Configurazione del peering ODB su un Amazon VPC in Oracle Database@AWS - Oracle Database@AWS
Configurazione del peering ODBConfigurazione delle tabelle di routing VPC per il peering ODBConfigurazione del DNSConfigurazione dei gateway di transito Amazon VPC per Oracle Database@AWSConfigurazione di AWS Cloud WAN per Oracle Database@AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione del peering ODB su un Amazon VPC in Oracle Database@AWS

Il peering ODB è una connessione di rete creata dall'utente che consente l'instradamento privato del traffico tra un Amazon VPC e una rete ODB. Esiste una one-to-one relazione tra un VPC e una rete ODB. Dopo aver creato una connessione peering utilizzando la console, la CLI o l'API, assicurati di aggiornare le tabelle di routing VPC e configurare la risoluzione DNS. Per una panoramica concettuale del peering ODB, consulta. Peering ODB

Creazione di una connessione peering ODB in Oracle Database@AWS

Con le connessioni peering ODB, puoi stabilire una connettività di rete privata tra la tua infrastruttura Oracle Exadata e le applicazioni in esecuzione su Amazon. VPCs Ogni connessione peering ODB è una risorsa separata che puoi creare, visualizzare ed eliminare indipendentemente dalla rete ODB.

Quando si crea una connessione peering ODB, è possibile specificare gli intervalli CIDR della rete peer. Questa tecnica limita l'accesso alla rete alle sottoreti richieste, riduce i potenziali bersagli di attacchi e consente una segmentazione della rete più granulare per i requisiti di conformità.

È possibile creare i seguenti tipi di connessioni peering ODB:

Peering ODB con lo stesso account

Puoi creare una connessione peering ODB tra una rete ODB e un Amazon VPC nello stesso account. AWS

Peering ODB tra account

È possibile creare una connessione peering ODB tra una rete ODB in un account e un Amazon VPC in un altro account, dopo aver condiviso la rete ODB utilizzando. AWS RAM Gli account proprietari di VPC possono gestire gli intervalli CIDR specificati nella connessione peering senza possedere anche la rete ODB.

Esiste una relazione 1:1 tra un VPC e una rete ODB. Non è possibile creare una connessione peering ODB tra un VPC e più reti ODB o tra una rete ODB e più reti. VPCs

  1. Accedi a Console di gestione AWS e apri la console all'indirizzo. Oracle Database@AWS https://console.aws.amazon.com/odb/

  2. Nel riquadro di navigazione, scegli Connessioni peering ODB.

  3. Scegli Crea connessione peering ODB.

  4. (Facoltativo) Per il nome di peering ODB, inserisci un nome univoco per la connessione.

  5. Per la rete ODB, scegli la rete ODB da peer.

  6. Per la rete peer, scegli Amazon VPC per effettuare il peer con la tua rete ODB.

  7. (Facoltativo) Per la rete peer CIDRs, specifica blocchi CIDR aggiuntivi dal VPC peer che possono accedere alla rete ODB. Se non lo specifichi CIDRs, è consentito l'accesso CIDRs a tutti i dati del VPC peer.

  8. (Facoltativo) In Tag, aggiungi una coppia chiave/valore.

  9. Scegli Crea connessione peering ODB.

Dopo aver creato una connessione peering ODB, configura le tabelle di routing Amazon VPC per instradare il traffico verso la rete ODB peerizzata. Per ulteriori informazioni, consulta Configurazione delle tabelle di routing VPC per il peering ODB. Tieni presente che Oracle Database@AWS configura automaticamente le tabelle di routing di rete ODB.

Per creare una connessione peering ODB, utilizzare il comando. create-odb-peering-connection

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

Per limitare l'accesso alla rete ODB a intervalli CIDR specifici, utilizzate il parametro. --peer-network-cidrs-to-be-added Se non specifichi intervalli CIDR, tutti gli intervalli hanno accesso.

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

Per elencare le connessioni peering ODB, usa il comando. list-odb-peering-connections

aws odb list-odb-peering-connections

Per ottenere dettagli su una connessione peering ODB specifica, usa il comando. get-odb-peering-connection 

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

Aggiornamento di una connessione peering ODB

È possibile aggiornare una connessione peering ODB esistente per aggiungere o rimuovere una rete peer. CIDRs Puoi controllare quali sottoreti del VPC peer hanno accesso alla tua rete ODB.

