Configurazione di un tunnel VPN tra le istanze primarie e di replica di RDS Custom per Oracle - Amazon Relational Database Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un tunnel VPN tra le istanze primarie e di replica di RDS Custom per Oracle

Un tunnel VPN è una connessione crittografata tra due o più dispositivi su una rete. Per garantire il massimo livello di sicurezza per le istanze di Oracle Data Guard in RDS Custom per Oracle, consigliamo vivamente di implementare un tunnel VPN per crittografare la comunicazione tra le istanze primarie e quelle in standby. Il tunnel funge da protezione per i dati sensibili mentre attraversano la rete tra le istanze. Sebbene questa configurazione sia facoltativa, la consigliamo come best practice per garantire la sicurezza dei dati e la conformità alle normative.

Assicurati di soddisfare i seguenti requisiti preliminari:

  • Hai accesso root agli host primari e in standby.

  • Hai le competenze tecniche per eseguire il comando ipsec.

Per configurare un tunnel VPN tra un’istanza primaria e di replica in RDS Custom per Oracle

  1. Aggiungi i gruppi di sicurezza sia per l’istanza primaria che per l’istanza in standby all’elenco consentito utilizzando le seguenti regole:

    ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

  2. Accedi come utente root.

    $ sudo su – root

  3. Esegui i seguenti comandi sia sull’istanza primaria che sull’istanza in standby per inizializzare il database Network Security Services (NSS) sotto l’utente root.

    ipsec initnss --nssdir /etc/ipsec.d

  4. Genera le chiavi RSA come segue:

    1. Nell’istanza primaria, genera le chiavi utilizzando uno dei seguenti comandi ipsec, a seconda della versione del sistema operativo in uso.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    2. Ottieni la chiave pubblica, che ti serve per creare la configurazione. Nell’esempio seguente, l’istanza primaria è left perché in gergo ipsec, left si riferisce al dispositivo che stai configurando e right si riferisce al dispositivo all’altra estremità del tunnel.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

    3. Nell’istanza in standby, genera le chiavi per l’istanza in standby. 

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    4. Ottieni la chiave pubblica per l’istanza in standby, necessaria per creare la configurazione. Nell’esempio seguente, l’istanza in standby è right perché si riferisce al dispositivo all’altra estremità del tunnel.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

  5. In base alle chiavi RSA ottenute, genera la configurazione. La configurazione è identica sia per l’istanza primaria che per l’istanza in standby. Puoi trovare l’indirizzo IPv4 dell’istanza primaria e l’indirizzo IPv4 dell’istanza in standby nella console AWS.

    Sia sull’istanza primaria che sull’istanza in standby, salva la seguente configurazione nel file /etc/ipsec.d/custom-fb-tunnel.conf.

    conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby

  6. Sia sull’istanza primaria che sull’istanza in standby, avvia il daemon ipsec su entrambi gli host.

    ipsec setup start

  7. Avvia il tunnel sull’istanza primaria o sull’istanza in standby. L'output visualizzato dovrebbe essere simile al seguente:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#