Configurazione dell'ambiente per Amazon RDS Custom per Oracle - Amazon Relational Database Service
Fase 1: creazione o riutilizzo di una chiave AWS KMS di crittografia simmetricaPassaggio 2: scarica e installa il AWS CLIFase 3: Estrarre i CloudFormation modelli per RDS Custom for OracleFase 4: Configurazione di IAM for RDS Custom per OraclePassaggio 5: concedi le autorizzazioni necessarie al tuo utente o ruolo IAMFase 6: Configurazione del VPC per RDS Custom for Oracle

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione dell'ambiente per Amazon RDS Custom per Oracle

Prima di creare un'istanza database Amazon RDS Custom per Oracle, esegui le seguenti attività.

Fase 1: creazione o riutilizzo di una chiave AWS KMS di crittografia simmetrica

Le chiavi gestite dai clienti si trovano AWS KMS keys nell' AWS account che crei, possiedi e gestisci. Per RDS Custom è necessaria una chiave KMS di crittografia simmetrica gestita dal cliente. Quando crei un'istanza database RDS Custom for Oracle, è necessario fornire l'identificatore KMS della chiave. Per ulteriori informazioni, consulta Configurazione di un'istanza database per Amazon RDS Custom per Oracle.

Sono disponibili le seguenti opzioni:

  • Se disponi già di una chiave KMS gestita dal cliente Account AWS, puoi utilizzarla con RDS Custom. Non è richiesta alcuna operazione aggiuntiva.

  • Se hai già creato una chiave KMS di crittografia simmetrica gestita dal cliente per un motore RDS Custom diverso, puoi riutilizzare la stessa chiave KMS. Non è richiesta alcuna operazione aggiuntiva.

  • Se non disponi di una chiave KMS di crittografia simmetrica gestita dal cliente esistente nel tuo account, crea una chiave KMS seguendo le istruzioni in Creazione di chiavi nella Guida per gli sviluppatori di AWS Key Management Service .

  • Se stai creando un'istanza DB personalizzata CEV o RDS e la tua chiave KMS si trova in un'altra Account AWS, assicurati di utilizzare la. AWS CLI Non puoi utilizzare la AWS console con chiavi KMS per più account.

Importante

RDS Custom non supporta le chiavi KMS AWS gestite.

Assicurati che la tua chiave di crittografia simmetrica conceda l'accesso al ruolo kms:Decrypt and kms:GenerateDataKey operations to the AWS Identity and Access Management (IAM) nel profilo dell'istanza IAM. Se hai una nuova chiave di crittografia simmetrica nel tuo account, non sono necessarie modifiche. Altrimenti, assicurati che la policy della chiave di crittografia simmetrica fornisca l'accesso a queste operazioni.

Per ulteriori informazioni, consulta Fase 4: Configurazione di IAM for RDS Custom per Oracle.

Per ulteriori informazioni sulla configurazione di IAM per RDS Custom per Oracle, consulta Fase 4: Configurazione di IAM for RDS Custom per Oracle.

Passaggio 2: scarica e installa il AWS CLI

AWS fornisce un'interfaccia a riga di comando per utilizzare le funzionalità RDS Custom. È possibile utilizzare la versione 1 o la versione 2 di AWS CLI.

Per informazioni sul download e l'installazione di AWS CLI, vedere Installazione o aggiornamento della versione più recente di. AWS CLI

Ignora questo passaggio se si verifica una delle seguenti condizioni:

  • Si prevede di accedere a RDS Custom solo da. AWS Management Console

  • Hai già scaricato AWS CLI per Amazon RDS o un altro motore RDS Custom DB.

Fase 3: Estrarre i CloudFormation modelli per RDS Custom for Oracle

Per semplificare la configurazione, si consiglia vivamente di utilizzare i AWS CloudFormation modelli per creare CloudFormation pile. Se prevedi di configurare IAM e il tuo VPC manualmente, salta questo passaggio.

Passaggio 3a: scarica i file del modello CloudFormation

Un CloudFormation modello è una dichiarazione delle AWS risorse che compongono uno stack. Il modello viene archiviato come un file JSON.

Per scaricare i file CloudFormation modello

  1. Apri il menu contestuale (fai clic con il pulsante destro del mouse) per il link custom-oracle-iam.zip e scegli Salva collegamento con nome.

  2. Salvare il file sul computer.

  3. Ripeti i passaggi precedenti per il collegamento custom-vpc.json.

    Se si ha già configurato il VPC per RDS Custom, questo passaggio può essere ignorato.

