Documentation Oracle Cloud Infrastructure

Configurer

Cette rubrique explique les étapes requises pour configurer la connectivité entre le WS Virtual Private Cloud (VPC) et le réseau ODB pour Oracle AI Database@AWS.

  1. Droits d'accès requis
  2. Configuration du routage
  3. Configurer la résolution DNS
  4. Autoriser le CIDR sur le réseau ODB

Droits d'accès requis

Tableau 1-1 Droits d'accès requis pour configurer la connectivité

Tâche Nuage Identité utilisateur Droits d'accès
Configurer la connectivité entre le VPC AWS et le réseau ODB pour Oracle AI Database@AWS AWS  
Pour créer une règle de routage dans la table de routage VPC d'application, les droits d'accès EC2 IAM suivants sont requis.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRoute",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Pour la connectivité :
Pour créer une adresse sortante dans le routage 53, les droits d'accès Résolveur 53 de routage IAM suivants sont requis. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Route53Resolver",
            "Action": [
                "route53resolver:CreateResolverEndpoint",
                "route53resolver:CreateResolverRule",
                "route53resolver:AssociateResolverRule",
                "route53resolver:GetResolverEndpoint",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:AssociateResolverEndpointIpAddress",
                "route53resolver:DisassociateResolverEndpointIpAddress",
                "route53resolver:TagResource",
                "route53resolver:UntagResource",
                "route53resolver:DisassociateResolverRule",
                "route53resolver:ListResolverRules",
                "route53resolver:ListResolverEndpointIpAddresses",
                "route53resolver:ListResolverRuleAssociations",
                "route53resolver:ListTagsForResource"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
EC2 IAM :
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Operations",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:AssignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:GetSecurityGroupsForVpc"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Pour configurer des règles de sécurité dans un groupe de sécurité, des droits d'accès EC2 IAM sont requis.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2SecurityOperations",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeSecurityGroupRules"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Remarque

Avant de commencer à configurer la connectivité entre le VPC AWS et le réseau ODB pour Oracle AI Database@AWS, vous devez télécharger la dernière interface de ligne de commande AWS. Pour plus d'informations, reportez-vous à Installation ou mise à jour vers la dernière version de l'interface de ligne de commande AWS.
  1. Utilisez la dernière CLI AWS et exécutez la commande suivante :
    aws --version
  2. Assurez-vous d'utiliser la interface de ligne de commande AWS version 2.27.47 ou supérieure. Par exemple, la sortie suivante s'affiche après l'exécution de la commande précédente :
    aws-cli/2.27.47 Python/3.13.5 Darwin/24.5.0 source/x86_64
  3. Exécutez la commande suivante pour vérifier que vous avez accès au paramètre --odb-network-arn :
    aws ec2 create-route help
  4. Vérifiez que le paramètre [--odb-network-arn <value>] apparaît dans l'aide SYNOPSIS de l'API create-route : 
    create-route
[--destination-prefix-list-id <value>]
[--vpc-endpoint-id <value>]
[--transit-gateway-id <value>]
[--local-gateway-id <value>]
[--carrier-gateway-id <value>]
[--core-network-arn <value>]
[--odb-network-arn <value>]

Configuration du routage

Cette section décrit la création d'une règle de routage dans la table de routage pour permettre le routage du trafic vers Oracle AI Database@AWS via le réseau ODB. Vous devez créer une règle de routage identique dans toutes les tables de routage associées aux sous-réseaux à partir desquels vous comptez accéder à Oracle AI Database.

