Konfiguration eines VPN Tunnels zwischen Primär- und Replikatinstanzen von RDS Custom for Oracle - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration eines VPN Tunnels zwischen Primär- und Replikatinstanzen von RDS Custom for Oracle

Ein VPN Tunnel ist eine verschlüsselte Verbindung zwischen zwei oder mehr Geräten über ein Netzwerk. Um ein Höchstmaß an Sicherheit für Ihre Oracle Data Guard-Instances in RDS Custom for Oracle zu gewährleisten, empfehlen wir Ihnen dringend, einen VPN Tunnel zur Verschlüsselung der Kommunikation zwischen Ihren Primär- und Standby-Instances zu implementieren. Der Tunnel dient als Schutz für sensible Daten, die das Netzwerk zwischen den Instanzen durchqueren. Diese Konfiguration ist zwar optional, wir empfehlen sie jedoch als bewährte Methode, um Datensicherheit und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Sie haben Root-Zugriff auf die Primär- und Standby-Hosts.

  • Sie verfügen über das technische Fachwissen, um den ipsec Befehl auszuführen.

Um in RDS Custom for VPN Oracle einen Tunnel zwischen einem Primär- und einem Replikat zu konfigurieren

  1. Fügen Sie die Sicherheitsgruppen sowohl für die primäre Instance als auch für die Standby-Instance mithilfe der folgenden Regeln zur Zulassungsliste hinzu:

    ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

  2. Wechseln Sie zum Root-Benutzer.

    $ sudo su – root

  3. Führen Sie die folgenden Befehle sowohl auf der primären Instanz als auch auf der Standby-Instanz aus, um die Network Security Services (NSS) -Datenbank unter dem Benutzer root zu initialisieren.

    ipsec initnss --nssdir /etc/ipsec.d

  4. Generieren Sie RSA Schlüssel wie folgt:

    1. Generieren Sie die Schlüssel auf der primären Instanz je nach Betriebssystemversion mit einem der folgenden ipsec Befehle.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    2. Besorgen Sie sich den öffentlichen Schlüssel, den Sie zum Erstellen der Konfiguration benötigen. Im folgenden Beispiel left bezieht sich die primäre Instanz left im ipsec Sprachgebrauch auf das Gerät, das Sie gerade konfigurieren, und right auf das Gerät am anderen Ende des Tunnels.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

    3. Generieren Sie auf der Standby-Instanz Schlüssel für die Standby-Instanz. 

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    4. Besorgen Sie sich den öffentlichen Schlüssel für die Standby-Instanz, den Sie zum Erstellen der Konfiguration benötigen. Im folgenden Beispiel liegt die Standby-Instanz right daran, dass sie sich auf das Gerät am anderen Ende des Tunnels bezieht.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

  5. Generieren Sie die Konfiguration auf der Grundlage der RSA Schlüssel, die Sie erhalten haben. Die Konfiguration ist sowohl für die primäre Instance als auch für die Standby-Instance identisch. Sie finden die Adresse der primären Instanz und die IPv4 Adresse der Standby-Instanz IPv4 in der AWS Konsole.

    Speichern Sie sowohl auf der primären Instance als auch auf der Standby-Instance die folgende Konfiguration in der Datei/etc/ipsec.d/custom-fb-tunnel.conf.

    conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby

  6. Starten Sie den ipsec Daemon sowohl auf der primären Instance als auch auf der Standby-Instance auf beiden Hosts.

    ipsec setup start

  7. Starten Sie den Tunnel entweder auf der primären Instance oder der Standby-Instance. Die Ausgabe sollte in etwa folgendermaßen aussehen:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#