Passaggio 3b: Estrarre .json custom-oracle-iam

Apri il custom-oracle-iam.zip file che hai scaricato, quindi estrai il file. custom-oracle-iam.json L'inizio del file è simile al seguente.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "EncryptionKey": {
      "Type": "String",
      "Default": "*",
      "Description": "KMS Key ARN for encryption of data managed by RDS Custom and by DB Instances."
    }
  },
  "Resources": {
    "RDSCustomInstanceServiceRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": { "Fn::Sub": "AWSRDSCustomInstanceRole-${AWS::Region}" },
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Effect": "Allow",
              "Principal": {
                "Service": "ec2.amazonaws.com"
              }
            }
          ]
        },...

Fase 3c: Estrarre custom-vpc.json

Nota

Se hai già configurato un VPC esistente per RDS Custom for Oracle, salta questo passaggio. Per ulteriori informazioni, consulta Configurazione manuale del VPC per RDS Custom for Oracle.

Apri il custom-vpc.zip file che hai scaricato, quindi estrai il file. custom-vpc.json L'inizio del file è simile al seguente.

{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Parameters": {
    "PrivateVpc": {
      "Type": "AWS::EC2::VPC::Id",
      "Description": "Private VPC Id to use for RDS Custom DB Instances"
    },
    "PrivateSubnets": {
      "Type": "List<AWS::EC2::Subnet::Id>",
      "Description": "Private Subnets to use for RDS Custom DB Instances"
    },
    "RouteTable": {
      "Type": "String",
      "Description": "Route Table that must be associated with the PrivateSubnets and used by S3 VPC Endpoint",
      "AllowedPattern": "rtb-[0-9a-z]+"
    }
  },
  "Resources": {
    "DBSubnetGroup": {
      "Type": "AWS::RDS::DBSubnetGroup",
      "Properties": {
        "DBSubnetGroupName": "rds-custom-private",
        "DBSubnetGroupDescription": "RDS Custom Private Network",
        "SubnetIds": {
          "Ref": "PrivateSubnets"
        }
      }
    },...

Fase 4: Configurazione di IAM for RDS Custom per Oracle

Utilizzi un ruolo IAM o un utente IAM (conosciuto come entità IAM) per creare un'istanza database RDS Custom tramite la console o la AWS CLI. Questa entità IAM deve disporre delle autorizzazioni necessarie per la creazione dell'istanza.

Puoi configurare IAM utilizzando una delle due procedure CloudFormation o quelle manuali.

Importante

Ti consigliamo vivamente di configurare l'ambiente RDS Custom for Oracle utilizzando AWS CloudFormation. Questa tecnica è la più semplice e meno soggetta a errori.

Configura IAM utilizzando CloudFormation

Quando utilizzi il CloudFormation modello per IAM, crea le seguenti risorse richieste:

  • Un profilo di istanza denominato AWSRDSCustomInstanceProfile-region

  • Un ruolo di servizio denominato AWSRDSCustomInstanceRole-region

  • Una politica di accesso AWSRDSCustomIamRolePolicy denominata associata al ruolo di servizio

Per configurare IAM utilizzando CloudFormation

  1. Apri la CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  2. Avviare la procedura guidata Crea stack e scegliere Create Stack (Crea stack).

  3. Nella pagina Create stack (Crea stack), esegui le operazioni seguenti:

    1. In Prepare template (Prepara modello) scegli Template is ready (Il modello è pronto).

    2. Come Template source (Origine modello), scegliere Upload a template file (Carica un file di modello).

    3. In Scegli file, cerca e seleziona custom-oracle-iam.json.

    4. Seleziona Successivo.

  4. Nella pagina Specify stack details (Specifica dettagli), procedere come segue:

    1. In Nome stack, immetti custom-oracle-iam.

    2. Seleziona Successivo.

  5. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  6. Nella custom-oracle-iam pagina Revisione, procedi come segue:

    1. Seleziona la casella di spunta I acknowledge that AWS CloudFormation might create IAM resources with custom names (Sono consapevole che AWS CloudFormation potrebbe creare risorse IAM con nomi personalizzati).

    2. Scegli Invia.

    CloudFormation crea i ruoli IAM richiesti da RDS Custom for Oracle. Nel pannello a sinistra, quando custom-oracle-iam indica CREATE_COMPLETE, esegui al passaggio successivo.

