在 Oracle 数据库中配置与 Amazon VPC 的 ODB 对等连接@AWS - Oracle Database@AWS
设置 ODB 对等互连为 ODB 对等互连配置 VPC 路由表配置 DNS配置 Amazon VPC 中转网关 Oracle Database@AWS为以下 AWS 各项配置云 WAN Oracle Database@AWS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Oracle 数据库中配置与 Amazon VPC 的 ODB 对等连接@AWS

ODB 对等互连是用户创建的网络连接,它允许在 Amazon VPC 和 ODB 网络之间私下路由流量。VPC 和 ODB 网络之间存在 one-to-one关系。使用控制台、CLI 或 API 创建对等连接后,请务必更新您的 VPC 路由表并配置 DNS 解析。有关 ODB 对等互连的概念性概述,请参阅。ODB 对等互连

在 Oracle 数据库中创建 ODB 对等连接@AWS

通过 ODB 对等连接,您可以在 Oracle Exadata 基础设施和亚马逊上运行的应用程序之间建立私有网络连接。 VPCs每个 ODB 对等连接都是一个单独的资源,您可以独立于 ODB 网络创建、查看和删除该资源。

创建 ODB 对等连接时,您可以指定对等网络 CIDR 范围。这种技术限制了对所需子网的网络访问,减少了潜在的攻击目标,并支持更精细的网络分段以满足合规性要求。

您可以创建以下类型的 ODB 对等连接:

同账户 ODB 对等

您可以在同一个账户中的 ODB 网络和 Amazon VPC 之间创建 ODB 对等连接。 AWS

跨账户 ODB 对等

使用共享 ODB 网络后,您可以在一个账户中的 ODB 网络与另一个账户中的 Amazon VPC 之间创建 ODB 对等连接。 AWS RAM VPC 所有者账户可以管理对等连接中指定的 CIDR 范围,而无需拥有 ODB 网络。

VPC 和 ODB 网络之间存在一对一的关系。您无法在一个 VPC 和多个 ODB 网络之间或一个 ODB 网络与多个 ODB 网络之间创建 ODB 对等连接。 VPCs

  1. 登录 AWS 管理控制台 并打开 Oracle Database@AWS 控制台,网址为https://console.aws.amazon.com/odb/

  2. 在导航窗格中,选择 ODB 对等连接。

  3. 选择创建 ODB 对等连接

  4. (可选)对于 ODB 对等名称,请输入连接的唯一名称。

  5. 对于 ODB 网络,请选择要对等的 ODB 网络。

  6. 对于点对等网络,请选择要与您的 ODB 网络对等的 Amazon VPC。

  7. (可选)对于对等网络 CIDRs,请指定来自可以访问 ODB 网络的对等 VPC 的其他 CIDR 块。如果您未指定 CIDRs,则允许所有 CIDRs 来自对等 VPC 的访问权限。

  8. (可选)在 “标签” 中,添加密钥和值对。

  9. 选择创建 ODB 对等连接

创建 ODB 对等连接后,配置您的 Amazon VPC 路由表以将流量路由到对等 ODB 网络。有关更多信息,请参阅 为 ODB 对等互连配置 VPC 路由表。请注意,Oracle Database@AWS 会自动配置 ODB 网络路由表。

要创建 ODB 对等连接,请使用命令。create-odb-peering-connection

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

要将对 ODB 网络的访问限制在特定 CIDR 范围内,请使用参数。--peer-network-cidrs-to-be-added如果您未指定 CIDR 范围,则所有范围都有访问权限。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

要列出您的 ODB 对等连接,请使用命令。list-odb-peering-connections

aws odb list-odb-peering-connections

要获取有关特定 ODB 对等连接的详细信息,请使用命令。get-odb-peering-connection

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

更新 ODB 对等连接

您可以更新现有的 ODB 对等连接以添加或删除对等网络。 CIDRs您可以控制对等 VPC 中的哪些子网可以访问您的 ODB 网络。

  1. 登录 AWS 管理控制台 并打开 Oracle Database@AWS 控制台,网址为https://console.aws.amazon.com/odb/

