本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Oracle Database@ 中設定 ODB 對等互連至 Amazon VPC AWS
*ODB 對*等互連是使用者建立的網路連線,可讓流量在 Amazon VPC 和 ODB 網路之間私下路由。VPC 與 ODB 網路之間有one-to-one的關係。使用主控台、CLI 或 API 建立對等連線後,請務必更新您的 VPC 路由表並設定 DNS 解析。如需 ODB 對等互連的概念概觀,請參閱 [ODB 對等互連](how-it-works.md#how-it-works.peering)。
## 在 Oracle Database@ 中建立 ODB 對等互連AWS
透過 ODB 互連連線,您可以在 Oracle Exadata 基礎設施與 Amazon VPCs 中執行的應用程式之間建立私有網路連線。每個 ODB 互連連線都是獨立的資源,您可以獨立於 ODB 網路來建立、檢視和刪除。
建立 ODB 互連連線時,您可以指定對等網路 CIDR 範圍。此技術會限制對所需子網路的網路存取、減少攻擊的潛在目標,並針對合規要求啟用更精細的網路分段。
您可以建立下列類型的 ODB 互連連線:
**相同帳戶 ODB 對等互連**
您可以在相同 AWS 帳戶中的 ODB 網路和 Amazon VPC 之間建立 ODB 對等互連。
**跨帳戶 ODB 對等互連**
使用 ODB 網路共用後,您可以在一個帳戶中的 ODB 網路與不同帳戶中的 Amazon VPC 之間建立 ODB 對等互連 AWS RAM。VPC 擁有者帳戶可以管理互連連線中指定的 CIDR 範圍,而不需要擁有 ODB 網路。
VPC 與 ODB 網路之間有 1:1 的關係。您無法在 VPC 和多個 ODB 網路之間或 ODB 網路和多個 VPCs 之間建立 ODB 對等互連。
### 主控台
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/odb/](https://console.aws.amazon.com/odb/) 開啟 Oracle Database@AWS 主控台。
1. 在導覽窗格中,選擇 **ODB 互連連線**。
1. 選擇**建立 ODB 對等互連**。
1. (選用) 針對 **ODB 對等互連名稱**,輸入連線的唯一名稱。
1. 針對 **ODB 網路**,選擇要對等的 ODB 網路。
1. 針對**對等網路**,選擇要與 ODB 網路對等的 Amazon VPC。
1. (選用) 對於**對等網路 CIDRs**,請從可存取 ODB 網路的對等 VPC 指定其他 CIDR 區塊。如果您未指定 CIDRs,則允許來自對等 VPC 的所有 CIDRs存取。
1. (選用) 在**標籤**中,新增索引鍵和值對。
1. 選擇**建立 ODB 對等互連**。
建立 ODB 對等互連之後,請設定 Amazon VPC 路由表,將流量路由至對等 ODB 網路。如需詳細資訊,請參閱[設定 ODB 對等互連的 VPC 路由表](#configure-routes)。請注意,Oracle Database@AWS 會自動設定 ODB 網路路由表。
### AWS CLI
若要建立 ODB 對等互連,請使用 `create-odb-peering-connection`命令。
```
aws odb create-odb-peering-connection \
--odb-network-id odbnet-1234567890abcdef \
--peer-network-id vpc-abcdef1234567890
```
若要將 ODB 網路的存取限制在特定 CIDR 範圍,請使用 `--peer-network-cidrs-to-be-added` 參數。如果您未指定 CIDR 範圍,則所有範圍都可以存取。
```
aws odb create-odb-peering-connection \
--odb-network-id odbnet-1234567890abcdef \
--peer-network-id vpc-abcdef1234567890 \
--peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.2.0/24"
```
若要列出 ODB 對等互連,請使用 `list-odb-peering-connections`命令。
```
aws odb list-odb-peering-connections
```
若要取得特定 ODB 互連連線的詳細資訊,請使用 `get-odb-peering-connection`命令。
```
aws odb get-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef
```
### 更新 ODB 對等互連
您可以更新現有的 ODB 互連連線,以新增或移除對等網路 CIDRs。您可以控制對等 VPC 中哪些子網路可以存取您的 ODB 網路。
