Documentación de Oracle Cloud Infrastructure

Configurar

En este tema se explican los pasos necesarios para configurar la conectividad entre AWS Nube privada virtual (VPC) y la red de ODB para Oracle AI Database@AWS.

  1. Permisos necesarios
  2. Configuración de direccionamiento
  3. Configuración de la resolución de DNS
  4. Permitir CIDR a la red de ODB

Permisos necesarios

Tabla 1-1 Permisos necesarios para configurar la conectividad

Tarea Nube Persona Permisos
Configurar la conectividad entre AWS VPC y la red ODB para Oracle AI Database@AWS AWS  
Para crear una regla de ruta en la tabla de rutas de la aplicación de VPC, se necesitan los siguientes permisos de EC2 IAM.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateRoute",
            "Action": [
                "ec2:DescribeRouteTables",
                "ec2:CreateRoute",
                "ec2:DescribeVpcs"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Para conectividad:
Para crear un punto final saliente en la ruta 53, se necesitan los siguientes permisos de IAM de solucionador de ruta 53. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Route53Resolver",
            "Action": [
                "route53resolver:CreateResolverEndpoint",
                "route53resolver:CreateResolverRule",
                "route53resolver:AssociateResolverRule",
                "route53resolver:GetResolverEndpoint",
                "route53resolver:ListResolverEndpoints",
                "route53resolver:AssociateResolverEndpointIpAddress",
                "route53resolver:DisassociateResolverEndpointIpAddress",
                "route53resolver:TagResource",
                "route53resolver:UntagResource",
                "route53resolver:DisassociateResolverRule",
                "route53resolver:ListResolverRules",
                "route53resolver:ListResolverEndpointIpAddresses",
                "route53resolver:ListResolverRuleAssociations",
                "route53resolver:ListTagsForResource"

            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
EC2 IAM:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Operations",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DeleteNetworkInterface",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:AssignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcs",
                "ec2:CreateTags",
                "ec2:DescribeAvailabilityZones",
                "ec2:GetSecurityGroupsForVpc"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Para configurar reglas de seguridad en el grupo de seguridad, se necesitan los permisos de EC2 IAM.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2SecurityOperations",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:DescribeSecurityGroupRules"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
Nota

Antes de empezar a configurar la conectividad entre la VPC de AWS y la red de ODB para Oracle AI Database@AWS, debe descargar la CLI de AWS más reciente. Para obtener más información, consulte Instalación o actualización a la última versión de la CLI de AWS.
  1. Utilice la CLI de AWS más reciente y ejecute el siguiente comando:
    aws --version
  2. Asegúrese de utilizar la CLI de AWS versión 2.27.47 o superior. Por ejemplo, verá la siguiente salida después de ejecutar el comando anterior:
    aws-cli/2.27.47 Python/3.13.5 Darwin/24.5.0 source/x86_64
  3. Ejecute el siguiente comando para confirmar que tiene acceso al parámetro --odb-network-arn:
    aws ec2 create-route help
  4. Verifique que el parámetro [--odb-network-arn <value>] aparezca en la ayuda SYNOPSIS para la API create-route: 
    create-route
[--destination-prefix-list-id <value>]
[--vpc-endpoint-id <value>]
[--transit-gateway-id <value>]
[--local-gateway-id <value>]
[--carrier-gateway-id <value>]
[--core-network-arn <value>]
[--odb-network-arn <value>]

Configuración de direccionamiento

En esta sección se describe la creación de una regla de ruta en la tabla de rutas para permitir que el tráfico se enrute a Oracle AI Database@AWS a través de la red ODB. Debe crear una regla de ruta idéntica en todas las tablas de rutas asociadas a las subredes desde las que desea acceder a Oracle AI Database.