  1. Accedi a Console di gestione AWS e apri la console all'indirizzo. Oracle Database@AWS https://console.aws.amazon.com/odb/

  2. Nel riquadro di navigazione, scegli Connessioni peering ODB.

  3. Seleziona la connessione peering ODB che desideri aggiornare.

  4. Scegli Azioni, quindi scegli Aggiorna connessione peering.

  5. Nella CIDRs sezione Peer network, aggiungi o rimuovi i blocchi CIDR secondo necessità:

    • Per aggiungere CIDRs, scegli Aggiungi CIDR e inserisci il blocco CIDR.

    • Per rimuovere CIDRs, scegli la X accanto al blocco CIDR che desideri rimuovere.

  6. Scegli Aggiorna connessione peering.

Per aggiungere una rete peer CIDRs a una connessione peering ODB, specifica il parametro --peer-network-cidrs-to-be-added nel comando. update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

Per rimuovere una rete peer CIDRs da una connessione peering ODB, specificare il parametro nel comando. --peer-network-cidrs-to-be-removed update-odb-peering-connection

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

Configurazione delle tabelle di routing VPC per il peering ODB

Una tabella di instradamento contiene un insieme di regole, denominato route, che consente di determinare la direzione del traffico di rete dalla sottorete o dal gateway. Il CIDR di destinazione in una tabella di routing è un intervallo di indirizzi IP a cui si desidera indirizzare il traffico. Se hai specificato un VPC per il peering ODB sulla tua rete ODB, aggiorna la tabella di routing VPC con l'intervallo IP di destinazione nella tua rete ODB. Per ulteriori informazioni sul peering ODB, consulta. Peering ODB

Per aggiornare una tabella di routing, utilizzare il AWS CLI ec2 create-route comando. Gli esempi seguenti aggiornano le tabelle di routing di Amazon VPC. Per ulteriori informazioni, consulta Configurazione delle tabelle di routing VPC per il peering ODB.

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

Le tabelle di routing di rete ODB vengono aggiornate automaticamente con il VPC. CIDRs Per consentire l'accesso alla rete ODB solo per una sottorete specifica CIDRs anziché per tutta CIDRs la rete VPC, puoi specificare la rete peer CIDRs quando crei una connessione peering ODB o aggiornare una connessione peering ODB esistente per aggiungere o rimuovere intervalli CIDR peer. Per ulteriori informazioni, consultare Creazione di una connessione peering ODB in Oracle Database@AWS e Aggiornamento di una connessione peering ODB.

Per ulteriori informazioni sulle tabelle di routing VPC, consulta Subnet route tables nella Amazon Virtual Private Cloud User Guide e ec2 create-route nel Command Reference.AWS CLI

Configurazione DNS per Oracle Database@AWS

Amazon Route 53 è un servizio Web DNS (Domain Name System) altamente disponibile e scalabile che puoi utilizzare per il routing DNS. Quando si crea una connessione peering ODB tra la rete ODB e un VPC, è necessario un meccanismo per risolvere le query DNS per le risorse di rete ODB dall'interno del VPC. Puoi utilizzare Amazon Route 53 per configurare le seguenti risorse:

  • Un endpoint in uscita

    L'endpoint è necessario per inviare query DNS alla rete ODB.

  • Una regola del resolver

    Questa regola specifica il nome di dominio delle query DNS che il Route 53 Resolver inoltra al DNS per la rete ODB.

Come funziona il DNS in Oracle Database@AWS

Oracle Database@AWS gestisce automaticamente la configurazione DNS (Domain Name System) per la rete ODB. Per il nome di dominio, è possibile specificare un prefisso personalizzato per il nome di dominio predefinito oraclevcn.com o un nome di dominio completamente personalizzato. Per ulteriori informazioni, consulta Fase 1: Creare una rete ODB in Oracle Database@AWS.

Quando effettua il Oracle Database@AWS provisioning di una rete ODB, crea le seguenti risorse:

  • Una rete cloud virtuale (VCN) di Oracle Cloud Infrastructure (OCI) con gli stessi blocchi CIDR della rete ODB

    Questo VCN risiede nella locazione OCI collegata del cliente. Esiste una mappatura 1:1 tra una rete ODB e un OCI VCN. Ogni rete ODB è associata a un OCI VCN.

  • Un resolver DNS privato all'interno di OCI VCN

    Questo resolver DNS gestisce le query DNS all'interno di OCI VCN. L'automazione OCI crea record per il cluster VM. Le scansioni utilizzano il nome di dominio *.oraclevcn.com completo (FQDN).