  7. Nel pannello a sinistra, scegli custom-oracle-iam. Nel riquadro d i destra esegui queste operazioni:

    1. Scegli Informazioni stack. Lo stack ha un ID nel formato arn:aws:cloudformation:region:account-no:stack/custom-oracle-iam/identifier.

    2. Scegliere Resources (Risorse). Verrà visualizzato un codice analogo al seguente:

      • Un profilo di istanza denominato AWSRDSCustomInstanceProfile- region

      • Un ruolo di servizio denominato AWSRDSCustomInstanceRole- region

      Quando viene creata l'istanza database RDS Custom, è necessario fornire l'ID del profilo dell'istanza.

Creare manualmente il ruolo IAM e il profilo dell'istanza

La configurazione è più semplice quando si utilizza CloudFormation. Tuttavia, è possibile configurare IAM anche manualmente. Per la configurazione manuale, procedi come segue:

Fase 1: creazione di un ruolo IAM per AWSRDSCustomInstanceRoleForRdsCustomInstance

In questo passaggio, crei il ruolo utilizzando il formato di denominazione AWSRDSCustomInstanceRole-region. Utilizzando la policy di affidabilità, Amazon EC2 può assumere il ruolo. L'esempio seguente presuppone che tu abbia impostato la variabile di ambiente $REGION nella Regione AWS in cui desideri creare l'istanza database.

aws iam create-role \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --assume-role-policy-document '{
    "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Effect": "Allow",
          "Principal": {
              "Service": "ec2.amazonaws.com"
          }
        }
      ]
    }'

Passaggio 2: aggiungere una politica di accesso a AWSRDSCustomInstanceRoleForRdsCustomInstance

Quando si incorpora una policy in linea in un ruolo IAM, la policy in linea viene utilizzata come parte della policy di accesso (autorizzazioni) del ruolo. Creare la policy AWSRDSCustomIamRolePolicy che consente ad Amazon EC2 di inviare e ricevere messaggi ed eseguire varie azioni.

Nell'esempio seguente viene creata la policy di accesso denominata AWSRDSCustomIamRolePolicy e la si aggiunge al ruolo IAMAWSRDSCustomInstanceRole-region. Questo esempio presuppone che siano state impostate le seguenti variabili di ambiente:

$REGION

Imposta questa variabile sulla variabile Regione AWS in cui intendi creare l'istanza DB.

$ACCOUNT_ID

Imposta questa variabile sul tuo Account AWS numero.

$KMS_KEY

Imposta questa variabile sul nome della risorsa Amazon (ARN) della AWS KMS key da utilizzare per le istanze database RDS Custom. Per specificare più di una chiave KMS, aggiungerla alla sezione Resources dell'istruzione ID (Sid) 11.

aws iam put-role-policy \
  --role-name AWSRDSCustomInstanceRole-$REGION \
  --policy-name AWSRDSCustomIamRolePolicy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeAssociation",
                "ssm:GetDeployablePatchSnapshotForInstance",
                "ssm:GetDocument",
                "ssm:DescribeDocument",
                "ssm:GetManifest",
                "ssm:GetParameter",
                "ssm:GetParameters",
                "ssm:ListAssociations",
                "ssm:ListInstanceAssociations",
                "ssm:PutInventory",
                "ssm:PutComplianceItems",
                "ssm:PutConfigurePackageResult",
                "ssm:UpdateAssociationStatus",
                "ssm:UpdateInstanceAssociationStatus",
                "ssm:UpdateInstanceInformation",
                "ssm:GetConnectionStatus",
                "ssm:DescribeInstanceInformation",
                "ssmmessages:CreateControlChannel",
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenControlChannel",
                "ssmmessages:OpenDataChannel"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "ec2messages:AcknowledgeMessage",
                "ec2messages:DeleteMessage",
                "ec2messages:FailMessage",
                "ec2messages:GetEndpoint",
                "ec2messages:GetMessages",
                "ec2messages:SendReply"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "logs:PutRetentionPolicy",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:'$REGION':'$ACCOUNT_ID':log-group:rds-custom-instance*"
            ]
        },
        {
            "Sid": "4",
            "Effect": "Allow",
            "Action": [
                "s3:putObject",
                "s3:getObject",
                "s3:getObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::do-not-delete-rds-custom-*/*"
            ]
        },
        {
            "Sid": "5",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "RDSCustomForOracle/Agent"
                    ]
                }
            }
        },
        {
            "Sid": "6",
            "Effect": "Allow",
            "Action": [
                "events:PutEvents"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "7",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:'$REGION':'$ACCOUNT_ID':secret:do-not-delete-rds-custom-*"
            ]
        },
        {
           "Sid": "8",
           "Effect": "Allow",
           "Action": [
             "s3:ListBucketVersions"
           ],
           "Resource": [
             "arn:aws:s3:::do-not-delete-rds-custom-*"
           ]
         },
         {
            "Sid": "9",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSRDSCustom": "custom-oracle"
                }
            }
          },
          {
            "Sid": "10",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshots",
            "Resource": [
                "arn:aws:ec2:*::snapshot/*"
            ]
          },
          {
            "Sid": "11",
            "Effect": "Allow",
            "Action": [
              "kms:Decrypt",
              "kms:GenerateDataKey"
            ],
            "Resource": [
              "arn:aws:kms:'$REGION':'$ACCOUNT_ID':key/'$KMS_KEY'"
            ]
          },
          {
            "Sid": "12",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "ec2:CreateAction": [
                        "CreateSnapshots"
                    ]
                }
            }
        }
    ]
}'

