Documentation sur Oracle Cloud Infrastructure

Configurer

Cette rubrique décrit les étapes requises pour configurer la connectivité entre le service en nuage virtuel Virtual Private Cloud (VPC) et le réseau ODB pour Oracle AI Database@AWS.

  1. Permissions requises
  2. Configuration du routage
  3. Configurer la résolution DNS
  4. Autoriser le bloc CIDR au réseau ODB

Permissions requises

Tableau 1-1 Autorisations requises pour configurer la connectivité

Tâche Cloud Persona Permissions
Configurer la connectivité entre AWS VPC et le réseau ODB pour Oracle AI Database@AWS AWS  
Pour créer une règle de routage dans la table de routage App VPC's, les autorisations EC2 IAM suivantes sont requises.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRoute",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Pour la connectivité :
Pour créer un point d'extrémité sortant dans la route 53, les autorisations IAM du résolveur de la route 53 suivantes sont requises. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Route53Resolver",
            "Action": [
                "route53resolver:CreateResolverEndpoint",
                "route53resolver:CreateResolverRule",
                "route53resolver:AssociateResolverRule",
                "route53resolver:GetResolverEndpoint",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:AssociateResolverEndpointIpAddress",
                "route53resolver:DisassociateResolverEndpointIpAddress",
                "route53resolver:TagResource",
                "route53resolver:UntagResource",
                "route53resolver:DisassociateResolverRule",
                "route53resolver:ListResolverRules",
                "route53resolver:ListResolverEndpointIpAddresses",
                "route53resolver:ListResolverRuleAssociations",
                "route53resolver:ListTagsForResource"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
EC2 IAM :
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Operations",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:AssignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:GetSecurityGroupsForVpc"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Pour configurer des règles de sécurité dans le groupe de sécurité, des autorisations EC2 IAM sont requises.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2SecurityOperations",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeSecurityGroupRules"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Note

Avant de commencer à configurer la connectivité entre AWS VPC et le réseau ODB pour Oracle AI Database@AWS, vous devez télécharger la dernière interface de ligne de commande AWS . Pour plus d'informations, voir Installation ou mise à jour vers la dernière version de l'interface de ligne de commande AWS.
  1. Utilisez la interface de ligne de commande AWS la plus récente et exécutez la commande suivante :
    aws --version
  2. Assurez-vous d'utiliser l'interface de ligne de commande AWS version 2.27.47 ou supérieure. Par exemple, vous verrez la sortie suivante après l'exécution de la commande précédente :
    aws-cli/2.27.47 Python/3.13.5 Darwin/24.5.0 source/x86_64
  3. Exécutez la commande suivante pour confirmer que vous avez accès au paramètre --odb-network-arn :
    aws ec2 create-route help
  4. Vérifiez que le paramètre [--odb-network-arn <value>] apparaît dans l'aide SYNOPSIS pour l'API create-route : 
    create-route
[--destination-prefix-list-id <value>]
[--vpc-endpoint-id <value>]
[--transit-gateway-id <value>]
[--local-gateway-id <value>]
[--carrier-gateway-id <value>]
[--core-network-arn <value>]
[--odb-network-arn <value>]

Configuration du routage

Cette section décrit la création d'une règle de routage dans la table de routage pour permettre l'acheminement du trafic vers Oracle AI Database@AWS au moyen du réseau ODB. Vous devez créer une règle de routage identique dans toutes les tables de routage associées aux sous-réseaux à partir desquels vous voulez accéder à Oracle AI Database.

