在 Oracle Database@ 中設定 ODB 對等互連至 Amazon VPC AWS - Oracle Database@AWS
設定 ODB 對等互連設定 ODB 對等互連的 VPC 路由表設定 DNS設定 的 Amazon VPC Transit Gateway Oracle Database@AWS設定 的 AWS 雲端 WAN Oracle Database@AWS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Oracle Database@ 中設定 ODB 對等互連至 Amazon VPC AWS

ODB 對等互連是使用者建立的網路連線,可讓流量在 Amazon VPC 和 ODB 網路之間私下路由。VPC 與 ODB 網路之間有one-to-one的關係。使用主控台、CLI 或 API 建立對等連線後,請務必更新您的 VPC 路由表並設定 DNS 解析。如需 ODB 對等互連的概念概觀,請參閱 ODB 對等互連

在 Oracle Database@ 中建立 ODB 對等互連AWS

透過 ODB 互連連線,您可以在 Oracle Exadata 基礎設施與 Amazon VPCs 中執行的應用程式之間建立私有網路連線。每個 ODB 互連連線都是獨立的資源,您可以獨立於 ODB 網路來建立、檢視和刪除。

建立 ODB 互連連線時,您可以指定對等網路 CIDR 範圍。此技術會限制對所需子網路的網路存取、減少攻擊的潛在目標,並針對合規要求啟用更精細的網路分段。

您可以建立下列類型的 ODB 互連連線:

相同帳戶 ODB 對等互連

您可以在相同 AWS 帳戶中的 ODB 網路和 Amazon VPC 之間建立 ODB 對等互連。

跨帳戶 ODB 對等互連

使用 ODB 網路共用後,您可以在一個帳戶中的 ODB 網路與不同帳戶中的 Amazon VPC 之間建立 ODB 對等互連 AWS RAM。VPC 擁有者帳戶可以管理互連連線中指定的 CIDR 範圍,而不需要擁有 ODB 網路。

VPC 與 ODB 網路之間有 1:1 的關係。您無法在 VPC 和多個 ODB 網路之間或 ODB 網路和多個 VPCs 之間建立 ODB 對等互連。

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/odb/ 開啟 Oracle Database@AWS 主控台。

  2. 在導覽窗格中,選擇 ODB 互連連線

  3. 選擇建立 ODB 對等互連

  4. (選用) 針對 ODB 對等互連名稱,輸入連線的唯一名稱。

  5. 針對 ODB 網路,選擇要對等的 ODB 網路。

  6. 針對對等網路,選擇要與 ODB 網路對等的 Amazon VPC。

  7. (選用) 對於對等網路 CIDRs,請從可存取 ODB 網路的對等 VPC 指定其他 CIDR 區塊。如果您未指定 CIDRs,則允許來自對等 VPC 的所有 CIDRs存取。

  8. (選用) 在標籤中,新增索引鍵和值對。

  9. 選擇建立 ODB 對等互連

建立 ODB 對等互連之後,請設定 Amazon VPC 路由表,將流量路由至對等 ODB 網路。如需詳細資訊,請參閱設定 ODB 對等互連的 VPC 路由表。請注意,Oracle Database@AWS 會自動設定 ODB 網路路由表。

若要建立 ODB 對等互連,請使用 create-odb-peering-connection命令。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890

若要將 ODB 網路的存取限制在特定 CIDR 範圍,請使用 --peer-network-cidrs-to-be-added 參數。如果您未指定 CIDR 範圍,則所有範圍都可以存取。

aws odb create-odb-peering-connection \
    --odb-network-id odbnet-1234567890abcdef \
    --peer-network-id vpc-abcdef1234567890 \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"

若要列出 ODB 對等互連,請使用 list-odb-peering-connections命令。

aws odb list-odb-peering-connections

若要取得特定 ODB 互連連線的詳細資訊,請使用 get-odb-peering-connection命令。

aws odb get-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef

更新 ODB 對等互連

您可以更新現有的 ODB 互連連線,以新增或移除對等網路 CIDRs。您可以控制對等 VPC 中哪些子網路可以存取您的 ODB 網路。

  1. 登入 AWS 管理主控台 ,並在 https://https://console.aws.amazon.com/odb/ 開啟 Oracle Database@AWS 主控台。

