Configuración del emparejamiento de ODB a una Amazon VPC en Oracle Database@AWS - Oracle Database@AWS
Configuración del emparejamiento de ODBConfiguración de tablas de enrutamiento de VPC para el emparejamiento de ODBConfiguración de DNSConfiguración de Amazon VPC Transit Gateways para Oracle Database@AWSConfiguración de AWS Cloud WAN para Oracle Database@AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del emparejamiento de ODB a una Amazon VPC en Oracle Database@AWS

El peering ODB es una conexión de red creada por el usuario que permite enrutar el tráfico de forma privada entre una Amazon VPC y una red ODB. Existe una one-to-one relación entre una VPC y una red ODB. Después de crear una conexión de emparejamiento mediante la consola, la CLI o la API, asegúrese de actualizar las tablas de enrutamiento de la VPC y configurar la resolución de DNS. Para obtener una descripción general conceptual del emparejamiento de ODB, consulte. Emparejamiento ODB

Creación de una conexión de emparejamiento ODB en Oracle Database@AWS

Con las conexiones de emparejamiento ODB, puede establecer una conectividad de red privada entre su infraestructura de Oracle Exadata y las aplicaciones que se ejecutan en Amazon. VPCs Cada conexión de emparejamiento ODB es un recurso independiente que puede crear, ver y eliminar independientemente de la red ODB.

Al crear una conexión de emparejamiento ODB, puede especificar los rangos de CIDR de redes homólogas. Esta técnica limita el acceso de la red a las subredes requeridas, reduce los posibles objetivos de los ataques y permite una segmentación de la red más granular para cumplir con los requisitos de conformidad.

Puede crear los siguientes tipos de conexiones de emparejamiento ODB:

Emparejamiento ODB con la misma cuenta

Puede crear una conexión de emparejamiento ODB entre una red ODB y una Amazon VPC en la misma cuenta. AWS

Emparejamiento ODB entre cuentas

Puede crear una conexión de emparejamiento ODB entre una red ODB de una cuenta y una Amazon VPC de una cuenta diferente, después de compartir la red ODB mediante. AWS RAM Las cuentas de propietario de la VPC pueden administrar los rangos de CIDR especificados en la conexión de emparejamiento sin ser también propietarios de la red ODB.

Existe una relación 1:1 entre una VPC y una red ODB. No puede crear una conexión de emparejamiento ODB entre una VPC y varias redes ODB o entre una red ODB y varias. VPCs

  1. Inicie sesión en Consola de administración de AWS y abra la consola en. Oracle Database@AWS https://console.aws.amazon.com/odb/

  2. En el panel de navegación, elija conexiones de emparejamiento ODB.

  3. Seleccione Crear conexión de emparejamiento ODB.

  4. (Opcional) En el caso del nombre de emparejamiento de ODB, introduzca un nombre exclusivo para la conexión.

  5. En el caso de la red ODB, elija la red ODB que desee realizar el emparejamiento.

  6. Para la red de pares, elija Amazon VPC para sincronizarla con su red ODB.

  7. (Opcional) Para la red CIDRs homóloga, especifique bloques CIDR adicionales de la VPC homóloga que puedan acceder a la red ODB. Si no lo especificas CIDRs, se permite el acceso CIDRs a todos los miembros de la VPC homóloga.

  8. (Opcional) En Etiquetas, agrega un par de clave y valor.

  9. Seleccione Crear conexión de emparejamiento ODB.

Tras crear una conexión de emparejamiento ODB, configure las tablas de enrutamiento de Amazon VPC para enrutar el tráfico a la red ODB interconectada. Para obtener más información, consulte Configuración de tablas de enrutamiento de VPC para el emparejamiento de ODB. Tenga en cuenta que Oracle Database@ configura AWS automáticamente las tablas de enrutamiento de la red ODB.

Para crear una conexión de emparejamiento ODB, utilice el comando. create-odb-peering-connection

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

Para limitar el acceso a la red ODB a rangos de CIDR específicos, utilice el parámetro. --peer-network-cidrs-to-be-added Si no especifica los rangos de CIDR, todos los rangos tienen acceso.

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

Para ver una lista de sus conexiones de emparejamiento ODB, utilice el comando. list-odb-peering-connections

aws odb list-odb-peering-connections

Para obtener detalles sobre una conexión de interconexión ODB específica, utilice el comando. get-odb-peering-connection 

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

Actualización de una conexión de emparejamiento ODB

Puede actualizar una conexión de emparejamiento ODB existente para añadir o eliminar una red homóloga. CIDRs Usted controla qué subredes de la VPC homóloga tienen acceso a su red ODB.