Passaggio 3: creare il profilo dell'istanza RDS Custom AWSRDSCustomInstanceProfile

Un profilo dell'istanza è un container che include un ruolo IAM singolo. RDS Custom utilizza il profilo dell'istanza per trasferire il ruolo all'istanza.

Se utilizzi la CLI per creare un ruolo, è necessario creare il ruolo e il profilo dell'istanza come operazioni distinte, con nomi potenzialmente diversi. Crea il profilo dell'istanza IAM come segue, denominandolo utilizzando il formato AWSRDSCustomInstanceProfile-region. L'esempio seguente presuppone che la variabile di ambiente sia stata impostata $REGION su quella Regione AWS in cui si desidera creare l'istanza DB.

aws iam create-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION

Fase 4: Aggiungi AWSRDSCustomInstanceRoleForRdsCustomInstance a AWSRDSCustomInstanceProfile

Aggiungi il ruolo IAM al profilo dell'istanza creato in precedenza. L'esempio seguente presuppone che la variabile di ambiente sia stata impostata $REGION su quella Regione AWS in cui si desidera creare l'istanza DB.

aws iam add-role-to-instance-profile \
    --instance-profile-name AWSRDSCustomInstanceProfile-$REGION \
    --role-name AWSRDSCustomInstanceRole-$REGION

Passaggio 5: concedi le autorizzazioni necessarie al tuo utente o ruolo IAM

Assicurati che il principale IAM (utente o ruolo) che crea l'istanza DB personalizzata CEV o RDS disponga di una delle seguenti politiche:

  • La policy AdministratorAccess

  • La AmazonRDSFullAccess policy con le autorizzazioni richieste per Amazon S3 AWS KMS e la creazione di CEV e la creazione di istanze DB

Autorizzazioni IAM obbligatorie per Amazon S3 e AWS KMS

Per creare CEV o RDS Custom per istanze DB Oracle, il tuo principale IAM deve accedere ad Amazon S3 e. AWS KMS La policy JSON di esempio seguente fornisce le autorizzazioni necessarie.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateS3Bucket",
            "Effect": "Allow",
            "Action": [
                "s3:CreateBucket",
                "s3:PutBucketPolicy",
                "s3:PutBucketObjectLockConfiguration",
                "s3:PutBucketVersioning"
            ],
            "Resource": "arn:aws:s3:::do-not-delete-rds-custom-*"
        },
        {
            "Sid": "CreateKmsGrant",
            "Effect": "Allow",
            "Action": [
                "kms:CreateGrant",
                "kms:DescribeKey"
            ],
            "Resource": "*"
        }
    ]
}

Per ulteriori informazioni sull'autorizzazione kms:CreateGrant, consulta Gestione di AWS KMS key.

Autorizzazioni IAM richieste per la creazione di una CEV

Per creare un CEV, il tuo principale IAM necessita delle seguenti autorizzazioni aggiuntive:

s3:GetObjectAcl
s3:GetObject
s3:GetObjectTagging
s3:ListBucket
mediaimport:CreateDatabaseBinarySnapshot

La seguente policy JSON di esempio concede le autorizzazioni aggiuntive necessarie per accedere al bucket my-custom-installation-files e ai relativi contenuti.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AccessToS3MediaBucket",
            "Effect": "Allow",
            "Action": [
                "s3:GetObjectAcl",
                "s3:GetObject",
                "s3:GetObjectTagging",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-custom-installation-files",
                "arn:aws:s3:::my-custom-installation-files/*"
            ]
        },
        {
            "Sid": "PermissionForByom",
            "Effect": "Allow",
            "Action": [
                "mediaimport:CreateDatabaseBinarySnapshot"
            ],
            "Resource": "*"
        }
    ]
}

Puoi concedere autorizzazioni simili per Amazon S3 agli account dei chiamanti utilizzando una politica del bucket S3.