  • Un endpoint di ascolto DNS all'interno di OCI VCN per il resolver DNS privato

    È possibile trovare l'endpoint di ascolto DNS nella pagina dei dettagli della rete ODB sulla console. Oracle Database@AWS

Configurazione di un endpoint in uscita in una rete ODB in Oracle Database@AWS

Un endpoint in uscita consente l'invio di query DNS dal tuo VPC a una rete o a un indirizzo IP. L'endpoint specifica gli indirizzi IP da cui provengono le query. Per inoltrare le query DNS dal tuo VPC alla tua rete ODB, crea un endpoint in uscita utilizzando la console Route 53. Per ulteriori informazioni, consulta Inoltro delle query DNS in uscita alla rete.

Per configurare un endpoint in uscita in una rete ODB

  1. Accedi a Console di gestione AWS e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Dal riquadro di sinistra, scegli Endpoint in uscita.

  3. Nella barra di navigazione, scegli la regione per il VPC in cui desideri creare l'endpoint in uscita.

  4. Scegli Create outbound endpoint (Crea endpoint in uscita).

  5. Completa la sezione Impostazioni generali per l'endpoint in uscita come segue:

    1. Scegli un gruppo di sicurezza che consenta la connettività TCP e UDP in uscita a quanto segue:

      • Indirizzi IP utilizzati dai resolver per le query DNS sulla rete ODB

      • Porte utilizzate dai resolver per le query DNS sulla rete ODB

    2. In Endpoint Type (Tipo di endpoint), selezionare IPv4.

    3. Per Protocolli per questo endpoint, scegli Do53.

  6. In Indirizzi IP, fornisci le seguenti informazioni:

    • Specificate gli indirizzi IP o lasciate che il Route 53 Resolver scelga per voi gli indirizzi IP tra gli indirizzi disponibili nella sottorete. Scegli da un minimo di 2 a un massimo di 6 indirizzi IP per le query DNS. Ti consigliamo di scegliere gli indirizzi IP in almeno due zone di disponibilità diverse.

    • Per Subnet, scegli le sottoreti che hanno le seguenti caratteristiche:

      • Tabelle di routing che includono le rotte verso gli indirizzi IP del listener DNS sulla rete ODB

      • Liste di controllo dell'accesso alla rete (ACLs) che consentono il traffico UDP e TCP verso gli indirizzi IP e le porte utilizzate dai resolver per le query DNS sulla rete ODB

      • Rete ACLs che consente il traffico proveniente dai resolver sulla porta di destinazione nell'intervallo 1024-65535

  7. (Facoltativo) Per i tag, specificare i tag per l'endpoint.

  8. Seleziona Invia.

Configurazione di una regola del resolver in Oracle Database@AWS

Una regola del resolver è un insieme di criteri che determina come instradare le query DNS. Riutilizza o crea una regola che specifichi il nome di dominio delle query DNS che il resolver inoltra al DNS per la rete ODB.

Utilizzo di una regola resolver esistente

Per utilizzare una regola resolver esistente, l'azione da eseguire dipende dal tipo di regola:

Una regola per lo stesso dominio nella stessa AWS regione del VPC del tuo Account AWS

Associa la regola al tuo VPC invece di creare una nuova regola. Scegli la regola dalla dashboard delle regole e associala a quella applicabile VPCs nella AWS regione.

Una regola per lo stesso dominio nella stessa regione del tuo VPC ma in un account diverso

Usa AWS Resource Access Manager per condividere la regola dall'account remoto al tuo account. Quando condividi una regola, condividi anche l'endpoint in uscita corrispondente. Dopo aver condiviso la regola con il tuo account, scegli la regola dalla dashboard delle regole e associala VPCs a quella del tuo account. Per ulteriori informazioni, consulta Gestione delle regole di inoltro.

Creazione di una nuova regola del resolver

Se non riesci a riutilizzare una regola resolver esistente, crea una nuova regola utilizzando la console Amazon Route 53.

Per creare una nuova regola resolver

  1. Accedi a Console di gestione AWS e apri la console Route 53 all'indirizzo https://console.aws.amazon.com/route53/.

  2. Dal riquadro a sinistra, scegli Regole.

  3. Nella barra di navigazione, scegli la regione per il VPC in cui si trova l'endpoint in uscita.

  4. Scegli Crea regola.

  5. Completa la sezione Regola per il traffico in uscita come segue:

    1. Per Tipo di regola, scegli Inoltra regola.

    2. Per Nome di dominio, specifica il nome di dominio completo dalla rete ODB.

    3. A tal VPCs fine, utilizza questa regola, associala al VPC da cui le query DNS vengono inoltrate alla rete ODB.

    4. Per Endpoint in uscita, scegli l'endpoint in uscita in cui hai creato. Configurazione di un endpoint in uscita in una rete ODB in Oracle Database@AWS

      Nota

      Il VPC associato a questa regola non deve necessariamente essere lo stesso VPC in cui è stato creato l'endpoint in uscita.