  1. Inicie sesión en Consola de administración de AWS y abra la consola en Oracle Database@AWS . https://console.aws.amazon.com/odb/

  2. En el panel de navegación, elija conexiones de emparejamiento ODB.

  3. Seleccione la conexión de emparejamiento ODB que desee actualizar.

  4. Elija Acciones y, a continuación, elija Actualizar conexión de emparejamiento.

  5. En la CIDRs sección Red de pares, agrega o elimina los bloques CIDR según sea necesario:

    • Para añadirlos CIDRs, selecciona Añadir CIDR e introduce el bloque CIDR.

    • Para eliminarlo CIDRs, selecciona la X situada junto al bloque CIDR que deseas eliminar.

  6. Selecciona Actualizar conexión de emparejamiento.

Para añadir una red CIDRs homóloga a una conexión de interconexión ODB, especifique el parámetro --peer-network-cidrs-to-be-added en el comando. update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

Para eliminar la red CIDRs homóloga de una conexión de interconexión ODB, especifique el parámetro --peer-network-cidrs-to-be-removed en el comando. update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

Configuración de tablas de enrutamiento de VPC para el emparejamiento de ODB

Las tablas de enrutamiento contienen conjuntos de reglas, denominadas rutas, que determinan adónde se dirige el tráfico de red desde la subred o puerta de enlace. El CIDR de destino de una tabla de enrutamiento es un rango de direcciones IP al que desea que vaya el tráfico. Si especificó una VPC para el emparejamiento de ODB con la red de ODB, actualice la tabla de enrutamiento de la VPC con el rango de IP de destino de la red de ODB. Para obtener más información sobre el emparejamiento de ODB, consulte. Emparejamiento ODB

Para actualizar una tabla de rutas, utilice el AWS CLI ec2 create-route comando. Los siguientes ejemplos actualizan las tablas de enrutamiento de Amazon VPC. Para obtener más información, consulte Configuración de tablas de enrutamiento de VPC para el emparejamiento de ODB.

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

Las tablas de enrutamiento de red ODB se actualizan automáticamente con la VPC CIDRs. Para permitir el acceso a la red ODB solo para una subred específica CIDRs en CIDRs lugar de para todas las de la VPC, puede especificar la red del mismo nivel CIDRs al crear una conexión de emparejamiento ODB o actualizar una conexión de emparejamiento ODB existente para agregar o eliminar rangos de CIDR emparejados. Para obtener más información, consulte Creación de una conexión de emparejamiento ODB en Oracle Database@AWS y Actualización de una conexión de emparejamiento ODB.

Para obtener más información sobre las tablas de enrutamiento de VPC, consulte Tablas de enrutamiento de subred en la Guía del usuario de Amazon Virtual Private Cloud y ec2 create-route en la Referencia de comandos.AWS CLI

Configuración de DNS para Oracle Database@AWS

Amazon Route 53 es un servicio web de sistema de nombres de dominio (DNS) escalable y de alta disponibilidad que puede utilizar para el enrutamiento de DNS. Al crear una conexión de emparejamiento de ODB entre la red de ODB y una VPC, se necesita un mecanismo para resolver las consultas de DNS para los recursos de la red de ODB desde la VPC. Puede usar Amazon Route 53 para configurar los siguientes recursos:

  • Un punto final de salida

    El punto final es necesario para enviar consultas de DNS a la red ODB.

  • Una regla de resolución

    Esta regla especifica el nombre de dominio de las consultas de DNS que el solucionador de Route 53 reenvía al DNS de la red ODB.

Cómo funciona el DNS en Oracle Database@AWS

Oracle Database@AWS administra automáticamente la configuración del Sistema de nombres de dominio (DNS) para la red ODB. Para el nombre de dominio, puede especificar un prefijo personalizado para el nombre de dominio predeterminado oraclevcn.com o un nombre de dominio totalmente personalizado. Para obtener más información, consulte Paso 1: Cree una red ODB en Oracle Database@AWS.

Cuando Oracle Database@AWS aprovisiona una red ODB, crea los siguientes recursos:

  • Una red de nube virtual (VCN) de Oracle Cloud Infrastructure (OCI) con los mismos bloques de CIDR que la red ODB

    Este VCN reside en el arrendamiento de OCI vinculado del cliente. Existe un mapeo 1:1 entre una red ODB y una OCI VCN. Cada red ODB está asociada a una OCI VCN.

  • Un solucionador de DNS privado dentro de la OCI VCN

    Este solucionador de DNS gestiona las consultas de DNS dentro de la OCI VCN. La automatización de OCI crea registros para el clúster de máquinas virtuales. Los escaneos utilizan el nombre de dominio *.oraclevcn.com completo (FQDN).

