本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 在 Oracle 数据库中配置与 Amazon VPC 的 ODB 对等连接@AWS
*ODB 对等互连*是用户创建的网络连接,它允许在 Amazon VPC 和 ODB 网络之间私下路由流量。VPC 和 ODB 网络之间存在 one-to-one关系。使用控制台、CLI 或 API 创建对等连接后,请务必更新您的 VPC 路由表并配置 DNS 解析。有关 ODB 对等互连的概念性概述,请参阅。[ODB 对等互连](how-it-works.md#how-it-works.peering)
## 在 Oracle 数据库中创建 ODB 对等连接@AWS
通过 ODB 对等连接,您可以在 Oracle Exadata 基础设施和亚马逊上运行的应用程序之间建立私有网络连接。 VPCs每个 ODB 对等连接都是一个单独的资源,您可以独立于 ODB 网络创建、查看和删除该资源。
创建 ODB 对等连接时,您可以指定对等网络 CIDR 范围。这种技术限制了对所需子网的网络访问,减少了潜在的攻击目标,并支持更精细的网络分段以满足合规性要求。
您可以创建以下类型的 ODB 对等连接:
**同账户 ODB 对等**
您可以在同一个账户中的 ODB 网络和 Amazon VPC 之间创建 ODB 对等连接。 AWS
**跨账户 ODB 对等**
使用共享 ODB 网络后,您可以在一个账户中的 ODB 网络与另一个账户中的 Amazon VPC 之间创建 ODB 对等连接。 AWS RAM VPC 所有者账户可以管理对等连接中指定的 CIDR 范围,而无需拥有 ODB 网络。
VPC 和 ODB 网络之间存在一对一的关系。您无法在一个 VPC 和多个 ODB 网络之间或一个 ODB 网络与多个 ODB 网络之间创建 ODB 对等连接。 VPCs
### 控制台
1. 登录 AWS 管理控制台 并打开 Oracle Database@AWS 控制台,网址为[https://console.aws.amazon.com/odb/](https://console.aws.amazon.com/odb/)。
1. 在导航窗格中,选择 **ODB 对等连接。**
1. 选择**创建 ODB 对等连接**。
1. (可选)对**于 ODB 对等名称**,请输入连接的唯一名称。
1. 对于 **ODB 网络**,请选择要对等的 ODB 网络。
1. 对于**点对等网络**,请选择要与您的 ODB 网络对等的 Amazon VPC。
1. (可选)对于**对等网络 CIDRs**,请指定来自可以访问 ODB 网络的对等 VPC 的其他 CIDR 块。如果您未指定 CIDRs,则允许所有 CIDRs 来自对等 VPC 的访问权限。
1. (可选)在 “**标签**” 中,添加密钥和值对。
1. 选择**创建 ODB 对等连接**。
创建 ODB 对等连接后,配置您的 Amazon VPC 路由表以将流量路由到对等 ODB 网络。有关更多信息,请参阅 [为 ODB 对等互连配置 VPC 路由表](#configure-routes)。请注意,Oracle Database@AWS 会自动配置 ODB 网络路由表。
### AWS CLI
要创建 ODB 对等连接,请使用命令。`create-odb-peering-connection`
```
aws odb create-odb-peering-connection \
--odb-network-id odbnet-1234567890abcdef \
--peer-network-id vpc-abcdef1234567890
```
要将对 ODB 网络的访问限制在特定 CIDR 范围内,请使用参数。`--peer-network-cidrs-to-be-added`如果您未指定 CIDR 范围,则所有范围都有访问权限。
```
aws odb create-odb-peering-connection \
--odb-network-id odbnet-1234567890abcdef \
--peer-network-id vpc-abcdef1234567890 \
--peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"
```
要列出您的 ODB 对等连接,请使用命令。`list-odb-peering-connections`
```
aws odb list-odb-peering-connections
```
要获取有关特定 ODB 对等连接的详细信息,请使用命令。`get-odb-peering-connection`
```
aws odb get-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef
```
### 更新 ODB 对等连接
您可以更新现有的 ODB 对等连接以添加或删除对等网络。 CIDRs您可以控制对等 VPC 中的哪些子网可以访问您的 ODB 网络。