  6. Completa la sezione Indirizzi IP di destinazione come segue:

    1. Per l'indirizzo IP, specificate l'indirizzo IP dell'IP del listener DNS sulla rete ODB.

    2. Per Porta, specificare 53. Questa è la porta utilizzata dal resolver per le query DNS.

      Nota

      Il Route 53 Resolver inoltra le query DNS che corrispondono a questa regola e provengono da un VPC associato a questa regola all'endpoint in uscita di riferimento. Queste query vengono inoltrate agli indirizzi IP di destinazione specificati negli indirizzi IP di destinazione.

    3. Per Protocollo di trasmissione, scegli Do53.

  7. (Facoltativo) Per i tag, specificate i tag per la regola.

  8. Seleziona Invia.

Verifica della configurazione DNS in Oracle Database@AWS

Dopo aver creato la regola dell'endpoint e del resolver in uscita, verifica che il DNS si risolva correttamente. Utilizzando un' EC2 istanza Amazon nel VPC dell'applicazione, esegui una risoluzione DNS come segue:

Per Linux o macOS

Usa un comando del modulodig record-name record-type.

Per Windows

Usa un comando del modulonslookup -type=record-name record-type.

Configurazione dei gateway di transito Amazon VPC per Oracle Database@AWS

Amazon VPC Transit Gateways è un hub di transito di rete che interconnette cloud privati virtuali (VPCs) e reti locali. Ogni VPC dell' hub-and-spokearchitettura può connettersi al gateway di transito per accedere ad altri VPC connessi. VPCs AWS Transit Gateway supporta il traffico per entrambi IPv4 e IPv6.

Nel Oracle Database@AWS, una rete ODB supporta una connessione peering a un solo VPC. Se connetti un gateway di transito a un VPC collegato a una rete ODB, puoi connetterne più VPCs di uno a questo gateway. Le applicazioni in esecuzione su questi diversi sistemi VPCs possono accedere a un cluster di macchine virtuali Exadata in esecuzione nella rete ODB.

Il diagramma seguente mostra un gateway di transito connesso a due VPCs e una rete locale.

Mostra una rete ODB peerizzata con un VPC collegato a un gateway di transito. Il gateway è connesso a un VPC e a una rete locale.

Nel diagramma precedente, un VPC viene collegato a una rete ODB. In questa configurazione, la rete ODB può indirizzare il traffico verso tutti gli VPCs utenti collegati al gateway di transito. La tabella delle rotte per ogni VPC include sia la route locale che le route che inviano il traffico destinato alla rete ODB al gateway di transito.

In AWS Transit Gateway, ti viene addebitato il numero di connessioni orarie che effettui verso il gateway di transito e la quantità di traffico che attraversa. AWS Transit Gateway Per informazioni sui costi, consulta la pagina AWS Transit Gateway dei prezzi.

Requisiti

Assicurati che il tuo Oracle Database@AWS ambiente soddisfi i seguenti requisiti:

  • Il VPC collegato tramite peering alla rete ODB deve trovarsi nello stesso. Account AWS Se il VPC peered si trova in un account diverso dalla rete ODB, gli allegati del gateway di transito falliscono indipendentemente dalle configurazioni di condivisione.

  • Il VPC collegato alla rete ODB deve disporre di un gateway di transito collegato.

    Nota

    Se il gateway di transito è configurato per la condivisione, può risiedere in qualsiasi account. Pertanto, non è necessario che il gateway stesso si trovi nello stesso account della rete VPC e ODB.

  • L'allegato del gateway di transito deve trovarsi nella stessa zona di disponibilità (AZ) della rete ODB.

Limitazioni

Tieni presente le seguenti limitazioni di Amazon VPC Transit Gateway per: Oracle Database@AWS

  • Amazon VPC Transit Gateways non offre l'integrazione nativa per utilizzare una rete ODB come allegato. Pertanto, le funzionalità VPC come le seguenti non sono disponibili:

    • Risoluzione di nomi host DNS pubblici in indirizzi IP privati

    • Notifica degli eventi per le modifiche alla topologia della rete ODB, al routing e allo stato della connessione

  • Il traffico multicast verso la rete ODB non è supportato.

Impostazione e configurazione di un gateway di transito

Puoi creare e configurare un gateway di transito utilizzando la console o aws ec2 i comandi Amazon VPC. La procedura seguente presuppone che tu non abbia una rete ODB collegata a un VPC nel tuo. Account AWS Se nel tuo account sono già presenti una rete ODB e un VPC, salta i passaggi 1—3.

