選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

設定 RDS Custom for Oracle 主要和複本執行個體之間的VPN通道

焦點模式
設定 RDS Custom for Oracle 主要和複本執行個體之間的VPN通道 - Amazon Relational Database Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

VPN 通道是網路中兩個或多個裝置之間的加密連線。為了確保 RDS Custom for Oracle 中 Oracle Data Guard 執行個體的最高安全性,強烈建議您實作VPN通道來加密主要和待命執行個體之間的通訊。通道在執行個體之間傳輸網路時,可做為敏感資料的保護。雖然此組態是選用的,但建議您將其做為最佳實務,以達到資料安全和法規合規。

請確定您符合下列先決條件:

  • 您可以根存取主要和待命主機。

  • 您具備執行 ipsec命令的技術專業知識。

在 RDS Custom for Oracle 中設定主要 和複本之間的VPN通道
  1. 使用下列規則,將主要執行個體和待命執行個體的安全群組新增至允許清單:

    ACTION FLOW SOURCE PROTO PORT ALLOW ingress this-SG 50 (ESP) all (N/A) ALLOW egress this-SG 50 (ESP) all (N/A) ALLOW ingress this-SG 17 (UDP) 500 (IKE) ALLOW egress this-SG 17 (UDP) 500 (IKE)
  2. 切換至根使用者。

    $ sudo su – root
  3. 在主要執行個體和待命執行個體上執行下列命令,以初始化使用者 下的網路安全服務 (NSS) 資料庫root

    ipsec initnss --nssdir /etc/ipsec.d
  4. 產生RSA金鑰,如下所示:

    1. 在主要執行個體上,根據您的作業系統版本,使用以下其中一個ipsec命令產生金鑰。

      ipsec newhostkey --nssdir /etc/ipsec.d ## for Oracle Linux Version 8 ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
    2. 取得您需要建立組態的公有金鑰。在下列範例中,主要執行個體是 ,left因為 ipsec 只是參考您目前設定left的裝置,而 right 參考通道另一端的裝置。

      ipsec showhostkey --left --ckaid ckaid-returned-in-last-statement
    3. 在待命執行個體上,產生待命執行個體的金鑰。

      ipsec newhostkey --nssdir /etc/ipsec.d ## for Oracle Linux Version 8 ipsec newhostkey --output /etc/ipsec.secrets ## for Oracle Linux version 7.9
    4. 取得待命執行個體的公有金鑰,您需要該金鑰來建立組態。在下列範例中,待命執行個體是right因為它參考通道另一端的裝置。

      ipsec showhostkey --right --ckaid ckaid-returned-in-last-statement
  5. 根據您取得的RSA金鑰產生組態。主要執行個體和待命執行個體的組態都相同。您可以在 AWS 主控台中找到主要執行個體IPv4地址和待命執行個體IPv4地址。

    在主要執行個體和待命執行個體上,將下列組態儲存至檔案 /etc/ipsec.d/custom-fb-tunnel.conf

    conn custom-db-tunnel type=transport auto=add authby=rsasig left=IPV4-for-primary leftrsasigkey=RSA-key-generated-on-primary right=IPV4-for-standby rightrsasigkey=RSA-key-generated-on-standby
  6. 在主要執行個體和待命執行個體上,在兩個主機上啟動ipsec協助程式。

    ipsec setup start
  7. 在主要執行個體或待命執行個體上啟動通道。輸出應看起來如下列內容。

    [root@ip-172-31-6-81 ~]# ipsec auto --up custom-db-tunnel 181 "custom-db-tunnel" #1: initiating IKEv2 connection 181 "custom-db-tunnel" #1: sent IKE_SA_INIT request to 172.31.32.196:500 182 "custom-db-tunnel" #1: sent IKE_AUTH request {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19} 003 "custom-db-tunnel" #1: initiator established IKE SA; authenticated peer '3584-bit PKCS#1 1.5 RSA with SHA1' signature using preloaded certificate '172.31.32.196' 004 "custom-db-tunnel" #2: initiator established Child SA using #1; IPsec transport [172.31.6.81-172.31.6.81:0-65535 0] -> [172.31.32.196-172.31.32.196:0-65535 0] {ESP/ESN=>0xda9c4815 <0xb742ca42 xfrm=AES_GCM_16_256-NONE DPD=passive} [root@ip-172-31-6-81 ~]#
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。