Créer une règle de routage ciblant le réseau ODB

Définissez vos variables d'environnement AWS avec la clé d'accès et la clé d'accès secrète :
  1. Si votre système d'exploitation est Linux, utilisez le script suivant pour configurer la variable d'environnement pour AWS CLI.
    $ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ export AWS_DEFAULT_REGION=<region-code>
  2. Si votre système d'exploitation est Windows, utilisez le script suivant pour configurer la variable d'environnement pour AWS CLI. 
    $ set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ set AWS_DEFAULT_REGION=<region-code>
  3. Naviguez jusqu'au tableau de bord VPC et sélectionnez Vos VPC dans le nuage privé virtuel de la console AWS. Cette capture d'écran présente la table de routage principale.
  4. Sélectionnez l'onglet Mappage des ressources, puis la table de routage associée au sous-réseau.
  5. Dans le tableau de bord Oracle AI Database@AWS, sélectionnez Réseaux ODB, puis sélectionnez votre réseau ODB que vous utilisez.
  6. Sélectionnez l'onglet Sommaire pour voir les détails de l'ARN du réseau ODB et de l'intervalle CIDR du sous-réseau client.Cette capture d'écran présente l'ARN du réseau ODB.Cette capture d'écran présente l'intervalle CIDR du sous-réseau client
  7. Utilisez la interface de ligne de commande AWS la plus récente pour exécuter la commande suivante. Cette commande créera une nouvelle route dans la table de routage de l'application VPC. Cette route dirige le routage du trafic d'application pour le bloc CIDR du sous-réseau client au moyen du réseau ODB.
    Note

    Si votre système d'exploitation est Windows, incluez le symbole caret ^ au début de la commande avant de l'exécuter. Si votre système d'exploitation est Linux, incluez le symbole à barre oblique / au début de la commande avant de l'exécuter. 
    aws ec2 create-route --destination-cidr-block <OCI_CLIENT_SUBNET_CIDR> --route-table-id
      <ROUTE_TABLE_ID> --odb-network-arn <ODB_NETWORK_ARN> --region <REGION>

Configurer la résolution DNS

Cette rubrique décrit les étapes requises pour configurer la résolution DNS.

Lorsque le réseau ODB est créé, deux points d'extrémité de résolveur privé sont déployés dans le VCN correspondant. Un point d'extrémité sert d'adresse d'écoute et l'autre d'adresse de transfert. Toutefois, la résolution DNS n'est pas activée par défaut. Vous pouvez activer la résolution DNS d'AWS à OCI ou d'OCI à AWS en suivant la configuration détaillée ci-dessous.

  • Pour résoudre le FQDN d'Oracle AI Database à partir d'un VPC AWS, vous devez configurer un point d'extrémité sortant Route 53 et créer une règle de résolveur pour transmettre les interrogations DNS de nom de domaine au point d'extrémité d'écoute de réseau ODB. Vous devez obtenir vos informations sur l'adresse IP du module d'écoute DNS et le nom du domaine à partir de votre réseau ODB.Cette capture d'écran montre comment obtenir l'adresse IP du module d'écoute DNS et les informations sur le nom de domaine.

    Configuration du point d'extrémité sortant de la route 53
    1. À partir de la console AWS, naviguez jusqu'à la route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Points d'extrémité sortants.
    3. Sélectionnez le bouton Créer un point d'extrémité sortant, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom du point d'extrémité. Le nom du point d'extrémité peut comporter jusqu'à 64 caractères composés de a à z, de A à Z, de 0 à 9, d'espaces, de traits de soulignement (_) et de tirets (-).
      2. Dans la liste déroulante, sélectionnez VPC à utiliser pour résoudre les interrogations DNS (généralement le VPC où votre application EC2 s'exécute).
      3. Dans la liste déroulante Groupe de sécurité pour ce point d'extrémité, sélectionnez un groupe de sécurité existant.
      4. Dans la liste déroulante, sélectionnez Type de point d'extrémité et Protocoles pour ce point d'extrémité, tels que le type de point d'extrémité (IPv4) et les protocoles (Do53).
      5. Dans la section Adresses IP, sélectionnez au moins deux adresses IP pour le point d'extrémité sortant. Il est recommandé de sélectionner deux zones de disponibilité et sous-réseaux différents. L'option par défaut Utiliser une adresse IPv4 qui est sélectionnée automatiquement est sélectionnée dans la section Adresse IPv4.
      6. Dans la section Marqueurs, vous pouvez ajouter des marqueurs aux points d'extrémité sortants pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration du point d'extrémité sortant Route 53.
    Note