Crear regla de ruta que dirija la red de ODB

Defina las variables de entorno de AWS con la clave de acceso y la clave de acceso secreto:
  1. Si el sistema operativo es Linux, utilice la siguiente secuencia de comandos para configurar la variable de entorno para el AWS CLI.
    $ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ export AWS_DEFAULT_REGION=<region-code>
  2. Si el sistema operativo es Windows, utilice la siguiente secuencia de comandos para configurar la variable de entorno para el AWS CLI. 
    $ set AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEKEY
$ set AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLESECRETKEY
$ set AWS_DEFAULT_REGION=<region-code>
  3. Vaya al panel de control de VPC y seleccione Sus VPC en la nube privada virtual de la consola de AWS. Esta captura de pantalla muestra la tabla de rutas principal.
  4. Seleccione el separador Asignación de recursos y, a continuación, seleccione la tabla de rutas asociada a la subred.
  5. En el panel de control de Oracle AI Database@AWS, seleccione redes OODB y, a continuación, seleccione la red OODB que está utilizando.
  6. Seleccione el separador Resumen para ver los detalles de ARN de red de ODB y Rango de CIDR de subred de cliente.Esta captura de pantalla muestra la red de ODB ARN.Esta captura de pantalla muestra el rango de CIDR de subred de cliente
  7. Utilice la CLI de AWS más reciente para ejecutar el siguiente comando. Este comando creará una nueva ruta en la tabla de rutas de la aplicación VPC. Esta ruta dirige la ruta de tráfico de la aplicación para el CIDR de la subred del cliente a través de la red de ODB.
    Nota

    Si el sistema operativo es Windows, incluya el símbolo de signo de intercalación ^ al principio del comando antes de ejecutarlo. Si el sistema operativo es Linux, incluya el símbolo de barra diagonal / al principio del comando antes de ejecutarlo. 
    aws ec2 create-route --destination-cidr-block <OCI_CLIENT_SUBNET_CIDR> --route-table-id
      <ROUTE_TABLE_ID> --odb-network-arn <ODB_NETWORK_ARN> --region <REGION>

Configuración de la resolución de DNS

En este tema se explican los pasos necesarios para configurar la resolución de DNS.

Cuando se crea la red de ODB, se despliegan dos puntos finales de solucionador privado en la VCN correspondiente. Un punto final sirve como dirección de recepción y el otro como dirección de reenvío. Sin embargo, la resolución de DNS no está activada por defecto. Puede activar la resolución de DNS de AWS a OCI o de OCI a AWS siguiendo la configuración que se detalla a continuación.

  • Para resolver el FQDN de Oracle AI Database desde una VPC de AWS, debe configurar un punto final de salida de ruta 53 y crear una regla de solucionador para reenviar consultas DNS de nombre de dominio al punto final de recepción de red de ODB. Debe obtener la información del IP de listener de DNS y el nombre de dominio de la red de ODB.Esta captura de pantalla muestra cómo obtener la IP del listener de DNS y la información de nombre de dominio.

    Configuración de punto final de salida de ruta 53
    1. Desde la consola de AWS, vaya a la ruta 53.
    2. En el menú de la izquierda, amplíe la sección Solucionador y, a continuación, seleccione Puntos finales salientes.
    3. Seleccione el botón Crear punto final saliente y, a continuación, complete los siguientes pasos secundarios:
      1. Introduzca un nombre descriptivo en el campo Nombre de punto final. El nombre del punto final puede tener hasta 64 caracteres que constan de a-z, A-Z, 0-9, espacio, guion bajo (_) y guion (-).
      2. En la lista desplegable, seleccione la VPC que se utilizará para resolver consultas DNS (normalmente la VPC en la que se ejecuta la aplicación EC2).
      3. En la lista desplegable Grupo de seguridad para este punto final, seleccione un grupo de seguridad existente.
      4. En la lista desplegable, seleccione Tipo de punto final y Protocolos para este punto final, como el tipo de punto final (IPv4) y los protocolos (Do53).
      5. En la sección Direcciones IP, seleccione al menos dos direcciones IP para el punto final saliente. Se recomienda seleccionar dos zonas de disponibilidad y subredes diferentes. La opción por defecto Usar una dirección IPv4 seleccionada automáticamente se selecciona en la sección Dirección IPv4.
      6. En la sección Etiquetas, puede agregar etiquetas a los puntos finales salientes para organizarlos e identificarlos.
      Esta captura de pantalla muestra los pasos de configuración de punto final de salida de ruta 53.
    Nota