#### 主控台
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/odb/](https://console.aws.amazon.com/odb/) 開啟 Oracle Database@AWS 主控台。
1. 在導覽窗格中,選擇 **ODB 對等互連**。
1. 選取您要更新的 ODB 互連連線。
1. 選擇**動作**,然後選擇**更新對等連線**。
1. 在**對等網路 CIDRs**區段中,視需要新增或移除 CIDR 區塊:
+ 若要新增 CIDRs,請選擇**新增 CIDR**,然後輸入 CIDR 區塊。
+ 若要移除 CIDRs,請選擇您要移除之 CIDR 區塊旁的 **X**。
1. 選擇**更新對等連線**。
#### AWS CLI
若要將對等網路 CIDRs 新增至 ODB 對等連線,請在 `update-odb-peering-connection`命令`--peer-network-cidrs-to-be-added`中指定 參數。
```
aws odb update-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef \
--peer-network-cidrs-to-be-added "10.0.1.0/24,10.0.3.0/24"
```
若要從 ODB 對等連線中移除對等網路 CIDRs,請在 `update-odb-peering-connection`命令`--peer-network-cidrs-to-be-removed`中指定 參數。
```
aws odb update-odb-peering-connection \
--odb-peering-connection-id odbpcx-1234567890abcdef \
--peer-network-cidrs-to-be-removed "10.0.1.0/24,10.0.3.0/24"
```
## 設定 ODB 對等互連的 VPC 路由表
路由表包含一組名為路由的規則,可判斷來自子網或閘道之網路流量的方向。路由表中的目的地 CIDR 是您希望流量前往的 IP 地址範圍。如果您為 ODB 網路的 ODB 對等指定 VPC,請使用 ODB 網路中的目的地 IP 範圍更新您的 VPC 路由表。如需 ODB 對等互連的詳細資訊,請參閱 [ODB 對等互連](how-it-works.md#how-it-works.peering)。
若要更新路由表,請使用 AWS CLI `ec2 create-route`命令。下列範例會更新 Amazon VPC 路由表。如需詳細資訊,請參閱[設定 ODB 對等互連的 VPC 路由表](#configure-routes)。
```
aws ec2 create-route \
--route-table-id rtb-1234567890abcdef \
--destination-cidr-block 10.0.0.0/16 \
--odb-network-arn arn:aws:odb:us-east-1:111111111111:odb-network/odbnet_1234567890abcdef
```
ODB 網路路由表會自動更新為 VPC CIDRs。若要只允許存取特定子網路 CIDRs 的 ODB 網路,而不是 VPC 中的所有 CIDRs,您可以在建立 ODB 對等互連時指定對等網路 CIDRs,或更新現有的 ODB 對等互連連線以新增或移除對等 CIDR 範圍。如需詳細資訊,請參閱[在 Oracle Database@ 中建立 ODB 對等互連AWS](#network-peering)及[更新 ODB 對等互連](#updating-peering)。
如需 VPC 路由表的詳細資訊,請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[子網路路由表](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-route-tables.html)和《 *AWS CLI 命令參考*》中的 [ec2 create-route](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-route.html)。
## 設定 的 DNS Oracle Database@AWS
Amazon Route 53 是一種高可用性且可擴展的網域名稱系統 (DNS) Web 服務,可用於 DNS 路由。當您在 ODB 網路與 VPC 之間建立 ODB 對等互連時,您需要一種機制,才能從 VPC 內解析 ODB 網路資源的 DNS 查詢。您可以使用 Amazon Route 53 來設定下列資源:
+ 傳出端點
需要端點才能將 DNS 查詢傳送至 ODB 網路。
+ 解析程式規則
此規則會指定 Route 53 Resolver 轉送至 ODB 網路之 DNS 的 DNS 查詢網域名稱。