    Créez un groupe de sécurité dédié aux points d'extrémité de la route 53, qui autorise le trafic TCP et UDP sur le port 53 de n'importe où.
    Configuration de la règle de résolveur Route 53
    1. À partir de la console AWS, naviguez jusqu'à la route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Règles.
    3. Sélectionnez le bouton Créer une règle, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Name (Nom). Le nom de la règle peut comporter jusqu'à 64 caractères composés de a à z, de A à Z, de 0 à 9, d'espaces, de traits de soulignement (_) et de tirets (-).
      2. Dans la liste déroulante Type de règle, sélectionnez l'option Transférer.
      3. Dans le champ Nom du domaine, spécifiez le nom du domaine. Par exemple, le nom de domaine par défaut oraclevcn.com ou le nom de domaine personnalisé défini lors de la création du réseau ODB.
      4. Dans la liste déroulante VPC qui utilisent cette règle, vous pouvez associer la règle au VPC pour transmettre les interrogations DNS à votre réseau.
      5. Dans la liste déroulante Point d'extrémité sortant, sélectionnez le point d'extrémité sortant que vous avez créé précédemment.
      6. Dans la section Marqueurs, vous pouvez ajouter des marqueurs aux règles pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration de règle de résolveur Route 53.
    Tester la résolution DNS
    1. À partir de la console AWS, naviguez jusqu'à EC2.
    2. Dans le menu de gauche, développez la section Instances, puis cochez la case Instance dans la liste.
    3. Sélectionnez le bouton Connexion en haut pour vous connecter à l'instance.
    4. Par exemple, vous pouvez sélectionner le nom DNS de la machine virtuelle, puis, dans une instance Linux, exécuter la commande suivante :
      nslookup hostname
  • Pour résoudre les noms de domaine AWS à partir d'Oracle AI Database, vous devez configurer un point d'extrémité entrant Route 53 et créer une règle de résolveur pour transférer les interrogations DNS de nom de domaine d'OCI vers AWS.
    Note

    La zone privée hébergée Route 53 est liée à votre VPC d'application ou de transit.

