Mengkonfigurasi VPN terowongan antara RDS Custom for Oracle primary dan replica instance - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi VPN terowongan antara RDS Custom for Oracle primary dan replica instance

VPNTerowongan adalah koneksi terenkripsi antara dua atau lebih perangkat melalui jaringan. Untuk memastikan tingkat keamanan tertinggi untuk instans Oracle Data Guard Anda di RDS Custom for Oracle, kami sangat menyarankan Anda menerapkan VPN terowongan untuk mengenkripsi komunikasi antara instans utama dan siaga Anda. Terowongan berfungsi sebagai pengaman untuk data sensitif saat melakukan perjalanan jaringan antar instance. Meskipun konfigurasi ini opsional, kami merekomendasikannya sebagai praktik terbaik untuk mencapai keamanan data dan kepatuhan terhadap peraturan.

Pastikan Anda memenuhi prasyarat berikut:

  • Anda memiliki akses root ke host utama dan siaga.

  • Anda memiliki keahlian teknis untuk menjalankan ipsec perintah.

Untuk mengkonfigurasi VPN terowongan antara primer dan replika di RDS Custom for Oracle

  1. Tambahkan grup keamanan untuk instance utama dan instance siaga ke daftar izinkan menggunakan aturan berikut:

    ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

  2. Beralih ke pengguna akar.

    $ sudo su – root

  3. Jalankan perintah berikut pada instance utama dan instance siaga untuk menginisialisasi database Network Security Services (NSS) di bawah pengguna. root

    ipsec initnss --nssdir /etc/ipsec.d

  4. Hasilkan RSA kunci sebagai berikut:

    1. Pada contoh utama, buat kunci menggunakan salah satu dari ipsec perintah berikut, tergantung pada versi OS Anda.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    2. Dapatkan kunci publik, yang Anda butuhkan untuk membuat konfigurasi. Dalam contoh berikut, contoh utama adalah left karena dalam ipsec bahasa, left mengacu pada perangkat yang sedang Anda konfigurasi, dan right mengacu pada perangkat di ujung lain terowongan.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

    3. Pada instance siaga, buat kunci untuk instance siaga. 

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    4. Dapatkan kunci publik untuk instance siaga, yang Anda perlukan untuk membuat konfigurasi. Dalam contoh berikut, contoh siaga adalah right karena mengacu pada perangkat di ujung lain terowongan.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

  5. Berdasarkan RSA kunci yang Anda peroleh, buat konfigurasi. Konfigurasi identik untuk instance primer dan instance siaga. Anda dapat menemukan IPv4 alamat instans utama dan IPv4 alamat instans siaga di AWS konsol.

    Pada instance utama dan instance siaga, simpan konfigurasi berikut ke file/etc/ipsec.d/custom-fb-tunnel.conf.

    conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby

  6. Pada instance utama dan instance siaga, mulai ipsec daemon pada kedua host.

    ipsec setup start

  7. Mulai terowongan baik pada instance utama atau instance siaga. Outputnya akan terlihat serupa dengan yang berikut ini:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#