#### 控制台
1. 登录 AWS 管理控制台 并打开 Oracle Database@AWS 控制台,网址为[https://console.aws.amazon.com/odb/](https://console.aws.amazon.com/odb/)。
1. 在导航窗格中,选择 **ODB 对等连接。**
1. 选择要更新的 ODB 对等连接。
1. 选择 “**操作**”,然后选择 “**更新对等连接**”。
1. 在 “对**等网络 CIDRs**” 部分,根据需要添加或删除 CIDR 块:
+ 要添加 CIDRs,请选择**添加 CIDR** 并输入 CIDR 块。
+ 要移除 CIDRs,请选择要移除的 CIDR 块旁边的 **X**。
1. 选择 “**更新对等连接**”。
#### AWS CLI
要向 ODB 对等连接添加对等网络 CIDRs ,请在命令`--peer-network-cidrs-to-be-added`中`update-odb-peering-connection`指定参数。
```
aws odb update-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef \
--peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"
```
要 CIDRs 从 ODB 对等连接中删除对等网络,请在命令`--peer-network-cidrs-to-be-removed`中`update-odb-peering-connection`指定参数。
```
aws odb update-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef \
--peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"
```
## 为 ODB 对等互连配置 VPC 路由表
路由表包含一组被称为路由的规则,决定了来自您的子网或网关的网络流量将指向何处。路由表中的目标 CIDR 是您希望流量到达的 IP 地址范围。如果您指定了 VPC 以便与 ODB 网络的 ODB 对等互连,请使用 ODB 网络中的目标 IP 范围更新您的 VPC 路由表。有关 ODB 对等的更多信息,请参阅。[ODB 对等互连](how-it-works.md#how-it-works.peering)
要更新路由表,请使用 AWS CLI `ec2 create-route`命令。以下示例更新了 Amazon VPC 路由表。有关更多信息,请参阅 [为 ODB 对等互连配置 VPC 路由表](#configure-routes)。
```
aws ec2 create-route \
--route-table-id rtb-1234567890abcdef \
--destination-cidr-block 10.0.0.0/16 \
--odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef
```
ODB 网络路由表会使用 VPC CIDRs 自动更新。要仅允许特定子网 CIDRs 而不是 VPC CIDRs 中的所有子网访问 ODB 网络,您可以在创建 ODB 对等连接 CIDRs 时指定对等网络,或者更新现有 ODB 对等连接以添加或删除对等 CIDR 范围。有关更多信息,请参阅[在 Oracle 数据库中创建 ODB 对等连接@AWS](#network-peering)和[更新 ODB 对等连接](#updating-peering)。
有关 VPC 路由表的更多信息,请参阅 *Amazon Virtual Private Cloud 用户指南中的[子网路由表](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-route-tables.html)和《AWS CLI *[*命令*参考》中的 ec2 create-](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html) route。
## 配置 DNS Oracle Database@AWS
Amazon Route 53 是一项高度可用且可扩展的域名系统 (DNS) 网络服务,您可以将其用于 DNS 路由。在您的 ODB 网络和 VPC 之间创建 ODB 对等连接时,您需要一种机制来解析来自 VPC 内部的 ODB 网络资源的 DNS 查询。您可以使用 Amazon Route 53 配置以下资源:
+ 出站终端节点
需要使用终端节点才能向 ODB 网络发送 DNS 查询。
+ 解析器规则
此规则指定了 Route 53 解析器转发给 ODB 网络的 DNS 的 DNS 查询的域名。