Créer une règle de routage ciblant le réseau ODB

Définissez vos variables d'environnement AWS avec les options Clé d'accès et Clé d'accès secrète suivantes :
  1. Si votre système d'exploitation est Linux, utilisez le script suivant pour configurer la variable d'environnement pour le AWS CLI.
    $ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ export AWS_DEFAULT_REGION=<region-code>
  2. Si votre système d'exploitation est Windows, utilisez le script suivant pour configurer la variable d'environnement pour AWS CLI. 
    $ set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ set AWS_DEFAULT_REGION=<region-code>
  3. Accédez au tableau de bord VPC et sélectionnez Vos VPC dans le cloud privé virtuel de la console AWS. Cette capture d'écran présente la table de routage principale.
  4. Sélectionnez l'onglet Mappage des ressources, puis sélectionnez la table de routage associée au sous-réseau.
  5. Dans le tableau de bord Oracle AI Database@AWS, sélectionnez Réseaux ODB, puis sélectionnez le réseau ODB que vous utilisez.
  6. Sélectionnez l'onglet Récapitulatif pour afficher les détails de l'ARN réseau ODB et de la plage CIDR de sous-réseau client.Cette capture d'écran montre le réseau ARN ODB.Cette capture d'écran présente la plage CIDR de sous-réseau client
  7. Utilisez la dernière CLI AWS pour exécuter la commande suivante. Cette commande crée une route dans la table de route du VPC de l'application. Ce routage dirige le routage de trafic d'application pour le CIDR de sous-réseau client via le réseau ODB.
    Remarque

    Si votre système d'exploitation est Windows, incluez le symbole de curseur ^ au début de la commande avant de l'exécuter. Si votre système d'exploitation est Linux, incluez le symbole barre oblique / au début de la commande avant de l'exécuter. 
    aws ec2 create-route --destination-cidr-block <OCI_CLIENT_SUBNET_CIDR> --route-table-id
      <ROUTE_TABLE_ID> --odb-network-arn <ODB_NETWORK_ARN> --region <REGION>

Configurer la résolution DNS

Cette rubrique explique les étapes requises pour configurer la résolution DNS.

Lorsque le réseau ODB est créé, deux adresses de résolveur privé sont déployées dans le VCN correspondant. Une adresse sert d'adresse d'écoute et l'autre d'adresse de transfert. Cependant, la résolution DNS n'est pas activée par défaut. Vous pouvez activer la résolution DNS d'AWS vers OCI ou d'OCI vers AWS en suivant la configuration détaillée ci-dessous.

  • Pour résoudre le nom de domaine qualifié complet Oracle AI Database à partir d'un VPC AWS, vous devez configurer une adresse sortante de routage 53 et créer une règle de résolveur pour transmettre les requêtes DNS de nom de domaine à l'adresse d'écoute réseau ODB. Vous devez obtenir vos informations d'adresse IP de processus d'écoute DNS et de nom de domaine à partir du réseau ODB.Cette capture d'écran montre comment obtenir les informations d'adresse IP et de nom de domaine de votre processus d'écoute DNS.

    Configuration de l'adresse sortante de la route 53
    1. A partir de la console AWS, accédez à Route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Adresses sortantes.
    3. Cliquez sur le bouton Créer une adresse sortante, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom de l'adresse. Le nom de l'adresse peut comporter jusqu'à 64 caractères, soit a-z, A-Z, 0-9, espace, trait de soulignement (_) et trait d'union (-).
      2. Dans la liste déroulante, sélectionnez le VPC à utiliser pour résoudre les requêtes DNS (généralement le VPC sur lequel votre application EC2 est exécutée).
      3. Dans la liste déroulante Groupe de sécurité pour cette adresse, sélectionnez un groupe de sécurité existant.
      4. Dans la liste déroulante, sélectionnez Type d'adresse et Protocoles pour cette adresse, tels que le type d'adresse (IPv4) et les protocoles (Do53).
      5. Dans la section Adresses IP, sélectionnez au moins deux adresses IP pour l'adresse sortante. Il est recommandé de sélectionner deux zones de disponibilité et deux sous-réseaux différents. L'option par défaut Utiliser une adresse IPv4 sélectionnée automatiquement est sélectionnée dans la section Adresse IPv4.
      6. Dans la section Balises, vous pouvez ajouter des balises aux adresses sortantes pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration de l'adresse sortante de la route 53.
    Remarque