  2. 在導覽窗格中,選擇 ODB 對等互連

  3. 選取您要更新的 ODB 互連連線。

  4. 選擇動作,然後選擇更新對等連線

  5. 對等網路 CIDRs區段中,視需要新增或移除 CIDR 區塊:

    • 若要新增 CIDRs,請選擇新增 CIDR,然後輸入 CIDR 區塊。

    • 若要移除 CIDRs,請選擇您要移除之 CIDR 區塊旁的 X

  6. 選擇更新對等連線

若要將對等網路 CIDRs 新增至 ODB 對等連線,請在 update-odb-peering-connection命令--peer-network-cidrs-to-be-added中指定 參數。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"

若要從 ODB 對等連線中移除對等網路 CIDRs,請在 update-odb-peering-connection命令--peer-network-cidrs-to-be-removed中指定 參數。

aws odb update-odb-peering-connection \
    --odb-peering-connection-id odbpcx-1234567890abcdef \
    --peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"

設定 ODB 對等互連的 VPC 路由表

路由表包含一組名為路由的規則,可判斷來自子網或閘道之網路流量的方向。路由表中的目的地 CIDR 是您希望流量前往的 IP 地址範圍。如果您為 ODB 網路的 ODB 對等指定 VPC,請使用 ODB 網路中的目的地 IP 範圍更新您的 VPC 路由表。如需 ODB 對等互連的詳細資訊,請參閱 ODB 對等互連

若要更新路由表,請使用 AWS CLI ec2 create-route命令。下列範例會更新 Amazon VPC 路由表。如需詳細資訊,請參閱設定 ODB 對等互連的 VPC 路由表。

aws ec2 create-route \
    --route-table-id rtb-1234567890abcdef \
    --destination-cidr-block 10.0.0.0/16 \
    --odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef

ODB 網路路由表會自動更新為 VPC CIDRs。若要只允許存取特定子網路 CIDRs 的 ODB 網路,而不是 VPC 中的所有 CIDRs,您可以在建立 ODB 對等互連時指定對等網路 CIDRs,或更新現有的 ODB 對等互連連線以新增或移除對等 CIDR 範圍。如需詳細資訊,請參閱在 Oracle Database@ 中建立 ODB 對等互連AWS更新 ODB 對等互連

如需 VPC 路由表的詳細資訊,請參閱《Amazon Virtual Private Cloud 使用者指南》中的子網路路由表和《 AWS CLI 命令參考》中的 ec2 create-route

設定 的 DNS Oracle Database@AWS

Amazon Route  53 是一種高可用性且可擴展的網域名稱系統 (DNS) Web 服務,可用於 DNS 路由。當您在 ODB 網路與 VPC 之間建立 ODB 對等互連時,您需要一種機制,才能從 VPC 內解析 ODB 網路資源的 DNS 查詢。您可以使用 Amazon Route  53 來設定下列資源:

  • 傳出端點

    需要端點才能將 DNS 查詢傳送至 ODB 網路。

  • 解析程式規則

    此規則會指定 Route  53 Resolver 轉送至 ODB 網路之 DNS 的 DNS 查詢網域名稱。

DNS 如何在 中運作 Oracle Database@AWS

Oracle Database@AWS 會自動管理 ODB 網路的網域名稱系統 (DNS) 組態。對於網域名稱,您可以指定預設網域名稱的自訂字首oraclevcn.com或完全自訂的網域名稱。如需詳細資訊,請參閱步驟 1:在 中建立 ODB 網路 Oracle Database@AWS

當 Oracle Database@AWS 佈建 ODB 網路時,它會建立下列資源:

  • 與 ODB 網路具有相同 CIDR 區塊的 Oracle Cloud Infrastructure (OCI) 虛擬雲端網路 (VCN)