  • Un punto final de escucha de DNS dentro de la OCI VCN para el solucionador de DNS privado

    Puede encontrar el terminal de escucha de DNS en la página de detalles de la red ODB de la consola. Oracle Database@AWS

Configurar un punto final de salida en una red ODB en Oracle Database@AWS

Un punto final saliente permite enviar consultas de DNS desde la VPC a una dirección de red o IP. El punto final especifica las direcciones IP desde las que se originan las consultas. Para reenviar las consultas de DNS desde la VPC a la red de ODB, cree un punto final saliente mediante la consola Route 53. Para obtener más información, consulte Reenviar consultas DNS salientes a la red.

Para configurar un punto final saliente en una red ODB

  1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel izquierdo, selecciona Outbound Endpoints.

  3. En la barra de navegación, elija la región de la VPC en la que desee crear el punto final de salida.

  4. Elija Create outbound endpoint (Crear punto de conexión de salida).

  5. Complete la sección Configuración general del punto final saliente de la siguiente manera:

    1. Elija un grupo de seguridad que permita la conectividad TCP y UDP saliente con lo siguiente:

      • Direcciones IP que los solucionadores utilizan para las consultas de DNS en su red ODB

      • Puertos que los resolutores utilizan para las consultas de DNS en la red ODB

    2. En Endpoint Type (Tipo de punto de enlace), seleccione IPv4.

    3. Para los protocolos de este punto final, elija Do53.

  6. En las direcciones IP, proporcione la siguiente información:

    • Especifique las direcciones IP o deje que el Route 53 Resolver elija las direcciones IP por usted entre las direcciones disponibles en la subred. Elija entre un mínimo de 2 y un máximo de 6 direcciones IP para las consultas de DNS. Le recomendamos que elija direcciones IP en al menos dos zonas de disponibilidad diferentes.

    • En Subred, elija subredes que tengan lo siguiente:

      • Tablas de rutas que incluyen rutas a las direcciones IP del agente de escucha de DNS en la red ODB

      • Listas de control de acceso a la red (ACLs) que permiten el tráfico UDP y TCP a las direcciones IP y los puertos que utilizan los solucionadores para las consultas de DNS en la red ODB

      • Red ACLs que permite el tráfico de los resolutores en el rango de puertos de destino entre 1024 y 65535

  7. (Opcional) En el caso de las etiquetas, especifique las etiquetas del punto final.

  8. Seleccione Enviar.

Configurar una regla de resolución en Oracle Database@AWS

Una regla de resolución es un conjunto de criterios que determina cómo enrutar las consultas de DNS. Reutilice o cree una regla que especifique el nombre de dominio de las consultas de DNS que el solucionador reenvía al DNS de la red ODB.

Uso de una regla de resolución existente

Para usar una regla de resolución existente, la acción depende del tipo de regla:

Una regla para el mismo dominio en la misma AWS región que la VPC de su Cuenta de AWS

Asocie la regla a su VPC en lugar de crear una nueva regla. Elija la regla en el panel de reglas y asóciela a la que sea aplicable VPCs en la AWS región.

Una regla para el mismo dominio en la misma región que tu VPC, pero en una cuenta diferente

Se usa AWS Resource Access Manager para compartir la regla de la cuenta remota a la suya. Cuando compartes una regla, también compartes el punto final de salida correspondiente. Después de compartir la regla con su cuenta, selecciónela en el panel de reglas y asóciela a la VPCs de su cuenta. Para obtener más información, consulta Administrar las reglas de reenvío.

Crear una nueva regla de resolución

Si no puede volver a utilizar una regla de resolución existente, cree una nueva con la consola de Amazon Route 53.

Para crear una nueva regla de resolución

  1. Inicie sesión en la consola de Route 53 Consola de administración de AWS y ábrala en https://console.aws.amazon.com/route53/.

  2. En el panel izquierdo, selecciona Reglas.

  3. En la barra de navegación, elija la región de la VPC en la que se encuentra el punto final de salida.

  4. Seleccione Creación de regla.

  5. Complete las secciones de la regla para el tráfico saliente de la siguiente manera:

    1. En Tipo de regla, elija Regla de reenvío.

    2. En Nombre de dominio, especifique el nombre de dominio completo de la red ODB.

    3. Para VPCs ello, utilice esta regla y asóciela a la VPC desde donde se reenvían las consultas DNS a su red ODB.

    4. Para el punto final de salida, elija el punto de enlace de salida en el que lo creó. Configurar un punto final de salida en una red ODB en Oracle Database@AWS

      nota

      La VPC asociada a esta regla no necesita ser la misma VPC en la que creó el punto final saliente.