  2. 在导航窗格中,选择 ODB 对等连接。

  3. 选择要更新的 ODB 对等连接。

  4. 选择 “操作”,然后选择 “更新对等连接”。

  5. 在 “对等网络 CIDRs” 部分,根据需要添加或删除 CIDR 块:

    • 要添加 CIDRs,请选择添加 CIDR 并输入 CIDR 块。

    • 要移除 CIDRs,请选择要移除的 CIDR 块旁边的 X

  6. 选择 “更新对等连接”。

要向 ODB 对等连接添加对等网络 CIDRs ,请在命令--peer-network-cidrs-to-be-addedupdate-odb-peering-connection指定参数。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

要 CIDRs 从 ODB 对等连接中删除对等网络,请在命令--peer-network-cidrs-to-be-removedupdate-odb-peering-connection指定参数。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

为 ODB 对等互连配置 VPC 路由表

路由表包含一组被称为路由的规则,决定了来自您的子网或网关的网络流量将指向何处。路由表中的目标 CIDR 是您希望流量到达的 IP 地址范围。如果您指定了 VPC 以便与 ODB 网络的 ODB 对等互连,请使用 ODB 网络中的目标 IP 范围更新您的 VPC 路由表。有关 ODB 对等的更多信息,请参阅。ODB 对等互连

要更新路由表,请使用 AWS CLI ec2 create-route命令。以下示例更新了 Amazon VPC 路由表。有关更多信息,请参阅 为 ODB 对等互连配置 VPC 路由表。

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

ODB 网络路由表会使用 VPC CIDRs 自动更新。要仅允许特定子网 CIDRs 而不是 VPC CIDRs 中的所有子网访问 ODB 网络,您可以在创建 ODB 对等连接 CIDRs 时指定对等网络,或者更新现有 ODB 对等连接以添加或删除对等 CIDR 范围。有关更多信息,请参阅在 Oracle 数据库中创建 ODB 对等连接@AWS更新 ODB 对等连接

有关 VPC 路由表的更多信息,请参阅 Amazon Virtual Private Cloud 用户指南中的子网路由表和《AWS CLI 命令参考》中的 ec2 create- route。

配置 DNS Oracle Database@AWS

Amazon Route 53 是一项高度可用且可扩展的域名系统 (DNS) 网络服务,您可以将其用于 DNS 路由。在您的 ODB 网络和 VPC 之间创建 ODB 对等连接时,您需要一种机制来解析来自 VPC 内部的 ODB 网络资源的 DNS 查询。您可以使用 Amazon Route 53 配置以下资源:

  • 出站终端节点

    需要使用终端节点才能向 ODB 网络发送 DNS 查询。

  • 解析器规则

    此规则指定了 Route 53 解析器转发给 ODB 网络的 DNS 的 DNS 查询的域名。

DNS 的工作原理 Oracle Database@AWS

Oracle Database@AWS 自动管理 ODB 网络的域名系统 (DNS) 配置。对于域名,您可以为默认域名指定自定义前缀,也可以指定完全自定义的域名。oraclevcn.com有关更多信息,请参阅 步骤 1:在中创建 ODB 网络 Oracle Database@AWS

置 Oracle Database@AWS 备 ODB 网络时,它会创建以下资源:

  • 与 ODB 网络具有相同的 CIDR 块的 Oracle 云基础架构 (OCI) 虚拟云网络 (VCN)

    此 VCN 位于客户的关联 OCI 租赁中。ODB 网络和 OCI VCN 之间有 1:1 的映射。每个 ODB 网络都与 OCI VCN 相关联。

  • OCI VCN 中的私有 DNS 解析器

    此 DNS 解析器处理 OCI VCN 中的 DNS 查询。OCI 自动化会为虚拟机集群创建记录。扫描使用*.oraclevcn.com完全限定域名 (FQDN)。