### DNS 的工作原理 Oracle Database@AWS
Oracle Database@AWS 自动管理 ODB 网络的域名系统 (DNS) 配置。对于域名,您可以为默认域名指定自定义前缀,也可以指定完全自定义的域名。`oraclevcn.com`有关更多信息,请参阅 [步骤 1:在中创建 ODB 网络 Oracle Database@AWS](getting-started.md#getting-started-odb)。
置 Oracle Database@AWS 备 ODB 网络时,它会创建以下资源:
+ 与 ODB 网络具有相同的 CIDR 块的 Oracle 云基础架构 (OCI) 虚拟云网络 (VCN)
此 VCN 位于客户的关联 OCI 租赁中。ODB 网络和 OCI VCN 之间有 1:1 的映射。每个 ODB 网络都与 OCI VCN 相关联。
+ OCI VCN 中的私有 DNS 解析器
此 DNS 解析器处理 OCI VCN 中的 DNS 查询。OCI 自动化会为虚拟机集群创建记录。扫描使用`*.oraclevcn.com`完全限定域名 (FQDN)。
+ OCI VCN 中专用 DNS 解析器的 DNS 监听端点
您可以在 Oracle Database@AWS 控制台的 ODB 网络详细信息页面中找到 DNS 侦听端点。
### 在 ODB 网络中配置出站终端节点 Oracle Database@AWS
出站终端节点允许将 DNS 查询从您的 VPC 发送到网络或 IP 地址。端点指定查询来源的 IP 地址。要将 DNS 查询从您的 VPC 转发到您的 ODB 网络,请使用 Route 53 控制台创建出站终端节点。有关更多信息,请参阅将[出站 DNS 查询转发到您的网络](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html)。
**在 ODB 网络中配置出站终端节点**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 从左侧窗格中,选择**出站终端节点**。
1. 在导航栏上,为要创建出站终端节点的 VPC 选择**区域**。
1. 选择 **Create outbound endpoint (创建出站端点)**。
1. 按如下方式填写**出站终端节点的常规设置**部分:
1. 选择一个允许出站 TCP 和 UDP 连接到以下内容**的安全组**:
+ 解析器在您的 ODB 网络上进行 DNS 查询时使用的 IP 地址
+ 解析器在您的 ODB 网络上用于 DNS 查询的端口
1. 为**终端节点类型**选择 **IPv4**。
1. **对于此端点的协议**,请选择 **Do53**。
1. 在 **IP 地址**中,提供以下信息:
+ 要么指定 IP 地址,要么让 Route 53 解析器从子网中的可用地址中为您选择 IP 地址。选择 2 个至多 6 个 IP 地址进行 DNS 查询。我们建议您至少在两个不同的可用区中选择 IP 地址。
+ 对于**子网**,请选择具有以下内容的子网:
+ 包含指向 ODB 网络上 DNS 侦听器 IP 地址的路由的路由表
+ 网络访问控制列表 (ACLs),允许 UDP 和 TCP 流量到解析器在 ODB 网络上进行 DNS 查询时使用的 IP 地址和端口
+ 允许来自目标端口范围为 1024-65535 的解析器的流量的网络 ACLs
1. (可选)在 “**标签**” 中,为终端节点指定标签。
1. 选择**提交**。
### 在中配置解析器规则 Oracle Database@AWS
解析器规则是一组确定如何路由 DNS 查询的标准。要么重复使用,要么创建一个规则,指定解析器转发给 ODB 网络的 DNS 的 DNS 查询的域名。
#### 使用现有的解析器规则
要使用现有的解析器规则,您的操作取决于规则的类型:
适用于与您的 VPC 位于相同 AWS 区域的相同域的规则 AWS 账户
将规则与您的 VPC 关联,而不是创建新规则。从规则控制面板中选择规则,并将其与该 VPCs AWS 地区的适用规则相关联。
适用于与您的 VPC 位于相同区域但账户不同的域的规则
用于 AWS Resource Access Manager 将远程账户中的规则共享到您的账户。共享规则时,您还会共享相应的出站终端节点。与您的账户共享规则后,从规则控制面板中选择该规则,然后将其与您账户 VPCs 中的相关联。有关更多信息,请参阅[管理转发规则](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html#resolver-rules-managing-sharing)。
#### 创建新的解析器规则
如果您无法重复使用现有的解析器规则,请使用 Amazon Route 53 控制台创建新规则。
**创建新的解析器规则**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 从左侧窗格中选择 “**规则**”。
1. 在导航栏上,为出站终端节点所在的 VPC 选择**区域**。
1. 选择 **Create rule**(创建规则)。
