Configurazione di un VPN tunnel tra le istanze primarie RDS Custom for Oracle e le istanze di replica - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un VPN tunnel tra le istanze primarie RDS Custom for Oracle e le istanze di replica

Un VPN tunnel è una connessione crittografata tra due o più dispositivi su una rete. Per garantire il massimo livello di sicurezza per le istanze di Oracle Data Guard in RDS Custom for Oracle, consigliamo vivamente di implementare un VPN tunnel per crittografare le comunicazioni tra le istanze primarie e quelle di standby. Il tunnel funge da protezione per i dati sensibili mentre attraversano la rete tra le istanze. Sebbene questa configurazione sia facoltativa, la consigliamo come best practice per garantire la sicurezza dei dati e la conformità normativa.

Assicurati di soddisfare i seguenti prerequisiti:

  • Hai accesso root agli host primari e di standby.

  • Hai le competenze tecniche per eseguire il ipsec comando.

Per configurare un VPN tunnel tra un primario e una replica in RDS Custom for Oracle
  1. Aggiungere i gruppi di sicurezza sia per l'istanza primaria che per l'istanza di standby all'elenco consentito utilizzando le seguenti regole:

    ACTION FLOW SOURCE PROTO PORT ALLOW ingress this-SG 50 (ESP) all (N/A) ALLOW egress this-SG 50 (ESP) all (N/A) ALLOW ingress this-SG 17 (UDP) 500 (IKE) ALLOW egress this-SG 17 (UDP) 500 (IKE)
  2. Accedi come utente root.

    $ sudo su – root
  3. Esegui i seguenti comandi sia sull'istanza primaria che sull'istanza di standby per inizializzare il database Network Security Services (NSS) sotto la supervisione dell'utente. root

    ipsec initnss --nssdir /etc/ipsec.d
  4. Genera RSA le chiavi come segue:

    1. Nell'istanza principale, genera le chiavi utilizzando uno dei seguenti ipsec comandi, a seconda della versione del sistema operativo.

      ipsec newhostkey --nssdir /etc/ipsec.d ## for Oracle Linux Version 8 ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
    2. Ottieni la chiave pubblica, che ti serve per creare la configurazione. Nell'esempio seguente, l'istanza principale è left perché, in ipsec gergo, left si riferisce al dispositivo che state configurando e right si riferisce al dispositivo all'altra estremità del tunnel.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement
    3. Nell'istanza di standby, genera le chiavi per l'istanza di standby.

      ipsec newhostkey --nssdir /etc/ipsec.d ## for Oracle Linux Version 8 ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
    4. Ottieni la chiave pubblica per l'istanza di standby, che ti serve per creare la configurazione. Nell'esempio seguente, l'istanza di standby è right perché si riferisce al dispositivo all'altra estremità del tunnel.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement
  5. In base alle RSA chiavi ottenute, genera la configurazione. La configurazione è identica sia per l'istanza principale che per l'istanza di standby. È possibile trovare l'indirizzo dell'istanza principale e IPv4 l'indirizzo dell'istanza IPv4 di standby nella AWS console.

    Sia sull'istanza principale che sull'istanza di standby, salva la seguente configurazione nel file. /etc/ipsec.d/custom-fb-tunnel.conf

    conn custom-db-tunnel type=transport auto=add authby=rsasig left=IPV4-for-primary leftrsasigkey=RSA-key-generated-on-primary right=IPV4-for-standby rightrsasigkey=RSA-key-generated-on-standby
  6. Sia sull'istanza primaria che sull'istanza di standby, avvia il ipsec demone su entrambi gli host.

    ipsec setup start
  7. Avvia il tunnel sull'istanza principale o sull'istanza di standby. L'output visualizzato dovrebbe essere simile al seguente:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel 181 "custom-db-tunnel" #1: initiating IKEv2 connection 181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500 182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19} 003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196' 004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive} [root@ip-172-31-6-81 ~]#