### DNS 如何在 中運作 Oracle Database@AWS
Oracle Database@AWS 會自動管理 ODB 網路的網域名稱系統 (DNS) 組態。對於網域名稱,您可以指定預設網域名稱的自訂字首`oraclevcn.com`或完全自訂的網域名稱。如需詳細資訊,請參閱[步驟 1:在 中建立 ODB 網路 Oracle Database@AWS](getting-started.md#getting-started-odb)。
當 Oracle Database@AWS 佈建 ODB 網路時,它會建立下列資源:
+ 與 ODB 網路具有相同 CIDR 區塊的 Oracle Cloud Infrastructure (OCI) 虛擬雲端網路 (VCN)
此 VCN 位於客戶連結的 OCI 租用中。ODB 網路與 OCI VCN 之間有 1:1 映射。每個 ODB 網路都與 OCI VCN 相關聯。
+ OCI VCN 中的私有 DNS 解析程式
此 DNS 解析程式會在 OCI VCN 中處理 DNS 查詢。OCI 自動化會建立 VM 叢集的記錄。掃描使用`*.oraclevcn.com`完整網域名稱 (FQDN)。
+ 私有 DNS 解析程式的 OCI VCN 內 DNS 接聽端點
您可以在 主控台的 ODB 網路詳細資訊頁面 Oracle Database@AWS 中找到 DNS 接聽端點。
### 在 中的 ODB 網路中設定傳出端點 Oracle Database@AWS
傳出端點允許 DNS 查詢從您的 VPC 傳送至網路或 IP 地址。端點會指定查詢來源的 IP 地址。若要將 DNS 查詢從 VPC 轉送到您的 ODB 網路,請使用 Route 53 主控台建立傳出端點。如需詳細資訊,請參閱[轉送傳出 DNS 查詢到您的網路](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html)。
**在 ODB 網路中設定傳出端點**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 從左側窗格中,選擇**傳出端點**。
1. 在導覽列上,選擇您要建立傳出端點的 VPC **區域**。
1. 選擇 **Create outbound endpoint (建立傳出端點)**。
1. 完成**傳出端點的一般設定**區段,如下所示:
1. 選擇允許傳出 TCP 和 UDP 連線至下列項目**的安全群組**:
+ 解析程式用於 ODB 網路上 DNS 查詢的 IP 地址
+ 解析程式用於 ODB 網路上 DNS 查詢的連接埠
1. 針對**端點類型**,選擇 **IPv4**。
1. 針對**此端點的通訊協定**,選擇 **Do53**。
1. 在 **IP 地址**中,提供下列資訊:
+ 指定 IP 地址,或讓 Route 53 Resolver 從子網路中的可用地址為您選擇 IP 地址。為 DNS 查詢選擇最少 2 個最多 6 個 IP 地址。我們建議您在至少兩個不同的可用區域中選擇 IP 地址。
+ 針對**子網路**,選擇具有下列項目的子網路:
+ 包含路由到 ODB 網路上 DNS 接聽程式 IP 地址的路由表
+ 網路存取控制清單 ACLs),允許 UDP 和 TCP 流量流向 IP 地址和解析程式用於 ODB 網路上 DNS 查詢的連接埠
+ 允許來自目的地連接埠範圍 1024-65535 上解析程式流量的網路 ACLs
1. (選用) 針對**標籤**,指定端點的標籤。
1. 選擇**提交**。
### 在 中設定解析程式規則 Oracle Database@AWS
解析程式規則是一組條件,可決定如何路由 DNS 查詢。重複使用或建立規則,指定解析程式轉送至 ODB 網路 DNS 的 DNS 查詢網域名稱。
#### 使用現有的解析程式規則
若要使用現有的解析程式規則,您的動作取決於規則的類型:
與 中 VPC 位於相同 AWS 區域中相同網域的規則 AWS 帳戶
將規則與 VPC 建立關聯,而不是建立新的規則。從規則儀表板中選擇規則,並將其與 AWS 區域中適用的 VPCs建立關聯。
與您的 VPC 位於相同區域中但位於不同帳戶中之相同網域的規則
使用 將規則從遠端帳戶 AWS Resource Access Manager 共用到您的帳戶。當您共用規則時,也會共用對應的傳出端點。在您與帳戶共用規則之後,請從規則儀表板中選擇規則,並將其與帳戶中VPCs 建立關聯。如需詳細資訊,請參閱[管理轉送規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing.html#resolver-rules-managing-sharing)。
#### 建立新的解析程式規則
如果您無法重複使用現有的解析程式規則,請使用 Amazon Route 53 主控台建立新的規則。
**建立新的解析程式規則**
1. 登入 AWS 管理主控台 並開啟 Route 53 主控台,網址為 https://[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 從左側窗格中,選擇**規則**。
1. 在導覽列上,選擇傳出端點所在的 VPC **區域**。