1. 按如下方式填写 “**出站流量规则**” 部分:
1. 对于**规则类型**,选择**转发规则**。
1. 在 “**域名**” 中,指定 ODB 网络中的完整域名。
1. 为**VPCs 此,请使用此规则**,将其与 DNS 查询从中转发到您的 ODB 网络的 VPC 相关联。
1. 对于**出站终端节点**,请选择您在中创建的出站终端节点[在 ODB 网络中配置出站终端节点 Oracle Database@AWS](#configuring.endpoint)。
**注意**
与此规则关联的 VPC 不必与您在其中创建出站终端节点的 VPC 相同。
1. 按如下方式填写 “**目标 IP 地址**” 部分:
1. 对于 **IP 地址**,请指定 ODB 网络上的 DNS 侦听器 IP 的 IP 地址。
1. 对于 “**端口**”,指定 **53**。这是解析器用于 DNS 查询的端口。
**注意**
Route 53 解析器将匹配此规则且来自与此规则关联的 VPC 的 DNS 查询转发到引用的出站终端节点。这些查询会转发到您在目标 IP 地址中指定的**目标 IP 地址**。
1. 对于**传输协议**,请选择 **Do53**。
1. (可选)在 “**标签**” 中,为规则指定标签。
1. 选择**提交**。
### 在中测试您的 DNS 配置 Oracle Database@AWS
创建出站终端节点和解析器规则后,请进行测试以确保 DNS 解析正确。使用应用程序 VPC 中的 Amazon EC2 实例,按如下方式执行 DNS 解析:
**适用于 Linux 或 macOS**
使用表单命令`dig record-name record-type`。
**对于 Windows:**
使用表单命令`nslookup -type=record-name record-type`。
## 配置 Amazon VPC 中转网关 Oracle Database@AWS
Amazon VPC Transit Gateways 是一个网络传输中心,可将虚拟私有云 (VPCs) 和本地网络互连。 hub-and-spoke架构中的每个 VPC 都可以连接到传输网关,从而访问其他连接的 VPC VPCs。 AWS Transit Gateway 支持 IPv4 和的流量 IPv6。
在中 Oracle Database@AWS,ODB 网络仅支持与一个 VPC 的对等连接。如果您将传输网关连接到与 ODB 网络对等的 VPC,则可以将多个传输网关 VPCs 连接到该网关。在这些不同环境中运行的应用程序 VPCs 可以访问在您的 ODB 网络中运行的 Exadata 虚拟机集群。
下图显示了连接到两个 VPCs 和一个本地网络的传输网关。
![\[显示与连接到传输网关的 VPC 对等的 ODB 网络。网关连接到 VPC 和本地网络。\]](http://docs.aws.amazon.com/zh_cn/odb/latest/UserGuide/images/ODB-tgw.png)
在上图中,一个 VPC 与 ODB 网络建立对等关系。在此配置中,ODB 网络可以将流量路由到所有 VPCs 连接到传输网关的网络。每个 VPC 的路由表包括本地路由和将发往 ODB 网络的流量发送到中转网关的路由。
在中 AWS Transit Gateway,您需要为每小时与公交网关建立的连接次数和流经的流量付费 AWS Transit Gateway。有关费用信息,请参阅[AWS Transit Gateway 定价](https://aws.amazon.com/transit-gateway/pricing/)。
### 要求
确保您的 Oracle Database@AWS 环境满足以下要求:
+ 与您的 ODB 网络对等的 VPC 必须位于相同的 VPC 中。 AWS 账户如果对等互连 VPC 的账户与 ODB 网络不同,则无论共享配置如何,传输网关连接都会失败。
+ 与您的 ODB 网络对等的 VPC 必须具有传输网关连接。
**注意**
如果将传输网关配置为共享,则它可以驻留在任何账户中。因此,网关本身不必与 VPC 和 ODB 网络位于同一个账户中。
+ 传输网关连接必须与 ODB 网络位于同一个可用区 (AZ) 中。
### 限制
请注意 Amazon VPC 传输网关在以下方面的限制 Oracle Database@AWS:
+ Amazon VPC Transit Gateways 不提供将 ODB 网络用作附件的原生集成。因此,诸如以下的 VPC 功能不可用:
+ 将公有 DNS 主机名解析为私有 IP 地址
+ ODB 网络拓扑、路由和连接状态变化的事件通知
+ 不支持到 ODB 网络的多播流量。
### 设置和配置传输网关
您可以使用 Amazon VPC 控制台或`aws ec2`命令创建和配置传输网关。以下过程假设您中没有与 VPC 对等的 ODB 网络。 AWS 账户如果您的账户中已有 ODB 网络和 VPC 对等,请跳过步骤 1-3。
**注意**
如果您在 VPC 上连接或重新连接附件,请确保重新输入 ODB ODB 网络的 CIDR 范围。