    此 VCN 位於客戶連結的 OCI 租用中。ODB 網路與 OCI VCN 之間有 1:1 映射。每個 ODB 網路都與 OCI VCN 相關聯。

  • OCI VCN 中的私有 DNS 解析程式

    此 DNS 解析程式會在 OCI VCN 中處理 DNS 查詢。OCI 自動化會建立 VM 叢集的記錄。掃描使用*.oraclevcn.com完整網域名稱 (FQDN)。

  • 私有 DNS 解析程式的 OCI VCN 內 DNS 接聽端點

    您可以在 主控台的 ODB 網路詳細資訊頁面 Oracle Database@AWS 中找到 DNS 接聽端點。

在 中的 ODB 網路中設定傳出端點 Oracle Database@AWS

傳出端點允許 DNS 查詢從您的 VPC 傳送至網路或 IP 地址。端點會指定查詢來源的 IP 地址。若要將 DNS 查詢從 VPC 轉送到您的 ODB 網路,請使用 Route 53 主控台建立傳出端點。如需詳細資訊,請參閱轉送傳出 DNS 查詢到您的網路

在 ODB 網路中設定傳出端點

  1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://https://console.aws.amazon.com/route53/

  2. 從左側窗格中,選擇傳出端點

  3. 在導覽列上,選擇您要建立傳出端點的 VPC 區域

  4. 選擇 Create outbound endpoint (建立傳出端點)

  5. 完成傳出端點的一般設定區段,如下所示:

    1. 選擇允許傳出 TCP 和 UDP 連線至下列項目的安全群組

      • 解析程式用於 ODB 網路上 DNS 查詢的 IP 地址

      • 解析程式用於 ODB 網路上 DNS 查詢的連接埠

    2. 針對端點類型,選擇 IPv4

    3. 針對此端點的通訊協定,選擇 Do53

  6. IP 地址中,提供下列資訊:

    • 指定 IP 地址,或讓 Route  53 Resolver 從子網路中的可用地址為您選擇 IP 地址。為 DNS 查詢選擇最少 2 個最多 6 個 IP 地址。我們建議您在至少兩個不同的可用區域中選擇 IP 地址。

    • 針對子網路,選擇具有下列項目的子網路:

      • 包含路由到 ODB 網路上 DNS 接聽程式 IP 地址的路由表

      • 網路存取控制清單 ACLs),允許 UDP 和 TCP 流量流向 IP 地址和解析程式用於 ODB 網路上 DNS 查詢的連接埠

      • 允許來自目的地連接埠範圍 1024-65535 上解析程式流量的網路 ACLs

  7. (選用) 針對標籤,指定端點的標籤。

  8. 選擇提交

在 中設定解析程式規則 Oracle Database@AWS

解析程式規則是一組條件,可決定如何路由 DNS 查詢。重複使用或建立規則,指定解析程式轉送至 ODB 網路 DNS 的 DNS 查詢網域名稱。

使用現有的解析程式規則

若要使用現有的解析程式規則,您的動作取決於規則的類型:

與 中 VPC 位於相同 AWS 區域中相同網域的規則 AWS 帳戶

將規則與 VPC 建立關聯,而不是建立新的規則。從規則儀表板中選擇規則,並將其與 AWS 區域中適用的 VPCs建立關聯。

與您的 VPC 位於相同區域中但位於不同帳戶中之相同網域的規則

使用 將規則從遠端帳戶 AWS Resource Access Manager 共用到您的帳戶。當您共用規則時,也會共用對應的傳出端點。在您與帳戶共用規則之後,請從規則儀表板中選擇規則,並將其與帳戶中VPCs 建立關聯。如需詳細資訊,請參閱管理轉送規則

建立新的解析程式規則

如果您無法重複使用現有的解析程式規則,請使用 Amazon Route  53 主控台建立新的規則。

建立新的解析程式規則

  1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://https://console.aws.amazon.com/route53/

  2. 從左側窗格中,選擇規則

  3. 在導覽列上,選擇傳出端點所在的 VPC 區域

  4. 選擇建立規則

  5. 完成傳出流量區段的規則,如下所示:

    1. 針對規則類型,選擇轉送規則

    2. 針對網域名稱,指定來自 ODB 網路的完整網域名稱。

    3. 對於使用此規則VPCs,請將它與轉送 DNS 查詢到您的 ODB 網路的 VPC 建立關聯。

    4. 針對傳出端點,選擇您在 中建立的傳出端點在 中的 ODB 網路中設定傳出端點 Oracle Database@AWS

      注意

      與此規則相關聯的 VPC 不需要與您建立傳出端點的 VPC 相同。

  6. 完成目標 IP 地址區段,如下所示:

    1. 針對 IP 地址,指定 ODB 網路上 DNS 接聽程式 IP 的 IP 地址。

    2. 針對連接埠,指定 53。這是解析程式用於 DNS 查詢的連接埠。

      注意

      Route 53 Resolver 轉送符合此規則的 DNS 查詢,並且源自與此規則相關聯的 VPC 至參考的傳出端點。這些查詢會轉送到您在目標 IP 地址中指定的目標 IP 地址

    3. 針對傳輸通訊協定,選擇 Do53

  7. (選用) 針對標籤,指定規則的標籤。

  8. 選擇提交

在 中測試您的 DNS 組態 Oracle Database@AWS

在您建立傳出端點和解析程式規則之後,請測試 以確保 DNS 正確解析。在應用程式 VPC 中使用 Amazon EC2 執行個體,執行 DNS 解析,如下所示:

對於 Linux 或 MacOS

使用格式為 的命令dig record-name record-type

適用於 Windows

使用格式為 的命令nslookup -type=record-name record-type

設定 的 Amazon VPC Transit Gateway Oracle Database@AWS

Amazon VPC Transit Gateways 是一種網路傳輸中樞,可互連虛擬私有雲端 (VPCs) 和內部部署網路。hub-and-spoke架構中的每個 VPC 都可以連線至傳輸閘道,以取得其他連線 VPCs存取權。 AWS Transit Gateway 支援 IPv4 和 IPv6 的流量。

在 中 Oracle Database@AWS,ODB 網路僅支援對等互連至一個 VPC。如果您將傳輸閘道連接到對等至 ODB 網路的 VPC,您可以將多個 VPCs連接到此閘道。在這些不同 VPCs可以存取在您的 ODB 網路中執行的 Exadata VM 叢集。

下圖顯示連線至兩個 VPCs和一個內部部署網路的傳輸閘道。

顯示與連接到傳輸閘道的 VPC 對等的 ODB 網路。閘道會連線至 VPC 和內部部署網路。

在上圖中,一個 VPC 會對等至 ODB 網路。在此組態中,ODB 網路可以將流量路由到連接到傳輸閘道的所有 VPCs。每個 VPC 的路由表都包含本機路由,以及將目的地為 ODB 網路的流量傳送至傳輸閘道的路由。

在 中 AWS Transit Gateway,系統會針對您每小時對傳輸閘道進行的連線數,以及流經的流量,向您收費 AWS Transit Gateway。如需成本資訊,請參閱 AWS Transit Gateway 定價

要求

請確定您的 Oracle Database@AWS 環境符合下列要求:

  • 對等至 ODB 網路的 VPC 必須位於相同的 中 AWS 帳戶。如果對等 VPC 位於與 ODB 網路不同的帳戶中,無論共用組態為何,傳輸閘道附件都會失敗。

  • 對等至 ODB 網路的 VPC 必須具有傳輸閘道連接。

    注意

    如果傳輸閘道設定為共用,它可以位於任何帳戶中。因此,閘道本身不需要與 VPC 和 ODB 網路位於相同的帳戶中。

  • 傳輸閘道連接必須位於與 ODB 網路相同的可用區域 (AZ)。

限制

請注意 Amazon VPC Transit Gateways 的下列限制 Oracle Database@AWS:

  • Amazon VPC Transit Gateways 不提供原生整合,以使用 ODB 網路做為附件。因此,無法使用下列 VPC 功能:

    • 公有 DNS 主機名稱解析為私有 IP 地址

    • ODB 網路拓撲、路由和連線狀態變更的事件通知

  • 不支援多點傳送流量到 ODB 網路。

設定傳輸閘道

您可以使用 Amazon VPC 主控台或aws ec2命令來建立和設定傳輸閘道。下列程序假設您的 中沒有與 VPC 對等的 ODB 網路 AWS 帳戶。如果 ODB 網路和 VPC 已在您的帳戶中對等,請略過步驟 1–3。