1. 選擇**建立規則**。
1. 完成**傳出流量區段的規則**,如下所示:
1. 針對**規則類型**,選擇**轉送規則**。
1. 針對**網域名稱**,指定來自 ODB 網路的完整網域名稱。
1. 對於**使用此規則VPCs**,請將它與轉送 DNS 查詢到您的 ODB 網路的 VPC 建立關聯。
1. 針對**傳出端點**,選擇您在 中建立的傳出端點[在 中的 ODB 網路中設定傳出端點 Oracle Database@AWS](#configuring.endpoint)。
**注意**
與此規則相關聯的 VPC 不需要與您建立傳出端點的 VPC 相同。
1. 完成**目標 IP 地址**區段,如下所示:
1. 針對 **IP 地址**,指定 ODB 網路上 DNS 接聽程式 IP 的 IP 地址。
1. 針對**連接埠**,指定 **53**。這是解析程式用於 DNS 查詢的連接埠。
**注意**
Route 53 Resolver 轉送符合此規則的 DNS 查詢,並且源自與此規則相關聯的 VPC 至參考的傳出端點。這些查詢會轉送到您在目標 IP 地址中指定的**目標 IP 地址**。
1. 針對**傳輸通訊協定**,選擇 **Do53**。
1. (選用) 針對**標籤**,指定規則的標籤。
1. 選擇**提交**。
### 在 中測試您的 DNS 組態 Oracle Database@AWS
在您建立傳出端點和解析程式規則之後,請測試 以確保 DNS 正確解析。在應用程式 VPC 中使用 Amazon EC2 執行個體,執行 DNS 解析,如下所示:
**對於 Linux 或 MacOS**
使用格式為 的命令`dig record-name record-type`。
**適用於 Windows**
使用格式為 的命令`nslookup -type=record-name record-type`。
## 設定 的 Amazon VPC Transit Gateway Oracle Database@AWS
Amazon VPC Transit Gateways 是一種網路傳輸中樞,可互連虛擬私有雲端 (VPCs) 和內部部署網路。hub-and-spoke架構中的每個 VPC 都可以連線至傳輸閘道,以取得其他連線 VPCs存取權。 AWS Transit Gateway 支援 IPv4 和 IPv6 的流量。
在 中 Oracle Database@AWS,ODB 網路僅支援對等互連至一個 VPC。如果您將傳輸閘道連接到對等至 ODB 網路的 VPC,您可以將多個 VPCs連接到此閘道。在這些不同 VPCs可以存取在您的 ODB 網路中執行的 Exadata VM 叢集。
下圖顯示連線至兩個 VPCs和一個內部部署網路的傳輸閘道。
![\[顯示與連接到傳輸閘道的 VPC 對等的 ODB 網路。閘道會連線至 VPC 和內部部署網路。\]](http://docs.aws.amazon.com/zh_tw/odb/latest/UserGuide/images/ODB-tgw.png)
在上圖中,一個 VPC 會對等至 ODB 網路。在此組態中,ODB 網路可以將流量路由到連接到傳輸閘道的所有 VPCs。每個 VPC 的路由表都包含本機路由,以及將目的地為 ODB 網路的流量傳送至傳輸閘道的路由。
在 中 AWS Transit Gateway,系統會針對您每小時對傳輸閘道進行的連線數,以及流經的流量,向您收費 AWS Transit Gateway。如需成本資訊,請參閱 [AWS Transit Gateway 定價](https://aws.amazon.com/transit-gateway/pricing/)。
### 要求
請確定您的 Oracle Database@AWS 環境符合下列要求:
+ 對等至 ODB 網路的 VPC 必須位於相同的 中 AWS 帳戶。如果對等 VPC 位於與 ODB 網路不同的帳戶中,無論共用組態為何,傳輸閘道附件都會失敗。
+ 對等至 ODB 網路的 VPC 必須具有傳輸閘道連接。
**注意**
如果傳輸閘道設定為共用,它可以位於任何帳戶中。因此,閘道本身不需要與 VPC 和 ODB 網路位於相同的帳戶中。
+ 傳輸閘道連接必須位於與 ODB 網路相同的可用區域 (AZ)。
### 限制
請注意 Amazon VPC Transit Gateways 的下列限制 Oracle Database@AWS:
+ Amazon VPC Transit Gateways 不提供原生整合,以使用 ODB 網路做為附件。因此,無法使用下列 VPC 功能:
+ 公有 DNS 主機名稱解析為私有 IP 地址
+ ODB 網路拓撲、路由和連線狀態變更的事件通知
+ 不支援多點傳送流量到 ODB 網路。
### 設定傳輸閘道
您可以使用 Amazon VPC 主控台或`aws ec2`命令來建立和設定傳輸閘道。下列程序假設您的 中沒有與 VPC 對等的 ODB 網路 AWS 帳戶。如果 ODB 網路和 VPC 已在您的帳戶中對等,請略過步驟 1–3。
**注意**
如果您在 VPC 上連接或重新連接附件,請務必將 CIDR 範圍重新輸入至 ODB ODB 網路。