  6. Complete la sección de direcciones IP de destino de la siguiente manera:

    1. Para la dirección IP, especifique la dirección IP de la IP del receptor de DNS en su red ODB.

    2. En Puerto, especifique 53. Este es el puerto que utiliza la resolución para las consultas de DNS.

      nota

      El Route 53 Resolver reenvía las consultas de DNS que cumplen con esta regla y se originan en una VPC asociada a esta regla al punto final de salida al que se hace referencia. Estas consultas se reenvían a las direcciones IP de destino que especifique en las direcciones IP de destino.

    3. Para el protocolo de transmisión, elija Do53.

  7. (Opcional) En el caso de las etiquetas, especifique las etiquetas de la regla.

  8. Seleccione Enviar.

Probar la configuración de DNS en Oracle Database@AWS

Después de crear el punto final de salida y la regla de resolución, compruebe que el DNS se resuelve correctamente. Con una EC2 instancia de Amazon en la VPC de la aplicación, realice una resolución de DNS de la siguiente manera:

Para Linux o macOS

Use un comando del formulariodig record-name record-type.

Para Windows

Use un comando del formularionslookup -type=record-name record-type.

Configuración de Amazon VPC Transit Gateways para Oracle Database@AWS

Amazon VPC Transit Gateways es un centro de tránsito de red que interconecta nubes privadas virtuales (VPCs) y redes locales. Cada VPC de la hub-and-spoke arquitectura puede conectarse a la pasarela de tránsito para acceder a otras VPC conectadas. VPCs AWS Transit Gateway admite el tráfico tanto para como para IPv4 . IPv6

En Oracle Database@AWS, una red ODB admite una conexión de emparejamiento a una sola VPC. Si conecta una puerta de enlace de tránsito a una VPC que está interconectada a una red ODB, puede conectar varias VPCs a esta puerta de enlace. Las aplicaciones que se ejecutan en estas diferentes máquinas VPCs pueden acceder a un clúster de máquinas virtuales de Exadata que se ejecute en su red ODB.

El siguiente diagrama muestra una puerta de enlace de tránsito que está conectada a dos redes locales VPCs y a una red local.

Muestra una red ODB emparejada con una VPC que está conectada a una puerta de enlace de tránsito. La puerta de enlace está conectada a una VPC y a una red local.

En el diagrama anterior, una VPC está conectada a una red ODB. En esta configuración, la red ODB puede enrutar el tráfico a todas las personas VPCs conectadas a la puerta de enlace de tránsito. La tabla de enrutamiento de cada VPC incluye tanto la ruta local como las rutas que envían el tráfico destinado a la red ODB a la pasarela de tránsito.

En AWS Transit Gateway, se te cobra por la cantidad de conexiones que realices a la pasarela de tránsito por hora y por la cantidad de tráfico que fluye. AWS Transit Gateway Para obtener información sobre los costos, consulta AWS Transit Gateway los precios.

Requisitos

Asegúrese de que su Oracle Database@AWS entorno cumpla los siguientes requisitos:

  • La VPC que está conectada a la red ODB debe estar en la misma. Cuenta de AWS Si la VPC interconectada se encuentra en una cuenta diferente a la de la red ODB, los adjuntos de la puerta de enlace de tránsito fallan independientemente de las configuraciones de uso compartido.

  • La VPC que está conectada a la red ODB debe tener un adjunto de puerta de enlace de tránsito.

    nota

    Si la puerta de enlace de tránsito está configurada para compartir, puede residir en cualquier cuenta. Por lo tanto, la puerta de enlace en sí misma no necesita estar en la misma cuenta que la red de VPC y ODB.

  • El adjunto de la puerta de enlace de tránsito debe estar en la misma zona de disponibilidad (AZ) que la red ODB.

Limitaciones

Tenga en cuenta las siguientes limitaciones de Amazon VPC Transit Gateways para: Oracle Database@AWS

  • Amazon VPC Transit Gateways no ofrece una integración nativa para usar una red ODB como adjunto. Por lo tanto, las funciones de VPC como las siguientes no están disponibles:

    • Resolución de nombres de host DNS públicos a direcciones IP privadas

    • Notificación de eventos sobre cambios en la topología de la red ODB, el enrutamiento y el estado de la conexión

  • No se admite el tráfico de multidifusión a la red ODB.