    Configuration du point d'extrémité entrant Route 53
    1. À partir de la console AWS, naviguez jusqu'à la route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Points d'extrémité entrants.
    3. Sélectionnez le bouton Créer un point d'extrémité entrant, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom du point d'extrémité. Le nom du point d'extrémité peut comporter jusqu'à 64 caractères composés de a à z, de A à Z, de 0 à 9, d'espaces, de traits de soulignement (_) et de tirets (-).
      2. Dans la liste déroulante Catégorie de point d'extrémité, sélectionnez l'option Par défaut.
      3. Dans la liste déroulante, sélectionnez VPC à associer à la zone hôte privée Route 53 à résoudre.
      4. Dans la liste déroulante Groupe de sécurité pour ce point d'extrémité, sélectionnez un groupe de sécurité existant.
      5. Dans la liste déroulante, sélectionnez Type de point d'extrémité et Protocoles pour ce point d'extrémité, tels que le type de point d'extrémité (IPv4) et les protocoles (Do53).
      6. Dans la section Adresses IP, sélectionnez au moins deux adresses IP pour le point d'extrémité sortant. Il est recommandé de sélectionner deux zones de disponibilité et sous-réseaux différents. L'option par défaut Utiliser une adresse IPv4 qui est sélectionnée automatiquement est sélectionnée dans la section Adresse IPv4.
      7. Dans la section Marqueurs, vous pouvez ajouter des marqueurs aux points d'extrémité sortants pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration du point d'extrémité entrant Route 53.
    Configuration du résolveur privé OCI
    1. Dans le tableau de bord Oracle AI Database@AWS, sélectionnez Réseaux ODB, puis sélectionnez votre réseau ODB dans la liste.
    2. Sélectionnez l'onglet Ressources OCI, puis sélectionnez le lien ID VCN qui vous redirigera vers la console OCI.
    3. Dans la section Réseaux en nuage virtuels, sélectionnez l'onglet Sécurité pour créer le groupe de sécurité pour autoriser le trafic.
    4. Sélectionnez le bouton Créer un groupe de sécurité de réseau, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom de votre groupe de sécurité de réseau.
      2. Dans la liste déroulante, sélectionnez le compartiment dans lequel vous voulez créer votre groupe de sécurité de réseau.
      3. Dans la section Marqueurs, vous pouvez ajouter des marqueurs à vos ressources pour les organiser et les identifier.
      4. Dans la section Ajouter des règles de sécurité, sélectionnez Trafic sortant sous Direction et CIDR sous Type de source. Dans la liste déroulante Source, sélectionnez l'adresse IP de votre point d'extrémité AWS Inbound. Sélectionnez l'option TCP dans la liste déroulante Protocole IP. Entrez 53 dans le champ Intervalle de ports de destination. Répétez avec UDP.
      5. Dans le champ Autoriser, entrez une description pouvant comporter jusqu'à 255 caractères.
      6. Sélectionnez le bouton Créer pour appliquer les modifications.
      Cette capture d'écran montre comment ajouter une règle.
    5. Revenez à Réseaux en nuage virtuels, puis sélectionnez l'onglet Détails.
    6. Dans la section Détails, sélectionnez le lien Résolveur DNS. Cette capture d'écran montre comment obtenir un lien de résolveur DNS.
    7. Dans la page Résolveurs privés, sélectionnez l'onglet Points d'extrémité, puis sélectionnez le point d'extrémité transmetteur pour ajouter le groupe de sécurité que vous avez créé précédemment.
      1. Sélectionnez l'onglet Groupes de sécurité de réseau.
      2. Sélectionnez le bouton Gérer les groupes de sécurité de réseau.
      3. Dans la liste déroulante, sélectionnez votre compartiment de groupe de sécurité de réseau et votre groupe de sécurité de réseau.
      4. Sélectionnez le bouton Enregistrer les modifications pour appliquer les modifications.
      Cette capture d'écran illustre comment créer un groupe de sécurité de réseau.
    8. Dans la page Résolveurs privés, sélectionnez l'onglet Règles pour créer une règle permettant de transmettre l'interrogation DNS au point d'entrée AWS. Sélectionnez le bouton Gérer les règles, puis effectuez les sous-étapes suivantes :
      1. Sélectionnez le bouton Ajouter une règle.
      2. Dans la section Condition de correspondance, sélectionnez l'option Domaines comme Condition de règle.
      3. Dans la liste déroulante Domaines, sélectionnez le domaine de zone privée Route 53.
      4. Le champ Action liée à une règle est sélectionné par défaut comme Transférer.
      5. Dans la liste déroulante Point d'extrémité source, sélectionnez le point d'extrémité du transmetteur.
      6. Dans le champ Adresse IP de destination, entrez l'adresse IP du point d'extrémité entrant Route 53.
      7. Sélectionnez l'ordre des règles.
      8. Sélectionnez le bouton Ajouter une règle pour enregistrer les modifications.
      Cette capture d'écran montre comment créer une règle pour transférer une interrogation DNS.
    Tester la résolution DNS
    1. À partir du noeud de grappe de machines virtuelles, effectuez une résolution DNS en exécutant la commande suivante :
      nslookup hostname

Autoriser le bloc CIDR au réseau ODB

Cette rubrique décrit les étapes requises pour autoriser l'accès réseau au réseau ODB.

Pour autoriser l'accès réseau au réseau ODB, par exemple, à partir d'environnements sur place ou d'un sous-réseau AWS, vous devez mettre à jour les connexions d'appairage ODB pour inclure les blocs CIDR du réseau pair. Pour plus d'informations, suivez les étapes Modifier les connexions d'appairage ODB.Cette capture d'écran montre comment autoriser l'accès réseau au réseau ODB.