**設定 的傳輸閘道 Oracle Database@AWS**
1. 建立 ODB 網路。如需詳細資訊,請參閱[步驟 1:在 中建立 ODB 網路 Oracle Database@AWS](getting-started.md#getting-started-odb)。
1. 使用包含 ODB 網路的相同帳戶來建立 VPC。如需詳細資訊,請參閱《Amazon [VPC 使用者指南》中的建立](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) VPC。
1. 在 ODB 網路和 VPC 之間建立 ODB 對等互連。如需詳細資訊,請參閱[在 Oracle Database@ 中設定 ODB 對等互連至 Amazon VPC AWS設定 的 DNS Oracle Database@AWS](#configuring)。
1. 遵循[使用 Amazon VPC Transit Gateways 開始使用中的步驟來設定傳輸閘道](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-getting-started.html)。閘道必須與 ODB 網路和 VPC 位於相同的 AWS 帳戶 中,或由另一個帳戶共用。
**重要**
在與 ODB 網路相同的 AZ 中建立傳輸閘道連接。
1. 針對您計劃連接到核心網路VPCs 和內部部署網路,將 CIDR 範圍新增至您的 ODB 網路。如需詳細資訊,請參閱[在 中更新 ODB 網路 Oracle Database@AWS](managing.md#managing.updating)。
如果您使用的是 CLI,請使用 `update-odb-network``--peered-cidrs-to-be-added`和 執行 命令`--peered-cidrs-to-be-removed`。如需詳細資訊,請參閱 *[AWS CLI 命令參考](https://docs.aws.amazon.com/cli/latest/reference/odb/update-odb-network.html)*。
## 設定 的 AWS 雲端 WAN Oracle Database@AWS
AWS Cloud WAN 是一種受管廣域聯網 (WAN) 服務。您可以使用 AWS Cloud WAN 來建置、管理和監控統一的全域網路,以連接在雲端和內部部署環境中執行的資源。
在 AWS Cloud WAN 中,全域網路是單一的私有網路,可做為網路物件的高階容器。核心網路是 管理的全球網路的一部分 AWS。
AWS Cloud WAN 提供下列主要優點:
+ 集中式網路管理,可簡化操作,同時跨多個區域維護安全性
+ 具有內建分段的核心網路,可透過多個路由網域隔離流量
+ 支援政策,以自動化網路管理和定義全球網路的一致組態
在 Oracle Database@ 中AWS,ODB 網路僅支援對等互連至一個 VPC。如果您將 AWS Cloud WAN 核心網路連接到對等 VPC,則會啟用全域流量路由。跨多個區域的連接 VPCs 中的應用程式可以存取 ODB 網路中的 Exadata VM 叢集。您可以在自己的區段中隔離 ODB 網路流量,或啟用對其他區段的存取。
下圖顯示連接到三個 VPCs和一個內部部署網路的 AWS Cloud WAN 核心網路。
![\[顯示與連接到 AWS Cloud WAN 核心網路的 VPC 對等的 ODB 網路。網路連接到三個 VPCs 和內部部署網路。\]](http://docs.aws.amazon.com/zh_tw/odb/latest/UserGuide/images/odb-cwan.png)
AWS Cloud WAN 不提供原生整合,以使用 ODB 網路做為附件。因此,無法使用下列 VPC 功能:
+ 公有 DNS 主機名稱解析為私有 IP 地址
+ ODB 網路拓撲、路由和連線狀態變更的事件通知
在 AWS Cloud WAN 中,您需要按小時支付下列費用:
+ 區域數目 (核心網路邊緣)
+ 核心網路附件的數量
+ 透過附件流經核心網路的流量
如需詳細的定價資訊,請參閱 [AWS Cloud WAN 定價](https://aws.amazon.com/cloud-wan/pricing/)。
**設定 的核心網路 Oracle Database@AWS**
1. 針對您計劃連接到核心網路VPCs 和內部部署網路,將 CIDR 範圍新增至您的 ODB 網路。如需詳細資訊,請參閱[在 中更新 ODB 網路 Oracle Database@AWS](managing.md#managing.updating)。
**注意**
如果您在 VPC 上連接或重新連接附件,請務必將 CIDR 範圍重新輸入至 ODB ODB 網路。
1. 請遵循[建立 AWS Cloud WAN 全域網路和核心網路](https://docs.aws.amazon.com/network-manager/latest/cloudwan/cloudwan-getting-started.html)中的步驟。