Autorizzazioni richieste per la creazione di un'istanza database da una CEV

Per creare un'istanza DB RDS Custom for Oracle da un CEV esistente, il principale IAM necessita delle seguenti autorizzazioni aggiuntive.

iam:SimulatePrincipalPolicy
cloudtrail:CreateTrail
cloudtrail:StartLogging

La seguente policy JSON di esempio concede le autorizzazioni necessarie per convalidare un ruolo IAM e registrare le informazioni su un AWS CloudTrail.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ValidateIamRole",
            "Effect": "Allow",
            "Action": "iam:SimulatePrincipalPolicy",
            "Resource": "*"
        },
        {
            "Sid": "CreateCloudTrail",
            "Effect": "Allow",
            "Action": [
                "cloudtrail:CreateTrail",
                "cloudtrail:StartLogging"
            ],
            "Resource": "arn:aws:cloudtrail:*:*:trail/do-not-delete-rds-custom-*"
        }
    ]
}

Fase 6: Configurazione del VPC per RDS Custom for Oracle

L'istanza database di RDS Custom si trova in un cloud privato virtuale (VPC) basato sul servizio Amazon VPC, proprio come un'istanza Amazon EC2 o un'istanza Amazon RDS. Fornisci e configuri il VPC personalizzato. A differenza di RDS Custom per SQL Server, RDS Custom per Oracle non crea una lista di controllo degli accessi (ACL) o gruppi di sicurezza. È necessario associare il proprio gruppo di sicurezza, le proprie sottoreti e le proprie tabelle di routing.

Puoi configurare il tuo cloud privato virtuale (VPC) utilizzando uno dei due CloudFormation o un processo manuale.

Importante

Ti consigliamo vivamente di configurare l'ambiente RDS Custom for Oracle utilizzando. AWS CloudFormation Questa tecnica è la più semplice e meno soggetta a errori.

Configura il tuo VPC usando CloudFormation (consigliato)

Se hai già configurato il VPC per un motore RDS Custom diverso e vuoi riutilizzare il VPC esistente, questo passaggio può essere ignorato. In questa sezione si presuppone quanto segue:

  • Hai già creato il profilo e il ruolo dell'istanza IAM. CloudFormation

  • Conosci l'ID della tabella di routing.

    Affinché un'istanza database sia privata, deve trovarsi in una sottorete privata. Affinché una sottorete sia privata, non deve essere associata a una tabella di routing con un gateway Internet. Per maggiori informazioni, consulta Configurazione delle tabelle di instradamento nella Guida per l'utente di Amazon VPC.

Quando usi il CloudFormation modello per il tuo VPC, crea le seguenti risorse:

  • Un VPC privato

  • Un gruppo di sottoreti denominato rds-custom-private

  • I seguenti endpoint VPC, che l'istanza DB utilizza per comunicare con, dipendono: Servizi AWS

    • com.amazonaws.region.ec2messages

    • com.amazonaws.region.events

    • com.amazonaws.region.logs

    • com.amazonaws.region.monitoring

    • com.amazonaws.region.s3

    • com.amazonaws.region.secretsmanager

    • com.amazonaws.region.ssm

    • com.amazonaws.region.ssmmessages

    Nota

    Per una configurazione di rete complessa con account esistenti, consigliamo di configurare manualmente l'accesso ai servizi dipendenti se l'accesso non esiste già. Per ulteriori informazioni, consulta Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS.

Per configurare il tuo VPC utilizzando CloudFormation

  1. Apri la CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.

  2. Avvia la procedura guidata Crea stack, scegli Crea stack e poi Con nuove risorse (standard).

  3. Nella pagina Create stack (Crea stack), esegui le operazioni seguenti:

    1. In Prepare template (Prepara modello) scegli Template is ready (Il modello è pronto).

    2. Come Template source (Origine modello), scegliere Upload a template file (Carica un file di modello).

    3. Per Scegliere file, andare su e scegliere custom-vpc.json.

    4. Seleziona Successivo.

  4. Nella pagina Specify stack details (Specifica dettagli), procedere come segue:

    1. In Nome stack, immetti custom-vpc.

    2. Come Parameters (Parametri), scegliere le sottoreti private da utilizzare per le istanze database RDS Custom.

    3. Scegliere l'ID VPC privato da utilizzare per le istanze database RDS Custom.

    4. Inserire la tabella di routing associata alle sottoreti private.

    5. Seleziona Successivo.

  5. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  6. Nella pagina Verifica custom-vpc, scegli Invia.