Instalación y configuración de una puerta de enlace de tránsito

Puede crear y configurar una pasarela de tránsito mediante la consola o aws ec2 los comandos de Amazon VPC. El siguiente procedimiento supone que no tiene una red ODB enlazada a una VPC en su. Cuenta de AWS Si una red ODB y una VPC ya están emparejadas en su cuenta, omita los pasos 1 a 3.

nota

Si adjunta o vuelve a conectar los archivos adjuntos a la VPC, asegúrese de volver a introducir los rangos CIDR en la red ODB ODB.

Para instalar y configurar una puerta de enlace de tránsito para Oracle Database@AWS

  1. Cree una red ODB. Para obtener más información, consulte Paso 1: Cree una red ODB en Oracle Database@AWS.

  2. Cree una VPC con la misma cuenta que contiene la red ODB. Para obtener más información, consulte Crear una VPC en la Guía del usuario de Amazon VPC.

  3. Cree una conexión de emparejamiento ODB entre la red ODB y la VPC. Para obtener más información, consulte Configuración del emparejamiento de ODB a una Amazon VPC en Oracle Database@AWS.

  4. Configure una pasarela de tránsito siguiendo los pasos que se indican en Cómo empezar a utilizar las pasarelas de tránsito de Amazon VPC. La puerta de enlace debe estar en la Cuenta de AWS misma posición que la red ODB y la VPC, o bien debe estar compartida por otra cuenta.

    importante

    Cree el adjunto de la pasarela de tránsito en la misma zona de disponibilidad que la red ODB.

  5. Agregue rangos CIDR a su red ODB para las redes locales VPCs y locales que planea conectar a su red principal. Para obtener más información, consulte Actualizar una red ODB en Oracle Database@AWS.

    Si utiliza la CLI, ejecute el comando update-odb-network con --peered-cidrs-to-be-added y--peered-cidrs-to-be-removed. Para obtener más información, consulte la Referencia de comandos de la AWS CLI.

Configuración de AWS Cloud WAN para Oracle Database@AWS

AWS Cloud WAN es un servicio de redes de área amplia (WAN) gestionado. Puedes usar AWS Cloud WAN para crear, administrar y monitorear una red global unificada que conecte los recursos que se ejecutan en tus entornos de nube y locales.

En AWS Cloud WAN, una red global es una red privada única que actúa como contenedor de alto nivel para los objetos de la red. Una red principal es la parte de la red global gestionada por AWS.

AWS La WAN en la nube ofrece las siguientes ventajas clave:

  • Administración de red centralizada que simplifica las operaciones y, al mismo tiempo, mantiene la seguridad en varias regiones

  • Redes principales con segmentación integrada para aislar el tráfico a través de varios dominios de enrutamiento

  • Support para políticas para automatizar la administración de la red y definir configuraciones consistentes en toda su red global

En Oracle Database@AWS, una red ODB admite el emparejamiento a una sola VPC. Si conectas una red principal de AWS Cloud WAN a una VPC interconectada, se habilita el enrutamiento del tráfico global. Las aplicaciones conectadas a varias VPCs regiones pueden acceder a los clústeres de máquinas virtuales de Exadata en su red ODB. Puede aislar el tráfico de la red ODB en su propio segmento o permitir el acceso a otros segmentos.

En el siguiente diagrama, se muestra una red principal de AWS Cloud WAN que está conectada a tres redes locales VPCs y a una red local.

Muestra una red ODB emparejada con una VPC que está conectada a una red principal de AWS Cloud WAN. La red está conectada a tres redes VPCs y a una red local.

AWS Cloud WAN no ofrece una integración nativa para usar una red ODB como adjunto. Por lo tanto, las funciones de VPC como las siguientes no están disponibles:

  • Resolución de nombres de host DNS públicos a direcciones IP privadas

  • Notificación de eventos sobre cambios en la topología de la red ODB, el enrutamiento y el estado de la conexión

En AWS Cloud WAN, se te cobra por hora lo siguiente:

  • Número de regiones (ejes de la red principal)

  • Número de conexiones de la red principal

  • La cantidad de tráfico que fluye a través de la red principal a través de los archivos adjuntos

Para obtener información detallada sobre los precios, consulta los precios de AWS Cloud WAN.

Para configurar una red principal para Oracle Database@AWS

  1. Agregue rangos de CIDR a su red ODB para las redes locales VPCs y las redes locales que planea conectar a su red principal. Para obtener más información, consulte Actualizar una red ODB en Oracle Database@AWS.

    nota

    Si adjunta o vuelve a conectar los archivos adjuntos a la VPC, asegúrese de volver a introducir los rangos CIDR en la red ODB ODB.

  2. Siga los pasos que se indican en Crear una red global y una red central WAN AWS en la nube.