Nota

Se colleghi o ricolleghi gli allegati sul tuo VPC, assicurati di reinserire gli intervalli CIDR nella rete ODB ODB.

Per impostare e configurare un gateway di transito per Oracle Database@AWS

  1. Creare una rete ODB. Per ulteriori informazioni, consulta Fase 1: Creare una rete ODB in Oracle Database@AWS.

  2. Crea un VPC, utilizzando lo stesso account che contiene la rete ODB. Per ulteriori informazioni, consulta Create a VPC nella Amazon VPC User Guide.

  3. Crea una connessione peering ODB tra la tua rete ODB e il tuo VPC. Per ulteriori informazioni, consulta Configurazione del peering ODB su un Amazon VPC in Oracle Database@AWS.

  4. Configura un gateway di transito seguendo la procedura descritta in Introduzione all'uso di Amazon VPC Transit Gateways. Il gateway deve appartenere alla rete ODB e al VPC o essere condiviso da un altro account. Account AWS

    Importante

    Crea l'allegato del gateway di transito nella stessa AZ della rete ODB.

  5. Aggiungi gli intervalli CIDR alla tua rete ODB per le reti locali VPCs e le reti locali che intendi collegare alla tua rete principale. Per ulteriori informazioni, consulta Aggiornamento di una rete ODB in Oracle Database@AWS.

    Se utilizzi la CLI, esegui il comando update-odb-network con --peered-cidrs-to-be-added and. --peered-cidrs-to-be-removed Per ulteriori informazioni, consulta la sezione relativa alle informazioni di riferimento ai comandi di AWS CLI.

Configurazione di AWS Cloud WAN per Oracle Database@AWS

AWS Cloud WAN è un servizio di rete WAN (Wide Area Networking) gestito. Puoi utilizzare AWS Cloud WAN per creare, gestire e monitorare una rete globale unificata che collega le risorse in esecuzione negli ambienti cloud e locali.

In AWS Cloud WAN, una rete globale è un'unica rete privata che funge da contenitore di alto livello per gli oggetti di rete. Una rete centrale è la parte della rete globale gestita da AWS.

AWS Il cloud WAN offre i seguenti vantaggi chiave:

  • Gestione centralizzata della rete che semplifica le operazioni mantenendo la sicurezza in più regioni

  • Reti principali con segmentazione integrata per isolare il traffico attraverso più domini di routing

  • Support per policy per automatizzare la gestione della rete e definire configurazioni coerenti in tutta la rete globale

In Oracle Database@AWS, una rete ODB supporta il peering su un solo VPC. Se connetti una rete centrale AWS Cloud WAN a un VPC peered, abilita il routing globale del traffico. Le applicazioni collegate in più VPCs regioni possono accedere ai cluster VM Exadata nella rete ODB. È possibile isolare il traffico di rete ODB nel proprio segmento o abilitare l'accesso ad altri segmenti.

Il diagramma seguente mostra una rete centrale AWS Cloud WAN connessa a tre VPCs e una rete locale.

Mostra una rete ODB peerizzata con un VPC connesso a una rete centrale AWS Cloud WAN. La rete è connessa a tre reti VPCs e a una rete locale.

AWS Cloud WAN non offre l'integrazione nativa per utilizzare una rete ODB come allegato. Pertanto, le funzionalità VPC come le seguenti non sono disponibili:

  • Risoluzione di nomi host DNS pubblici in indirizzi IP privati

  • Notifica degli eventi per le modifiche alla topologia della rete ODB, al routing e allo stato della connessione

In AWS Cloud WAN, ti viene addebitato ogni ora quanto segue:

  • Numero di regioni (periferie della rete principale)

  • Numero di allegati alla rete principale

  • La quantità di traffico che fluisce attraverso la rete principale attraverso gli allegati

Per informazioni dettagliate sui prezzi, consulta i prezzi di AWS Cloud WAN.

Per configurare una rete principale per Oracle Database@AWS

  1. Aggiungi intervalli CIDR alla tua rete ODB per le reti locali VPCs e per le reti locali che intendi collegare alla tua rete principale. Per ulteriori informazioni, consulta Aggiornamento di una rete ODB in Oracle Database@AWS.

    Nota

    Se colleghi o ricolleghi gli allegati sul tuo VPC, assicurati di reinserire gli intervalli CIDR nella rete ODB ODB.

  2. Segui i passaggi descritti in Creare una rete globale e una rete principale AWS Cloud WAN.