  • OCI VCN 中专用 DNS 解析器的 DNS 监听端点

    您可以在 Oracle Database@AWS 控制台的 ODB 网络详细信息页面中找到 DNS 侦听端点。

在 ODB 网络中配置出站终端节点 Oracle Database@AWS

出站终端节点允许将 DNS 查询从您的 VPC 发送到网络或 IP 地址。端点指定查询来源的 IP 地址。要将 DNS 查询从您的 VPC 转发到您的 ODB 网络,请使用 Route 53 控制台创建出站终端节点。有关更多信息,请参阅将出站 DNS 查询转发到您的网络

在 ODB 网络中配置出站终端节点

  1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 从左侧窗格中,选择出站终端节点

  3. 在导航栏上,为要创建出站终端节点的 VPC 选择区域

  4. 选择 Create outbound endpoint (创建出站端点)

  5. 按如下方式填写出站终端节点的常规设置部分:

    1. 选择一个允许出站 TCP 和 UDP 连接到以下内容的安全组

      • 解析器在您的 ODB 网络上进行 DNS 查询时使用的 IP 地址

      • 解析器在您的 ODB 网络上用于 DNS 查询的端口

    2. 终端节点类型选择 IPv4

    3. 对于此端点的协议,请选择 Do53

  6. IP 地址中,提供以下信息:

    • 要么指定 IP 地址,要么让 Route 53 解析器从子网中的可用地址中为您选择 IP 地址。选择 2 个至多 6 个 IP 地址进行 DNS 查询。我们建议您至少在两个不同的可用区中选择 IP 地址。

    • 对于子网,请选择具有以下内容的子网:

      • 包含指向 ODB 网络上 DNS 侦听器 IP 地址的路由的路由表

      • 网络访问控制列表 (ACLs),允许 UDP 和 TCP 流量到解析器在 ODB 网络上进行 DNS 查询时使用的 IP 地址和端口

      • 允许来自目标端口范围为 1024-65535 的解析器的流量的网络 ACLs

  7. (可选)在 “标签” 中,为终端节点指定标签。

  8. 选择提交

在中配置解析器规则 Oracle Database@AWS

解析器规则是一组确定如何路由 DNS 查询的标准。要么重复使用,要么创建一个规则,指定解析器转发给 ODB 网络的 DNS 的 DNS 查询的域名。

使用现有的解析器规则

要使用现有的解析器规则,您的操作取决于规则的类型:

适用于与您的 VPC 位于相同 AWS 区域的相同域的规则 AWS 账户

将规则与您的 VPC 关联,而不是创建新规则。从规则控制面板中选择规则,并将其与该 VPCs AWS 地区的适用规则相关联。

适用于与您的 VPC 位于相同区域但账户不同的域的规则

用于 AWS Resource Access Manager 将远程账户中的规则共享到您的账户。共享规则时,您还会共享相应的出站终端节点。与您的账户共享规则后,从规则控制面板中选择该规则,然后将其与您账户 VPCs 中的相关联。有关更多信息,请参阅管理转发规则

创建新的解析器规则

如果您无法重复使用现有的解析器规则,请使用 Amazon Route 53 控制台创建新规则。

创建新的解析器规则

  1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/

  2. 从左侧窗格中选择 “规则”。

  3. 在导航栏上,为出站终端节点所在的 VPC 选择区域

  4. 选择 Create rule(创建规则)。

  5. 按如下方式填写 “出站流量规则” 部分:

    1. 对于规则类型,选择转发规则

    2. 在 “域名” 中,指定 ODB 网络中的完整域名。

    3. VPCs 此,请使用此规则,将其与 DNS 查询从中转发到您的 ODB 网络的 VPC 相关联。

    4. 对于出站终端节点,请选择您在中创建的出站终端节点在 ODB 网络中配置出站终端节点 Oracle Database@AWS

      注意

      与此规则关联的 VPC 不必与您在其中创建出站终端节点的 VPC 相同。

  6. 按如下方式填写 “目标 IP 地址” 部分:

    1. 对于 IP 地址,请指定 ODB 网络上的 DNS 侦听器 IP 的 IP 地址。

    2. 对于 “端口”,指定 53。这是解析器用于 DNS 查询的端口。

      注意

      Route 53 解析器将匹配此规则且来自与此规则关联的 VPC 的 DNS 查询转发到引用的出站终端节点。这些查询会转发到您在目标 IP 地址中指定的目标 IP 地址

    3. 对于传输协议,请选择 Do53

  7. (可选)在 “标签” 中,为规则指定标签。

  8. 选择提交

在中测试您的 DNS 配置 Oracle Database@AWS

创建出站终端节点和解析器规则后,请进行测试以确保 DNS 解析正确。使用应用程序 VPC 中的 Amazon EC2 实例,按如下方式执行 DNS 解析:

适用于 Linux 或 macOS

使用表单命令dig record-name record-type

对于 Windows:

使用表单命令nslookup -type=record-name record-type

配置 Amazon VPC 中转网关 Oracle Database@AWS

Amazon VPC Transit Gateways 是一个网络传输中心,可将虚拟私有云 (VPCs) 和本地网络互连。 hub-and-spoke架构中的每个 VPC 都可以连接到传输网关,从而访问其他连接的 VPC VPCs。 AWS Transit Gateway 支持 IPv4 和的流量 IPv6。

在中 Oracle Database@AWS,ODB 网络仅支持与一个 VPC 的对等连接。如果您将传输网关连接到与 ODB 网络对等的 VPC,则可以将多个传输网关 VPCs 连接到该网关。在这些不同环境中运行的应用程序 VPCs 可以访问在您的 ODB 网络中运行的 Exadata 虚拟机集群。

下图显示了连接到两个 VPCs 和一个本地网络的传输网关。

显示与连接到传输网关的 VPC 对等的 ODB 网络。网关连接到 VPC 和本地网络。

在上图中,一个 VPC 与 ODB 网络建立对等关系。在此配置中,ODB 网络可以将流量路由到所有 VPCs 连接到传输网关的网络。每个 VPC 的路由表包括本地路由和将发往 ODB 网络的流量发送到中转网关的路由。

在中 AWS Transit Gateway,您需要为每小时与公交网关建立的连接次数和流经的流量付费 AWS Transit Gateway。有关费用信息,请参阅AWS Transit Gateway 定价

要求

确保您的 Oracle Database@AWS 环境满足以下要求:

  • 与您的 ODB 网络对等的 VPC 必须位于相同的 VPC 中。 AWS 账户如果对等互连 VPC 的账户与 ODB 网络不同,则无论共享配置如何,传输网关连接都会失败。

  • 与您的 ODB 网络对等的 VPC 必须具有传输网关连接。

    注意

    如果将传输网关配置为共享,则它可以驻留在任何账户中。因此,网关本身不必与 VPC 和 ODB 网络位于同一个账户中。

  • 传输网关连接必须与 ODB 网络位于同一个可用区 (AZ) 中。

限制

请注意 Amazon VPC 传输网关在以下方面的限制 Oracle Database@AWS:

  • Amazon VPC Transit Gateways 不提供将 ODB 网络用作附件的原生集成。因此,诸如以下的 VPC 功能不可用:

    • 将公有 DNS 主机名解析为私有 IP 地址

    • ODB 网络拓扑、路由和连接状态变化的事件通知

  • 不支持到 ODB 网络的多播流量。

设置和配置传输网关

您可以使用 Amazon VPC 控制台或aws ec2命令创建和配置传输网关。以下过程假设您中没有与 VPC 对等的 ODB 网络。 AWS 账户如果您的账户中已有 ODB 网络和 VPC 对等,请跳过步骤 1-3。

