Konfigurieren eines VPN-Tunnels zwischen den primären und Replikat-Instances von RDS Custom für Oracle - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren eines VPN-Tunnels zwischen den primären und Replikat-Instances von RDS Custom für Oracle

Ein VPN-Tunnel ist eine verschlüsselte Verbindung zwischen zwei oder mehr Geräten über ein Netzwerk. Um ein Höchstmaß an Sicherheit für Ihre Oracle-Data-Guard-Instances in RDS Custom für Oracle zu gewährleisten, empfehlen wir Ihnen dringend, einen VPN-Tunnel zur Verschlüsselung der Kommunikation zwischen Ihren primären und Standby-Instances zu implementieren. Der Tunnel dient als Schutz für sensible Daten, die das Netzwerk zwischen den Instances durchqueren. Diese Konfiguration ist zwar optional, wir empfehlen sie jedoch als bewährte Methode, um Datensicherheit und die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

  • Sie haben Root-Zugriff auf die primären und Standby-Hosts.

  • Sie verfügen über das technische Fachwissen, um den Befehl ipsec auszuführen.

So konfigurieren Sie einen VPN-Tunnel zwischen einer primären und einer Replikat-Instance in RDS Custom für Oracle

  1. Fügen Sie die Sicherheitsgruppen sowohl für die primäre als auch für die Standby-Instance mithilfe der folgenden Regeln zur Zulassungsliste hinzu:

    ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

  2. Wechseln Sie zum Root-Benutzer.

    $ sudo su – root

  3. Führen Sie die folgenden Befehle sowohl auf der primären als auch auf der Standby-Instance aus, um die Network Security Services (NSS)-Datenbank unter dem Benutzer root zu initialisieren.

    ipsec initnss --nssdir /etc/ipsec.d

  4. Generieren Sie RSA-Schlüssel wie folgt:

    1. Generieren Sie die Schlüssel auf der primären Instance je nach Betriebssystemversion mit einem der folgenden ipsec-Befehle.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    2. Rufen Sie den öffentlichen Schlüssel ab, den Sie für die Erstellung der Konfiguration benötigen. m folgenden Beispiel ist die primäre Instance left, da in deripsec -Terminologie left das Gerät bezeichnet, das Sie gerade konfigurieren, und right das Gerät am anderen Ende des Tunnels.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

    3. Generieren Sie auf der Standby-Instance Schlüssel für die Standby-Instance. 

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    4. Rufen Sie den öffentlichen Schlüssel für die Standby-Instance an, den Sie zum Erstellen der Konfiguration benötigen. Im folgenden Beispiel ist die Standby-Instance right, da sie sich auf das Gerät am anderen Ende des Tunnels bezieht.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

  5. Generieren Sie die Konfiguration auf der Grundlage der RSA-Schlüssel, die Sie erhalten haben. Die Konfiguration ist sowohl für die primäre als auch für die Standby-Instance identisch. Sie finden die IPv4-Adresse der primären Instance und die IPv4-Adresse der Standby-Instance in der AWS-Konsole.

    Speichern Sie sowohl auf der primären als auch auf der Standby-Instance die folgende Konfiguration in der Datei /etc/ipsec.d/custom-fb-tunnel.conf.

    conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby

  6. Starten Sie den ipsec-Daemon sowohl auf der primären als auch auf der Standby-Instance auf beiden Hosts.

    ipsec setup start

  7. Starten Sie den Tunnel entweder auf der primären oder der Standby-Instance. Die Ausgabe sollte in etwa folgendermaßen aussehen:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#