许 Amazon VPC 中的应用程序服务器或 Amazon VPC 中的堡垒主机访问数据库实例。
创建适当的安全组,以仅允许通过指定的端口访问特定 IP 地址。无论您使用的是 Amazon RDS 还是 Amazon EC2,这些建议都适用于 Oracle Database。
Amazon VPC 私有子网中的 Oracle Database