    Cree un grupo de seguridad dedicado a los puntos finales de la ruta 53, que permita el tráfico TCP y UDP en el puerto 53 desde cualquier lugar.
    Configuración de regla de solucionador de ruta 53
    1. Desde la consola de AWS, vaya a la ruta 53.
    2. En el menú de la izquierda, amplíe la sección Solucionador y, a continuación, seleccione Reglas.
    3. Seleccione el botón Crear regla y, a continuación, complete los siguientes pasos secundarios:
      1. Introduzca un nombre descriptivo en el campo Nombre. El nombre de la regla puede tener hasta 64 caracteres que constan de a-z, A-Z, 0-9, espacio, guion bajo (_) y guion (-).
      2. En la lista desplegable Tipo de regla, seleccione la opción Reenviar.
      3. En el campo Nombre de dominio, especifique el nombre del dominio. Por ejemplo, el nombre de dominio por defecto, que es oraclevcn.com, o el nombre de dominio personalizado definido durante la creación de la red ODB.
      4. En la lista desplegable VPC que utilizan esta regla, puede asociar la regla a la VPC a la que desea reenviar consultas DNS a la red.
      5. En la lista desplegable Punto final saliente, seleccione el punto final saliente que ha creado anteriormente.
      6. En la sección Etiquetas, puede agregar etiquetas a las reglas para organizarlas e identificarlas.
      Esta captura de pantalla muestra los pasos de configuración de regla de solucionador de ruta 53.
    Prueba de la resolución de DNS
    1. Desde la consola de AWS, vaya a EC2.
    2. En el menú de la izquierda, amplíe la sección Instancias y, a continuación, seleccione la casilla de control de la instancia en la lista.
    3. Seleccione el botón Conectar en la parte superior para conectarse a la instancia.
    4. Por ejemplo, puede seleccionar el nombre de DNS de máquina virtual y, a continuación, en una instancia de Linux, ejecutar el siguiente comando:
      nslookup hostname
  • Para resolver los nombres de dominio de AWS desde Oracle AI Database, debe configurar un punto final entrante de la ruta 53 y crear una regla de solucionador para reenviar consultas de DNS de nombres de dominio de OCI a AWS.
    Nota

    La zona alojada privada de la Ruta 53 está vinculada a su aplicación o VPC de tránsito.