注意

如果您在 VPC 上連接或重新連接附件,請務必將 CIDR 範圍重新輸入至 ODB ODB 網路。

設定 的傳輸閘道 Oracle Database@AWS

  1. 建立 ODB 網路。如需詳細資訊,請參閱步驟 1:在 中建立 ODB 網路 Oracle Database@AWS

  2. 使用包含 ODB 網路的相同帳戶來建立 VPC。如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的建立 VPC。

  3. 在 ODB 網路和 VPC 之間建立 ODB 對等互連。如需詳細資訊,請參閱在 Oracle Database@ 中設定 ODB 對等互連至 Amazon VPC AWS

  4. 遵循使用 Amazon VPC Transit Gateways 開始使用中的步驟來設定傳輸閘道。閘道必須與 ODB 網路和 VPC 位於相同的 AWS 帳戶 中,或由另一個帳戶共用。

    重要

    在與 ODB 網路相同的 AZ 中建立傳輸閘道連接。

  5. 針對您計劃連接到核心網路VPCs 和內部部署網路,將 CIDR 範圍新增至您的 ODB 網路。如需詳細資訊,請參閱在 中更新 ODB 網路 Oracle Database@AWS

    如果您使用的是 CLI,請使用 update-odb-network--peered-cidrs-to-be-added和 執行 命令--peered-cidrs-to-be-removed。如需詳細資訊,請參閱 AWS CLI 命令參考

設定 的 AWS 雲端 WAN Oracle Database@AWS

AWS Cloud WAN 是一種受管廣域聯網 (WAN) 服務。您可以使用 AWS Cloud WAN 來建置、管理和監控統一的全域網路,以連接在雲端和內部部署環境中執行的資源。

在 AWS Cloud WAN 中,全域網路是單一的私有網路,可做為網路物件的高階容器。核心網路是 管理的全球網路的一部分 AWS。

AWS Cloud WAN 提供下列主要優點:

  • 集中式網路管理,可簡化操作,同時跨多個區域維護安全性

  • 具有內建分段的核心網路,可透過多個路由網域隔離流量

  • 支援政策,以自動化網路管理和定義全球網路的一致組態

在 Oracle Database@ 中AWS,ODB 網路僅支援對等互連至一個 VPC。如果您將 AWS Cloud WAN 核心網路連接到對等 VPC,則會啟用全域流量路由。跨多個區域的連接 VPCs 中的應用程式可以存取 ODB 網路中的 Exadata VM 叢集。您可以在自己的區段中隔離 ODB 網路流量,或啟用對其他區段的存取。

下圖顯示連接到三個 VPCs和一個內部部署網路的 AWS Cloud WAN 核心網路。

顯示與連接到 AWS Cloud WAN 核心網路的 VPC 對等的 ODB 網路。網路連接到三個 VPCs 和內部部署網路。

AWS Cloud WAN 不提供原生整合,以使用 ODB 網路做為附件。因此,無法使用下列 VPC 功能:

  • 公有 DNS 主機名稱解析為私有 IP 地址

  • ODB 網路拓撲、路由和連線狀態變更的事件通知

在 AWS Cloud WAN 中,您需要按小時支付下列費用:

  • 區域數目 (核心網路邊緣)

  • 核心網路附件的數量

  • 透過附件流經核心網路的流量

如需詳細的定價資訊,請參閱 AWS Cloud WAN 定價

設定 的核心網路 Oracle Database@AWS

  1. 針對您計劃連接到核心網路VPCs 和內部部署網路,將 CIDR 範圍新增至您的 ODB 網路。如需詳細資訊,請參閱在 中更新 ODB 網路 Oracle Database@AWS

    注意

    如果您在 VPC 上連接或重新連接附件,請務必將 CIDR 範圍重新輸入至 ODB ODB 網路。

  2. 請遵循建立 AWS Cloud WAN 全域網路和核心網路中的步驟。