Configurazione di un VPN tunnel tra le istanze primarie RDS Custom for Oracle e le istanze di replica

Un VPN tunnel è una connessione crittografata tra due o più dispositivi su una rete. Per garantire il massimo livello di sicurezza per le istanze di Oracle Data Guard in RDS Custom for Oracle, consigliamo vivamente di implementare un VPN tunnel per crittografare le comunicazioni tra le istanze primarie e quelle di standby. Il tunnel funge da protezione per i dati sensibili mentre attraversano la rete tra le istanze. Sebbene questa configurazione sia facoltativa, la consigliamo come best practice per garantire la sicurezza dei dati e la conformità normativa.

Assicurati di soddisfare i seguenti prerequisiti:

Hai accesso root agli host primari e di standby.
Hai le competenze tecniche per eseguire il ipsec comando.

Per configurare un VPN tunnel tra un primario e una replica in RDS Custom for Oracle

Aggiungere i gruppi di sicurezza sia per l'istanza primaria che per l'istanza di standby all'elenco consentito utilizzando le seguenti regole:


ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

Accedi come utente root.
```
$ sudo su – root
```
Esegui i seguenti comandi sia sull'istanza primaria che sull'istanza di standby per inizializzare il database Network Security Services (NSS) sotto la supervisione dell'utente. root
```
ipsec initnss --nssdir /etc/ipsec.d
```
Genera RSA le chiavi come segue:
1. Nell'istanza principale, genera le chiavi utilizzando uno dei seguenti ipsec comandi, a seconda della versione del sistema operativo.
```
ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
```
2. Ottieni la chiave pubblica, che ti serve per creare la configurazione. Nell'esempio seguente, l'istanza principale è left perché, in ipsec gergo, left si riferisce al dispositivo che state configurando e right si riferisce al dispositivo all'altra estremità del tunnel.
```
ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement
```
3. Nell'istanza di standby, genera le chiavi per l'istanza di standby.
```
ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
```
4. Ottieni la chiave pubblica per l'istanza di standby, che ti serve per creare la configurazione. Nell'esempio seguente, l'istanza di standby è right perché si riferisce al dispositivo all'altra estremità del tunnel.
```
ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement
```
In base alle RSA chiavi ottenute, genera la configurazione. La configurazione è identica sia per l'istanza principale che per l'istanza di standby. È possibile trovare l'indirizzo dell'istanza principale e IPv4 l'indirizzo dell'istanza IPv4 di standby nella AWS console.

Sia sull'istanza principale che sull'istanza di standby, salva la seguente configurazione nel file. /etc/ipsec.d/custom-fb-tunnel.conf
```
conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby
```
Sia sull'istanza primaria che sull'istanza di standby, avvia il ipsec demone su entrambi gli host.
```
ipsec setup start
```

Avvia il tunnel sull'istanza principale o sull'istanza di standby. L'output visualizzato dovrebbe essere simile al seguente:


[root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Promuovere una replica

Backup e ripristino di un'istanza DB RDS Custom for Oracle