注意

如果您在 VPC 上连接或重新连接附件,请确保重新输入 ODB ODB 网络的 CIDR 范围。

为以下目的设置和配置传输网关 Oracle Database@AWS

  1. 创建 ODB 网络。有关更多信息,请参阅 步骤 1:在中创建 ODB 网络 Oracle Database@AWS

  2. 使用包含 ODB 网络的相同账户创建 VPC。有关更多信息,请参阅 Amazon VPC 用户指南中的创建 VPC。

  3. 在您的 ODB 网络和 VPC 之间创建 ODB 对等连接。有关更多信息,请参阅 在 Oracle 数据库中配置与 Amazon VPC 的 ODB 对等连接@AWS

  4. 按照开始使用 Amazon VPC 传输网关中的步骤设置传输网关。网关必须与 ODB 网络和 VPC 处于 AWS 账户 相同状态,或者由其他账户共享。

    重要

    在 ODB 网络所在的可用区中创建传输网关附件。

  5. 将 CIDR 范围添加到您计划连接到核心网络的 ODB 网络 VPCs 和本地网络。有关更多信息,请参阅 更新中的 ODB 网络 Oracle Database@AWS

    如果您使用的是 CLI,请update-odb-network使用--peered-cidrs-to-be-added和运行命令--peered-cidrs-to-be-removed。有关更多信息,请参阅 AWS CLI 命令参考

为以下 AWS 各项配置云 WAN Oracle Database@AWS

AWS 云广域网是一项托管广域网 (WAN) 服务。您可以使用 AWS Cloud WAN 来构建、管理和监控统一的全球网络,该网络连接在云端和本地环境中运行的资源。

在 AWS Cloud WAN 中,全球网络是一个单独的私有网络,它充当网络对象的高级容器。核心网络是您的全球网络中由管理的部分 AWS。

AWS 云广域网具有以下主要优势:

  • 集中式网络管理,可简化操作,同时维护多个区域的安全

  • 具有内置分段功能的核心网络,可隔离通过多个路由域的流量

  • Support 支持策略以实现网络管理的自动化,并在您的全球网络中定义一致的配置

在 Oracle Database@ 中AWS,ODB 网络仅支持与一个 VPC 建立对等关系。如果您将 AWS Cloud WAN 核心网络连接到对等 VPC,则它会启用全球流量路由。 VPCs 跨多个区域连接的应用程序可以访问您的 ODB 网络中的 Exadata 虚拟机集群。您可以将 ODB 网络流量隔离在自己的分段中,也可以允许访问其他分段。

下图显示了连接到三个 VPCs 和一个本地网络的 AWS Cloud WAN 核心网络。

显示与连接到 AWS 云广域网核心网络的 VPC 对等的 ODB 网络。该网络与三个网络 VPCs 和一个本地网络相连。

AWS Cloud WAN 不提供将 ODB 网络用作附件的原生集成。因此,诸如以下的 VPC 功能不可用:

  • 将公有 DNS 主机名解析为私有 IP 地址

  • ODB 网络拓扑、路由和连接状态变化的事件通知

在 AWS Cloud WAN 中,以下各项按小时收费:

  • 区域数量(核心网络边缘)

  • 核心网络连接数量

  • 通过附件流经核心网络的流量量

有关详细定价信息,请参阅 AWS Cloud WAN 定价

为配置核心网络 Oracle Database@AWS

  1. 将 CIDR 范围添加到您计划连接到核心网络的 ODB 网络 VPCs 和本地网络。有关更多信息,请参阅 更新中的 ODB 网络 Oracle Database@AWS

    注意

    如果您在 VPC 上连接或重新连接附件,请确保重新输入 ODB ODB 网络的 CIDR 范围。

  2. 按照创建 AWS Cloud WAN 全球网络和核心网络中的步骤操作。