    Créez un groupe de sécurité dédié à l'acheminement 53 adresses, permettant le trafic TCP et UDP sur le port 53 de n'importe où.
    Configuration de règle de résolveur de route 53
    1. A partir de la console AWS, accédez à Route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Règles.
    3. Cliquez sur le bouton Créer une règle, puis effectuez les sous-étapes suivantes :
      1. Dans le champ Nom, entrez un nom descriptif. Le nom de la règle peut comporter jusqu'à 64 caractères, soit a-z, A-Z, 0-9, espace, trait de soulignement (_) et trait d'union (-).
      2. Dans la liste déroulante Type de règle, sélectionnez l'option Transférer.
      3. Dans le champ Nom de domaine, indiquez le nom de domaine. Par exemple, le nom de domaine par défaut oraclevcn.com ou le nom de domaine personnalisé défini lors de la création du réseau ODB.
      4. Dans la liste déroulante VPC qui utilisent cette règle, vous pouvez associer la règle au VPC que vous souhaitez transférer les requêtes DNS vers votre réseau.
      5. Dans la liste déroulante Adresse sortante, sélectionnez l'adresse sortante que vous avez créée précédemment.
      6. Dans la section Balises, vous pouvez ajouter des balises aux règles pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration de règle de résolveur Route 53.
    Test de la résolution DNS
    1. A partir de la console AWS, accédez à EC2.
    2. Dans le menu de gauche, développez la section Instances, puis cochez la case de votre instance dans la liste.
    3. Cliquez sur le bouton Connexion en haut pour vous connecter à l'instance.
    4. Par exemple, vous pouvez sélectionner le nom DNS de la machine virtuelle, puis exécuter la commande suivante dans une instance Linux :
      nslookup hostname
  • Pour résoudre les noms de domaine AWS à partir d'Oracle AI Database, vous devez configurer une adresse entrante de routage 53 et créer une règle de résolveur pour transférer les requêtes DNS de nom de domaine d'OCI vers AWS.
    Remarque

    La zone hébergée privée de la route 53 est liée à votre VPC d'application ou de transit.