    Configuración de punto final de entrada de ruta 53
    1. Desde la consola de AWS, vaya a la ruta 53.
    2. En el menú de la izquierda, amplíe la sección Solucionador y, a continuación, seleccione Puntos finales entrantes.
    3. Seleccione el botón Crear punto final de entrada y, a continuación, complete los siguientes pasos secundarios:
      1. Introduzca un nombre descriptivo en el campo Nombre de punto final. El nombre del punto final puede tener hasta 64 caracteres que constan de a-z, A-Z, 0-9, espacio, guion bajo (_) y guion (-).
      2. En la lista desplegable Categoría de punto final, seleccione la opción Por defecto.
      3. En la lista desplegable, seleccione la VPC que desea asociar a la zona de host privado de la ruta 53 que desea resolver.
      4. En la lista desplegable Grupo de seguridad para este punto final, seleccione un grupo de seguridad existente.
      5. En la lista desplegable, seleccione Tipo de punto final y Protocolos para este punto final, como el tipo de punto final (IPv4) y los protocolos (Do53).
      6. En la sección Direcciones IP, seleccione al menos dos direcciones IP para el punto final saliente. Se recomienda seleccionar dos zonas de disponibilidad y subredes diferentes. La opción por defecto Usar una dirección IPv4 seleccionada automáticamente se selecciona en la sección Dirección IPv4.
      7. En la sección Etiquetas, puede agregar etiquetas a los puntos finales salientes para organizarlos e identificarlos.
      Esta captura de pantalla muestra los pasos de configuración de punto final de entrada de la ruta 53.
    Configuración de solucionador privado de OCI
    1. En el panel de control de Oracle AI Database@AWS, seleccione Redes de ODB y, a continuación, seleccione la red de ODB de la lista.
    2. Seleccione el separador Recursos de OCI y, a continuación, seleccione el enlace ID de VCN que le redirigirá a la consola de OCI.
    3. En la sección Redes virtuales en la nube, seleccione el separador Seguridad para crear el grupo de seguridad para permitir el tráfico.
    4. Seleccione el botón Crear grupo de seguridad de red y, a continuación, complete los siguientes pasos secundarios:
      1. Introduzca un nombre descriptivo en el campo Nombre del grupo de seguridad de red.
      2. En la lista desplegable, seleccione el compartimento en el que desea crear el grupo de seguridad de red.
      3. En la sección Etiquetas, puede agregar etiquetas a los recursos para organizarlos e identificarlos.
      4. En la sección Agregar reglas de seguridad, seleccione Salida como Dirección y seleccione CIDR como Tipo de origen. En la lista desplegable Origen, seleccione la dirección IP del punto final de entrada de AWS. Seleccione la opción TCP en la lista desplegable Protocolo IP. Introduzca 53 en el campo Rango de PUERTOS DE DESTINO. Repita con UDP.
      5. En el campo Permitir, introduzca una descripción que pueda tener hasta 255 caracteres.
      6. Seleccione el botón Crear para aplicar los cambios.
      Esta captura de pantalla muestra cómo agregar una regla.
    5. Vuelva a Redes virtuales en la nube y, a continuación, seleccione el separador Detalles.
    6. En la sección Detalles, seleccione el enlace Solucionador de DNS. Esta captura de pantalla muestra cómo obtener el enlace de solucionador de DNS.
    7. En la página Solucionadores privados, seleccione el separador Puntos finales y, a continuación, seleccione el punto final del reenviador para agregar el grupo de seguridad que ha creado anteriormente.
      1. Seleccione el separador Grupos de Seguridad de Red.
      2. Seleccione el botón Gestionar grupos de seguridad de red.
      3. En la lista desplegable, seleccione el compartimento de grupo de seguridad de red y el grupo de seguridad de red.
      4. Seleccione el botón Guardar cambios para aplicar los cambios.
      Esta captura de pantalla muestra cómo crear un NSG.
    8. En la página Solucionadores privados, seleccione el separador Reglas para crear una regla que reenvíe la consulta de DNS al punto de entrada de AWS. Seleccione el botón Gestionar reglas y, a continuación, complete los siguientes pasos secundarios:
      1. Seleccione el botón Agregar regla.
      2. En la sección Condición de coincidencia, seleccione la opción Dominios como Condición de regla.
      3. En la lista desplegable Dominios, seleccione el dominio de zona privada de ruta 53.
      4. El campo Acción de regla está seleccionado como Reenviar de forma predeterminada.
      5. En la lista desplegable Punto final de origen, seleccione el punto final del reenviador.
      6. En el campo Dirección IP de destino, introduzca la dirección IP de punto final de entrada de ruta 53.
      7. Seleccione el orden de regla.
      8. Seleccione el botón Agregar regla para guardar los cambios.
      Esta captura de pantalla muestra cómo crear una regla para reenviar una consulta de DNS.
    Prueba de la resolución de DNS
    1. Desde el nodo de cluster de VM, ejecute el siguiente comando para resolver el DNS:
      nslookup hostname

Permitir CIDR a la red de ODB

En este tema se explican los pasos necesarios para permitir el acceso de red a la red de ODB.

Para permitir el acceso de red a la red de ODB, por ejemplo, desde entornos locales o una subred de AWS, debe actualizar las conexiones de intercambio de tráfico de ODB para incluir los bloques de CIDR de red peer. Para obtener más información, siga los pasos de Modificación de conexiones de intercambio de tráfico de ODB.Esta captura de pantalla muestra cómo permitir el acceso de red a la red de ODB.