Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Mengkonfigurasi VPN terowongan antara RDS Custom for Oracle primary dan replica instance

PDF
RSS
Mode fokus
Mengkonfigurasi VPN terowongan antara RDS Custom for Oracle primary dan replica instance - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

VPNTerowongan adalah koneksi terenkripsi antara dua atau lebih perangkat melalui jaringan. Untuk memastikan tingkat keamanan tertinggi untuk instans Oracle Data Guard Anda di RDS Custom for Oracle, kami sangat menyarankan Anda menerapkan VPN terowongan untuk mengenkripsi komunikasi antara instans utama dan siaga Anda. Terowongan berfungsi sebagai pengaman untuk data sensitif saat melakukan perjalanan jaringan antar instance. Meskipun konfigurasi ini opsional, kami merekomendasikannya sebagai praktik terbaik untuk mencapai keamanan data dan kepatuhan terhadap peraturan.

Pastikan Anda memenuhi prasyarat berikut:

  • Anda memiliki akses root ke host utama dan siaga.

  • Anda memiliki keahlian teknis untuk menjalankan ipsec perintah.

Untuk mengkonfigurasi VPN terowongan antara primer dan replika di RDS Custom for Oracle

  1. Tambahkan grup keamanan untuk instance utama dan instance siaga ke daftar izinkan menggunakan aturan berikut:

    ACTION FLOW SOURCE PROTO PORT

ALLOW ingress this-SG 50 (ESP) all (N/A)
ALLOW egress this-SG 50 (ESP) all (N/A)

ALLOW ingress this-SG 17 (UDP) 500 (IKE)
ALLOW egress this-SG 17 (UDP) 500 (IKE)

  2. Beralih ke pengguna akar.

    $ sudo su – root

  3. Jalankan perintah berikut pada instance utama dan instance siaga untuk menginisialisasi database Network Security Services (NSS) di bawah pengguna. root

    ipsec initnss --nssdir /etc/ipsec.d

  4. Hasilkan RSA kunci sebagai berikut:

    1. Pada contoh utama, buat kunci menggunakan salah satu dari ipsec perintah berikut, tergantung pada versi OS Anda.

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    2. Dapatkan kunci publik, yang Anda butuhkan untuk membuat konfigurasi. Dalam contoh berikut, contoh utama adalah left karena dalam ipsec bahasa, left mengacu pada perangkat yang sedang Anda konfigurasi, dan right mengacu pada perangkat di ujung lain terowongan.

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement

    3. Pada instance siaga, buat kunci untuk instance siaga. 

      ipsec newhostkey --nssdir /etc/ipsec.d       ## for Oracle Linux Version 8
ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9

    4. Dapatkan kunci publik untuk instance siaga, yang Anda perlukan untuk membuat konfigurasi. Dalam contoh berikut, contoh siaga adalah right karena mengacu pada perangkat di ujung lain terowongan.

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement

  5. Berdasarkan RSA kunci yang Anda peroleh, buat konfigurasi. Konfigurasi identik untuk instance primer dan instance siaga. Anda dapat menemukan IPv4 alamat instans utama dan IPv4 alamat instans siaga di AWS konsol.

    Pada instance utama dan instance siaga, simpan konfigurasi berikut ke file/etc/ipsec.d/custom-fb-tunnel.conf.

    conn custom-db-tunnel
 type=transport
 auto=add
 authby=rsasig
 left=IPV4-for-primary 
 leftrsasigkey=RSA-key-generated-on-primary
 right=IPV4-for-standby
 rightrsasigkey=RSA-key-generated-on-standby

  6. Pada instance utama dan instance siaga, mulai ipsec daemon pada kedua host.

    ipsec setup start

  7. Mulai terowongan baik pada instance utama atau instance siaga. Outputnya akan terlihat serupa dengan yang berikut ini:

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel
181 "custom-db-tunnel" #1: initiating IKEv2 connection
181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500
182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196'
004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive}
[root@ip-172-31-6-81 ~]#
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.