**为以下目的设置和配置传输网关 Oracle Database@AWS**
1. 创建 ODB 网络。有关更多信息,请参阅 [步骤 1:在中创建 ODB 网络 Oracle Database@AWS](getting-started.md#getting-started-odb)。
1. 使用包含 ODB 网络的相同账户创建 VPC。有关更多信息,请参阅 Amazon [VPC 用户指南中的创建](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) VPC。
1. 在您的 ODB 网络和 VPC 之间创建 ODB 对等连接。有关更多信息,请参阅 [在 Oracle 数据库中配置与 Amazon VPC 的 ODB 对等连接@AWS配置 DNS Oracle Database@AWS](#configuring)。
1. 按照[开始使用 Amazon VPC 传输网关中的步骤设置传输网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-getting-started.html)。网关必须与 ODB 网络和 VPC 处于 AWS 账户 相同状态,或者由其他账户共享。
**重要**
在 ODB 网络所在的可用区中创建传输网关附件。
1. 将 CIDR 范围添加到您计划连接到核心网络的 ODB 网络 VPCs 和本地网络。有关更多信息,请参阅 [更新中的 ODB 网络 Oracle Database@AWS](managing.md#managing.updating)。
如果您使用的是 CLI,请`update-odb-network`使用`--peered-cidrs-to-be-added`和运行命令`--peered-cidrs-to-be-removed`。有关更多信息,请参阅 *[AWS CLI 命令参考](https://docs.aws.amazon.com/cli/latest/reference/odb/update-odb-network.html)*。
## 为以下 AWS 各项配置云 WAN Oracle Database@AWS
AWS 云广域网是一项托管广域网 (WAN) 服务。您可以使用 AWS Cloud WAN 来构建、管理和监控统一的全球网络,该网络连接在云端和本地环境中运行的资源。
在 AWS Cloud WAN 中,全球网络是一个单独的私有网络,它充当网络对象的高级容器。核心网络是您的全球网络中由管理的部分 AWS。
AWS 云广域网具有以下主要优势:
+ 集中式网络管理,可简化操作,同时维护多个区域的安全
+ 具有内置分段功能的核心网络,可隔离通过多个路由域的流量
+ Support 支持策略以实现网络管理的自动化,并在您的全球网络中定义一致的配置
在 Oracle Database@ 中AWS,ODB 网络仅支持与一个 VPC 建立对等关系。如果您将 AWS Cloud WAN 核心网络连接到对等 VPC,则它会启用全球流量路由。 VPCs 跨多个区域连接的应用程序可以访问您的 ODB 网络中的 Exadata 虚拟机集群。您可以将 ODB 网络流量隔离在自己的分段中,也可以允许访问其他分段。
下图显示了连接到三个 VPCs 和一个本地网络的 AWS Cloud WAN 核心网络。
![\[显示与连接到 AWS 云广域网核心网络的 VPC 对等的 ODB 网络。该网络与三个网络 VPCs 和一个本地网络相连。\]](http://docs.aws.amazon.com/zh_cn/odb/latest/UserGuide/images/odb-cwan.png)
AWS Cloud WAN 不提供将 ODB 网络用作附件的原生集成。因此,诸如以下的 VPC 功能不可用:
+ 将公有 DNS 主机名解析为私有 IP 地址
+ ODB 网络拓扑、路由和连接状态变化的事件通知
在 AWS Cloud WAN 中,以下各项按小时收费:
+ 区域数量(核心网络边缘)
+ 核心网络连接数量
+ 通过附件流经核心网络的流量量
有关详细定价信息,请参阅 [AWS Cloud WAN 定价](https://aws.amazon.com/cloud-wan/pricing/)。
**为配置核心网络 Oracle Database@AWS**
1. 将 CIDR 范围添加到您计划连接到核心网络的 ODB 网络 VPCs 和本地网络。有关更多信息,请参阅 [更新中的 ODB 网络 Oracle Database@AWS](managing.md#managing.updating)。
**注意**
如果您在 VPC 上连接或重新连接附件,请确保重新输入 ODB ODB 网络的 CIDR 范围。
1. 按照[创建 AWS Cloud WAN 全球网络和核心网络](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-getting-started.html)中的步骤操作。