    Configuration de l'adresse entrante de la route 53
    1. A partir de la console AWS, accédez à Route 53.
    2. Dans le menu de gauche, développez la section Résolveur, puis sélectionnez Adresses entrantes.
    3. Cliquez sur le bouton Créer une adresse entrante, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom de l'adresse. Le nom de l'adresse peut comporter jusqu'à 64 caractères, soit a-z, A-Z, 0-9, espace, trait de soulignement (_) et trait d'union (-).
      2. Dans la liste déroulante Catégorie d'adresse, sélectionnez l'option Par défaut.
      3. Dans la liste déroulante, sélectionnez le VPC à associer à la zone d'hôte privé de la route 53 à résoudre.
      4. Dans la liste déroulante Groupe de sécurité pour cette adresse, sélectionnez un groupe de sécurité existant.
      5. Dans la liste déroulante, sélectionnez Type d'adresse et Protocoles pour cette adresse, tels que le type d'adresse (IPv4) et les protocoles (Do53).
      6. Dans la section Adresses IP, sélectionnez au moins deux adresses IP pour l'adresse sortante. Il est recommandé de sélectionner deux zones de disponibilité et deux sous-réseaux différents. L'option par défaut Utiliser une adresse IPv4 sélectionnée automatiquement est sélectionnée dans la section Adresse IPv4.
      7. Dans la section Balises, vous pouvez ajouter des balises aux adresses sortantes pour les organiser et les identifier.
      Cette capture d'écran présente les étapes de configuration de l'adresse entrante de la route 53.
    Configuration du résolveur privé OCI
    1. Dans le tableau de bord Oracle AI Database@AWS, sélectionnez Réseaux ODB, puis sélectionnez votre réseau ODB dans la liste.
    2. Sélectionnez l'onglet Ressources OCI, puis sélectionnez le lien ID VCN qui vous redirigera vers la console OCI.
    3. Dans la section Réseaux cloud virtuels, sélectionnez l'onglet Sécurité pour créer le groupe de sécurité afin d'autoriser le trafic.
    4. Cliquez sur le bouton Créer un groupe de sécurité réseau, puis effectuez les sous-étapes suivantes :
      1. Entrez un nom descriptif dans le champ Nom de votre groupe de sécurité réseau.
      2. Dans la liste déroulante, sélectionnez le compartiment dans lequel créer le groupe de sécurité réseau.
      3. Dans la section Balises, vous pouvez ajouter des balises à vos ressources pour les organiser et les identifier.
      4. Dans la section Ajouter des règles de sécurité, sélectionnez Sortie comme Direction et sélectionnez CIDR comme Type de source. Dans la liste déroulante Source, sélectionnez l'adresse IP de votre adresse entrante AWS. Sélectionnez l'option TCP dans la liste déroulante Protocole IP. Saisissez 53 dans le champ Fourchette de ports de destination. Répétez avec UDP.
      5. Dans le champ Autoriser, entrez une description qui peut comporter jusqu'à 255 caractères.
      6. Cliquez sur le bouton Créer pour appliquer les modifications.
      Cette capture d'écran montre comment ajouter une règle.
    5. Revenez à Réseaux cloud virtuels, puis sélectionnez l'onglet Détails.
    6. Dans la section Détails, sélectionnez le lien Résolveur DNS. Cette capture d'écran montre comment obtenir un lien de résolveur DNS.
    7. Sur la page Résolveurs privés, sélectionnez l'onglet Adresses, puis sélectionnez l'adresse de transporteur pour ajouter le groupe de sécurité que vous avez créé précédemment.
      1. Sélectionnez l'onglet Groupes de sécurité réseau.
      2. Cliquez sur le bouton Gérer les groupes de sécurité réseau.
      3. Dans la liste déroulante, sélectionnez votre compartiment de groupe de sécurité réseau et votre groupe de sécurité réseau.
      4. Cliquez sur le bouton Enregistrer les modifications pour appliquer les modifications.
      Cette capture d'écran illustre la création d'un groupe de sécurité réseau.
    8. Sur la page Résolveurs privés, sélectionnez l'onglet Règles pour créer une règle de transfert de la requête DNS vers l'adresse entrante AWS. Cliquez sur le bouton Gérer les règles, puis effectuez les sous-étapes suivantes :
      1. Cliquez sur le bouton Ajouter une règle.
      2. Dans la section Condition de correspondance, sélectionnez l'option Domaines Condition de règle.
      3. Dans la liste déroulante Domaines, sélectionnez le domaine de zone privée Route 53.
      4. Par défaut, le champ Action sur règle est sélectionné comme Transférer.
      5. Dans la liste déroulante Adresse source, sélectionnez l'adresse du transitaire.
      6. Dans le champ Adresse IP de destination, entrez l'adresse IP de l'adresse entrante de la route 53.
      7. Choisissez votre ordre des règles.
      8. Cliquez sur le bouton Ajouter une règle pour enregistrer les modifications.
      Cette capture d'écran montre comment créer une règle pour transférer une requête DNS.
    Test de la résolution DNS
    1. A partir du noeud de cluster de machines virtuelles , effectuez une résolution DNS en exécutant la commande suivante :
      nslookup hostname

Autoriser le CIDR sur le réseau ODB

Cette rubrique explique les étapes requises pour autoriser l'accès réseau au réseau ODB.

Pour autoriser l'accès réseau au réseau ODB, par exemple à partir d'environnements sur site ou d'un sous-réseau AWS, vous devez mettre à jour les connexions d'appairage ODB pour inclure les blocs CIDR réseau homologue. Pour plus d'informations, suivez les étapes Modifier les connexions d'appairage ODB.Cette capture d'écran montre comment autoriser l'accès réseau au réseau ODB.