    CloudFormation configura il tuo VPC privato. Nel pannello a sinistra, quando custom-vpc indica CREATE_COMPLETE, esegui al passaggio successivo.

  7. (Facoltativo) Verifica i dettagli del VPC. Nel riquadro Stack, scegli custom-vpc. Nel riquadro di destra eseguire queste operazioni:

    1. Scegli Informazioni stack. Lo stack ha un ID nel formato arn:aws:cloudformation:region:account-no:stack/custom-vpc/identifier.

    2. Scegliere Resources (Risorse). Dovresti vedere un gruppo di sottoreti denominato rds-custom-private e diversi endpoint VPC che utilizzano il formato di denominazione vpce-string. Ogni endpoint corrisponde a un dispositivo con Servizio AWS cui RDS Custom deve comunicare. Per ulteriori informazioni, consulta Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS.

    3. Scegli Aggiungi parametro. Dovresti vedere le sottoreti private, il VPC privato e la tabella di routing che hai specificato quando hai creato lo stack. Quando viene creata un'istanza database, è necessario fornire l'ID VPC e il gruppo di sottoreti.

Configurazione manuale del VPC per RDS Custom for Oracle

In alternativa all'automazione della creazione di VPC AWS CloudFormation con, puoi configurare il tuo VPC manualmente. Questa opzione potrebbe essere la migliore quando si dispone di una configurazione di rete complessa che utilizza le risorse esistenti.

Assicurati che il tuo VPC possa accedere in modo dipendente Servizi AWS

RDS Custom invia la comunicazione dall'istanza database ad altri Servizi AWS. Assicurati che i seguenti servizi siano accessibili dalla sottorete in cui crei le tue istanze DB personalizzate RDS:

  • Amazon CloudWatch

  • CloudWatch Registri Amazon

  • CloudWatch Eventi Amazon

  • Amazon EC2

  • Amazon EventBridge

  • Amazon S3

  • AWS Secrets Manager

  • AWS Systems Manager

Se si creano implementazioni Multi-AZ

  • Amazon Simple Queue Service

Se RDS Custom non è in grado di comunicare con i servizi necessari, pubblica i seguenti eventi:

Database instance in incompatible-network. SSM Agent connection not available. Amazon RDS can't connect to the dependent AWS services.
Database instance in incompatible-network. Amazon RDS can't connect to dependent AWS services. Make sure port 443 (HTTPS) allows outbound connections, and try again. "Failed to connect to the following services: s3 events"

Per evitare incompatible-network errori, assicurati che i componenti VPC coinvolti nella comunicazione tra l'istanza DB personalizzata di RDS Servizi AWS soddisfino i seguenti requisiti:

  • L'istanza database può effettuare connessioni in uscita sulla porta 443 ad altri Servizi AWS.

  • Il VPC consente risposte in entrata alle richieste che originano dall'istanza database RDS Custom.

  • RDS Custom può risolvere correttamente i nomi di dominio degli endpoint per ogni Servizio AWS.

Se hai già configurato un VPC per un motore di database RDS Custom diverso, puoi riutilizzare tale VPC e ignorare questo processo.

Configurazione del servizio di metadati dell'istanza

Verificare che l'istanza possa fare:

  • Accedere ai metadati dell'istanza utilizzando la versione 2 del servizio di metadati dell'istanza (IMDSv2).

  • Consenti comunicazioni in uscita tramite la porta 80 (HTTP) all'indirizzo IP del collegamento IMDS.

  • Richiedere metadati dell'istanza dahttp://169.254.169.254, il link IMDSv2.

Per ulteriori informazioni, consulta Use IMDSv2 nella Amazon EC2 User Guide.

L'automazione RDS Custom per Oracle utilizza IMDSv2 per impostazione predefinita, impostando HttpTokens=enabledsull'istanza Amazon EC2 sottostante. Tuttavia, puoi utilizzare IMDSv1, se necessario. Per ulteriori informazioni, consulta Configurare le opzioni dei metadati dell'istanza nella Guida per l'utente di Amazon EC2.